3 september 2025, deed het Gerecht van de Europese Unie uitspraak over het Data Privacy Framework (DPF). Kort gezegd: er verandert op dit moment niets en Europese organisaties kunnen het DPF blijven gebruiken als grondslag om een passend beschermingsniveau voor gegevensoverdrachten tussen de Europese Unie (EU) en de VS te waarborgen (hoofdstuk V Algemene verordening gegevensbescherming, AVG). In de toekomst kan dat uiteraard nog veranderen, maar dat geldt nog voor wel meer zaken.

Hoe werkte rechtmatige doorgifte ook alweer?

Er zijn verschillende manieren waarop organisaties veilig, onder de AVG, persoonsgegevens kunnen delen met landen buiten de Europese Economische Ruimte (EER). Een daarvan is het adequaatheidsbesluit (art. 45 AVG). De Europese Commissie (EC) besluit dan officieel dat de wet- en regelgeving en praktijken van het derde land ongeveer hetzelfde beschermingsniveau bieden, als het niveau dat we in de EU kennen.

Het DPF is het kader waarmee wij in de EU zorgen dat doorgifte van persoonsgegevens tussen de EU en de VS veilig kan plaatsvinden, in overeenstemming met onze grondrechten en de AVG (meer weten? Lees dit gedetailleerde stuk over de DPF). Althans, dat is wat de EC in haar adequaatheidsbesluit concludeerde.

Wat gebeurde er in deze zaak?

Een Franse burger, mr Latombe, was het hier niet mee eens (met hem vele anderen, maar hij ging naar het Gerecht). Hij stelde voor het Gerecht van de Europese Unie (het Gerecht) dat dit adequaatheidsbesluit – eigenlijk – niet adequaat is. Het Gerecht mag, in bepaalde situaties, een dergelijk besluit ongeldig verklaren.

In deze zaak stelde Latombe:

• dat de Data Protection Review Court (de DPRC, een orgaan dat is opgericht om klachten te analyseren van EU-burgers die vermoeden dat hun gegevens worden geschonden door inlichtingsdiensten uit de VS) niet onafhankelijk of onpartijdig is;
• dat de surveillancepraktijk (het verzamelen van bulkdata) door de overheid van de VS onrechtmatig is, omdat het geen voorafgaande toestemming van de rechtbank kent.

Het Gerecht wijst het beroep tot nietigverklaring van Latombe af. Het Gerecht vindt namelijk dat Latombe’s argumenten geen stand houden.

Het Gerecht oordeelt:

• dat de onafhankelijkheid van het DPR, en het aanwijzen van de rechters daarbinnen, wél verzekerd is door bepaalde waarborgen en vereisten;
• dat de EC juist al verplicht is om constant ontwikkelingen in derde landen die adequaat zijn bevonden, te monitoren. Als dat land níet meer adequaat is, handelt de EC daarop;
• dat ten aanzien van surveillance van bulkdata voorafgaande toestemming van de rechter niet nodig is (meer specifiek: er zijn geen overwegingen uit eerdere rechtspraak (Schrems II) die suggereren dat dat zo zou moeten zijn). Het huidige kader voorziet in een juridische analyse ná de verzameling, wat voldoende zou moeten zijn.

Kritiek

Hoewel het oordeel pas net is gepubliceerd, is er nu al veel kritiek. Het Gerecht handelt de zaak vrij formeel procedureel af. Zo verwijst het Gerecht naar het feit dat de EC continu de adequaatheid van derde landen moet nagaan (art. 45 lid 4 AVG). Dat is inderdaad zo, maar daarmee lijkt het Gerecht te zeggen: als er iets mis was, had de EC het wel gezegd – en gaat voorbij aan een eigen analyse.

Deze versturen we 3-4x per jaar.