Het Gerecht van het Europese Hof van Justitie houdt het EU-US Data Privacy Framework in stand, las ik bij Tweakers. De poging van Europarlementariër Philippe Latombe om het DPF ongeldig te laten verklaren lijkt daarmee gestrand, zij het dat een beroep naar het Hof van Justitie nog mogelijk is. Velen verwachtten een andere uitspraak.
Het zogeheten DPF is de opvolger van het Privacy Shield uit 2016, dat weer een poging was om het ontplofte Safe Harbor op te kalefateren. Alle drie hebben ze hetzelfde doel: te zorgen dat persoonsgegevens uit Europa naar de VS mogen onder de AVG.
De kern is dat de AVG alleen zulke ‘doorgifte’ toestaat als het andere land min of meer gelijkwaardige bescherming van persoonsgegevens kent. Zwitserland heeft bijvoorbeeld een databeschermingswet die sterk overeenkomt, en is daarom adequaat verklaard. De VS heeft géén (federale) gegevensbeschermingswet, maar omdat iedereen en z’n moeder afhankelijk is van Amerikaanse ict- en datadiensten, moest en zou er wat voor komen.
Zowel Privacy Shield als Safe Harbor sneuvelden in essentie omdat Amerikaanse veiligheidsdiensten zonder waarborgen mochten snuffelen in data van Europeanen als die in de VS stond. Het DPF heeft een aantal extra procedurele waarborgen, zoals een aparte toezichthouder, de Civil Liberties Protection Office (CLPO).
Een discussiepunt was dus meteen hoe onafhankelijk die is, iets waar het Gerecht nu van zegt dat dit ten tijde van de DPF adoptiedatum op papier goed geregeld was:
Zoals blijkt uit overweging 180 van het bestreden besluit, is het de inlichtingendiensten en de directeur van de nationale inlichtingendienst daarentegen verboden de werkzaamheden van de CLPO te belemmeren of op onrechtmatige wijze te beïnvloeden. De CLPO moet bij het onderzoek van de klacht met betrekking tot persoonsgegevens de wet onpartijdig toepassen en daarbij rekening houden met zowel de nationale veiligheidsbelangen als de bescherming van de persoonlijke levenssfeer.De CLPO voldoet dus aan de gestelde eis dat er onafhankelijk toezicht is op hoe de inlichtingen- en veiligheidsdiensten werken met persoonsgegevens van Europeanen.
Een tweede punt was massasurveillance door diezelfde diensten. Ook dat was keurig geregeld in het DPF, onder meer omdat bulk surveillance in principe wettelijk verboden is. En daarmee zijn alle grieven van Latombe afgekaart.
U denkt nu misschien, wat een super formele opstelling. We weten toch allemaal hoe de praktijk tegenwoordig is? Maar het Gerecht kan en mag niet oordelen of het DPF op dit moment de situatie adequaat afdekt. Haar taak was toetsen of de Europese Commissie destijds het DPF had mogen aannemen gezien de wettelijke, formele situatie van toen in de VS.
Natuurlijk, die formele situatie had met de werkelijkheid weinig van doen. En zeker anno 2025 is er wel héél veel veranderd sinds Biden zijn handtekening zetten onder die executive order. Maar dat is een taak van de Commissie, niet de rechter: de Commissie moet toetsen of de VS zich nog steeds houdt aan de afgesproken regels. Dit is dus wezenlijk anders dan bij Privacy Shield, waar de afgesproken regels zelf te weinig bescherming boden voor de grondrechten van Europese burgers.
Arnoud
De opinie van Max Schrems is in deze zeker interessant en inhoudelijk relevant: https://noyb.eu/en/eu-us-data-transfers-first-reaction-latombe-case Het blijft gewoon spannend wat er gebeurt als een nationale rechter de juiste prejudiciële vraag stelt, toch?