Persoonsgegevens delen met de VS van Trump?

De toekomst van het Trans-Atlantische Data Privacy Framework

Na de eerste weken van de regering Trump is het duidelijk dat er veel verandert in de wereld. Dat geldt helaas ook voor het privacy domein. Gevolg lijkt te zijn dat de afspraken tussen de VS en de EU over het delen van persoonsgegevens uit 2023 alweer op losse schroeven staan.

Hoe was het ook alweer?

Tot 2021 werd het delen van persoonsgegevens van Europese burgers met Amerikaanse bedrijven geregeld door het Privacy Shield: een overeenkomst tussen Europa en de VS met spelregels die leken te voldoen aan de Europese privacy wetgeving. Met de nadruk op ‘leken’, zoals duidelijk werd na de onthullingen van Edward Snowden in 2013 over massa surveillance door de Amerikaanse regering. Hierbij werd ook duidelijk dat het niet uitmaakte of de betreffende persoonsgegevens op Europese servers werden opgeslagen. De VS kon techbedrijven dwingen ook toegang te verlenen tot die gegevens. Na een uitspraak van het Europees Hof van Justitie in 2020 werd het Privacy Shield niet meer gezien als voldoende waarborg. Pas in 2023 werd het Trans-Atlantische Data Privacy Framework (TDF) van kracht met extra waarborgen voor EU burgers. De belangrijkste toezichthouder op het naleven van deze afspraken aan Amerikaanse kant is de Privacy and Civil Liberties Oversight Board (PCLOB).

Wat is er gebeurd?

In januari 2025 werden alle 3 zittende leden van deze ‘onafhankelijke’ toezichthouder door President Trump ontslagen. Daarmee valt een belangrijke pilaar onder het TDF weg. In het Europese Parlement zijn inmiddels vragen gesteld aan de Europese Commissie, waaronder de hamvraag :

"Is de Commissie, gezien de bovengenoemde ontwikkelingen, van mening dat persoonsgegevens die vanuit de EU naar de VS worden doorgegeven op het gebied van rechtshandhaving adequaat worden beschermd"

Het TDF is nog steeds van kracht, totdat de Europese Commissie tot opschorting overgaat. Bij het Privacy Shield gebeurde dat pas nadat privacy activist Max Schrems een zaak aanhangig had gemaakt bij het Europees Hof van Justitie. De vraag is of het deze keer ook zo lang gaat duren, zeker gezien de steeds moeilijker wordende relatie met de VS.

Wat het voor jou kan betekenen

Het wegvallen van de PCLOB als toezichthoudende instantie betekent niet dat Amerikaanse gegevensoverdrachten meteen illegaal zijn. Het besluit van de Europese Commissie is geldig zolang het niet nietig is verklaard door de Commissie zelf of het Hof van Justitie. Maar als belangrijke elementen waarop de EU zich heeft gebaseerd niet functioneren, zal de EU de overeenkomst nietig moeten verklaren.

"Hoewel de argumenten voor de overeenkomst tussen de EU en de VS uit elkaar lijken te vallen, kunnen bedrijven op de overeenkomst vertrouwen zolang deze niet formeel nietig wordt verklaard. Gezien de ontwikkelingen in de VS is het voor bedrijven en andere organisaties echter belangrijker dan ooit om een 'host in Europe'-noodplan te hebben."

Bereid je voor

Data tussen de EU en de VS zijn voorlopig nog legal - maar bereid je op zijn minst voor op de mogelijkheid van opschorting of ongeldigverklaring van de TDF.

Wat je kunt doen:

• Inventariseer op basis van het  verwerkingsregister van jouw organisatie welke persoonsgegevens worden gedeeld met de VS
• Onderzoek met jouw IT-afdeling of IT-serviceprovider wat de mogelijkheden zijn om gegevens in Europa op te slaan
• Maak op basis hiervan een plan om wanneer nodig over te stappen naar een volledig Europese oplossing.

Deze discussie kan nog alle kanten opgaan, maar een noodplan kan helpen om voor jouw organisatie de juiste keuzes te maken.

Meer weten?

Onze privacy specialisten hebben ruime ervaring bij financiële instellingen in diverse rolle, zoals privacy officer en functionaris gegevensbescherming. Wij helpen je graag om jouw verwerkingsregister en andere privacy documenten en inrichting verder te brengen op een voor de organisatie passende wijze. Wil je meer weten over de mogelijkheden? Neem dan vrijblijvend contact met ons op.