EDPB rapporteert met kritische noot over EU-VS Data Privacy Framework

De Europese Toezichthouder voor Gegevensbescherming (EDPB) publiceerde op 20 november 2024 zijn eerste rapport over het EU-VS Data Privacy Framework (DPF). Dit rapport beoordeelt hoe gegevensuitwisseling tussen de EU en de VS zich ontwikkelt in dit kader. De EDPB is blij met de vooruitgang die is geboekt, maar uit ook zorgen over de bescherming van persoonsgegevens bij commerciële datatransfers en de nog altijd uitgebreide bevoegdheden van de Amerikaanse overheid tot massasurveillance.

25 november 2024

Privacy

Europese Commissie

EDPB

Gegevensuitwisseling buiten EU

‘Vooruitgang geboekt, maar ruimte voor verbetering’

Volgens de Algemene Verordening Gegevensbescherming (AVG) heeft de EDPB een adviserende en toezichthoudende rol bij internationale gegevensbescherming, waaronder het beoordelen van adequaatheidsbesluiten zoals het DPF. De EDPB voorzitter zegt hierover: “We zijn blij dat er vooruitgang is geboekt sinds de goedkeuring van het adequaatheidsbesluit dankzij de vruchtbare samenwerking tussen de Amerikaanse autoriteiten, de EU-commissie en de EDPB. Tegelijkertijd is er nog ruimte voor verbetering en moeten we blijven samenwerken om een hoog niveau van gegevensbescherming te behouden en de rechten en vrijheden van EU-individuen te beschermen.”

Profileren en massasurveillance zonder toezicht zijn zorgpunten

De EDPB maakt zich zorgen over de onduidelijkheid in de DPF-regels, met name rond geautomatiseerde besluitvorming en profilering. Ook zijn uitzonderingen op rechten van betrokkenen, zoals bij “openbare informatie”, te ruim. Bovendien is bij verdere doorgifte aan derde landen buiten de VS de naleving van DPF-regels niet altijd gegarandeerd. Zij vragen zich bovendien af of er in de praktijk effectief kan worden gehandhaafd. De EDPB erkent verbeteringen in Amerikaanse wetten, zoals beperkingen op surveillance, maar is bezorgd over blijvende massasurveillance zonder onafhankelijk toezicht. Ook twijfelt de EDPB aan de effectiviteit van de regeling in de praktijk, bijvoorbeeld ten aanzien van de werking van de Data Protection Review Court en de transparantie van het toezicht door de FISA Court. Ook belangenorganisaties zoals NOYB (None of Your Business), geleid door privacy-activist Max Schrems, blijven kritisch. Zij stellen dat de VS onvoldoende structurele hervormingen heeft doorgevoerd om EU-gegevens werkelijk te beschermen tegen massasurveillance.

Historie van het Data Privacy Framework

Het DPF vervangt het Privacy Shield, dat in 2020 ongeldig werd verklaard door het Europese Hof van Justitie in de Schrems II-uitspraak. De reden was dat Amerikaanse surveillanceprogramma’s niet voldeden aan de strenge Europese privacyregels. Het nieuwe DPF, gebaseerd op verbeteringen zoals Executive Order 14086, probeert dit gat te dichten door te garanderen dat dataverzameling “noodzakelijk en proportioneel” is. Het bevat strengere regels voor gegevensverwerking en introduceert nieuwe toezichthoudende organen, zoals de Data Protection Review Court (DPRC).

Toekomst van het Framework

Hoewel de EDPB pleit voor verbeteringen en regelmatige evaluaties, blijft het een uitdaging om een balans te vinden tussen veilige gegevensoverdracht en naleving van de EU-privacyregels. Verwacht wordt dat het kader in de komende jaren opnieuw ter discussie wordt gesteld. De kans is reëel dat er nieuwe rechtszaken worden aangespannen tegen het EU-VS Data Privacy Framework (DPF) bij Europese hoven. Zo werden eerdere adequaatheidsbesluiten, zoals het Privacy Shield en de Safe Harbor-overeenkomst ook ongeldig verklaard door het Europese Hof na juridische uitdagingen, zoals de bekende Schrems-zaken.

Over de auteurs

Jitty van Doodewaerd

Jitty van Doodewaerd is directeur privacy bij de DMCC Group. In deze functie ondersteunt zij opdrachtgevers uit velerlei maatschappelijke sectoren bij privacyvraagstukken. Haar aanpak is realistisch en pragmatisch met kennis van de dagelijkse gang van zaken in (commercieel) datagebruik. Van Doodewaerd was onderdeel van de Big Data expertgroep van het ministerie van Economische Zaken en was verantwoordelijk voor de belangenbehartiging van marketing branchevereniging DDMA. Zij was lid van de Legal Affairs Committee van de Federation for European Direct and Interactive Marketing (FEDMA) en de Privacy Commissie van VNO-NCW.

Gerelateerd nieuws

Van belofte naar beleid: hoe de EU desinformatie structureel wil aanpakken

6 juni 2025

Hieronder volgt het eerste deel van een tweedelige blogreeks, geschreven door Tijn Iserief, Consultant Privacy & Data Protection bij Lex Digitalis.

ChatGPT bij de bestuursrechter: hulpmiddel of hindernis?

27 mei 2025

AI-toepassingen zoals ChatGPT zijn de afgelopen jaren doorontwikkeld van een innovatie naar een gangbaar hulpmiddel. De technologie biedt ontelbare mogelijkheden. Een logisch gevolg daarvan is dat de technologie ook wordt toegepast door betrokkenen bij een juridische procedure. De Afdeling Bestuursrechtspraak van de Raad van State (hierna: Afdeling) heeft een uitspraak gedaan over het gebruik van ChatGPT als hulpmiddel. Anne de Jong (advocaat bij Poelmann van den Broek) legt in deze blog uit dat vertrouwen op ChatGPT voor een deskundigenoordeel (vooralsnog) niet mogelijk is.

AI hard op weg om grootste energieverbruiker te worden

23 mei 2025

Het wereldwijde gebruik van kunstmatige intelligentie groeit razendsnel. Toch blijft het energieverbruik dat daarmee gepaard gaat grotendeels onzichtbaar. Onderzoek van datawetenschapper Alex de Vries-Gao wijst uit dat AI op weg is een van de grootste energieverbruikers in de digitale wereld te worden. Aan toezicht en transparantie ontbreekt het.

Mag je een VOG bewaren? Dit zegt de AVG over het verwerken van Verklaringen Omtrent het Gedrag