EDPB rapporteert met kritische noot over EU-VS Data Privacy Framework

De Europese Toezichthouder voor Gegevensbescherming (EDPB) publiceerde op 20 november 2024 zijn eerste rapport over het EU-VS Data Privacy Framework (DPF). Dit rapport beoordeelt hoe gegevensuitwisseling tussen de EU en de VS zich ontwikkelt in dit kader. De EDPB is blij met de vooruitgang die is geboekt, maar uit ook zorgen over de bescherming van persoonsgegevens bij commerciële datatransfers en de nog altijd uitgebreide bevoegdheden van de Amerikaanse overheid tot massasurveillance.

25 november 2024

Privacy

Europese Commissie

EDPB

Gegevensuitwisseling buiten EU

‘Vooruitgang geboekt, maar ruimte voor verbetering’

Volgens de Algemene Verordening Gegevensbescherming (AVG) heeft de EDPB een adviserende en toezichthoudende rol bij internationale gegevensbescherming, waaronder het beoordelen van adequaatheidsbesluiten zoals het DPF. De EDPB voorzitter zegt hierover: “We zijn blij dat er vooruitgang is geboekt sinds de goedkeuring van het adequaatheidsbesluit dankzij de vruchtbare samenwerking tussen de Amerikaanse autoriteiten, de EU-commissie en de EDPB. Tegelijkertijd is er nog ruimte voor verbetering en moeten we blijven samenwerken om een hoog niveau van gegevensbescherming te behouden en de rechten en vrijheden van EU-individuen te beschermen.”

Profileren en massasurveillance zonder toezicht zijn zorgpunten

De EDPB maakt zich zorgen over de onduidelijkheid in de DPF-regels, met name rond geautomatiseerde besluitvorming en profilering. Ook zijn uitzonderingen op rechten van betrokkenen, zoals bij “openbare informatie”, te ruim. Bovendien is bij verdere doorgifte aan derde landen buiten de VS de naleving van DPF-regels niet altijd gegarandeerd. Zij vragen zich bovendien af of er in de praktijk effectief kan worden gehandhaafd. De EDPB erkent verbeteringen in Amerikaanse wetten, zoals beperkingen op surveillance, maar is bezorgd over blijvende massasurveillance zonder onafhankelijk toezicht. Ook twijfelt de EDPB aan de effectiviteit van de regeling in de praktijk, bijvoorbeeld ten aanzien van de werking van de Data Protection Review Court en de transparantie van het toezicht door de FISA Court. Ook belangenorganisaties zoals NOYB (None of Your Business), geleid door privacy-activist Max Schrems, blijven kritisch. Zij stellen dat de VS onvoldoende structurele hervormingen heeft doorgevoerd om EU-gegevens werkelijk te beschermen tegen massasurveillance.

Historie van het Data Privacy Framework

Het DPF vervangt het Privacy Shield, dat in 2020 ongeldig werd verklaard door het Europese Hof van Justitie in de Schrems II-uitspraak. De reden was dat Amerikaanse surveillanceprogramma’s niet voldeden aan de strenge Europese privacyregels. Het nieuwe DPF, gebaseerd op verbeteringen zoals Executive Order 14086, probeert dit gat te dichten door te garanderen dat dataverzameling “noodzakelijk en proportioneel” is. Het bevat strengere regels voor gegevensverwerking en introduceert nieuwe toezichthoudende organen, zoals de Data Protection Review Court (DPRC).

Toekomst van het Framework

Hoewel de EDPB pleit voor verbeteringen en regelmatige evaluaties, blijft het een uitdaging om een balans te vinden tussen veilige gegevensoverdracht en naleving van de EU-privacyregels. Verwacht wordt dat het kader in de komende jaren opnieuw ter discussie wordt gesteld. De kans is reëel dat er nieuwe rechtszaken worden aangespannen tegen het EU-VS Data Privacy Framework (DPF) bij Europese hoven. Zo werden eerdere adequaatheidsbesluiten, zoals het Privacy Shield en de Safe Harbor-overeenkomst ook ongeldig verklaard door het Europese Hof na juridische uitdagingen, zoals de bekende Schrems-zaken.

Over de auteurs

Jitty van Doodewaerd

Jitty van Doodewaerd is directeur privacy bij de DMCC Group. In deze functie ondersteunt zij opdrachtgevers uit velerlei maatschappelijke sectoren bij privacyvraagstukken. Haar aanpak is realistisch en pragmatisch met kennis van de dagelijkse gang van zaken in (commercieel) datagebruik. Van Doodewaerd was onderdeel van de Big Data expertgroep van het ministerie van Economische Zaken en was verantwoordelijk voor de belangenbehartiging van marketing branchevereniging DDMA. Zij was lid van de Legal Affairs Committee van de Federation for European Direct and Interactive Marketing (FEDMA) en de Privacy Commissie van VNO-NCW.

Gerelateerd nieuws

Volgende stap defensiewet vergroot spanning tussen veiligheid en privacy

15 december 2025

De Wet op de defensiegereedheid (Wodg) is een stap dichter bij invoering gekomen. De ministerraad heeft ingestemd met het wetsvoorstel, dat Defensie meer ruimte moet geven om sneller en realistischer te oefenen en te opereren. De wet gaat nu voor advies naar de Raad van State, waarna behandeling volgt in de Tweede en Eerste Kamer.

Europese waakhond: ‘AI‑systemen bedreigen grondrechten, menselijk toezicht onvoldoende’

9 december 2025

De Europese grondrechtenwaakhond FRA (European Union Agency for Fundamental Rights) waarschuwt in een vorige week verschenen rapport dat organisaties slecht zijn voorbereid op het beoordelen en beperken van grondrechtenrisico’s bij het gebruik van hoog‑risico‑AI. Volgens de FRA dreigt daardoor een kloof tussen de ambities van de AI Act en de dagelijkse praktijk bij ontwikkelaars en gebruikers van AI‑systemen in onder meer asiel, onderwijs, werk, politie en sociale zekerheid. Die kloof raakt direct aan de manier waarop mensen en AI in de samenleving samen optrekken: als de menselijke kant van die samenwerking – kennis, reflectie en kritisch vermogen – tekortschiet, verliest AI haar grond voor vertrouwen.

De cruciale rol van een veilige meldcultuur bij cybersecurity

8 december 2025

Onlangs publiceerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) het Cybersecuritybeeld Nederland (CSBN) 2025. Het rapport schetst een digitale dreigingsomgeving die steeds complexer, diverser en onvoorspelbaarder wordt. Terwijl de dreiging groeit, ligt de verdediging in het versterken van de digitale basishygiëne. Organisatiecultuur speelt hierbij een belangrijke rol in hoe incidenten worden herkend en gemeld. Het CSBN 2025 maakt duidelijk dat digitale veiligheid geen puur technologisch vraagstuk is, maar afhankelijk is van hoe mensen binnen organisaties handelen. Transparency International Nederland (TI-NL) benadrukt daarom de cruciale rol van menselijk gedrag en een veilige meldcultuur bij effectieve cybersecurity.

AI en Auteursrecht: waarom een uitspraak uit München alles verandert

4 december 2025

Op 11 november 2025 deed het Landesgericht München uitspraak in een zaak die de juridische wereld én de techsector op scherp zet: GEMA tegen OpenAI (zaaknummer 42 O 14139/24). Het ging om de vraag of het gebruik van auteursrechtelijk beschermde songteksten door generatieve AI-modellen zoals ChatGPT in strijd is met het auteursrecht. Het antwoord van de rechtbank? Ja. En dat is best baanbrekend.

Meer nieuws