Gisteren, 29 juni 2026, heeft het Amerikaanse Hooggerechtshof een uitspraak gedaan in de zaak Trump v. Slaughter waarbij ze stelden dat zogenaamde onafhankelijke uitvoerende autoriteiten in de US ingaan tegen de grondwet. Met andere woorden, zo’n autoriteiten kunnen onmogelijk onafhankelijk zijn omdat de president er steeds controle over moet kunnen houden.
Vandaag kondigt privacywaakhond NOYB aan dat ze een formele juridische procedure voorbereiden om het EU-US Data Privacy Framework te vernietigen voor het Hof van Justitie van de Europese Unie. Max Schrems zet daarmee de langverwachte derde aanval in op de datatransfers tussen Europa en de Verenigde Staten.
De uitspraak van het Hooggerechtshof bevestigt wat velen in de Europese privacywereld al vreesden, namelijk dat Amerikaanse toezichthouders zoals de Federal Trade Commission volstrekt onvoldoende onafhankelijkheid genieten ten opzichte van de politieke macht. Aangezien die onafhankelijke controle een van de absolute pijlers was waarop de Europese Commissie haar adequaatheidsbesluit baseerde, eist NOYB nu in een officiële brief dat Europa het akkoord rond datatransfers onmiddellijk opschort.
Een wankele basis vanaf dag één: waarom het Data Privacy Framework al lang kraakt
Voor lezers van onze blog komt deze nieuwste etappe in het eindeloze data-exportverhaal absoluut niet als een verrassing. Vanaf de allereerste dag dat het Data Privacy Framework in juli 2023 werd gelanceerd, hebben wij gewezen op de bijzonder wankele juridische basis van deze constructie. Na het sneuvelen van Safe Harbour in 2015 en het Privacy Shield in 2020 koos de Europese Commissie er bewust voor om geen robuust verdrag te eisen. Men nam vrede met Amerikaanse presidentiële decreten die met één pennenstreek door een volgende administratie ongedaan konden worden gemaakt. Wij hebben dit mechanisme toen al uitvoerig bestempeld als oude wijn in nieuwe zakken. Het was wachten tot de politieke wind in Washington zou draaien om de fundamentele zwaktes van dit systeem genadeloos bloot te leggen.
Rechtsbescherming die louter op papier bestaat
De kern van het aanzwellende probleem draait rond de beloofde rechtsbescherming voor Europese burgers en bedrijven. Om het Hof van Justitie gunstig te stemmen na het dramatische Schrems II-arrest, rustte het Data Privacy Framework op een reeks nieuwe toezichtsorganen. De oprichting van een Data Protection Review Court en de toezichthoudende rol van de Privacy and Civil Liberties Oversight Board moesten garanderen dat Amerikaanse inlichtingendiensten niet zomaar in Europese bedrijfsdata konden neuzen. De harde praktijk toont vandaag aan dat deze bescherming louter op papier bestaat. Begin vorig jaar werden al democratische leden van de toezichtsorganen aan de kant geschoven en de recente uitspraak van het Hooggerechtshof over de FTC maakt definitief duidelijk dat de noodzakelijke onafhankelijke controle in de realiteit steevast ondergeschikt is aan de Amerikaanse uitvoerende macht.
De schijnveiligheid doorprikt: de zaak-Latombe versus de realiteit
Vorig jaar leek het Data Privacy Framework nochtans even veilig toen het Europese Gerecht een eerste vernietigingsberoep van de Franse politicus Philippe Latombe afwees. Dat vonnis creëerde een uiterst gevaarlijk en vals gevoel van veiligheid bij veel Europese ondernemingen. Het Gerecht keek in de zaak-Latombe uitsluitend naar de puur theoretische situatie op het exacte moment van de ondertekening in 2023, zonder zich uit te spreken over de feitelijke politieke onafhankelijkheid van de instellingen op lange termijn. De aangekondigde procedure van NOYB, die ongetwijfeld als Schrems III de geschiedenisboeken zal ingaan, focust zich wel degelijk op de actuele situatie en de nu bewezen politieke kwetsbaarheid van het systeem. Daarmee verhuist het strijdtoneel opnieuw naar het Hof van Justitie in Luxemburg, dat de theorie van de Europese Commissie zal moeten afwegen tegen de harde Amerikaanse juridische realiteit.
Wat eist NOYB nu concreet van de Europese Commissie?
Vanwege deze fundamentele onverenigbaarheid, dringt NOYB er bij de Europese Commissie op aan om het EU-US Data Protection Framework direct en gecontroleerd te ontmantelen. Zij eisen een ordelijke exit met overgangstermijnen voor Europese bedrijven en burgers. NOYB waarschuwt dat zij de overeenkomst via de rechtbank zullen aanvechten als de Commissie niet zelf ingrijpt. Ze hopen met een actieve beleidswijziging vanuit Europa een abrupte “compliance cliff” te voorkomen, verwijzend naar de eerdere plotselinge juridische chaos na de “Schrems I” en “Schrems II” rechtszaken.
Wat betekent straks Schrems III concreet voor jouw bedrijf?
De juridische basis onder je dagelijkse datatransfers naar Amerikaanse leveranciers staat door deze recente ontwikkelingen opnieuw zwaar onder druk. Hoewel het Data Privacy Framework vandaag nog steeds formeel geldig is, is de periode van relatieve rust definitief voorbij. Je kan het je als onderneming niet veroorloven om passief af te wachten tot het Hof van Justitie de finale klap uitdeelt. Je moet nu grondig in kaart brengen welke persoonsgegevens jouw organisatie precies deelt met Amerikaanse cloudproviders, softwareleveranciers en marketingtools. Bereid je voor op een onvermijdelijke terugkeer naar Standard Contractual Clauses en zorg dat je interne Transfer Impact Assessments actueel en volledig sluitend zijn.
Bereid je datastromen voor op de toekomst
Bedrijven die nu anticiperen op het naderende einde van dit framework vermijden zware operationele problemen wanneer het doek over enkele jaren of zelfs maanden definitief valt. Het juridisch en technisch in kaart brengen van deze internationale datastromen is een complexe oefening, maar je hoeft deze uitdaging niet alleen aan te gaan.
Maakt jouw organisatie gebruik van Amerikaanse software, cloudproviders of marketingtools, en wil je weten of je Transfer Impact Assessments (TIA’s) en Standard Contractual Clauses (SCC’s) nog standhouden na deze nieuwe ontwikkelingen?
Het IT- en privacyteam van Sirius Legal helpt bedrijven om hun datastromen proactief en volledig GDPR-conform in te richten.
- Regio Antwerpen / Mechelen: Laat je internationale datastromen auditeren door onze privacyspecialisten op ons kantoor in Mechelen.
- Regio Limburg / Hasselt: Ondernemers, tech-scale-ups en IT-platformen uit Limburg kunnen voor strategisch GDPR-advies rechtstreeks terecht bij onze experts in Hasselt.
