Op 3 september 2025 heeft het Gerecht van de Europese Unie het beroep van Philippe Latombe tegen de adequaatheidsbeslissing voor het EU-VS Data Privacy Framework (DPF) verworpen. Daarmee blijft het DPF overeind als grondslag voor doorgiften van persoonsgegevens naar in de VS gevestigde organisaties die op de DPF-lijst staan.
Belangrijke uitspraak: Voor juristen en privacyteams is dit een belangrijke mijlpaal. Na jaren van onzekerheid rond Schrems I en II is er weer duidelijkheid, zij het met kanttekeningen en aandachtspunten voor de praktijk.
De kern: waarom deze uitspraak ertoe doet
Het DPF is de opvolger van Safe Harbour en Privacy Shield, die door het Hof van Justitie in 2015 en 2020 ongeldig zijn verklaard. In Latombe v. Commissie bevestigt het Gerecht dat de Verenigde Staten, ten tijde van de vaststelling van de beslissing van 10 juli 2023, een beschermingsniveau boden dat "in wezen gelijkwaardig" is aan het EU-recht voor doorgiften naar DPF-gecertificeerde organisaties.
Het Gerecht wijst er bovendien op dat de Europese Commissie de plicht heeft om de toepassing van het onderliggende VS-kader doorlopend te volgen en waar nodig de beslissing te schorsen, wijzigen of intrekken. Dat maakt het DPF geen eenmalige set-and-forget oplossing, maar een dynamisch kader dat kan worden bijgesteld als de feiten of wetgeving veranderen.
Bron: Voor de volledige uitspraak, zie de officiële publicatie van het Gerecht.
Wat het Gerecht precies heeft getoetst
De aanval op het DPF richtte zich vooral op twee pijlers: de onafhankelijkheid van de Data Protection Review Court (DPRC) als voorziening voor rechtsbescherming, en de Amerikaanse praktijk van "bulk collection" door inlichtingendiensten.
Onafhankelijkheid van de DPRC
Volgens Latombe zou de DPRC niet onafhankelijk zijn, omdat zij is ingebed in de Amerikaanse uitvoerende macht. Het Gerecht kijkt naar waarborgen in het aanstellings- en ontslagregime van DPRC-rechters, en naar de voorwaarden waaronder zij hun werk doen. Het oordeelt dat deze waarborgen voldoende zijn en dat de Commissie hiermee in redelijkheid heeft kunnen concluderen dat de DPRC onafhankelijk functioneert.
Dit sluit aan bij de Amerikaanse uitvoering van Executive Order 14086 (7 oktober 2022) en de daaruit volgende Attorney General-regels die de DPRC juridisch hebben ingericht. De Federal Register publicatie en de CFR-regeling bieden hier juridische onderbouwing voor.
Bulk collection en toezicht
Belangrijke nuancering
Het Gerecht benadrukt dat Schrems II niet eist dat bulkverzameling altijd vooraf door een onafhankelijke autoriteit moet worden goedgekeurd. Minimaal moet er achteraf een rechterlijke toetsing kunnen plaatsvinden.
Het dossier liet volgens het Gerecht zien dat activiteiten van Amerikaanse inlichtingendiensten aan ex post rechterlijke controle onderworpen zijn, onder meer via de DPRC. Daarom voldeed het Amerikaanse recht op dit punt aan de maatstaf van "wezenlijke gelijkwaardigheid".
Tot slot wijst het Gerecht erop dat er een doorlopende toezichtsplicht bij de Commissie ligt. Als het Amerikaanse kader wijzigt, kan de Commissie ingrijpen door de beslissing te beperken, te wijzigen of in te trekken. Daarmee bouwt de uitspraak een veiligheidsklep in voor toekomstige ontwikkelingen.
Het juridische anker: de adequaatheidsbeslissing 2023/1795
De Commissie baseerde het DPF op Implementing Decision (EU) 2023/1795 van 10 juli 2023. In die beslissing is expliciet bepaald dat doorgiften naar organisaties op de DPF-lijst mogen plaatsvinden zonder aanvullende toestemming, binnen de grenzen van het GDPR-kader.
Ook is vastgelegd dat de Commissie periodieke reviews uitvoert. Voor organisaties betekent dit dat bij een DPF-gecertificeerde ontvanger de doorgiftegrond in beginsel "staat", mits alle overige GDPR-verplichtingen netjes zijn geborgd. Denk daarbij aan transparantie, dataminimalisatie, verwerkersafspraken en rechten van betrokkenen.
Wat dit betekent voor organisaties in de EU
Voor veel organisaties is het DPF de eenvoudigste route voor doorgiften aan bepaalde Amerikaanse dienstverleners. Denk aan cloud- en SaaS-leveranciers voor CRM, HR, e-mail, documentbeheer, vertaal- en AI-diensten.
Praktische uitvoering
In de praktijk werkt het als volgt: je controleert of jouw Amerikaanse ontvanger op de officiële DPF-deelnemerslijst staat en of de scope past bij jouw datastromen (bijvoorbeeld HR-data of commerciële data). Vervolgens sluit je een passende verwerkings- en doorgifte-afspraak en werk je je register en je privacyverklaring bij.
Het DPF vervangt de GDPR niet; het neemt slechts de doorgiftegrond voor zijn rekening. Blijf wel alert op situaties waarin het DPF niet van toepassing is, bijvoorbeeld omdat de Amerikaanse partij niet is gecertificeerd, of omdat je data na ontvangst verder worden doorgegeven aan partijen buiten de DPF-scope.
Let op: In zulke gevallen val je terug op andere instrumenten, zoals standaardcontractbepalingen (SCC's) en een Transfer Impact Assessment. Dat TIA-werk is door Executive Order 14086 en de inrichting van de DPRC vaak eenvoudiger onderbouwbaar, maar niet overbodig.
Voorbeeld uit de praktijk
Stel: een Nederlands mediabedrijf gebruikt een Amerikaanse tool voor contentcreatie met ingebouwde generatieve AI. De leverancier staat op de DPF-lijst voor commerciële data. Het bedrijf kan de doorgifte baseren op het DPF, mits het zijn verwerkersovereenkomst, instructies en subverwerkersketen in kaart heeft.
Omdat de tool AI-functionaliteit bevat, is het verstandig om ook te controleren of trainingsdata of model-telemetrie buiten de DPF-scope terechtkomen. Als de leverancier voor onderdelen met subverwerkers werkt die niet DPF-gecertificeerd zijn, is alsnog een aanvullende grond (zoals SCC's) nodig en hoort een TIA in het dossier thuis.
Hier helpt het dat de DPRC als tweede-lijns voorziening voor klachten bestaat, met benoemde rechters en regels van procedure die de onafhankelijkheid ondersteunen.
Wat zegt de toezichthouderspraktijk?
De Europese Toezichtraad (EDPB) voerde in november 2024 de eerste review uit. De EDPB waardeerde de voortgang in de VS, maar wees ook op belangrijke aandachtspunten.
EDPB aandachtspunten
De EDPB noemde diverse punten die monitoring verdienen:
- Het lage aantal klachten in het eerste jaar
- Behoefte aan meer ex officio toezicht door Amerikaanse autoriteiten op naleving van de DPF-principes
- Verduidelijking van "HR-data" onder het DPF
- Nauwgezette monitoring van de praktische werking van de DPRC
- Toepassing van noodzakelijkheid en proportionaliteit bij inlichtingenverzameling
Voor organisaties is de les dat de juridische basis op orde kan zijn, maar dat documentatie, ketenafspraken en transparantie nog steeds kritisch blijven.
Gevolgen voor AI-toepassingen en datagedreven diensten
Veel Europese organisaties verkennen of gebruiken generatieve AI-diensten die in de VS worden gehost. Wanneer de provider DPF-gecertificeerd is, verlaagt dat de doorgifte-drempel voor prompt-inhoud, gebruikersmetadata en outputopslag.
Blijvende aandachtspunten bij AI
Toch blijven er relevante vragen die om verduidelijking vragen in je verwerkersovereenkomst en gebruiksinstellingen:
- Worden gegevens gebruikt voor modelverbetering, en zo ja onder welke voorwaarden
- Welke subverwerkers leveren GPU-infrastructuur of moderatie
- Zitten er telemetrie- of supportstromen buiten de DPF-scope
Deze punten vragen om feitelijke uitvraag en verduidelijking. Het voordeel van de uitspraak is dat de fundamentele discussie over adequaatheid niet alles stillegt; de focus verschuift naar concrete risico-beheersing in de keten.
Blijvende onzekerheid en het procesverloop
De zaak is hiermee niet definitief voorbij. Tegen het arrest van het Gerecht staat hoger beroep open bij het Hof van Justitie, maar uitsluitend over rechtsvragen. De termijn daarvoor is twee maanden en tien dagen vanaf de kennisgeving van de beslissing. Dat betekent dat er juridisch nog beweging kan komen.
Tegelijkertijd biedt de uitspraak vandaag wél houvast om doorgiften op het DPF te baseren, zolang de feitelijke en juridische onderbouwing in de VS blijft voldoen en de Commissie haar monitoringtaak waarmaakt.
Aanpak voor jouw organisatie
Wie vandaag met Amerikaanse leveranciers werkt, kan het volgende pad bewandelen zonder te vervallen in papieren drukte.
Stapsgewijze aanpak
Begin bij de bron: staat de leverancier op de DPF-lijst, en dekt de certificering het toepasselijke datadomein. Leg in je verwerkersafspraken vast wat er met data gebeurt, inclusief AI-gerelateerde functionaliteit, retentie, subverwerkers en doorgiften buiten de VS.
Werk je privacyverklaring bij met een begrijpelijke uitleg over internationale doorgiften op basis van het DPF en de rechten van betrokkenen. Houd je TIA-notities bij de hand, ook als je DPF gebruikt, en verwijs daarin naar de waarborgen uit Executive Order 14086 en de DPRC-regeling die het Gerecht expliciet relevant achtte.
Voor leveranciers die nog niet DPF-gecertificeerd zijn, blijf je SCC's en aanvullende maatregelen gebruiken en toets je of de Amerikaanse waarborgen in de praktijk voldoende zijn.
Praktische uitvoering
Beperk je daarbij niet tot vinkjes zetten. De EDPB-bevindingen laten zien dat praktische naleving aandacht vraagt, vooral bij onward transfers en sectorspecifieke risico's. Voer steekproeven uit op logging en subverwerkers, vraag om een actuele lijst met DPF-deelnemers in de keten en documenteer keuzes.
Bespreek met je leverancier of data voor modelverbetering buiten jouw tenant blijven, en geef gebruikers controle over export en verwijdering. Daarmee ben je voorbereid op audits en blijf je geloofwaardig richting betrokkenen.
Slotreflectie
De uitspraak in Latombe v. Commissie zet een duidelijk markeringspunt: op de peildatum van de beslissing mocht de Commissie concluderen dat de VS, met EO 14086 en de DPRC, voldoende waarborgen boden voor doorgiften naar DPF-gecertificeerde organisaties. Dat maakt de doorgiftepraktijk werkbaar.
Levend systeem
Tegelijk is het een levend systeem dat meebeweegt met wetgevende en feitelijke veranderingen, en waar toezicht en toekomstige procedures deel van uitmaken. Voor juristen, FG's en AI-productteams is de opdracht helder: gebruik de ruimte die er is, documenteer zorgvuldig en blijf monitoren.
Juist dáár onderscheidt een volwassen privacy-programma zich in de komende periode. De uitspraak biedt niet alleen juridische zekerheid, maar ook een kader voor proactieve compliance in een snel veranderende technologische omgeving.
Relevante externe bronnen:
- Reuters: EU court backs latest data transfer deal agreed by US, EU
- Curia: Officiële uitspraak Gerecht EU
- Federal Register: Executive Order 14086
Wilt u meer weten over de implementatie van het DPF in uw organisatie of hulp bij Transfer Impact Assessments? Neem contact met ons op voor een persoonlijk adviesgesprek.