Latombe vangt bot: Europees Gerecht houdt Data Privacy Framework overeind – voorlopig
Op 3 september sprak het Europees Gerecht zich uit over de Latombe-zaak, waarin het jongste trans-Atlantische mechanisme voor datadoorgiften – het Data Privacy Framework – ter discussie stond. Tot verrassing van velen verwierp het Gerecht het beroep niet om procedurele redenen, maar inhoudelijk. Daarmee krijgt de Europese Commissie gelijk: de Amerikaanse waarborgen zijn volgens het Gerecht voldoende om van een adequaat beschermingsniveau te spreken.
Voor Europese bedrijven klinkt dit als goed nieuws. Maar wie denkt dat de kous hiermee af is, komt bedrogen uit.
Een lange geschiedenis van mislukte bruggen
Om dit arrest te begrijpen, moeten we terug naar de wortel van het probleem: de doorgifte van persoonsgegevens van de EU naar de VS.
De Europese privacyregels vereisen dat persoonsgegevens enkel mogen worden doorgestuurd naar derde landen als daar een “gelijkwaardig beschermingsniveau” geldt. En net daar wringt het schoentje. In de Verenigde Staten beschikken inlichtingendiensten over zeer ruime bevoegdheden om data in te zien en te bewaren, zonder de strikte beperkingen en waarborgen die in Europa gelden.
De Europese Commissie probeerde dit al driemaal op te lossen via politieke akkoorden:
In 2000 kwam Safe Harbor. Bedrijven konden zichzelf certificeren en beloven dat ze Europese gegevens correct zouden behandelen. Maar in 2015 vernietigde het Hof van Justitie dit systeem in de bekende Schrems I-zaak, omdat de Amerikaanse overheid massaal toegang had tot data.
·Vervolgens was er het Privacy Shield (2016), dat de klap moest opvangen. Maar ook dit mechanisme sneuvelde in 2020 in Schrems II. Het Hof oordeelde dat Europese burgers onvoldoende mogelijkheden hadden om zich te verweren tegen Amerikaanse surveillance.
In 2023 stelde de Commissie het Data Privacy Framework (DPF) voor als derde poging. Opnieuw een certificeringssysteem, met nieuwe toezeggingen van de VS en een nieuw toezichtmechanisme: de Data Protection Review Court (DPRC).
De vraag was of dit derde akkoord meer stand zou houden dan zijn voorgangers.
Latombe: de uitdager
Philippe Latombe, een Frans parlementslid, besloot de degens te kruisen met de Commissie. Volgens hem bood het DPF geen wezenlijke verbetering ten opzichte van de vroegere regelingen. Zijn belangrijkste bezwaren:
de DPRC zou geen onafhankelijk en onpartijdig tribunaal zijn, omdat het via presidentiële decreten was opgericht en rechters werden aangesteld door de Amerikaanse procureur-generaal;
de bulkinterceptie van data door Amerikaanse veiligheidsdiensten bleef mogelijk, zonder voorafgaande toestemming van een rechter.
Latombe vroeg het Europees Gerecht om de adequaatheidsbeslissing van de Commissie nietig te verklaren.
Het oordeel van het Europees Gerecht
Het Gerecht boog zich uitgebreid over deze bezwaren en koos voor een duidelijke lijn: het DPF is volgens de rechters inhoudelijk voldoende robuust.
Onafhankelijkheid van de DPRC
De DPRC moet klachten behandelen van Europese burgers die menen dat hun gegevens onrechtmatig door Amerikaanse diensten zijn verwerkt. Latombe stelde dat dit orgaan niet onafhankelijk kon zijn, omdat het via een presidentieel besluit was opgericht en rechters werden aangesteld door de procureur-generaal.
Het Gerecht volgde die redenering niet. Volgens de rechters bevat Executive Order 14086 en de bijbehorende regelgeving voldoende waarborgen voor onafhankelijkheid:
de rechters kunnen enkel om gegronde redenen worden ontslagen, vergelijkbaar met de bescherming van federale rechters;
hun werk mag niet onnodig beïnvloed worden door de uitvoerende macht;
er zijn bijkomende lagen van toezicht, zoals het Privacy and Civil Liberties Oversight Board (PCLOB), dat als onafhankelijke instantie is opgezet.
Het feit dat de DPRC niet door een wet van het Congres is opgericht, vond het Gerecht niet doorslaggevend. Wat telt, is of de waarborgen substantieel gelijkwaardig zijn aan die in de EU.
Bulkinterceptie door Amerikaanse diensten
Een tweede kritiekpunt was dat de Amerikaanse inlichtingendiensten nog steeds data in bulk kunnen onderscheppen, zonder dat daar voorafgaande rechterlijke toestemming voor vereist is.
Ook hier koos het Gerecht voor een pragmatische benadering. Het stelde dat het Hof in Schrems II nergens heeft geoordeeld dat bulkinterceptie enkel toegestaan is bij voorafgaande rechterlijke goedkeuring. Wat wél vereist is, is een systeem van toezicht en controle a posteriori.
Volgens het Gerecht biedt Executive Order 14086 dat: bulkinterceptie mag enkel in specifieke gevallen, is gebonden aan doelstellingen die niet op een minder ingrijpende manier bereikt kunnen worden, en staat onder toezicht van verschillende instanties, waaronder inspecteurs-generaal en speciale commissies van het Congres. Bovendien kunnen burgers via de DPRC een effectief rechtsmiddel inroepen.
Met die redenering wees het Gerecht Latombe’s argumenten af.
De rode draad in het arrest
Het Gerecht benadrukt herhaaldelijk dat de VS niet exact dezelfde regels moeten hanteren als de EU. De toets is of het beschermingsniveau “substantieel gelijkwaardig” is. In dat licht concludeert het Gerecht dat de tekortkomingen die in Schrems II werden aangestipt, inmiddels voldoende zijn opgevangen.
Het beroep van Latombe werd dan ook volledig verworpen.
Wat dit arrest wél en niet betekent
Op korte termijn biedt dit arrest bedrijven duidelijkheid: het DPF blijft overeind, en certificeringen behouden hun waarde. Voor ondernemers die Amerikaanse cloud- of softwarediensten gebruiken, is dit voorlopig een geruststelling.
Maar dit arrest is géén definitief eindpunt. Er zijn drie redenen waarom de onzekerheid blijft:
Hoger beroep: Latombe kan het arrest aanvechten bij het Hof van Justitie. Daar kan het oordeel alsnog keren, al is dat vaak een procedure van jaren.
NOYB en Schrems: parallel bereiden privacy-activisten klachten voor bij nationale toezichthouders en rechtbanken. Zodra een concreet bedrijf het DPF inzet als basis voor een datatransfer, kan dit leiden tot procedures die opnieuw inhoudelijk worden getoetst.
Monitoring door de Commissie: de Europese Commissie moet continu nagaan of de VS de beloften uit Executive Order 14086 nakomen. Verandert er iets in de Amerikaanse praktijk of wetgeving, dan kan de Commissie het adequaatheidsbesluit schorsen of intrekken.
Met andere woorden: het DPF heeft een belangrijke toets doorstaan, maar staat nog lang niet buiten schot.
Wat betekent dit voor Belgische en Europese bedrijven?
Voor een Belgische onderneming die Amerikaanse clouddiensten gebruikt, kan dit arrest als een zucht van verlichting klinken. Men hoeft vandaag niet halsoverkop contracten te herzien of alternatieven te zoeken.
Maar wie de geschiedenis kent, weet beter. Zowel Safe Harbor als Privacy Shield zijn met veel tromgeroffel ingevoerd, en toch vernietigd. Bedrijven die toen blindelings vertrouwden op die mechanismen, moesten plots in allerijl noodoplossingen zoeken.
Stel dat een Belgische HR-dienstverlener vertrouwt op een Amerikaanse leverancier voor personeelsdata. Vandaag kan dat perfect via het DPF. Maar wat als het Hof van Justitie over twee jaar beslist dat het DPF toch niet voldoet? Dan staat dat bedrijf in overtreding en moet het op korte termijn zijn hele datastrategie herzien.
Vooruitziende ondernemingen beperken dat risico door nu al:
hun datastromen in kaart te brengen;
contractuele clausules en technische waarborgen (zoals encryptie) klaar te hebben;
Europese alternatieven te onderzoeken.
Conclusie: voorlopig opgelucht, maar niet veilig
De Latombe-uitspraak betekent dat het Data Privacy Framework voorlopig standhoudt. Dat is op zich belangrijk nieuws, want het biedt bedrijven de komende maanden en jaren een praktische grondslag om data door te sturen naar de Verenigde Staten.
Maar het zou gevaarlijk zijn dit te zien als een definitieve vrijgeleide. De geschiedenis leert dat politieke compromissen fragiel zijn, en dat de rechter uiteindelijk de doorslag geeft. Met NOYB en andere organisaties die nieuwe procedures voorbereiden, is het enkel een kwestie van tijd voor de volgende ronde in Luxemburg plaatsvindt.
Voor ondernemers is dit hét moment om niet af te wachten, maar een strategie uit te werken die ook op langere termijn overeind blijft.
Bij consey(.legal) helpen we bedrijven precies met die uitdaging. Wij analyseren uw datastromen, adviseren over de juiste contractuele instrumenten en helpen Transfer Impact Assessments uit te voeren. Zo voorkomt u dat een arrest uit Luxemburg uw hele operatie in de war stuurt.
Wilt u zekerheid in een speelveld vol onzekerheid? Neem vandaag nog contact met ons op via hallo@consey.legal.
Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)
