De Europese Toezichthouder voor Gegevensbescherming (EDPB) publiceerde op 20 november 2024 zijn eerste rapport over het EU-VS Data Privacy Framework (DPF). Dit rapport beoordeelt hoe gegevensuitwisseling tussen de EU en de VS zich ontwikkelt in dit kader. De EDPB is blij met de vooruitgang die is geboekt, maar uit ook zorgen over de bescherming van persoonsgegevens bij commerciële datatransfers en de nog altijd uitgebreide bevoegdheden van de Amerikaanse overheid tot massasurveillance.
Volgens de Algemene Verordening Gegevensbescherming (AVG) heeft de EDPB een adviserende en toezichthoudende rol bij internationale gegevensbescherming, waaronder het beoordelen van adequaatheidsbesluiten zoals het DPF. De EDPB voorzitter zegt hierover: “We zijn blij dat er vooruitgang is geboekt sinds de goedkeuring van het adequaatheidsbesluit dankzij de vruchtbare samenwerking tussen de Amerikaanse autoriteiten, de EU-commissie en de EDPB. Tegelijkertijd is er nog ruimte voor verbetering en moeten we blijven samenwerken om een hoog niveau van gegevensbescherming te behouden en de rechten en vrijheden van EU-individuen te beschermen.”
De EDPB maakt zich zorgen over de onduidelijkheid in de DPF-regels, met name rond geautomatiseerde besluitvorming en profilering. Ook zijn uitzonderingen op rechten van betrokkenen, zoals bij “openbare informatie”, te ruim. Bovendien is bij verdere doorgifte aan derde landen buiten de VS de naleving van DPF-regels niet altijd gegarandeerd. Zij vragen zich bovendien af of er in de praktijk effectief kan worden gehandhaafd. De EDPB erkent verbeteringen in Amerikaanse wetten, zoals beperkingen op surveillance, maar is bezorgd over blijvende massasurveillance zonder onafhankelijk toezicht. Ook twijfelt de EDPB aan de effectiviteit van de regeling in de praktijk, bijvoorbeeld ten aanzien van de werking van de Data Protection Review Court en de transparantie van het toezicht door de FISA Court. Ook belangenorganisaties zoals NOYB (None of Your Business), geleid door privacy-activist Max Schrems, blijven kritisch. Zij stellen dat de VS onvoldoende structurele hervormingen heeft doorgevoerd om EU-gegevens werkelijk te beschermen tegen massasurveillance.
Het DPF vervangt het Privacy Shield, dat in 2020 ongeldig werd verklaard door het Europese Hof van Justitie in de Schrems II-uitspraak. De reden was dat Amerikaanse surveillanceprogramma’s niet voldeden aan de strenge Europese privacyregels. Het nieuwe DPF, gebaseerd op verbeteringen zoals Executive Order 14086, probeert dit gat te dichten door te garanderen dat dataverzameling “noodzakelijk en proportioneel” is. Het bevat strengere regels voor gegevensverwerking en introduceert nieuwe toezichthoudende organen, zoals de Data Protection Review Court (DPRC).
Hoewel de EDPB pleit voor verbeteringen en regelmatige evaluaties, blijft het een uitdaging om een balans te vinden tussen veilige gegevensoverdracht en naleving van de EU-privacyregels. Verwacht wordt dat het kader in de komende jaren opnieuw ter discussie wordt gesteld. De kans is reëel dat er nieuwe rechtszaken worden aangespannen tegen het EU-VS Data Privacy Framework (DPF) bij Europese hoven. Zo werden eerdere adequaatheidsbesluiten, zoals het Privacy Shield en de Safe Harbor-overeenkomst ook ongeldig verklaard door het Europese Hof na juridische uitdagingen, zoals de bekende Schrems-zaken.
