Het Amerikaanse hooggerechtshof deed op 29 juni een uitspraak die op papier over binnenlandse machtsverdeling in Washington gaat, maar die de juridische bodem onder bijna elke Nederlandse clouddienst raakt. In de zaak Trump v. Slaughter bepaalde het Hof dat de president onafhankelijke federale toezichthouders naar believen mag ontslaan. Privacyorganisatie NOYB van Max Schrems trekt daaruit een harde conclusie: het fundament onder het EU-VS Data Privacy Framework, de afspraak die jouw gegevensverkeer naar Amerikaanse servers legaal maakt, is daarmee weggevallen.
Voor elke organisatie die draait op AWS, Azure, Google Cloud, Microsoft 365 of Salesforce is dat geen juridische voetnoot. Het is de grondslag waarop je persoonsgegevens de oceaan over mogen.
Wat het Hof precies besliste
Het ging om het ontslag van FTC-commissaris Rebecca Slaughter door president Trump. De Federal Trade Commission is de Amerikaanse mededingings- en consumentenwaakhond, en commissarissen waren sinds 1935 beschermd tegen politiek ontslag zonder gegronde reden. Het Hof veegde met zes tegen drie stemmen die 91 jaar oude bescherming uit het arrest Humphrey's Executor van tafel, op grond van de leer dat de president volledige controle moet hebben over het uitvoerend apparaat.
De gevolgen reiken ver voorbij de FTC. Volgens de dissenting opinie van rechter Sotomayor verandert de uitspraak ongeveer twee dozijn commissies die het Congres juist onafhankelijk had bedoeld, van de energietoezichthouder tot de productveiligheidscommissie, in feite in gewone uitvoerende diensten. Alleen voor de Federal Reserve hield het Hof een slag om de arm, vanwege een eigen historische traditie. Voor de toezichthouders die het databeschermingsverhaal dragen, geldt die uitzondering niet.

Waarom een Amerikaanse personeelskwestie jouw cloud raakt
Het Data Privacy Framework, sinds 2023 de afspraak die gegevensverkeer tussen de EU en de VS legaliseert, leunt volledig op de belofte dat onafhankelijke Amerikaanse instanties Europese burgers beschermen. De FTC is daarin als waakhond aangewezen. De aparte beroepsinstantie, het Data Protection Review Court, ontleent zijn onafhankelijkheid enkel aan presidentieel uitvoeringsbesluit EO 14086 van Biden, een besluit dat Trump op elk moment kan intrekken.
Beide pijlers staan nu wankel. NOYB stelt dat het Framework op de onafhankelijkheid van de FTC steunt, een onafhankelijkheid die juridisch niet meer bestaat. "Nu er geen onafhankelijke autoriteiten meer zijn in de VS, roepen we de Europese Commissie op het adequaatheidsbesluit over de VS ordelijk in te trekken", aldus Schrems in de aankondiging van de stap. En het raakt niet alleen het Framework: ook de standaard contractuele clausules (SCC's) en Binding Corporate Rules, de routes waar veel bedrijven op terugvallen, steunen in hun verplichte risico-analyse op diezelfde, nu verdwenen Amerikaanse waarborgen.
Dit is geen nieuw patroon. Het Framework is de derde poging op rij: voorganger Safe Harbor sneuvelde in 2015, opvolger Privacy Shield in 2020, beide na rechtszaken van dezelfde Schrems. NOYB noemt het bouwwerk een juridisch kaartenhuis dat onder druk van de industrie telkens opnieuw wordt opgetrokken.
Wat NOYB nu in gang zet
NOYB heeft een formele brief naar de Europese Commissie gestuurd met het verzoek de deal ordelijk in te trekken, en kondigt aan binnen enkele weken een zaak aan te spannen om het Framework door het Europese Hof van Justitie te laten vernietigen. Zo'n procedure duurt doorgaans twee tot drie jaar. Tot die tijd blijft het adequaatheidsbesluit formeel van kracht: de Commissie moet het zelf intrekken of het Hof moet het schrappen. Er valt vandaag dus juridisch nog niets om, maar de bodem is wel zichtbaar gaan scheuren.
Wat dit voor jou betekent
Geen reden om in paniek je hele stack te verhuizen, wel reden om te weten waar je staat. De waarschuwing is concreet: diezelfde afhankelijkheid bracht de vertrekkend voorzitter van de Autoriteit Persoonsgegevens er al toe te stellen dat als de Amerikaanse president het wil, morgen de halve Nederlandse overheid stil kan komen te liggen. Dat is precies het soort zeggenschapsrisico dat nu juridisch tastbaar wordt.
Drie dingen die je deze week kunt doen. Breng in kaart welke persoonsgegevens je bij Amerikaanse leveranciers laat verwerken, van je e-mail en CRM tot je back-ups. Vraag per leverancier op welke grondslag die overdracht rust, het Framework of de SCC's, en wat hun plan B is als die wegvalt. En weeg, voor de gegevens die er echt toe doen, of een Europees of zelf gehost alternatief het risico de moeite waard maakt. Want waar je data staat en van wie je software is, is geen politiek standpunt maar een bedrijfsrisico, eentje dat op dezelfde plank hoort als één te grote klant of één onmisbare leverancier.
De kern is simpel. Een grondslag die in tien jaar drie keer omvalt, is geen fundament maar een tijdelijke vergunning. Wie dat nuchter inplant in zijn risicoanalyse, schrikt straks niet als de volgende uitspraak valt.
Veelgestelde vragen
Grip op waar je data staat
Ik help je in kaart brengen welke gegevens bij Amerikaanse leveranciers liggen en bouw waar het kan een Europees of zelf gehost alternatief, van meedenken en ontwerp tot realisatie en automatisering.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
