Een Europese en een Amerikaanse vlag naast elkaar op een tafel
Nieuws30 juni · 10:286 min leestijd

Hooggerechtshof VS ondergraaft EU-VS dataovereenkomst: je cloudgrondslag wankelt

Het Amerikaanse hooggerechtshof maakte onafhankelijke toezichthouders ondergeschikt aan de president. NOYB stelt dat daarmee het fundament onder het EU-VS Data Privacy Framework wegvalt, de grondslag voor data naar AWS, Azure en Microsoft 365.

Het Amerikaanse hooggerechtshof deed op 29 juni een uitspraak die op papier over binnenlandse machtsverdeling in Washington gaat, maar die de juridische bodem onder bijna elke Nederlandse clouddienst raakt. In de zaak Trump v. Slaughter bepaalde het Hof dat de president onafhankelijke federale toezichthouders naar believen mag ontslaan. Privacyorganisatie NOYB van Max Schrems trekt daaruit een harde conclusie: het fundament onder het EU-VS Data Privacy Framework, de afspraak die jouw gegevensverkeer naar Amerikaanse servers legaal maakt, is daarmee weggevallen.

Voor elke organisatie die draait op AWS, Azure, Google Cloud, Microsoft 365 of Salesforce is dat geen juridische voetnoot. Het is de grondslag waarop je persoonsgegevens de oceaan over mogen.

Wat het Hof precies besliste

Het ging om het ontslag van FTC-commissaris Rebecca Slaughter door president Trump. De Federal Trade Commission is de Amerikaanse mededingings- en consumentenwaakhond, en commissarissen waren sinds 1935 beschermd tegen politiek ontslag zonder gegronde reden. Het Hof veegde met zes tegen drie stemmen die 91 jaar oude bescherming uit het arrest Humphrey's Executor van tafel, op grond van de leer dat de president volledige controle moet hebben over het uitvoerend apparaat.

De gevolgen reiken ver voorbij de FTC. Volgens de dissenting opinie van rechter Sotomayor verandert de uitspraak ongeveer twee dozijn commissies die het Congres juist onafhankelijk had bedoeld, van de energietoezichthouder tot de productveiligheidscommissie, in feite in gewone uitvoerende diensten. Alleen voor de Federal Reserve hield het Hof een slag om de arm, vanwege een eigen historische traditie. Voor de toezichthouders die het databeschermingsverhaal dragen, geldt die uitzondering niet.

De westgevel van het Amerikaanse hooggerechtshof met de inscriptie Equal Justice Under Law, Bron: Mr. Kjetil Ree. / Wikimedia Commons (CC BY-SA 3.0)
De westgevel van het Amerikaanse hooggerechtshof met de inscriptie Equal Justice Under Law, Bron: Mr. Kjetil Ree. / Wikimedia Commons (CC BY-SA 3.0)

Waarom een Amerikaanse personeelskwestie jouw cloud raakt

Het Data Privacy Framework, sinds 2023 de afspraak die gegevensverkeer tussen de EU en de VS legaliseert, leunt volledig op de belofte dat onafhankelijke Amerikaanse instanties Europese burgers beschermen. De FTC is daarin als waakhond aangewezen. De aparte beroepsinstantie, het Data Protection Review Court, ontleent zijn onafhankelijkheid enkel aan presidentieel uitvoeringsbesluit EO 14086 van Biden, een besluit dat Trump op elk moment kan intrekken.

Beide pijlers staan nu wankel. NOYB stelt dat het Framework op de onafhankelijkheid van de FTC steunt, een onafhankelijkheid die juridisch niet meer bestaat. "Nu er geen onafhankelijke autoriteiten meer zijn in de VS, roepen we de Europese Commissie op het adequaatheidsbesluit over de VS ordelijk in te trekken", aldus Schrems in de aankondiging van de stap. En het raakt niet alleen het Framework: ook de standaard contractuele clausules (SCC's) en Binding Corporate Rules, de routes waar veel bedrijven op terugvallen, steunen in hun verplichte risico-analyse op diezelfde, nu verdwenen Amerikaanse waarborgen.

Dit is geen nieuw patroon. Het Framework is de derde poging op rij: voorganger Safe Harbor sneuvelde in 2015, opvolger Privacy Shield in 2020, beide na rechtszaken van dezelfde Schrems. NOYB noemt het bouwwerk een juridisch kaartenhuis dat onder druk van de industrie telkens opnieuw wordt opgetrokken.

Wat NOYB nu in gang zet

NOYB heeft een formele brief naar de Europese Commissie gestuurd met het verzoek de deal ordelijk in te trekken, en kondigt aan binnen enkele weken een zaak aan te spannen om het Framework door het Europese Hof van Justitie te laten vernietigen. Zo'n procedure duurt doorgaans twee tot drie jaar. Tot die tijd blijft het adequaatheidsbesluit formeel van kracht: de Commissie moet het zelf intrekken of het Hof moet het schrappen. Er valt vandaag dus juridisch nog niets om, maar de bodem is wel zichtbaar gaan scheuren.

Wat dit voor jou betekent

Geen reden om in paniek je hele stack te verhuizen, wel reden om te weten waar je staat. De waarschuwing is concreet: diezelfde afhankelijkheid bracht de vertrekkend voorzitter van de Autoriteit Persoonsgegevens er al toe te stellen dat als de Amerikaanse president het wil, morgen de halve Nederlandse overheid stil kan komen te liggen. Dat is precies het soort zeggenschapsrisico dat nu juridisch tastbaar wordt.

Drie dingen die je deze week kunt doen. Breng in kaart welke persoonsgegevens je bij Amerikaanse leveranciers laat verwerken, van je e-mail en CRM tot je back-ups. Vraag per leverancier op welke grondslag die overdracht rust, het Framework of de SCC's, en wat hun plan B is als die wegvalt. En weeg, voor de gegevens die er echt toe doen, of een Europees of zelf gehost alternatief het risico de moeite waard maakt. Want waar je data staat en van wie je software is, is geen politiek standpunt maar een bedrijfsrisico, eentje dat op dezelfde plank hoort als één te grote klant of één onmisbare leverancier.

De kern is simpel. Een grondslag die in tien jaar drie keer omvalt, is geen fundament maar een tijdelijke vergunning. Wie dat nuchter inplant in zijn risicoanalyse, schrikt straks niet als de volgende uitspraak valt.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op waar je data staat

Ik help je in kaart brengen welke gegevens bij Amerikaanse leveranciers liggen en bouw waar het kan een Europees of zelf gehost alternatief, van meedenken en ontwerp tot realisatie en automatisering.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Kamer zet druk op EU-VS datadeal na hofuitspraak: jouw cloudgrondslag onder de loep
Nieuws
4 min

4 jul 04:11

Kamer zet druk op EU-VS datadeal na hofuitspraak: jouw cloudgrondslag onder de loep

PRO-Kamerlid Kathmann stelt staatssecretaris Aerdts kritische vragen over de EU-VS datadeal na de Amerikaanse hofuitspraak. De kern: is minder afhankelijkheid van Amerikaanse techbedrijven de enige zekere route?

Waar mag je klantdata staan? Stappenplan voor data-residency en verwerkersovereenkomsten
Gids
9 min

30 jun 17:00

Waar mag je klantdata staan? Stappenplan voor data-residency en verwerkersovereenkomsten

Inventariseer welke klantdata op Amerikaanse clouds staat, kies per systeem een EU-residency-optie en werk je verwerkersovereenkomsten bij, zonder in paniek je hele stack te verhuizen.

Rijk geeft Google Cloud groen licht na privacytoets, maar de Amerikaanse databodem wankelt
Nieuws
4 min

3 jul 16:11

Rijk geeft Google Cloud groen licht na privacytoets, maar de Amerikaanse databodem wankelt

De Rijksoverheid mag Google Cloud officieel gebruiken na een DPIA van SLM Rijk, mits organisaties de aanbevolen maatregelen doorvoeren. Toch is het geen onvoorwaardelijk groen licht: de goedkeuring leunt op een EU-VS data-afspraak die juridisch wankelt.

Noyb: Google en EU-lidstaten lobbyen om de cookiebanner te behouden
Nieuws
5 min

23 jun 12:41

Noyb: Google en EU-lidstaten lobbyen om de cookiebanner te behouden

Privacyorganisatie noyb onthult dat Duitsland, Frankrijk en Polen samen met Google het EU-plan blokkeren om cookiebanners af te schaffen. De beloofde vereenvoudiging voor webshops is daarmee onzeker geworden.

100 miljoen boete voor Yango: wat het MKB moet leren over waar je data staat
Nieuws
6 min

9 mei 15:18

100 miljoen boete voor Yango: wat het MKB moet leren over waar je data staat

De Autoriteit Persoonsgegevens beboette taxi-app Yango met 100 miljoen euro omdat klantgegevens naar Rusland gingen. Geen ver-van-je-bed-show: ook jouw MKB-data staat vaker buiten je zicht dan je denkt.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.