De gegevensovereenkomst tussen de EU en de VS is mogelijk dood in het water

Image of Iron Brands

Gepubliceerd op 11 mrt 2025 en bijgewerkt op 2 apr 2025 door Iron Brands

TL;DR

  • De Privacy and Civil Liberties Oversight Board (PCLOB), een Amerikaanse instantie voor gegevensbescherming, is verzwakt door het besluit van Trump om Democratische leden te verwijderen.
  • Dit bedreigt het trans-Atlantische dataprivacyraamwerk (TADPF), dat bedrijven uit de EU in staat stelt om gegevens door te geven aan de VS.
  • Als de PCLOB permanent wordt verzwakt, kan de EU gedwongen worden om het TADPF nietig te verklaren, waardoor clouddiensten uit de VS mogelijk illegaal worden voor bedrijven in de EU(dit is al eerder gebeurd).
  • Trump's recente uitvoerende order eist een herziening van al het veiligheidsbeleid uit het Biden-tijdperk binnen 45 dagen, wat betekent dat de situatie snel zou kunnen escaleren.
  • De Europese Commissie moet mogelijk snel handelen.

Volledige bron artikel

De overeenkomst tussen de EU en de VS over gegevensoverdracht stevent mogelijk af op een nieuwe ineenstorting. Het besluit van Trump om leden van de Amerikaanse privacywaakhond te verwijderen, heeft twijfels doen rijzen over de vraag of de VS nog wel als een veilige plek voor Europese gegevens kan worden beschouwd. Als de PCLOB disfunctioneert, kan het hele fundament van het trans-Atlantische dataprivacyraamwerk afbrokkelen.

Voor EU-bedrijven die gebruik maken van Amerikaanse clouddiensten zoals Google, Amazon en Microsoft kan dit leiden tot rechtsonzekerheid. En nu Trump het beleid uit het Biden-tijdperk herziet, zou dit binnen enkele weken kunnen veranderen.

Wat gebeurt er?

We weten al een tijdje dat Amerikaanse inlichtingendiensten toegang hebben tot gegevens die zijn opgeslagen door Amerikaanse techbedrijven, zelfs als die gegevens toebehoren aan Europeanen (met dank aan Snowden). Dit heeft geleid tot voortdurende juridische gevechten over de vraag of de VS voldoende privacybescherming biedt in vergelijking met de EU. Twee keer eerder heeft het Hof van Justitie (HvJEU) geoordeeld dat deze bescherming niet voldoende is .

In 2023 drukte de Europese Commissie het TADPF erdoor, vertrouwend op beloften in de uitvoerende orders van Biden en toezicht door de PCLOB. Het probleem? Deze uitvoeringsbesluiten zijn geen wetten, wat betekent dat een nieuwe Amerikaanse president ze ongedaan kan maken wanneer hij wil. Dat is precies wat er nu zou kunnen gebeuren.

De PCLOB is de enige algemene toezichthoudende instantie die ervoor zorgt dat de VS de overeenkomst naleeft. Andere mechanismen zijn alleen van toepassing als een "eiser juridische stappen onderneemt", wat moeilijk is volgens de Amerikaanse wet. Nu Trump de leden van de PCLOB heeft verwijderd, is het twijfelachtig of de PCLOB kan functioneren.

Waarom is dit van belang?

Voor bedrijven in de EU is de TADPF een juridisch vangnet. Zolang het bestaat, kunnen bedrijven legaal gegevens overdragen aan de VS. Als de EU het raamwerk nietig verklaart, kunnen bedrijven, scholen en overheidsinstellingen mogelijk geen gebruik meer maken van Amerikaanse cloudservices zonder de GDPR te schenden.

Sommige risico's:

  • Techgiganten als Google, Microsoft en Amazon kunnen te maken krijgen met EU-beperkingen als gegevensoverdracht illegaal wordt.
  • Bedrijven in de EU die vertrouwen op clouddiensten uit de VS zullen Europese alternatieven moeten vinden of het risico lopen niet aan de GDPR te voldoen. (GA4 is hoe dan ook waardeloos :).
  • Juridische onzekerheid kan internationale bedrijfsactiviteiten verstoren

Trump heeft ook een uitvoerend bevel getekend om de beslissingen van Biden op het gebied van nationale veiligheid binnen 45 dagen te herzien. Als hij de privacy-afspraken uit het Biden-tijdperk schrapt, kan het hele TADPF in elkaar storten.

Slotopmerkingen

De overeenkomst tussen de EU en de VS over gegevensoverdracht was altijd al kwetsbaar en berustte meer op politieke beloften dan op solide wettelijke bescherming. Nu Trump het toezicht verzwakt, ziet de toekomst van Amerikaanse clouddiensten in de EU er onzeker uit. Bedrijven moeten zich beginnen voor te bereiden op een "host in Europe"-noodplan voor het geval de deal echt dood in het water valt.

Bij Simple Analytics geloven we in webanalyse waarbij privacy voorop staat. In tegenstelling tot Google Analytics vertrouwen we niet op Amerikaanse cloudservices. We zijn in de EU gevestigd, GDPR-compliant en slaan geen persoonlijk identificeerbare informatie op. Probeer ons gerust uit.