Overheid opgelet: dataverdrag EU-VS kan elk moment klappen

De juridische houdbaarheid van de doorgifte van persoonsgegevens tussen de Europese Unie en de Verenigde Staten staat opnieuw onder zware druk. In een recente analyse waarschuwt de Oostenrijkse jurist en privacy-activist Max Schrems Europese overheden dringend om zich hierop voor te bereiden.

Schrems schrijft dat de huidige verdrag, het Transatlantic Data Privacy Framework (TADPF), kwetsbaar is voor de momenteel ingrijpende veranderingen in het Amerikaanse rechtssysteem en de politieke verhoudingen. Voor overheden en publieke instellingen zijn er diverse reëele bedreigingen waardoor de rechtmatigheid van datadoorgifte mogelijk op korte termijn niet langer houdbaar is.

Schrems krijgt al jaren gelijk

Schrems speelt al jaren een centrale rol in het onderuit halen van eerdere EU-VS-afspraken over datadoorgifte. Na de onthullingen van Edward Snowden oordeelde het Hof van Justitie van de EU in 2015 dat het Safe Harbor-verdrag onvoldoende bescherming bood voor Europese persoonsgegevens. In 2020 volgde een vergelijkbaar oordeel over de opvolger, het Privacy Shield. In beide zaken stelde het Hof vast dat Amerikaanse surveillanceregelgeving onverenigbaar is met Europese grondrechten en dat EU-burgers onvoldoende effectieve rechtsbescherming hebben. Na dat arrest bleef doorgifte naar de VS slechts mogelijk via Standard Contractual Clauses (SCC’s), en dan alleen met aanvullende waarborgen.

In 2023 introduceerden de Europese Commissie en de Verenigde Staten na lange slepende onderhandelingen het Transatlantic Data Privacy Framework (TADPF), dat door de Commissie als adequaat werd aangemerkt. Dit kader vormt sindsdien de juridische basis voor veel EU-VS-dataoverdrachten, ook binnen de publieke sector. Schrems stelt in zijn laatste blogechter dat het verdrag niet rust op een wettelijke grondslag, maar op een samenspel van presidentiële besluiten, toezeggingen en interpretaties die kwetsbaar zijn. Volgens zijn analyse kan het wegvallen van één van deze elementen het gehele systeem ondermijnen.

Onafhankelijke toezichthouder onder druk

Een belangrijk risico is volgens hem de rol van de Amerikaanse Federal Trade Commission (FTC). Binnen het bestaande verdrag is de FTC aangewezen als de onafhankelijke toezichthouder op de naleving van gegevensbescherming door Amerikaanse bedrijven. Deze onafhankelijkheid is essentieel vanuit Europees perspectief, omdat het EU-Handvest vereist dat gegevensbescherming wordt gehandhaafd door een onafhankelijke autoriteit.

Belangrijke zaak op komst

In de Verenigde Staten geldt momenteel nog dat de wetgever onafhankelijke instanties heeft binnen de uitvoerende macht, die zijn afgeschermd van de president. Trump wil echter alles centraal beleggen en ontsloeg daarom de FTC-commissaris. Het Amerikaanse Hooggerechtshof besluit in juni of dat doorgang kan vinden. Maar dit zou ook goed al eerder kunnen gebeuren. De verwachting is dat de conservatieve meerderheid van de rechters het besluit van Trump zal volgen, waarmee de FTC volgens Schrems onder directe presidentiële controle komt. Daarmee wordt volgens Schrems een kernvoorwaarde van het dataverdrag tussen EU en VS aangetast.

Klachtenmechanisme betwist

Een tweede kwetsbaar punt betreft het klachtenmechanisme voor toezicht op Amerikaanse inlichtingenactiviteiten, het zogeheten Data Protection Review Court. Dit orgaan is geen wettelijk ingestelde rechtbank, maar een administratief mechanisme binnen de uitvoerende macht, gebaseerd op een presidentieel besluit. De onafhankelijkheid van deze constructie is volgens Schrems daarmee sowieso al beperkt.

Andere instrumenten geen optie

De juridische grondslag voor de onafhankelijkheid van het klachtenmechanisme valt helemaal weg als Trump de zaak van de FTC-commissaris wint en dat heeft directe gevolgen voor de Europese beoordeling of EU-burgers effectieve rechtsbescherming krijgen, zo schrijft Schrems. Ook andere 'overdrachtsmechanismen' steunen op Transfer Impact Assessments die doorgaans verwijzen naar een onderliggend presidentieel besluit als reden waarom Amerikaanse wetgeving de EU-grondrechten niet zou overschrijden. Vallen deze elementen weg, dan zijn alleen de 'noodzakelijke' datatransfers naar de VS nog mogelijk en is er geen grondslag meer voor uitbesteding van diensten aan Amerikaanse cloud- of SaaS-aanbieders.

Tot slot wijst Schrems op het risico dat het onderliggende presidentiële besluit waarop het huidige dataverdrag grotendeels steunt, dat door de huidige Amerikaanse president Donald Trump elk moment kan worden ingetrokken. Omdat dit besluit geen wet is, biedt dit voor de lange termijn geen zekerheid. Trump verklaarde via Truth Social al eens dat alle presidentiële besluiten die door vorige president Joe Biden zijn ondertekend niet geldig zijn.

Trump een groot risico

Trump trok op zijn eerste dag dan ook bijna alle besluiten van Biden in, maar het presidentiële besluit van dataverdrag tussen de EU en VS bleef overeind. Op de pagina van Trumps ''Project 2025' wordt het besluit in kwestie echter fel bekritiseerd. Schrems vraagt zich daarom af of er niet al heimelijk al wijzigingen zijn gemaakt in het besluit. Ook is het volgens hem nog maar de vraag in hoeverre Amerikaanse veiligheidsdiensten zich er nog gebonden aan voelen.

Grote gevolgen

Voor Europese overheden kan de situatie enorme gevolgen hebben. Indien de huidige grondslagen voor datadoorgifte wegvallen, blijven slechts beperkte uitzonderingen over voor strikt noodzakelijke gegevensuitwisseling. Structurele uitbesteding van verwerkingen aan Amerikaanse cloud- en softwareleveranciers kan dan ineens juridisch onhoudbaar worden. Dit raakt volgens Schrems bij Europese overheden de dienstverlening,  archivering, toezicht en naleving van de AVG.

Nu de instabiliteit van het Amerikaanse rechtssysteem steeds duidelijker wordt en de VS openlijke tekenen van vijandigheid tegenover de EU vertoont, is het volgens Schrems tijd voor overheden om hun afhankelijkheid van Amerikaanse dienstverleners opnieuw in kaart te brengen en scenario’s te ontwikkelen voor het wegvallen van het dataverdrag en andere instrumenten tussen de EU en de VS.  Voor de publieke sector betekent het dat er snel belangrijke strategische keuzes over de digitale infrastructuur gemaakt moeten worden en gegevens bij Amerikaanse partijen zoveel mogelijk beperkt moeten worden.