Artikel IT & Privacy

Update - Data Privacy Framework EU en VS

7 april 2022

De laatste jaren zijn er op het gebied van internationale gegevensuitwisseling vele ontwikkelingen. Een van de laatste ontwikkelingen is dat de VS een Executive Order heeft ondertekend op basis waarvan een nieuw regeling voor de doorgifte van persoonsgegevens van de EU naar de VS kan plaatsvinden. De regeling wordt (vooralsnog) aangeduid als het Data Privacy Framework. Het optuigen van het Data Privacy Framework is de derde poging die wordt gedaan om een grondslag te bieden voor de gegevensuitwisseling tussen de EU en VS. De Safe Harbor en het Privacy Shield gingen al voor. In deze blog geef ik een overzicht van de ontwikkelingen met als (tijdelijk) eindstation de Executive Order voor het Data Privacy Framework.

Thijmen van Hoorn
Thijmen van Hoorn
Advocaat
In dit artikel

Lees hier wanneer sprake is van internationale gegevensuitwisseling.

Poging 1: Safe Harbor

2000 - 2015: Safe Harbor

Op 25 augustus 2000 trad het Safe Harbor verdrag in werking. De Safe Harbor werkte als volgt. Amerikaanse partijen konden door middel van zelfcertificering verklaren zich aan de Europese privacywetgeving te houden. Zodra een Amerikaanse partij was gecertificeerd, werd de partij als een Safe Harbor beschouwd.

2015: Schrems-I (Safe Harbor ongeldig)

Aan het Hof van Justitie (Hof) wordt de vraag voorgelegd of Safe Harbor voldoende waarborgen biedt voor de gegevensdoorgifte vanuit de EU naar de VS. Op 6 oktober 2015 oordeelt het Hof dat dit niet het geval is. De Safe Harbor regeling is namelijk niet verankerd in het Amerikaanse rechtsstelsel. Consequentie daarvan is dat de belangen van Amerikaanse veiligheidsdiensten altijd prevaleren boven de privacybelangen van EU-burgers. Het Hof verklaart de Safe Harbor ongeldig.

Poging 2: Privacy Shield

2016 - 2020: Privacy Shield

Op 12 juli 2016 wordt het Privacy Shield door de Europese Commissie aangenomen. Met het Privacy Shield wordt een tweede poging gedaan om een grondslag te creëren voor de doorgifte van persoonsgegevens naar de VS. Net als bij de Safe Harbor vormt zelfcertificering de basis van het Privacy Shield. Amerikaanse gecertificeerde partijen mogen persoonsgegevens verwerken van EU-burgers. Een verschil ten opzichte van de Safe Harbor is dat er voor Amerikaanse partijen strengere voorwaarden gelden om in aanmerking te komen voor het Privacy Shield. Enkele voorbeelden hiervan zijn dat er moet worden voorzien in betaalbare geschilbeslechting voor EU-burgers en dat er meer transparantie moet zijn over de toegangsbevoegdheden van Amerikaanse veiligheidsdiensten.

2020: Schrems-II (Privacy Shield ongeldig)

Het Hof krijgt de vraag voorgelegd of het Privacy Shield een geldige grondslag biedt voor de gegevensuitwisseling. Op 16 juli 2020 spreekt het Hof zich niet alleen uit over het Privacy Shield maar ook over de gegevensuitwisseling naar derde landen in algemene zin. In alle gevallen moet sprake zijn van i) passende waarborgen, ii) afdwingbare rechten voor EU-burgers en iii) doeltreffende rechtsmiddelen voor EU-burgers. het Hof oordeelt dat bij het Privacy Shield niet aan de voorwaarden wordt voldaan en verklaart het Privacy Shield ongeldig (klik hier voor meer info over het Schrems-II arrest).

Poging 3: Data Privacy Framework

2022: Executive order

Op 25 maart 2022 hebben de EU en VS een principeakkoord gesloten. Met het principeakkoord werd de eerste steen gelegd voor een nieuwe regeling voor gegevensuitwisseling met de VS. Zowel de VS als de EU heeft (politiek) belang bij het op korte termijn eenvoudig uitwisselen van persoonsgegevens.

Op 7 oktober 2022 heeft president Biden een Executive Order ondertekend over "‘Enhancing Safeguards for United States Signals Intelligence Activities' (zie factsheet). Met de maatregelen in de Executive Order wordt getracht om de bestaande waarborgen te versterken en daarmee te voldoen aan de voorwaarden voor gegevensdoorgifte naar de VS. Er gaat in het bijzonder aandacht uit naar maatregelen die moeten voorzien in afdwingbare rechten en doeltreffende rechtsmiddelen voor EU-burgers. Dat is niet heel verrassend. Het Hof heeft immers in het Schrems-II arrest overwogen dat deze twee onderdelen ondermaats waren.

De VS heeft de eerste stap gezet en nu is de EU aan de beurt. De Europese Commissie beschrijft in haar persbericht meerdere stappen die doorlopen moeten worden. Interessant is dat de eerstvolgende stap bestaat uit het starten van een goedkeuringsprocedure voor een adequaatheidsbesluit. Dat zou betekenen dat de doorgifte in de toekomst op grond van het adequaatheidsbesluit kan plaatsvinden. Partijen hoeven dan geen modelcontracten/Standard Contractual Clauses te sluiten.

Voor nu is het afwachten hoe (snel) de goedkeuringsprocedure gaat verlopen. De procedure bestaat uit meerdere stappen die behoorlijk wat tijd in beslag kunnen nemen. Via deze blog houden we u op de hoogte over de ontwikkelingen op het gebied van internationale gegevensuitwisseling.

Heeft u vragen over internationale gegevensuitwisseling of andere privacygerelateerde onderwerpen? Neem dan gerust contact op met de specialisten uit het privacyteam.

Gerelateerd

Artikel

Staat het aanbestedingsrecht in de weg aan soevereine ICT of data-soevereiniteit?

11 februari 2026 - De afhankelijkheid van Big Tech en andere Amerikaanse leveranciers is zeer groot. Niet alleen worden veel producten en diensten uit de USA gebruikt, ook is...
Artikel

Geen maatwerk verwacht, maar toch gekregen. Is er dan schade?

3 februari 2026 - Er komt binnenkort vermoedelijk weer een interessante uitspraak aan bij de Hoge Raad over een IT-kwestie. De kwestie laat enerzijds zien dat IT-bedrijven niet...
Artikel

De Digitale Omnibus: Gevolgen voor AVG, Data Act & AI Act

3 december 2025 - De Europese wetgever wil een streep door veel digitale regelgeving zetten. De Digitale Omnibus is in essentie een groot onderhoud van het Europese digitale...
Defensie en veiligheid - monitoring
Artikel

Defensie & veiligheid: Verschillende aandachtspunten rondom extra investeringen in cyberveiligheid

1 augustus 2025 - Europabreed is onlangs besloten om tot 5% van het BBP in defensie en aanverwante sectoren te investeren. Er komt dus, stapsgewijs, zeer veel geld vrij in de...
Defensie en veiligheid - beveiligingscamera
Artikel

Defensie & Veiligheid: investeren, innoveren en beschermen

1 augustus 2025 - Door toenemende geopolitieke spanningen hebben de NAVO landen recentelijk ingestemd met een nieuwe NAVO norm van 5% van het BBP. De Nederlandse defensie- en...
Artikel

Gevangen in een Amerikaans Ecosysteem? Leveranciersafhankelijkheid in IT

22 juli 2025 - Onze digitale infrastructuur draait grotendeels op Amerikaanse motoren. Van cloudopslag en e-mail tot bedrijfsapplicaties en beveiligingsoplossingen: de...
No posts found
Events

Aankomende online en live events

We delen diepgaande kennis en pragmatische inzichten over actuele onderwerpen in het vakgebied en de maatschappelijke thema's waar we dichtbij staan.

Bekijk alle events
07
mei
2026
Webinar
Zorg & Sociaal domein
Zorginkoop: onderhandelingsruimte zorgaanbieders & kaders NZa (Zorgverzekeringswet)

Hoeveel ruimte heeft een zorgaanbieder binnen het kader van de Zorgverzekeringswet in de onderhandelingen met een zorgverzekeraar als de tarieven structureel onder druk staan? Welke regels stelt de NZa rond zorginkoop en kunnen zorgverzekeraars worden aangesproken voor het niet-naleven van de regels?

Aan de hand van concrete casus en recent gevoerde procedures geven we niet alleen een update van de laatste regelgeving en jurisprudentie, maar tevens een uniek kijkje achter de schermen.

Online
14.00 - 15.30
19
mei
2026
Seminar
Zorg & Sociaal domein
Flexibele personeelsinzet in de zorg: van strategie tot werkbare oplossingen

Hoe organiseert u als zorginstelling flexibele personeelsinzet die juridisch en fiscaal klopt? De druk op capaciteit en continuïteit groeit, terwijl de regels rond collegiale uitleen, het contracteren met uitzendbureaus, toelatingsvergunningen en btw meer aandacht vragen. Steeds meer zorginstellingen zoeken duurzame vormen van flexibiliteit, zoals regionale samenwerking, inzet van (buitenlandse) bemiddelings- en uitzendbureaus, vernieuwd werkgeverschap of het vergroten van interne mobiliteit. Tijdens deze kennissessie krijgt u inzicht in de belangrijkste strategische keuzes voor flexibele personeelsinzet, aangevuld met praktijkervaring uit onze multidisciplinaire begeleiding van samenwerkingen in de zorg. 

Arnhem
10:00 - 13:00
Liever een inhouse training op maat?

Wij organiseren ook events op maat. Van kleine tot grote groepen, we zorgen voor een inspirerende sessie afgestemd op uw wensen. Informeer naar de mogelijkheden.

Contact opnemen
Bekijk alle events

Expertises

Corporate / M&A Banking & Finance Fiscaal Arbeid & Pensioen IT & Privacy IE & Innovatie Herstructurering & Insolventie Energie Zorg & sociaal domein Vastgoed Overheid & Omgeving Aanbesteding & Mededinging Aansprakelijkheid & Verzekering Litigation

Thema’s

De energietransitie Toekomstbestendige zorg Kansen en uitdagingen in de woningbouw Wendbare onderneming

Kennis

Artikelen Klantcases

Over ons

Over Dirkzwager Internationale partners Nieuws Nieuwsbrief Rechtsgebiedenregister Werken bij Contact