Door een uitspraak van het Amerikaans hooggerechtshof kan er geen doorgifte van persoonsgegevens meer naar de Verenigde Staten plaatsvinden, zo stelt privacyorganisatie noyb (via).

Het zogeheten Data Privacy Framework (DPF) is er in 2023 gekomen om de leemte van het eerder afgeschoten Privacy Shield op te vullen. Beiden poogden (net als het nóg oudere Safe Harbor) het probleem te adresseren dat de VS niet hetzelfde niveau van gegevensbescherming heeft als Europa, terwijl we wel met z’n allen onze persoonsgegevens daar willen stallen.

Dankzij het DPF kon de Commissie de VS adequaat verklaren, en dat is wat je onder de AVG nodig hebt (artikel 45 AVG). Maar dat kon alleen omdat er een aantal waarborgen in het DPF zitten. Een tijdje geleden oordeelde het Gerecht van de EU dat dit op papier helemaal goed zat, wat iedereen een nogal formele opstelling vond omdat de praktijk heel anders is. Maar als je een beetje met je ogen kneep, kon je doen of er niets aan de hand was.

Nu is er dan een atoombom gevallen die vrij fundamenteel raakt aan alles in het DPF. In de Supreme Court-uitspraak Trump v. Slaughter wordt kortweg gezegd dat de president iedereen mag ontslaan die een directiefunctie bij een overheidsinstantie vervult. Het eerdere precedent (Humphrey’s Executor) bepaalde dat dit alleen mocht in de bij wet genoemde gronden (zoals plichtsverzuim of wangedrag).

Dit is een enorme machtsgreep in het algemeen, maar met ook directe impact op het Data Privacy Framework. Zoals noyb uitlegt:

Het EU-verdragsrecht (het “grondwettelijke” kader van de EU), met name artikel 16(2) VWEU en artikel 8(3) van het Handvest van de grondrechten , vereist dat het toezicht op gegevensbeschermingskwesties moet worden uitgevoerd door een “onafhankelijke” autoriteit. Omdat derde landen “in wezen gelijkwaardige” bescherming moeten bieden, is het noodzakelijk dat elk derde land dat wil profiteren van het vrije verkeer van persoonsgegevens vanuit de EU, ook dergelijke bescherming biedt.

De Amerikaanse Federal Trade Commission (FTC) is als zodanig aangesteld om het onafhankelijke toezicht binnen DPF uit te voeren. En precies het ontslag van de directeur van die FTC (Rebecca Slaughter) was de aanleiding voor deze uitspraak.

Ook het gerechtelijk toezicht staat nu op zodanig losse schroeven dat het niet leuk meer is:

… de regering-Biden [richtte] een “Data Protection Review Court” op. Hoewel het een “Hof” wordt genoemd, is het in feite een uitvoerend orgaan binnen het Amerikaanse Ministerie van Justitie. Het is alleen “onafhankelijk” dankzij een uitvoeringsbesluit (Executive Order) van voormalig president Biden, dat op elk moment door Trump kan worden gewijzigd en niet bindend is voor de president.

Deze DPRC was opgericht om aan kritiek uit het Schrems II-arrest tegemoet te komen. De parallel opgerichte Privacy and Civil Liberties Oversight Board (PCLOB), die toezicht houdt op massasurveillance, was eerder al op vergelijkbare wijze onklaar gemaakt.

Dat tussen je oogleden kijken is nu wel afgelopen: veel harder dan een precedent van de Supreme Court krijg je ze niet in de VS. De FTC is dus géén onafhankelijke toezichthouder, en de DPRC is ook geen onafhankelijke bestuursrechtelijke instantie. Daarmee is onverdedigbaar dat de VS een adequaat niveau van gegevensbescherming kent.

Uiteraard gaat iedereen de uitspraak eerst zorgvuldig bestuderen en alles wikken en wegen, want de conclusie dat het DPF ingestort is en dus dataverkeer niet meer naar de VS mag (nee, ook niet met SCC) is net even té ingewikkeld.

Arnoud