Het Hooggerechtshof heeft de onafhankelijkheid van de FTC afgeschaft – en het EU-VS Data Privacy Framework loopt mogelijk gevaar

Het Hooggerechtshof heeft de onafhankelijkheid van de FTC afgeschaft – en het EU-VS Data Privacy Framework loopt mogelijk gevaar

Het juridische fundament voor EU-VS-gegevensoverdracht heeft zojuist een directe structurele klap gekregen. Op 29 juni 2026 heeft het Amerikaanse Hooggerechtshof in de zaak Trump v. Slaughter met een 6-3-beslissing bepaald dat FTC-commissarissen naar believen door de president kunnen worden ontslagen – waarmee de wettelijke onafhankelijkheid van de toezichthouder, die sinds 1935 gold, is afgeschaft. Voor Europese organisaties die vertrouwen op het EU-VS Data Privacy Framework om persoonsgegevens legaal naar Amerikaanse cloudproviders over te dragen, is dit geen hypothetisch compliance risico. Het is een structureel gebrek in de basis van de gehele adequaatheidsbeslissing.

De Europese Commissie heeft het EU-VS Data Privacy Framework in juli 2023 aangenomen na jarenlange onderhandelingen, nadat Schrems II het Privacy Shield in 2020 ongeldig had verklaard. De adequaatheidsbeslissing rust op een cruciaal juridisch uitgangspunt: dat de FTC opereert als een onafhankelijke handhavingsautoriteit die Amerikaanse organisaties verantwoordelijk kan houden voor GDPR-equivalente gegevensbeschermingsverplichtingen. Volgens de analyse van NOYB over de adequaatheidsbeslissing verwees de Commissie 259 keer naar de onafhankelijkheid van de FTC in dat document. Het Hooggerechtshof heeft die onafhankelijkheid nu ongrondwettelijk verklaard.

Max Schrems, de Oostenrijkse privacyvoorvechter wiens eerdere klachten zowel Safe Harbor als Privacy Shield hebben ontmanteld, aarzelde geen moment. Op 30 juni stuurde zijn organisatie NOYB een formele brief naar de Commissie waarin zij een ordentelijke terugtrekking uit de DPF-adequaatheidsbeslissing eisten en het framework een “juridisch kaartenhuis” noemden. Een beroep bij het HvJEU – inmiddels aangeduid als Schrems III – wordt binnen enkele weken verwacht. Als de vorige twee zaken een indicatie zijn, zal de adequaatheidsbeslissing deze niet overleven.

Standaard Contractuele Clausules en Bindende bedrijfsvoorschriften – de alternatieve overdrachtsmechanismen waarop de meeste EU-organisaties daadwerkelijk vertrouwen – lopen eveneens risico. Transfer Impact Assessments voor deze mechanismen gingen routinematig uit van aannames over onafhankelijke Amerikaanse toezichthoudende instanties, waarvan er nu veel onderhevig zijn aan ontslag door de president. De volledige juridische architectuur van EU-VS-gegevensoverdracht staat onder druk. Organisaties die nog geen formele risicobeoordeling van hun EU-VS-gegevensstromen hebben afgerond – waarbij elke overdracht, de juridische basis en de afhankelijkheid van Amerikaanse handhavingsonafhankelijkheid in kaart worden gebracht – moeten die inventarisatie als eerste compliance-actie na deze uitspraak beschouwen.

Belangrijkste inzichten

Het Hooggerechtshof heeft de onafhankelijkheid van de FTC afgeschaft.

In Trump v. Slaughter (29 juni 2026) oordeelde een meerderheid van 6-3 dat wettelijke ontslagbescherming voor FTC-commissarissen ongrondwettelijk is, door de “unitary executive theory” toe te passen en 90 jaar jurisprudentie onder Humphrey’s Executor v. United States te vernietigen.

Het EU-VS Data Privacy Framework is structureel aangetast.

De Europese Commissie verwees 259 keer naar de onafhankelijkheid van de FTC in haar DPF-adequaatheidsbeslissing van 2023 – de juridische basis die EU-organisaties toestaat persoonsgegevens vrijelijk naar Amerikaanse cloudproviders over te dragen.

Schrems III komt eraan.

Privacyorganisatie NOYB stuurde op 30 juni een formele brief naar de Europese Commissie met het verzoek om een ordentelijke terugtrekking uit de DPF-adequaatheidsbeslissing en kondigde aan binnen enkele weken een zaak bij het HvJEU aan te spannen.

Standaard Contractuele Clausules en BCRs lopen nevenschade op.

Transfer Impact Assessments voor SCCs en Bindende bedrijfsvoorschriften gingen doorgaans uit van aannames over onafhankelijke Amerikaanse toezichthouders die nu onderhevig zijn aan ontslag door de president.

Datasoevereiniteit is geen luxeoptie meer.

Organisaties die hun datastrategie baseerden op DPF-adequaatheid – door EU-persoonsgegevens bij Amerikaanse hyperscalers op te slaan – lopen nu een juridisch overdrachtsrisico dat inzet op locatie, private cloud of soevereine EU-cloud volledig elimineert. Een gegevensbeheerframework dat elke EU-persoonsgegevensstroom koppelt aan de overdrachtsbasis is essentieel om het volledige risicoprofiel te begrijpen.

Een Complete Checklist voor GDPR-naleving

Lees nu

Wat de DPF-adequaatheidsbeslissing zei over FTC-onafhankelijkheid – en waarom dat nu relevant is

De adequaatheidsbepaling van de Commissie uit juli 2023 was een juridisch betoog van 100 pagina’s, gebaseerd op één centrale empirische claim: dat de Verenigde Staten een niveau van gegevensbescherming bieden dat “in wezen gelijkwaardig” is aan dat onder EU-wetgeving. Een van de pijlers van die gelijkwaardigheid was de onafhankelijkheid van de FTC.

De GDPR vereist dat handhaving van gegevensbescherming wordt uitgevoerd door onafhankelijke toezichthoudende autoriteiten, vrij van politieke instructie of uitvoerende controle. De FTC had, onder het Humphrey’s Executor-precedent uit 1935, wettelijke ontslagbescherming die commissarissen beschermde tegen inmenging door de president. De Commissie verwees herhaaldelijk – 259 keer – naar deze onafhankelijkheid ter rechtvaardiging van de adequaatheidsbepaling.

Die basis is nu verdwenen. Trump v. Slaughter past de “unitary executive theory” toe en oordeelt dat het Congres onafhankelijke agentschapsleiders niet kan beschermen tegen ontslag door de president. De handhaving door de FTC van commerciële privacyverplichtingen uit het DPF kan nu worden aangestuurd, beperkt of feitelijk overschreven door de president. De vereiste onder EU-wetgeving voor daadwerkelijk onafhankelijke gegevensbeschermingstoezicht wordt in de praktijk niet meer gehaald.

De European Data Protection Board had eerder al kanttekeningen geplaatst bij het DPF in eerdere adviezen, waarbij werd opgemerkt dat niet aan alle structurele onafhankelijkheidseisen werd voldaan. Die zorgen blijken nu terecht. Een beroep bij het HvJEU tegen de uitspraak van het Gerecht van september 2025 ter bevestiging van het DPF (Zaak C-703/25 P) liep al. Schrems III zal een aanzienlijk versterkt feitenrelaas toevoegen aan die zaak. Procedures bij het HvJEU van dit type duren doorgaans twee tot drie jaar, maar het compliance risico wacht niet op een definitieve uitspraak. Organisaties die onder GDPR-nalevingsverplichtingen en NIS2-nalevingsvereisten vallen, hebben verplichtingen op het gebied van toeleveringsketen en gegevensbeheer die nu direct worden beïnvloed door de onzekerheid rond het DPF.

De SCC- en BCR-blootstelling waar niemand over spreekt

De meeste commentaren op Trump v. Slaughter richten zich op organisaties die formeel deelnemen aan het DPF. De blootstelling gaat echter veel dieper. Standaard Contractuele Clausules zijn het mechanisme dat de meeste EU-organisaties daadwerkelijk gebruiken voor gegevensoverdracht naar de VS – en zij zijn niet gevrijwaard van deze uitspraak.

SCCs bieden geen automatische bescherming. Onder Schrems II moeten organisaties die SCCs gebruiken een Transfer Impact Assessment uitvoeren om te beoordelen of de VS in de praktijk voldoende gegevensbescherming biedt. Die TIAs waren steevast gebaseerd op een specifieke feitelijke aanname: dat onafhankelijke Amerikaanse agentschappen, waaronder de FTC, daadwerkelijk civiel toezicht houden op privacyverplichtingen zonder inmenging van de uitvoerende macht. Die aanname klopt nu niet meer.

Het TIA-framework van de European Data Protection Board vraagt organisaties expliciet om de onafhankelijkheid van toezichtsmechanismen in het bestemmingsland te beoordelen. Een eerlijk antwoord op die vraag, na Trump v. Slaughter, wijkt materieel af van wat organisaties in 2023 op papier hebben gezet.

Toezichthouders keurden Bindende bedrijfsvoorschriften goed op basis van de aanname dat Amerikaanse moederbedrijven onder onafhankelijk gehandhaafde juridische verplichtingen vielen – aannames die het Hooggerechtshof nu heeft gewijzigd. Dit betekent niet dat EU-VS-gegevensoverdracht per direct moet stoppen. De DPF-adequaatheidsbeslissing blijft formeel van kracht totdat de Commissie deze intrekt of het HvJEU deze vernietigt, en SCCs zijn technisch nog steeds toegestaan. Maar data compliance-teams die hun Transfer Impact Assessments nu niet herzien, beheren dit risico niet. TIAs die in 2023 verdedigbaar waren, houden vandaag mogelijk geen stand meer. Een datalek of onderzoek door de toezichthouder waarbij een juridisch gebrekkige TIA na Trump v. Slaughter aan het licht komt, zal moeilijk te verdedigen zijn – de uitspraak is nu publiek, en toezichthouders zullen beoordelen of organisaties hun TIA-analyse hebben bijgewerkt naar aanleiding van deze uitspraak.

Hoe de Schrems III-uitdaging zich zal ontvouwen

De brief van NOYB van 30 juni eiste twee dingen: een ordentelijke terugtrekking van de Commissie uit de DPF-adequaatheidsbeslissing en een publieke erkenning dat de juridische basis is weggevallen. De reactie van de Commissie – geen commentaar zolang intern onderzoek loopt – volgt het script van beide eerdere zaken.

De Commissie zal het zo lang mogelijk proberen uit te stellen. Trans-Atlantische gegevensstromen zijn meer dan €877 miljard waard, en de Commissie heeft geen politieke wil om eenzijdig de stekker eruit te trekken. Ze zal wachten tot het HvJEU haar hiertoe dwingt. NOYB zal binnen enkele weken haar klacht indienen, gericht op de adequaatheidsbeslissing op basis van het ontbreken van FTC-onafhankelijkheid.

Schrems I (2015) vernietigde Safe Harbor omdat de Amerikaanse wetgeving niet voldeed aan de EU-normen voor onafhankelijk en proportioneel toezicht. Schrems II (2020) vernietigde Privacy Shield omdat FISA Section 702-surveillance disproportioneel was en onafhankelijk rechterlijk toezicht ontbrak. Schrems III zal aanvoeren dat de handhavingsmechanismen van het DPF niet langer voldoen aan de EU-eisen voor onafhankelijkheid na Trump v. Slaughter. De redenering van het Hof in de vorige twee zaken sluit direct aan bij de feitelijke situatie die deze uitspraak heeft gecreëerd – het argument ligt voor het oprapen.

Een termijn van twee tot drie jaar bij het HvJEU betekent een langdurige periode van juridische onzekerheid – geen direct overdrachtsverbod, maar een compliance risico dat toeneemt naarmate de zaak vordert. Organisaties met aanzienlijke EU-VS-gegevensstromen moeten nu al plannen maken voor een scenario waarin de adequaatheidsbeslissing wordt vernietigd en er niet direct een opvolger is. Dataresidentie en datasoevereiniteit-architecturen die afhankelijkheid van grensoverschrijdende overdracht elimineren, zijn de enige structurele oplossing voor dat scenario. Organisaties moeten ook beoordelen of hun encryptiesleutelbeheer – met name of EU-persoonsgegevens zijn versleuteld met sleutels waar Amerikaanse cloudproviders geen toegang toe hebben – een zinvolle TIA-aanvullende controle biedt gedurende de periode van onzekerheid.

Datasoevereiniteit als risicostructuur – niet slechts een compliancevoorkeur

Jarenlang was datasoevereiniteit compliance een premiumfunctie – iets voor organisaties met verhoogde gevoeligheid of verplichtingen in de defensiesector, terwijl de meeste bedrijven vertrouwden op adequaatheidsbeslissingen en SCCs. Trump v. Slaughter verandert die rekensom.

Organisaties die afhankelijk zijn van Amerikaanse hyperscalers – AWS, Azure, GCP – voor opslag en verwerking van EU-persoonsgegevens lopen een structureel risico dat niet kan worden afgedekt door contractuele aanpassingen of het wijzigen van een privacybeleid. Het juridische mechanisme dat de overdracht toestaat, kan ongeldig worden verklaard door een rechterlijke uitspraak buiten hun controle, op een onvoorspelbare termijn. Als dat gebeurt, staan ze voor de keuze: ofwel een operationele stop van gegevensstromen, ofwel een spoedmigratie naar EU-residente infrastructuur. Geen van beide uitkomsten is beheersbaar zonder voorbereiding.

Het antwoord is om volledig te stoppen met vertrouwen op de adequaatheidsbeslissing. Datalokalisatie – het opslaan en verwerken van EU-persoonsgegevens binnen EU-rechtsbevoegdheid – haalt de grensoverschrijdende overdrachtsvraag weg. Gegevens die de EU nooit verlaten, vereisen geen juridische overdrachtsbasis onder de GDPR, omdat er geen grensoverschrijdende overdracht is om te autoriseren. Dataminimalisatie in combinatie met lokalisatie – alleen die EU-persoonsgegevens bewaren die strikt noodzakelijk zijn voor elk verwerkingsdoel, met gedefinieerde bewaartermijnen – vermindert de hoeveelheid gegevens die lokale opslag vereist en het bijbehorende regelgevingsoppervlak.

Kiteworks secure data exchange is inzetbaar on-premises, in een private cloud binnen EU-rechtsbevoegdheid of in soevereine EU-cloudinfrastructuur – waardoor organisaties volledige controle hebben over waar gevoelige content wordt opgeslagen en verwerkt. Voor Europese organisaties die persoonsgegevens verwerken onder de GDPR betekent dit dat de geldigheid van de DPF-adequaatheidsbeslissing simpelweg irrelevant is voor hun compliancepositie. Ze hebben de afhankelijkheid weggenomen.

Kiteworks’ zero trust-architectuur zorgt ervoor dat zelfs wanneer gevoelige content over organisatorische of geografische grenzen heen stroomt, toegang wordt geregeld door granulaire, beleidsmatig afgedwongen toegangscontroles die voldoen aan GDPR-naleving vereisten, onafhankelijk van enig VS-EU-adequaatheidsframework. Elke bestandsoverdracht, e-mailbijlage en API-gestuurde uitwisseling wordt gelogd met een manipulatiebestendige audittrail – het soort aantoonbare verantwoording dat toezichthouders eisen wanneer adequaatheidskaders juridisch worden aangevochten.

Wat Europese organisaties nu direct moeten doen

De periode tussen nu en de uiteindelijke uitspraak van het HvJEU is geen respijtperiode. Het is een risicomanagementvenster. Organisaties die deze tijd benutten om hun afhankelijkheid van Amerikaanse gegevensverwerking te verminderen, staan er fundamenteel sterker voor dan degenen die wachten tot een vernietigingsuitspraak voordat ze actie ondernemen.

Begin met een data privacy-audit: een volledige inventarisatie van EU-persoonsgegevensstromen naar Amerikaanse verwerkers, met een analyse van het juridische overdrachtsmechanisme per stroom. Organisaties die vertrouwen op DPF-adequaatheid moeten nu SCC-back-upopties overwegen, met bijgewerkte TIAs die het feitenrelaas na Trump v. Slaughter weerspiegelen. Organisaties die SCCs gebruiken, moeten bestaande TIAs herzien en hun geactualiseerde analyse van Amerikaanse handhavingsonafhankelijkheid documenteren.

Op de langere termijn is de keuze architectonisch. Als u EU-persoonsgegevens opslaat bij een Amerikaanse hyperscaler, kunt u de juridische onzekerheid accepteren en plannen voor verstoring, of u migreert naar EU-residente datainfrastructuur en haalt de kwestie uit de vergelijking. Die migratie kost tijd – tijd die beter nu wordt benut dan wanneer een uitspraak u tot haast dwingt.

GDPR-naleving vereist altijd een rechtmatige basis voor elke categorie van persoonsgegevensverwerking. Grensoverschrijdende overdrachten naar de VS waren drie jaar lang gebaseerd op DPF-adequaatheid. De verstandige reactie op wat er nu is gebeurd, is het risico documenteren, uw DPO informeren, uw DPIA bijwerken voor getroffen verwerkingsactiviteiten en starten met de migratie. Organisaties die onder DORA-verplichtingen vallen, moeten daarnaast de wijziging in FTC-onafhankelijkheid markeren als een materiële update van alle ICT-derdenrisicobeoordelingen waarin Amerikaanse civiele handhaving als beperkende maatregel werd genoemd.

Nog een dimensie: NIS 2-richtlijn verplichtingen. Exploitanten van essentiële en belangrijke entiteiten hebben te maken met strenge eisen voor risicobeheer in de toeleveringsketen. Een Amerikaanse cloudprovider waarvan de gegevensbeschermingshandhaving niet langer onafhankelijk is van de uitvoerende macht, vormt een toeleveringsketenrisico dat NIS2-risicobeoordelingen nu moeten adresseren. Risicobeheer toeleveringsketen voor EU-gereguleerde organisaties is nu aantoonbaar complexer geworden.

Meer weten over het bouwen van een data-architectuur die niet afhankelijk is van de blijvende geldigheid van EU-VS-adequaatheidskaders? Plan vandaag nog een demo op maat.

Veelgestelde vragen

In Trump v. Slaughter (29 juni 2026) oordeelde het Amerikaanse Hooggerechtshof met 6-3 dat wettelijke ontslagbescherming voor FTC-commissarissen ongrondwettelijk is. Door de “unitary executive theory” toe te passen, vernietigde het Hof het Humphrey’s Executor-precedent uit 1935 en bepaalde dat de president onafhankelijke agentschapsleiders naar believen mag ontslaan. Voor de EU wet bescherming persoonsgegevens is dit relevant omdat EU-wetgeving vereist dat handhaving van gegevensbescherming wordt uitgevoerd door autoriteiten die onafhankelijk zijn van de uitvoerende macht. De FTC was het belangrijkste Amerikaanse handhavingsorgaan waarnaar in de DPF-adequaatheidsbeslissing werd verwezen – 259 keer – en die onafhankelijkheid is nu verdwenen. De feitelijke basis onder de adequaatheidsbepaling is daarmee weggevallen. Organisaties moeten deze uitspraak zien als aanleiding om hun documentatie voor naleving van regelgeving te actualiseren – met name TIAs en DPIAs waarin FTC-onafhankelijkheid werd genoemd als beperkende factor in Amerikaanse overdrachtsrisicobeoordelingen.

Ja – op het moment van schrijven is de DPF-adequaatheidsbeslissing formeel nog steeds van kracht. De Commissie heeft deze niet ingetrokken en er is geen uitspraak van het HvJEU die deze heeft vernietigd. NOYB heeft om een ordentelijke terugtrekking gevraagd, maar de Commissie heeft nog niet direct gehandeld. Schrems III wordt binnen enkele weken verwacht en procedures duren doorgaans twee tot drie jaar. Organisaties die onder DPF zijn gecertificeerd, kunnen er technisch gezien nog op vertrouwen, maar het als vaststaand beschouwen is onverstandig. Herzie uw data compliance-positie en stel plannen op voor een scenario waarin de DPF ongeldig wordt verklaard – dat is nu de juiste stap. Het Kiteworks Private Data Network, ingezet binnen EU-rechtsbevoegdheid, elimineert de DPF-afhankelijkheid volledig – EU-persoonsgegevens die nooit de Atlantische Oceaan oversteken vereisen geen adequaatheidsbeslissing en geen TIA.

Vrijwel zeker, in zekere mate. SCCs vereisen Transfer Impact Assessments waarin wordt geëvalueerd of de VS in de praktijk voldoende gegevensbescherming biedt, inclusief via onafhankelijke handhavingsmechanismen. Trump v. Slaughter verandert het feitenrelaas waarop die TIAs waren gebaseerd. Herzie uw TIAs, werk de analyse van Amerikaanse handhavingsonafhankelijkheid bij en overleg met uw DPO of eerdere conclusies nog verdedigbaar zijn. Bindende bedrijfsvoorschriften moeten op dezelfde manier opnieuw worden beoordeeld. Technische maatregelen zoals klantgestuurde encryptiesleutels versterken TIA-conclusies door GDPR-conforme controles aan te tonen die onafhankelijk zijn van Amerikaanse handhavingsomstandigheden. Organisaties moeten ook hun gegevensbeheerdocumentatie herzien om te bevestigen dat elke SCC-gedekte gegevensstroom een actuele, gedocumenteerde TIA heeft – een onderzoek door de toezichthouder na een vernietigingsuitspraak zal zich richten op de vraag of organisaties hun beoordelingen na Trump v. Slaughter hebben bijgewerkt.

Schrems I (2015) vernietigde Safe Harbor omdat Amerikaanse inlichtingenautoriteiten feitelijk onbeperkte toegang hadden tot EU-persoonsgegevens. Schrems II (2020) vernietigde Privacy Shield omdat FISA Section 702-surveillance disproportioneel was en onafhankelijk rechterlijk toezicht ontbrak. Schrems III zal zich richten op het DPF omdat het handhavingsmechanisme op basis van de FTC na Trump v. Slaughter niet langer onafhankelijk is. De eerdere zaken gingen vooral over toegang tot toezicht; Schrems III draait om handhavingsonafhankelijkheid. De redenering van het HvJEU in beide voorgaande zaken is hier direct van toepassing. Organisaties moeten hun datasoevereiniteit-strategie herzien in het licht van waar Schrems III naartoe gaat, niet alleen hoe lang het duurt. Organisaties die vóór de uitspraak EU-residente datainfrastructuur hebben opgezet, zullen geen operationele verstoring ondervinden; wie heeft uitgesteld, zal een spoedmigratie zonder voorbereiding moeten uitvoeren. Een DPIA-update die het Schrems III-invorderingsscenario als een risico op korte termijn modelleert – in plaats van een hypothetische toekomstige gebeurtenis – geeft besturen en DPO’s de feitelijke basis om migratie-investeringen te versnellen.

Kiteworks secure data exchange kan on-premises of in private cloudinfrastructuur binnen EU-rechtsbevoegdheid worden ingezet, waardoor EU-persoonsgegevens nooit de Atlantische Oceaan oversteken en de vraag naar het adequaatheidskader niet speelt. Voor organisaties die niet direct kunnen migreren uit Amerikaanse omgevingen, biedt Kiteworks datasoevereiniteit compliance-mogelijkheden, uitgebreide auditlogs en zero-trust-toegangscontroles die Transfer Impact Assessment-conclusies versterken en GDPR-conform gegevensbeheer aantonen. Kiteworks ondersteunt ook NIS2- en DORA-nalevingsvereisten waarmee EU-gereguleerde organisaties te maken hebben naast hun GDPR-verplichtingen. Voor organisaties in gereguleerde sectoren – financiële sector onder DORA, essentiële entiteiten onder NIS2, zorg onder sectorspecifieke regels – biedt de combinatie van EU-residente inzet en de uniforme audittrail van Kiteworks over alle contentkanalen compliance-teams het aantoonbare governance-record dat toezichthouders verwachten te zien wanneer adequaatheidskaders worden aangevochten.

Aanvullende bronnen

  • Blog Post Het touwtrekken om uw data: hoe de CLOUD- en SHIELD-wetten beveiliging tegenover privacy plaatsen
  • Blog Post Beveilig gevoelige data door DSPM te koppelen aan uw compliance-doelen
  • Brief Top 3 FERPA-overtredingen en hoe u deze voorkomt
  • Blog Post Executive Order 14117: Bescherming van de bulkgevoelige persoonsgegevens van Amerikanen
  • Blog Post NIS2-naleving nodig? Begin met ISO 27001

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Table of Content
Share
Tweet
Share
Explore Kiteworks