top of page
logo.png
rood vlak

Back to school, back to privacy: nieuwste EU-rechtspraak in een notendop

  • Foto van schrijver: Olivier Sustronck
    Olivier Sustronck
  • 9 uur geleden
  • 4 minuten om te lezen

BREAKING NEWS: zowel het Gerecht als het Hof van Justitie van de EU zetten het nieuw gerechtelijk jaar in met belangrijke uitspraken inzake gegevensbescherming !

Op 3 september 2025 deed het Gerecht uitspraak in de zaak Latombe t. Commissie, slechts een dag later volgde het HvJ op 4 september 2025 met haar uitspraak in de zaak EDPS t. SRB. Het Gerecht sprak zich uit over de geldigheid van het Data Privacy Framework (DPF) dat transfer van persoonsgegevens tussen de EU en de VS toelaat, terwijl het HvJ zich boog over het begrip ‘persoonsgegeven’ en de draagwijdte van pseudonimisering. In wat volgt bespreken we de achtergrond, kernredeneringen en belangrijkste lessen voor ondernemingen uit deze twee uitspraken.

plafond gerechtsgebouw

Latombe t. Commissie (T-553/23, 3 september 2025)

 

Achtergrond


Philippe Latombe, Frans burger, vroeg de nietigverklaring van de beslissing (EU) 2023/1795 van de Commissie. Die beslissing stelde vast dat de VS een adequaat niveau van bescherming bieden voor persoonsgegevens die vanuit de EU worden doorgegeven in het kader van het nieuwe EU-VS Data Privacy Framework (DPF).


Het DPF is eerder een verdere uitwerking dan een radicale vernieuwing. Na Schrems I (2015) en Schrems II (2020) werden respectievelijk het Safe Harbour- en het Privacy Shield-mechanisme ongeldig verklaard. In 2022 nam de VS het Executive Order 14086 aan, dat strengere waarborgen voorzag voor surveillance en een Data Protection Review Court(DPRC) oprichtte. Op 10 juli 2023 nam de Commissie de nieuwe adequaatheidsbeslissing (DPF) aan. Het is tegen die beslissing dat meneer Latombe vervolgens een nietigheidsvoorziening heeft ingesteld.


 

Belangrijkste redeneringen van het Gerecht


Latombe betoogde dat de DPRC geen onafhankelijk of wettig ‘gerecht’ is. Het Gerecht oordeelde echter dat de DPRC voldoende waarborgen biedt, zoals onafhankelijk benoemde rechters, bindende en definitieve beslissingen en toezicht door onafhankelijke instanties. Het feit dat het geen rechtbank is in de zin van de Amerikaanse Grondwet, doet daaraan – aldus het Gerecht – niet af.


Verder had Latombe ook bezwaren over de ‘bulk’ surveillance. Het Gerecht stelde dat in de VS bulkverzameling enkel onder strikte voorwaarden mogelijk is; een “massale, ongedifferentieerde” verzameling zo niet zijn toegestaan. De bulkverzameling is daarboven beperkt tot zes legitieme doelstellingen, waaronder terrorismebestrijding en cyberdreigingen, en onderworpen aan proportionaliteits- en noodzakelijkheidstoetsen. Het Gerecht geeft Latombe op dit punt eveneens ongelijk.


Volgens Latombe werden ook onvoldoende verplichtingen opgelegd, maar ook dit verwierp het Gerecht. De DPF-principes verplichten organisaties namelijk tot “redelijke en passende” beveiligingsmaatregelen die in de praktijk vergelijkbaar zouden zijn met die van de AVG.


 

Uitkomst


Het gerecht wijst het beroep volledig af. Daarmee blijft het EU-VS Data Privacy Framework (althans voorlopig) geldig. Tegen het arrest van het Gerecht kan nog tot half november beroep in hogere voorziening worden ingesteld bij het Hof van Justitie, maar enkel voor wat rechtsvragen betreft.


 

Key takeaway voor ondernemingen


Het DPF is bevestigd door de rechter; organisaties kunnen er voorlopig op vertrouwen. Dat maakt de Trans-Atlantische doorgiften (althans voor nu) stabieler.


 

EDPS tegen SRB (C-413/23 P, 4 september 2025)


 

Achtergrond


In 2017 werd Banco Popular Español afgewikkeld door de Gemeenschappelijke Afwikkelingsraad (GAR/SRB). Voor de vraag of aandeelhouders en crediteuren compensatie moesten krijgen, organiseerde de SRB een procedure waarin zij opmerkingen konden indienen. Deze opmerkingen (met persoonlijke meningen / standpunten) werden in gepseudonimiseerde vorm doorgestuurd naar Deloitte, die belast was met een waarderingsopracht.


Verschillende aandeelhouders en crediteuren dienden daarop klachten in bij de Europese Toezichthouder voor Gegevensbescherming (European Data Protection Supervisor of EDPS). Zij stelden dat de SRB hen niet had geïnformeerd dat hun gegevens aan Deloitte zouden worden doorgegeven.


laptop

De EDPS oordeelde dat dit persoonsgegevens betrof en dat Deloitte de ontvanger was; de SRB had zijn informatieplicht geschonden. Het Gerecht vernietigde in 2023 dit besluit van de EDPS: volgens het Gerecht had de EDPS onvoldoende aangetoond dat de doorgestuurde gegevens persoonsgegevens waren. Het EDPS ging hiertegen in hoger beroep bij het Hof van Justitie (HvJ).


 

Belangrijkste redeneringen van het Hof


Het Hof benadrukt dat subjectieve informatie (meningen, standpunten) altijd nauw verbonden is met de persoon die deze uit. Persoonlijke meningen en standpunten zijn dus ook persoonsgegevens. Het Gerecht maakte volgens het Hof een fout door te eisen dat ook inhoud, doel of gevolgen afzonderlijk zouden moeten worden onderzocht.


Verder maakt het Hof duidelijk dat pseudonimisering niet gelijk is aan anonimisering. Gepseudonimiseerde gegevens zijn niet automatisch altijd persoonsgegevens, maar kunnen dat wel zijn, afhankelijk van de context. Voor de SRB bleven de opmerkingen persoonsgegevens, omdat zij over de aanvullende identificeerbare gegevens beschikte. De SRB had dus de ‘sleutel’ in handen. Voor Deloitte konden de gegevens eventueel anoniem zijn, mits de pseudonimisering effectief was en identificatie redelijkerwijs onmogelijk.


Centraal in deze zaak staat de informatieplicht; de verplichting om betrokkenen te informeren. De informatieplicht moet bekeken worden vanuit het perspectief van de verantwoordelijke en beoordeeld worden op het moment van de verzameling van de persoonsgegevens. Het Gerecht maakte hierin volgens het Hof een fout door te stellen dat dit vanuit Deloitte’s perspectief had moeten worden bekeken.


 

Uitkomst


Het Hof vernietigt uiteindelijk het arrest van het Gerecht van 2023 en verwijst de zaak terug naar het Gerecht voor verdere beoordeling.


 

Key takeaways voor ondernemingen


-              Breed begrip van persoonsgegevens: ook subjectieve gegevens zoals meningen en standpunten zijn persoonsgegevens zodra ze herleidbaar zijn tot een individu.

-              Pseudonimisering =/= anonimisering: gepseudonimiseerde data blijft vaak persoonsgegevens, tenzij identificatie redelijkerwijs onmogelijk is.

-              Verantwoordelijkheid bij de verwerkingsverantwoordelijke: de informatieplicht rust primair op de verwerkingsverantwoordelijke, beoordeeld op het moment van verzameling, ongeacht latere doorgifte.

-              Transparantie is cruciaal: betrokkenen moeten duidelijk worden geïnformeerd over mogelijke ontvangers van hun gegevens.

-              Risico voor organisaties: ondernemingen en instellingen kunnen zich niet verschuilen achter pseudonimisering om transparantie- of informatieverplichtingen te vermijden.

 

Deze arresten bevestigen dat trans-Atlantische datastromen voorlopig stabiel zijn, maar benadrukken tegelijk het belang van transparantie en naleving van informatieverplichtingen. Organisaties moeten zich bewust zijn dat ook subjectieve gegevens en gepseudonimiseerde data onder het begrip persoonsgegevens kunnen vallen. Tegelijk biedt EDPS t. SRB kansen: wanneer bijvoorbeeld contractueel en technisch wordt vastgelegd dat de sleutel nooit bij de ontvanger terechtkomt, kan worden beargumenteerd dat de doorgestuurde gepseudonimiseerde data voor die ontvanger effectief als anoniem geldt. Dit kan bijzonder nuttig zijn bij (internationale) datatransfers en in samenwerkingen met derde partijen.

 

Heb je vragen over wat deze uitspraken betekenen voor jouw praktijk? Mr. Franklin helpt je graag om helderheid te scheppen!

bottom of page