Een uitspraak van het Amerikaanse Hooggerechtshof in de zaak Trump v. Slaughter (29 juni 2026) heeft directe en verstrekkende gevolgen voor de internationale privacywetgeving en de doorgifte van persoonsgegevens. Hoewel de zaak primair een Amerikaanse staatsrechtelijke discussie is over de macht van de president, trekt de uitspraak het juridische tapijt weg onder het huidige dataverdrag tussen de Europese Unie en de Verenigde Staten.
De wortel van het kwaad
De directe aanleiding voor deze zaak ligt in de beslissing van president Donald Trump in maart 2025 (kort na de start van zijn tweede ambtstermijn) om de Democratische commissarissen van de Federal Trade Commission (FTC), waaronder Rebecca Kelly Slaughter, te ontslaan. Trump voerde aan dat haar aanwezigheid en beleidsvisie “inconsistent” waren met de prioriteiten van zijn administratie. Dit ontslag stuitte op felle juridische weerstand vanwege de specifieke inrichting van de FTC. Om politieke neutraliteit te waarborgen, heeft het Amerikaanse Congres destijds bepaald dat FTC-commissarissen een vaste termijn van zeven jaar dienen en dat een president hen tussentijds alleen mag ontslaan bij zwaarwegende redenen, zoals plichtsverzuim, wanprestatie of financieel wangedrag. Meningsverschillen over politieke prioriteiten vallen hier expliciet buiten.
Slaughter vocht haar ontslag aan bij de federale rechter en werd in de lagere rechtbanken in het gelijk gesteld op basis van een bijna honderd jaar oud precedent: Humphrey’s Executor v. United States (1935). Dit precedent bepaalde destijds dat het Congres bepaalde onafhankelijke toezichthouders mag beschermen tegen willekeurig ontslag door de president. Met een 6-3 meerderheid heeft het Hooggerechtshof dit historische precedent vernietigd. De hoogste rechters oordeelden dat ontslagbescherming voor FTC-commissarissen in strijd is met de grondwettelijke scheiding der machten en de eenheid van de uitvoerende macht. De consequentie van de uitspraak is dat de Amerikaanse president voortaan topfunctionarissen van onafhankelijke agentschappen zoals de FTC naar eigen inzicht, op elk moment en om puur politieke redenen mag ontslaan (at will).
Implicaties voor de data-uitwisseling (EU naar VS)
De staatsrechtelijke overwinning voor het Witte Huis zorgt voor een internationaal privacyprobleem, met onmiddelijke ingang (29 juni 2026). Het tast namelijk de fundamenten aan van het EU-US Data Privacy Framework (DPF), het verdrag dat sinds juli 2023 de vrije stroom van persoonsgegevens tussen de EU en de VS reguleert. Onder Europees recht is de harde eis verankerd dat het toezicht op databescherming (in de VS) moet worden uitgevoerd door een onafhankelijke autoriteit.
In het adequaatheidsbesluit van de Europese Commissie (waarin de VS als ‘veilig’ werd bestempeld) wordt maar liefst 259 keer expliciet verwezen naar de FTC. De Europese Commissie leunde volledig op de aanname dat de FTC een onafhankelijk handhavingsorgaan was dat onafhankelijk kon toetsen of Amerikaanse bedrijven zich wel aan de Europese privacybeloften hielden.
Nu het Amerikaanse Hooggerechtshof heeft bepaald dat de FTC-leiding rechtstreeks verantwoording schuldig is aan de president en bij onwelgevallig beleid direct kan worden vervangen, is de FTC volgens de Europese juridische definities per direct niet meer onafhankelijk.
Privacyorganisatie NOYB (onder leiding van de jurist Max Schrems, die eerder de voorlopers Safe Harbor en Privacy Shield via de rechter liet vernietigen) heeft direct een brief gestuurd naar de Europese Commissie om het dataverdrag (DPF) ordelijk in te trekken. NOYB start per direct een nieuwe juridische procedure bij het Hof van Justitie van de EU (CJEU) om het verdrag nietig te laten verklaren.
En wat betekent dit voor het recruitment domein?
Het recruitment- en HR-techdomein behoort tot de sectoren die intensief gebruikmaken van trans-Atlantische data-uitwisseling. Veelgebruikte software, databases en infrastructuren draaien op Amerikaanse systemen. Wachten tot het dataverdrag formeel ongeldig wordt verklaard door de Europese rechter is een groot bedrijfsrisico. Gezien de aard van de uitspraak van het Amerikaanse Hooggerechtshof is de juridische basis onder het dataverdrag onherstelbaar beschadigd. Recruitment- en HR-directeuren moeten daarom nu, in samenwerking met hun Functionaris voor de Gegevensbescherming (FG), proactief sturen op lokale Europese datahosting en het beperken van Amerikaanse vendor-afhankelijkheid.
Organisaties moeten rekening houden met de volgende specifieke operationele risico’s:
Moderne recruitmentafdelingen vertrouwen vrijwel volledig op SaaS-oplossingen (Software as a Service) die in de VS zijn gehost of eigendom zijn van Amerikaanse leveranciers (denk aan grote platformen zoals Workday, Taleo, Greenhouse, of Salesforce). Persoonsgegevens van Europese sollicitanten (cv’s, motivatiebrieven, salarisindicaties, assessmentresultaten en screeningrapporten) worden daardoor continu naar Amerikaanse servers verzonden.
Tot nu toe konden organisaties volstaan met de controle of hun Amerikaanse recruitment-vendor DPF-gecertificeerd was. Als dit framework door de nieuwe rechtszaak sneuvelt, vervalt de automatische juridische grondslag voor deze datastromen.
Bedrijven die geen gebruikmaken van het DPF, vallen vaak terug op Standard Contractual Clauses (SCC’s; modelcontracten) in combinatie met een Transfer Impact Assessment (TIA). Een TIA vereist dat de organisatie zelf aantoont dat het land van bestemming een gelijkwaardig beschermingsniveau biedt. Nu de Amerikaanse toezichthouder (FTC) zijn onafhankelijkheid heeft verloren, wordt het juridisch nagenoeg onmogelijk om een TIA voor de VS nog positief af te ronden.
Leveranciers van recruitmentsoftware zullen onder zware druk komen te staan om strikte EU-only hosting aan te bieden. Dit betekent dat data de Europese grenzen fysiek en logisch niet mag verlaten en dat Amerikaanse moederbedrijven geen toegang mogen hebben tot de systemen (geen ‘remote access’ voor support vanuit de VS).
