Gegevensbeschermingsrecht in overgang: Een interview met expert Katharina Raabe-Stuppnig

Gegevensbescherming in Europa - sproof

Agnieszka Grzybek

Laatst gewijzigd op: 27 augustus 2025
Recht, bedrijfsleven en belastingen
Thumbnail blog post Katharina Raabe-Stuppnig sproof
Katharina Raabe-Stuppnig, advocaat

Met meer dan 15 jaar ervaring als advocaat, haar rol als medeoprichter van een adviesraad voor gegevensbescherming en haar actieve deelname aan procedures voor het Europees Hof van Justitie – samen met Max Schrems en Thomas Lohninger – is Katharina Raabe-Stuppnig een van de invloedrijkste stemmen in de Europese wetgeving op het gebied van gegevensbescherming. In haar advocatenkantoor aan de Wickenburggasse in Wenen praat ze over haar carrièrepad, de uitdagingen van de GDPR en de toenemende complexiteit van nieuwe digitale EU-wetten.

Van mediarecht naar gegevensbescherming: expert in Oostenrijk

Katharina Raabe-Stuppnig begon haar carrière in het mediarecht. Ze adviseerde uitgeverijen en telecommunicatiebedrijven over kwesties met betrekking tot mededingingsrecht, reclame en mediaverantwoordelijkheid. De brug naar gegevensbescherming kwam bijna vanzelf: “Veel klanten benaderden me en zeiden: je kent onze processen en onze belangenafweging – kun je ons ook ondersteunen met gegevensbescherming?”

Toen de GDPR van kracht werd, kwam gegevensbescherming meer centraal te staan in de bedrijfsrealiteit. Miljoenenboetes verhoogden de druk. Bedrijven hadden behoefte aan duidelijke concepten – en vertrouwden op bestaande partnerschappen. Als gevolg daarvan evolueerde de wetgeving rond gegevensbescherming van een perifere kwestie naar het centrale aandachtspunt van hun activiteiten.

“Mijn wens zou zijn om de Europese economie te versterken – door Europese alternatieven. De digitale strategie en de Data Act gaan in de goede richting. De vraag is alleen: komt het op tijd?”

Mag. Kathrina Raabe-Stuppnig

Gegevensbescherming als facilitator

Sinds de invoering van de GDPR in 2018 is de behoefte aan juridische ondersteuning enorm toegenomen – en blijft groot. Dit is niet in de laatste plaats te wijten aan het feit dat de verordening geen onderscheid maakt tussen grote bedrijven en kleine bedrijven. Ze moeten allemaal aan dezelfde normen voldoen.

“Een goed functionerend beheersysteem voor gegevensbescherming is vandaag de dag een echte enabler”, legt Raabe-Stuppnig uit. “Het biedt bedrijven een overzicht van systemen, processen en risico’s – en vormt de basis voor optimalisatie en meer efficiëntie.”

Tegelijkertijd wordt de omgeving steeds complexer: nieuwe wetgeving zoals NIS-2, de Cyber Resilience Act, de AI Act en de Data Act stellen extra eisen aan bedrijven – in alle sectoren. Degenen die al een stabiel fundament voor gegevensbescherming hebben gelegd, hebben nu een duidelijk voordeel.

Strategieën voor de digitale transformatie

De problemen waarmee bedrijven vandaag de dag bij het bedrijf aankloppen, zijn talrijk en gevarieerd:

  • Wat betekent NIS-2 voor mij als leverancier van kritieke infrastructuur?
  • Welke beleidsregels heb ik nodig voor de AI Act?
  • Hoe ga ik om met nieuwe toegangsrechten tot gegevens onder de Data Act – zonder het niveau van gegevensbescherming dat ik tot nu toe heb opgebouwd in gevaar te brengen?

Naast juridische beoordelingen spelen strategische vragen een steeds belangrijkere rol: waar moeten verantwoordelijkheden binnen het bedrijf worden toegewezen? Hoe kunnen compliance, cyberveiligheid en innovatievermogen op elkaar worden afgestemd? Raabe-Stuppnig en haar team ondersteunen bedrijven niet alleen bij de implementatie, maar ook bij de positionering binnen het nieuwe wettelijke kader.

EU vs. VS: verschillende basishoudingen

Het gebruik van software uit derde landen – bijvoorbeeld door Amerikaanse hyperscalers – is een bijzonder gevoelige kwestie. Hoewel er in de VS ook wetten voor gegevensbescherming zijn, legt Raabe-Stuppnig uit, is de bescherming voornamelijk van toepassing op Amerikaanse burgers. Deze regelgeving is aanzienlijk zwakker voor EU-burgers.

“Het probleem zit hem in de weging: de veiligheidsbelangen van de NSA gaan vaak boven de gegevensbescherming van niet-Amerikanen. Het Europees Hof van Justitie heeft deze disproportionaliteit al twee keer vastgesteld – en daarmee centrale principes zoals Safe Harbour en Privacy Shield omvergeworpen.”

Verandering in bewustzijn in Europa sinds 2018

Sinds de GDPR van kracht is, is het bewustzijn in Europa merkbaar veranderd. Bedrijven gaan nu veel gevoeliger om met persoonlijke gegevens. De media-aandacht rond uitspraken over gegevensbescherming en prominente zaken heeft hier een belangrijke rol in gespeeld.

“We hebben een gouden standaard voor gegevensbescherming in Europa gecreëerd,” vat Raabe-Stuppnig samen. “En het is verheugend om te zien hoeveel bedrijven zich actief inspannen om niet alleen aan deze standaard te voldoen, maar deze ook te gebruiken als concurrentievoordeel.”

Wat maakt gegevensoverdracht naar de VS zo gevoelig – en wat is op dit moment de juridische situatie in de EU?

Het debat over gegevensbescherming tussen de EU en de VS is complex en vooral juridisch gezien zeer dynamisch. In tegenstelling tot landen als Zwitserland, waarvoor de EU-Commissie een zogenaamde adequaatheidsbeschikking heeft afgegeven, was en is de situatie in de VS veel gecompliceerder. In zo’n besluit staat dat persoonsgegevens mogen worden doorgegeven naar een derde land omdat het niveau van gegevensbescherming daar vergelijkbaar is met dat in de EU. In landen als China of Rusland – en lange tijd ook in de VS – bestond zo’n besluit niet.

Gegevensverwerking in de VS – een juridische evenwichtsoefening

Zodra bedrijven samenwerken met serviceproviders voor gegevensverwerking in bijvoorbeeld de VS, moeten ze extra beschermende maatregelen nemen om het door de GDPR vereiste niveau van gegevensbescherming te handhaven. Dit betekent meer inspanning, meer verplichte controles – en meer risico.

Een praktisch voorbeeld: zelfs als u voor Amerikaanse cloudproviders een serverlocatie binnen de EU kiest, bestaat het probleem nog steeds – bijvoorbeeld als de Europese dochteronderneming onder controle staat van een Amerikaans moederbedrijf. In geval van nood kunnen Amerikaanse autoriteiten zoals de NSA toegang eisen tot de gegevens – zelfs via een interne commandostructuur. Een serverlocatie in de EU verkleint het risico, maar sluit het niet volledig uit.

Van veilige haven tot het kader voor gegevensprivacy: een terugblik

De geschiedenis van de gegevensbeschermingsovereenkomsten tussen de EU en de VS leest als een reeks juridische tegenslagen:

  • Safe Harbor was de eerste overeenkomst die op vrijwillige basis bepaalde gegevensbeschermingsnormen oplegde aan Amerikaanse bedrijven. Het werd in 2015 ingetrokken door het Schrems I-arrest.
  • Privacy Shield was de opvolger – een herziene versie van Safe Harbour. Deze overeenkomst werd echter ook ongeldig verklaard door het Europese Hof van Justitie in het Schrems II-arrest in 2020.
  • In reactie daarop werd het Data Privacy Framework van kracht, op basis waarvan de EU Commissie opnieuw een adequaatheidsbesluit voor de VS aannam.

Het nieuwe besluit is echter opnieuw gebaseerd op wankele fundamenten

Dit komt omdat het Data Privacy Framework gebaseerd is op een uitvoerend bevel van de Amerikaanse president – met andere woorden, een bevel dat theoretisch op elk moment kan worden ingetrokken. Critici twijfelen daarom aan de stabiliteit van dit kader op de lange termijn. Er is al een rechtszaak tegen de adequaatheidbeschikking aangespannen bij het Europese Hof van Justitie – de uitkomst is onzeker.

Bovendien kan de verantwoordelijke Amerikaanse toezichthouder, de PCLOB, momenteel niet optreden omdat drie van zijn vijf directeuren zijn ontslagen door voormalig president Trump. Het resultaat: grote onzekerheid over hoe stabiel het mechanisme voor gegevensbescherming in de VS werkelijk is.

Hoe belangrijk is het Data Privacy Framework voor bedrijven in de EU?

Als je plannen maakt voor de lange termijn en je wilt focussen op gegevensbeveiliging, moet je niet blind vertrouwen op het Data Privacy Framework. Net als in het verleden kan de juridische situatie snel veranderen. De kosten van Data Transfer Impact Assessments (TIA) zijn hoog en overtredingen kunnen leiden tot zware boetes tot 4% van de wereldwijde jaaromzet.

Amerikaanse clouddiensten zijn (nog steeds) bruikbaar – maar niet zonder risico

Clouddiensten van Amerikaanse providers kunnen momenteel worden gebruikt in overeenstemming met **de regelgeving inzake gegevensbescherming, op voorwaarde dat **passende beschermingsmaatregelen zoals standaard contractuele clausules en technische beveiligingsmaatregelen worden geïmplementeerd. Maar er is nog steeds een restrisico. Het is vooral problematisch dat er nog steeds geen end-to-endencryptie is die geschikt is voor dagelijks gebruik voor alle soorten gebruik – bijvoorbeeld voor de lopende verwerking van gegevens (“gegevens in gebruik”).

Het gebruik van Amerikaanse diensten moet daarom altijd individueel worden beoordeeld: Hoe gevoelig zijn de verwerkte gegevens? Welke beveiligingsmaatregelen worden er genomen? En in hoeverre is het bedrijf daadwerkelijk in staat om risico’s te beperken?

Tussen zwart-wit en realisme: hoe bedrijven moeten omgaan met gegevensbescherming en cloudproviders

De vraag of bedrijven alleen software en clouddiensten van Europese oorsprong mogen gebruiken – een “helemaal of helemaal niet” – klinkt op het eerste gezicht als een duidelijk standpunt. Maar dit is precies waar databeschermingsexpert Katharina Raabe-Stuppnig voor waarschuwt. Een dergelijk principe is niet alleen onpraktisch, maar ook moeilijk te rechtvaardigen voor de autoriteiten. In plaats daarvan moet elke beslissing over het gebruik van software of clouddiensten per geval worden genomen – afhankelijk van hoe gevoelig de verwerkte gegevens zijn en welke specifieke beschermingsmaatregelen kunnen worden genomen.

Laat je niet verleiden tot een vals gevoel van veiligheid, zelfs niet met Privacy Framework

Een ander onderwerp dat veel bedrijven momenteel bezighoudt: Wat gebeurt er als het Europese Hof van Justitie (EHvJ) het nieuwe Data Privacy Framework tussen de EU en de VS vernietigt – zoals het eerder deed met “Safe Harbour” en “Privacy Shield”? Het antwoord is duidelijk: er zou opnieuw enorme rechtsonzekerheid ontstaan. Dit is precies de reden waarom Kargl bedrijven nu al adviseert om niet alleen op het raamwerk te vertrouwen, maar om aanvullende standaard contractuele clausules (SCC’s) overeen te komen. Deze moeten altijd een transfer impact assessment (TIA) bevatten – d.w.z. een risicoanalyse van gegevensoverdracht naar derde landen.

De advocaat maakt echter ook duidelijk dat als het Data Privacy Framework daadwerkelijk valt en de proportionaliteit van gegevensoverdracht naar de VS fundamenteel in twijfel wordt getrokken, de TIA’s ook hun grenzen zouden bereiken. De hoop is dan gevestigd op aanvullende technische en organisatorische maatregelen – vooral encryptie.

Encryptie: claim en werkelijkheid lopen uiteen

De gegevensbeschermingsautoriteiten en het Europees Hof van Justitie eisen een duidelijke oplossing van Amerikaanse cloudproviders: gegevens mogen alleen versleuteld worden opgeslagen en de sleutel moet buiten de provider worden beheerd – idealiter in Europa en onder controle van het bedrijf dat verantwoordelijk is voor de gegevens of een Europese vertrouwenspersoon. Het doel van deze zogenaamde “externe sleutelbeheer”-oplossing is ervoor te zorgen dat zelfs in het geval van toegang door Amerikaanse autoriteiten zoals de NSA, alleen versleutelde, d.w.z. onbruikbare, gegevens kunnen worden doorgegeven.

In de praktijk kan dit type versleuteling volgens Katharina Raabe-Stuppnig echter alleen echt worden geïmplementeerd voor back-upgegevens. Zodra gegevens in het dagelijks leven actief worden verwerkt, is toegang tot onversleuteld materiaal vereist. Dit is precies waar het probleem ligt: de technologie die volledige gegevensverwerking in versleutelde staat mogelijk maakt, bestaat op dit moment slechts in zeer beperkte mate – bijvoorbeeld voor eenvoudige berekeningen of schattingen in specifieke scenario’s. De stand van de techniek is nog niet voldoende voor wijdverbreid gebruik, zoals nodig is in de economie.

De rol van Europa: kansen door de Data Act

Ondanks deze uitdagingen is de advocaat optimistisch over de toekomst: de EU Data Act zal een belangrijke koers uitzetten. Cloudproviders worden verplicht om multi-cloudstrategieën mogelijk te maken, d.w.z. om het overstappen tussen providers te vergemakkelijken – zonder hoge overstapkosten. Dit zal actief bijdragen aan het versterken van de Europese soevereiniteit in de digitale ruimte en het creëren van meer alternatieven voor Amerikaanse hyperscalers op de lange termijn.

De vraag blijft of Europa op termijn in staat zal zijn om onafhankelijker en veiliger op te treden in de digitale ruimte. Mevrouw Raabe-Stuppnig is niettemin vol vertrouwen: “De politieke wil is er – en met gerichte steun en regelgeving zouden er snel levensvatbare Europese alternatieven kunnen komen.

Een algemene vrijstelling van oplossingen uit derde landen is praktisch noch wettelijk verplicht. Bedrijven moeten zorgvuldig afwegen hoe gevoelig hun gegevens zijn, welke partners geschikt zijn – en welke specifieke beschermingsmaatregelen ze kunnen implementeren. Degenen die al vertrouwen op SCC’s, TIA’s en encryptie zitten niet alleen juridisch aan de veilige kant, maar versterken ook de positie van Europa in de digitale concurrentiestrijd.

ROI-calculator

Bereken de ecologische en economische impact van de e-handtekening in uw bedrijf. Gratis en niet-bindend.

NU ROI BEREKENEN

Meer blogartikelen

  • Een test (noindex)

    Lorem Ipsum eID Hub

    Georg Fuhrmann

  • Waarom identiteitsprocessen in B2B mislukken – en hoe “nulkennis” het

    sproof ident voor identiteitsverificatie

    Dr. Clemens Brunner

  • Wat zijn “elektronische attesten van kenmerken” (EAA’s)?

    Digital Ident: De drie soorten EAA's in één oogopslag

    Dr. Clemens Brunner

    sproof Blog: Wat zijn EAA?
  • Deze site is geregistreerd op wpml.org als een ontwikkelsite. Schakel over naar een productiesite met de sleutel op remove this banner.