Skip to main content

Schrems II

TL;DR

Schrems II is de naam van een zaak voor het EHJ (Europees Hof van Justitie) die gebaseerd was op het feit dat Amerikaanse bedrijven geen adequate normen voor de bescherming van persoonsgegevens kunnen garanderen. Als gevolg daarvan werd de overdracht van persoonsgegevens tussen de EU en de VS illegaal en werd de Privacy Shield-overeenkomst tussen hen achterhaald.

Wat betekent Schrems II?

Schrems II is de generieke naam die is gegeven aan een zaak bij het Europees Hof van Justitie, die in het voordeel van Max Schrems heeft beslist en heeft geleid tot de ongeldigverklaring van het Privacy Shield tussen de EU en de VS, op 16 juli 2020. Dit leidde ertoe dat het voor elk type gegevensverwerker illegaal werd om gebruik te maken van diensten uit de VS, die deze diensten toegang zouden geven tot de persoonsgegevens van EU-burgers, zonder de risico's volledig uit te leggen. De gevolgen waren zeer ernstig, zo ernstig zelfs dat sommige grote Amerikaanse bedrijven (bv. Facebook) overwogen hun activiteiten in de EU helemaal stop te zetten.

Een eerdere zaak, bekend onder de naam Schrems I, die door dezelfde persoon was aangespannen, had in 2015 aan de basis gestaan van een soortgelijke uitkomst. De beslissing van het HvJ in de zaak Schrems II was gebaseerd op het argument dat, met name als gevolg van Amerikaanse wetgeving zoals deCLOUD Act, er geen manier is om de privacy van persoonsgegevens te waarborgen als deze worden verwerkt door Amerikaanse bedrijven. Federale agentschappen kunnen met een bevelschrift altijd gegevensverwerkers als Google of Facebook dwingen om persoonlijke informatie over gebruikers vrij te geven, zonder dat zij daarvoor toestemming hoeven te geven. Het maakt niet uit waar de servers met de gegevens fysiek zijn geplaatst. Daarom moet elke EU-burger die toegang heeft tot een website die in de VS wordt gehost, of een website die gebruik maakt van apps van derden die door Amerikaanse bedrijven worden beheerd (bv. Google Analytics), goed worden geïnformeerd over alle juridische implicaties van de gegevensoverdracht, alsmede over alle risico's.

Voor meer details over de gevolgen van Schrems II, kunt u dit overzicht lezen. Samengevat zijn dat

  • website-eigenaren met bezoekers uit de EU mogen geen gegevens buiten de EU opslaan, tenzij de wetgeving van dat land een passend niveau van bescherming van de gegevens kan bieden
  • diensten van derden die door een website worden gebruikt, moeten ook bescherming bieden, en kunnen dus niet in de VS zijn gevestigd. Deze diensten kunnen onder meer zijn: instrumenten voor websiteanalyse, instrumenten voor klantenrelatiebeheer, reclamediensten, chatinstrumenten, instrumenten voor inzicht in gebruikers, enz.
  • de lijst van Amerikaanse bedrijven die op basis van het Privacy Shield waren vrijgesteld van de regels, was niet langer legaal actief
  • toestemmingsbanners moeten specifieke cookie-informatie bevatten, evenals voorschriften inzake gegevensoverdracht