Organisaties die persoonsgegevens doorgeven buiten de EER moeten rekening houden met de uitspraak van het Hof. Doorgifte naar de VS via Privacy Shield is niet meer toegestaan. Organisaties moeten de doorgiften naar de VS en andere derde landen opnieuw beoordelen. Denk bijvoorbeeld aan het gebruik van Microsoft, Google, Mailchimp of social media bij het verlenen van diensten.
Mogelijkheden van SCC’s
Het gaat in Schrems II onder andere om het niveau van bescherming van persoonsgegevens in het derde land. Dat moet gelijkwaardig zijn aan het niveau dat wij in de EER garanderen. Ook organisaties die SCC’s gebruiken, moeten rekening houden met dit vereiste. Dit betekent een heroverweging van de afgesloten SCC’s. Maak een beoordeling van het beschermingsniveau van persoonsgegevens in het land waar de persoonsgegevens verwerkt worden en doe dit in samenspraak met de verwerker. Die heeft immers kennis van de lokale wetgeving. De bewijslast blijft echter bij de verwerkingsverantwoordelijke liggen.
Klachtenregen voor bedrijven
Het Hof stelt expliciet dat het beschermingsniveau van persoonsgegevens in de VS niet gelijkwaardig is aan dat van de EER. Het Hof roept toezichthouders in Europa op hierop toe te zien en waar nodig in te grijpen. De Ierse toezichthouder heeft Facebook bevolen te stoppen met doorgifte van de EER naar de VS. Facebook tekende hiertegen beroep aan bij de Ierse rechter. De organisatie NOYB, mede opgericht door Max Schrems, diende ten tijde van schrijven al 101 klachten in tegen bedrijven die gebruikmaken van bijvoorbeeld Google en Facebook. Nederlandse voorbeelden zijn Marktplaats, PostNL en Takeaway. De European Data Protection Board (EDPB), het Europese orgaan waarin alle Europese toezichthouders op het gebied van gegevensbescherming zitting hebben, heeft inmiddels een taskforce opgericht voor de behandeling van deze klachten.
Niets doen is geen optie
Totdat een nieuwe afspraak tussen de EU en de VS is gemaakt, of tot het moment dat nadere richtlijnen beschikbaar zijn rond het gebruik van SCC’s, raden wij doorgifte van persoonsgegevens naar de VS af. Wees voorbereid op vragen vanuit de Autoriteit Persoonsgegevens (AP) of andere toezichthouders en zorg voor een solide juridische onderbouwing van de doorgifte. In tegenstelling tot de invoering van Safe Harbour, waar een overgangsperiode van 9 maanden was toegestaan, kunnen organisaties vandaag al een verzoek van de AP krijgen om aan te tonen wat zij hierin ondernemen. Het meest recente voorbeeld is het verzoek van de AP aan de GGD over de verzending van COVID-19 testresultaten aan een lab in Abu Dhabi. Kortom; niets doen is geen optie meer.