Woordenlijst · Uitspraak EU-Hof Schrems II
De uitspraak van het Europees Hof van Justitie uit 2020 die het EU-VS Privacy Shield ongeldig verklaarde en trans-Atlantische gegevensoverdrachten juridisch precair maakte voor Europese bedrijven.
## Wat Schrems II eigenlijk besliste
Op 16 juli 2020 deed het Hof van Justitie van de Europese Unie (HvJ-EU) uitspraak in zaak C-311/18, bekend als Schrems II. De uitspraak deed twee dingen:
1. **Verklaarde het EU-VS Privacy Shield ongeldig** — het kader waarmee Amerikaanse bedrijven konden zelfcertificeren dat ze AVG-equivalente gegevensbeschermingsnormen hanteerden
2. **Verscherpte de eisen voor Standard Contractual Clauses (SCC's)** — het contractuele mechanisme dat nog wel was toegestaan voor trans-Atlantische gegevensoverdrachten
De zaak werd aangespannen door Max Schrems, de Oostenrijkse privacyjurist die eerder al in Schrems I (2015) de voorganger van Privacy Shield (Safe Harbor) ongeldig had laten verklaren.
## Waarom het Privacy Shield werd vernietigd
Het HvJ-EU stelde twee fundamentele problemen vast met de Amerikaanse rechtsbescherming voor EU-data:
1. **Amerikaanse surveillanceprogramma's** (met name FISA Section 702 en Executive Order 12333) staan massasurveillance van buitenlanders toe zonder rechterlijk toezicht dat gelijkwaardig is aan EU-normen
2. **Geen effectief rechtsmiddel** voor EU-burgers van wie de data onderwerp is van Amerikaanse surveillance — geen rechterlijke voorziening vergelijkbaar met wat de AVG vereist
Het hof concludeerde dat Amerikaanse rechtsbescherming onder de "in wezen gelijkwaardige" norm valt die de AVG vereist voor internationale gegevensoverdracht.
## Wat dit in de praktijk betekent
Na Schrems II hebben Europese bedrijven die persoonsgegevens naar de VS sturen drie opties:
**1. Gebruik Standard Contractual Clauses (SCC's) met aanvullende waarborgen.** SCC's blijven geldig, maar de last ligt bij de data-exporteur (het EU-bedrijf) om in te schatten of de Amerikaanse rechtsbescherming in zijn specifieke situatie toereikend is. Deze Transfer Impact Assessment (TIA) is operationeel complex.
**2. Gebruik uitsluitend EU-residentieverwerking.** Vermijd de trans-Atlantische overdracht volledig door te kiezen voor EU-gevestigde providers zonder Amerikaanse banden. Dit is de sterkste juridische bescherming.
**3. Gebruik het EU-VS Data Privacy Framework (DPF).** Vastgesteld in juli 2023, vervangt het DPF het Privacy Shield met versterkte beschermingen. Privacyactivisten waaronder Max Schrems hebben al aangekondigd het DPF voor de rechter aan te willen vechten (Schrems III).
Voor de meeste Europese bedrijven biedt optie 2 (EU-residentieverwerking) de schoonste juridische positie. Opties 1 en 3 werken, maar dragen aanhoudende juridische onzekerheid mee.
## Wat "Schrems III" zou kunnen brengen
Het EU-VS Data Privacy Framework (DPF), van kracht sinds 2023, is de huidige basis voor trans-Atlantische gegevensoverdracht. Belangrijkste wijzigingen ten opzichte van Privacy Shield:
- Een nieuwe "Data Protection Review Court" biedt rechterlijk toezicht op Amerikaanse inlichtingentoegang tot EU-data
- Strengere beperkingen op massadataverzameling
- Specifieke toezeggingen over proportionaliteit en noodzaak
De juridische uitdaging die NOYB (None Of Your Business — de organisatie van Schrems) al heeft ingediend, betoogt dat deze hervormingen nog steeds tekortschieten ten opzichte van de "in wezen gelijkwaardige" norm van de AVG. Een toekomstige Schrems III-uitspraak kan het DPF ongeldig verklaren en het trans-Atlantische overdrachtslandschap terugbrengen naar onzekerheid van na Schrems II.
Tijdlijn: een HvJ-EU-uitspraak over het DPF kan komen in 2026-2027.
## Waarom dit telt voor toolkeuze
Voor Europese bedrijven die in 2026 leveranciersbeslissingen nemen:
- **Het DPF is op dit moment geldig** maar juridisch onzeker
- **SCC's blijven het veiligere alternatief** maar vergen doorlopend TIA-werk
- **EU-residente providers** vermijden het overdrachtsvraagstuk volledig
Voor gevoelige toepassingen (gezondheidsgegevens, werknemersgegevens, klantgegevens van kwetsbare groepen) is het verstandige pad om vanaf het begin EU-residente providers te kiezen. Voor reguliere bedrijfsworkloads blijven Amerikaanse providers onder DPF + SCC's werkbaar, maar moeten ze periodiek worden herzien.
Schrems II is geen eenmalige gebeurtenis — het is een aanhoudende juridische spanning die periodiek terugkeert. Dit als achtergrondcontext behandelen in plaats van als crisis-van-de-maand is operationeel verstandig.
Was dit nuttig?
Bedankt voor je feedback!