Wat is Schrems II (HvJ EU C-311/18)?

Het arrest HvJ EU C-311/18 (Schrems II) van 16 juli 2020 hervormde het EU-data-doorgifte-recht. Aanleiding: Maximilian Schrems' klacht tegen Facebook Ireland → Facebook USA waarbij de Ier zich beroept op de Charter van de Grondrechten. Kernuitspraken: (1) Het EU-US Privacy Shield (de toenmalige basis voor data-doorgifte naar de VS) is per direct ongeldig — onvoldoende bescherming tegen Amerikaanse surveillance (FISA 702 + EO 12333). (2) SCCs blijven geldig, maar gebruikers moeten per geval beoordelen of het bestemmingsland aanvullende waarborgen biedt. Werkt SCC alleen niet? Dan aanvullende maatregelen nodig of stop met doorgifte. Gevolg: in Nederland concrete aanwijzingen — AP heeft sinds 2022 onderzoek gedaan naar bedrijven die nog Google Analytics gebruiken (zaak vergelijkbaar met Frankrijk + Oostenrijk). Veel bedrijven zijn overgestapt op zelf-gehoste analytics (Matomo, Plausible) of EU-only-cloud-leveranciers. Transfer Impact Assessment (TIA): verplicht onderdeel sinds Schrems II. Beoordeel: surveillance-wetgeving bestemmingsland, beschikbaarheid van rechterlijke toetsing, en welke aanvullende maatregelen nodig zijn. Schrems III? De 2023 EU-US Data Privacy Framework is opvolger van Privacy Shield. NOYB (Schrems' NGO) heeft alvast aangekondigd dit ook aan te vechten — verwacht uitspraak ~2026-2027. Praktisch voor Nederlandse MKB: als je US SaaS-tools gebruikt (HubSpot, Mailchimp, Slack), check DPA + SCCs + TIA. Veiligst: kies EU-only-alternatief waar mogelijk.