De Oostenrijkse privacy-activist Max Schrems heeft met zijn stichting noyb (none of your business) meerdere klachten ingediend bij diverse Europese privacy-waakhonden. De klachten gaan over 101 grote Europese websites, waaronder ook de Nederlandse sites Marktplaats en PostNL. Volgens Schrems hevelen deze sites via Google of Facebook nog altijd data over naar de VS, terwijl een juridische basis daarvoor ontbreekt.
In juli van dit jaar heeft het Europese Hof van Justitie het EU-VS Privacy Shield ongeldig verklaard in de zaak Schrems II. Dit betekent dat organisaties in de EU geen persoonsgegevens aan de VS meer kunnen doorgeven op grond van het Privacy Shield. De AVG stelt dat persoonsgegevens niet zomaar mogen worden doorgegeven aan personen of organisaties die gevestigd zijn in landen buiten de Europese Economische Ruimte, zoals de VS. De indiening van de 101 klachten volgt op deze uitspraak. Bedrijven mogen enkel nog het middel van de standaardclausules gebruiken, maar alleen wanneer het betreffende land passende bescherming biedt op grond van de GDPR. Door de Amerikaanse surveillanceprogramma’s is hier volgens het Hof geen sprake van. Door het uitvoeren van een snelle analyse van de HTML code van verschillende grote Europese websites kwam noyb erachter dat veel bedrijven nog altijd gebruik maken van Google Analytics of Facebook Connect. Volgens noyb worden via deze diensten persoonsgegevens verwerkt en worden die data vervolgens doorgegeven aan de VS. Voor de uitwisseling van deze gegevens is conform de AVG een wettelijke basis vereist, die volgens Schrems is komen te vervallen door de uitspraak van het Europese Hof. "Er wordt op basis van codefragmenten data over elke bezoeker doorgegeven aan Google of Facebook. Beide bedrijven geven toe dat ze data over Europeanen doorgeven aan de VS voor verwerking, omdat ze wettelijk verplicht zijn de data beschikbaar te stellen aan Amerikaanse instanties, zoals de NSA. Google Analytics noch Facebook Connect zijn essentieel om de webpagina's te laten draaien en het zijn diensten die inmiddels al hadden kunnen zijn vervangen of op zijn minst uitgeschakeld", aldus Schrems.
In Nederland heeft Noyb M klachten ingediend bij de Autoriteit Persoonsgegevens over Marktplaats, PostNL, Thuisbezorgd en Lieferando. Volgens noyb zijn de toezichthouders verantwoordelijk en wettelijk verplicht om actie te ondernemen bij inbreuken als deze. Bij deze sites werd tijdens het bezoek in ieder geval het ip-adres en de cookiegegevens van de bezoeker verwerkt. Deze gegevens zijn volgens noyb direct dan wel indirect overgedragen aan Facebook Inc. in de VS. De AP wordt verzocht de klachten te onderzoeken, om te kijken naar de overdrachtsmechanismen, maar bovenal om onmiddellijk een verbod of opschorting van de gegevensstromen naar de VS op te leggen. Tot slot wil noyb dat er een evenredige en afschrikwekkende boete wordt opgelegd aan de voor verwerking verantwoordelijke partijen. De EDPB heeft aangegeven dat bedrijven hun datatransfers per direct tegen het licht moeten houden.
Bij CookieCode vinden we het erg belangrijk dat uw site aan de AVG voldoet en dat bovenstaande problemen zich niet voordoen. Een site die compliant is aan de AVG zorgt er niet alleen voor dat uw klanten geen boete riskeren, maar vooral dat de website van uw klant een betrouwbare uitstraling heeft richting zijn (potentiële) klanten. Ons team bestaat uit specialisten op ICT en juridisch gebied, waardoor we u op veel gebieden kunnen adviseren. Benieuwd hoe CookieCode u kan ondersteunen? Neem dan vrijblijvend contact op.