Vorige week woensdag hield Forrester de Security and Risk Global 2020 conference, hier was de nodige aandacht voor Schrems II. Schijnbaar hebben velen het EHvJ oordeel niet zien aankomen. Dat roept toch de nodige vragen op over de manier waarop CIO’s en CISO’s de zaak serieus hebben genomen.
Amerikaans publiek
Op CIOdive staat een verwijzing naar de online bijeenkomst van Forrester. Dat er elders niet veel over te vinden is kan komen door de doelgroep van die virtuele bijeenkomst. Het lijkt vooral bedoeld te zijn voor de Amerikaanse markt. Tijden in EST en prijzen Dollars zijn daarvoor de belangrijkste indicaties.
Het is waarschijnlijk ook daarom dat Schrems II op meerdere plekken in de agenda terug te vinden is. Daarbij is die naam niet geheel correct. Ja, Max Schrems is heel actief op het onderwerp, maar het zou beter zijn in de naam al duidelijk te maken dat het EHvJ Privacy Shield voor onwettig heeft verklaard.
De teneur van tenminste een presentatie, waar CIOdive over schrijft, is dat “Schrems II was unexpected” en “The CJEU called into question how effective mechanisms, like SCCs, are for data transfers under GDPR.”
Vervolgens wordt gewezen op de hogere kosten die bedrijven nu moeten maken om aan de AVG/GDPR eisen te kunnen voldoen.
Geen moeite genomen
Deze verbazing die schijnbaar bij Amerikaanse partijen aanwezig is echt heel raar. Een CIO of CISO hoort toch te weten wat de implicaties zijn van bestaande wetgeving en rechtsspraak. Zij horen ook te weten – niet op detail niveau, maar toch – wat op termijn een probleem gaat worden. Als ze het afschieten van Privacy Shield echt niet hebben zien aankomen dan hebben ze gewoon nooit de moeite genomen te begrijpen waarom de voorganger Safe Harbor is getorpedeerd.
Als een CISO van een multinational met vestigingen in de EU zich laat citeren met de woorden “Schrems II was unexpected” dan doet dat het ergste vermoeden.
