Geen overgangsperiode na einde Privacy Shield

Els Bellens
Els Bellens Technologiejournaliste bij Data News

De EDPB, de Europese gegevensbeschermingsautoriteit, geeft aan dat bedrijven best hun datatransfers meteen updaten, nu de Privacy Shield data-overeenkomst met de VS ongeldig is verklaard.

Vorige week schrapte het Europees Hooggerechtshof het verdrag dat datatransfers tussen de EU en de Verenigde Staten regelde. Dat Privacy Shield verdrag biedt niet genoeg garanties voor de privacy van burgers, aldus het Europees Hof.

Dat betekent ook dat bedrijven die de regeling gebruikten om data naar de VS te sturen, daar meteen mee moeten stoppen, aldus de EDPB. In een FAQ die de organisatie publiceerde (pdf), maakt ze onder meer duidelijk dat er geen overgangsperiode is. Bedrijven kijken dus best meteen na of hun beleid en processen aan verandering onderhevig zijn.

In de praktijk komt het erop neer dat het Europees Hooggerechtshof vindt dat gegevens van EU-burgers die naar andere landen worden gestuurd, dezelfde bescherming moeten krijgen als in de EU zelf, onder de GDPR privacyregels. Het Privacy Shield verdrag probeerde een overkoepelende oplossing te bieden om datatransfers naar de VS te sturen, bijvoorbeeld voor verwerking door grote techbedrijven als Facebook of Google, die in beide regio’s opereren. Maar dat verdrag blijkt dus niet streng genoeg. Bedrijven die andere manieren, zoals standaardcontracten (SCC’s) gebruikten om hun datatransfers te regelen, kunnen gewoon verder werken, op voorwaarde dat die contracten aan de GDPR voldoen. Bedrijven die de bredere Privacy Shield overeenkomst gebruikten, mogen geen data versturen naar de VS tot er een nieuw contract is.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content