Bedrijven die doorgaan met het doorsturen van data van Europese gebruikers naar de VS ondanks het opheffen van het Privacy Shield, overtreden daarmee de wet en kunnen zodoende in de problemen komen. Daarvoor waarschuwt het European Data Protection Board (EDPB).
Vorige week zette de Europese Unie een streep door het Privacy Shield, dat was opgezet om het legaal verzend van data verkregen van Europese gebruikers, te versturen naar Amerikaanse datacenters. Aangezien de privacywetgeving in de VS (zeker met het oog op de introductie van de GDPR in de EU) beduidend anders is dan in Europa, kon het handhaven van privacy volgens Europese richtlijnen niet worden gegarandeerd.
Het probleem voor veel bedrijven die voorheen gebruikmaakten van de Privacy Shield-optie, is dat er geen direct alternatief wordt geboden. Het European Data Protection Board waarschuwt organisaties dan ook dat er geen sprake is van een overgangsperiode, maar dat er per direct gestopt moet worden met het versturen van Europese data naar de VS.
Alternatieven ook aan zijden draad na uitspraak
De reden dat Privacy Shield komt te vervallen, is het niet kunnen garanderen van de privacy van gebruikers als de data in de VS ligt. Amerikaanse inlichtingendiensten zouden te makkelijk dergelijke gegevens kunnen opvragen, wat in strijd is met de Europese regelgeving. Eén groot probleem: datzelfde argument kan worden aangehaald bij eventuele alternatieven om Europese data in Amerikaanse datacenters te krijgen.
Standard Contractual Clauses (SCC’s) zouden in theorie gebruikt kunnen worden, maar ook daarvoor geldt dat de privacy van gebruikers gewaarborgd kan worden. Daarvoor moeten bedrijven eerst individueel analyseren wat voor extra maatregelen er genomen moeten worden en komt met een grote ‘maar’. Als het vermoeden bestaat dat ook hier vraagtekens bij de privacy geplaatst kunnen worden, is het een no-go.
Bedrijven die voorheen gebruikmaakten van het Privacy Shield zullen hoe dan ook naar buiten moeten treden met informatie over hoe zij nu verdergaan. Wordt toch overgestapt op het gebruik van SCC’s, dan moet ook dat worden gemeld bij de relevante autoriteit.
18 uur geleden
