De streep die het Europese Hof van Justitie door de Privacy Shield-overeenkomst heeft gehaald, blijkt onmiddellijke gevolgen te kunnen hebben. Het European Data Protection Board (EDPB) maant bedrijven meteen het databeleid aan te passen na stopzetting van deze overeenkomst voor de doorgifte van gegevens van de EU naar de VS.
De Europese organisatie voor databescherming wijst erop dat het Hof geen overgangsperiode heeft ingesteld, omdat de Amerikaanse privacywetgeving de EU niet voldoende bescherming biedt. Bedrijven moeten daarom onderzoeken of er nog een wettelijke basis voor die overdracht is.
Wanneer die wettelijke basis ontbreekt, is stoppen de enige optie. De standaard modelcontracten die de Europese Commissie heeft opgesteld voor de doorgifte van persoonsgegevens (standard contractual clauses), bieden weinig soelaas. Deze scc’s zijn nog wel geldig, maar veelal zullen aanvullende maatregelen nodig zijn. Het bestaan van zo’n overeenkomst is in ieder geval geen reden om zomaar door te gaan. Het beleid dient nauwkeurig tegen het licht te worden gehouden.
Niet wachten
Met die evaluatie mag niet worden gewacht. Bedrijven moeten de situatie geval voor geval opnieuw beoordelen. Ze moeten daarbij rekening houden met de omstandigheden van de gegevensoverdrachten en eventueel extra maatregelen.
Die maatregelen moeten ervoor zorgen dat de wettelijke bescherming op hetzelfde niveau ligt als de EU-wetgeving. Ze kunnen van technische, juridische of organisatorische aard zijn. Lukt dit niet, dan moet met de overdracht van persoonsgegevens worden gestopt. Hetzelfde geldt voor de zogenoemde Binding Corporate Rules (BCR’s).