Bedrijven en organisaties die gebruikmaakten van het Privacy Shield om data naar de Verenigde Staten te sturen, moeten onmiddellijk handelen nu de regeling van tafel is geveegd. Er is geen bedenktijd, meldt het Europees Comité voor gegevensbescherming (EDPB) vrijdag op zijn website.

Dat betekent dat het versturen van data naar de VS via het Privacy Shield illegaal is sinds het Europees Hof van Justitie de methode vorige week donderdag van tafel veegde. Volgens de hoogste Europese rechter worden de gegevens in de Amerikaanse wet minder goed beschermd dan de EU.

Andere methoden om data naar de VS te sturen kunnen onder voorwaarden nog wel gebruikt worden. In feite komt het erop neer dat bedrijven die gegevens naar de VS sturen dat alleen mogen doen als de data net zo goed beschermd zouden worden als in de Europese Unie het geval zou zijn.

De maatregel betekent dat bedrijven moeten heroverwegen of zij data in de VS willen opslaan. Europese bedrijven kunnen uitwijken naar een ander land, maar de gegevens ook opslaan in een van de 27 EU-lidstaten of in IJsland, Noorwegen of Liechtenstein.

Bedrijven die een andere juridische grond dan het Privacy Shield gebruiken, moeten zelf onderzoeken of er genoeg waarborgen zijn die de privacy van EU-burgers beschermt. Als zij op basis daarvan doorgaan met het versturen van de gegevens naar de VS, moet de nationale toezichthouder ingelicht worden.

Het besluit van het Europees Hof is gevallen in een zaak tussen Facebook en de Oostenrijkse privacyjurist en -activist Max Schrems. Door zijn toedoen werd de voorganger van het Privacy Shield, het Safe Harbour-verdrag, ook al ongeldig verklaard.