Het gebruik van Mailchimp is in strijd met de AVG. Dat heeft een Duitse toezichthouder onlangs bepaald. De privacy van Europese burgers wordt onvoldoende gewaarborgd omdat hun persoonsgegevens op Amerikaanse servers staan opgeslagen. Gebruik jij Mailchimp? Of ga je er in de toekomst mee aan de slag? Dan loop je het risico om hierop aangesproken te worden door de Nederlandse privacytoezichthouder. In deze blog leg ik uit hoe het zit en noem ik alternatieve platformen. Want die zijn er zeker.
Wat is er aan de hand?
In april 2021 heeft één van de Duitse privacytoezichthouders vastgesteld dat het gebruik van Mailchimp een overtreding is van de AVG. Mailchimp is een dienstverlening van The Rocket Science Group LLC dat in Amerika gevestigd is. De Duitse toezichthouder laat weten dat door het gebruik van Mailchimp e-mailadressen onrechtmatig worden doorgegeven buiten de Europese Economische Ruimte (EER). Met de komst van de AVG-wetgeving In Nederland (en Europa) worden daar strikte privacy-eisen aan gesteld. Amerikaanse partijen zoals Mailchimp moeten aan de eisen van de AVG voldoen als ze data van Europeanen verwerken en opslaan.
Privacy Shield ongeldig verklaard
Tot juli 2020 waren deze privacy-eisen afgestemd in de Privacy Shield-regeling. De regeling bevat afspraken tussen Europa en de Verenigde Staten over de bescherming van de privacy van Europese burgers, op het moment dat Amerikaanse bedrijven persoonsgegevens verwerken. In juli 2020 heeft het Hof van Justitie van de Europese Unie de Privacy Shield ongeldig verklaard. De afspraken waren niet voldoende. Men vond dat de privacy van EU-burgers niet goed werd gewaarborgd. Hierdoor kon data van Europeanen niet zomaar meer in de VS opgeslagen en verwerkt worden.
Duits bedrijf op de vingers getikt
Door het vervallen van Privacy Shield heeft een Duitse privacytoezichthouder geoordeeld dat een specifieke Duitse organisatie (bedrijfsnaam onbekend) geen mails meer mag versturen met Mailchimp. Door het gebruik van Mailchimp zouden er onrechtmatig gegevens worden doorgegeven buiten de Europese Unie. Dit is in strijd met de AVG-wetgeving. Het aangeklaagde bedrijf is er zonder boete vanaf gekomen, maar is na de uitspraak wel direct gestopt met het gebruik van Mailchimp. De boete verviel omdat het bedrijf in Mailchimp beschikte over beperkte persoonsgegevens. Het ging alleen om e-mailadressen.
Risico voor Nederlandse ondernemers
Nu hoor ik je denken: “Lopen Nederlandse bedrijven ook gevaar?” Het antwoord is ‘ja’. De uitspraak in Duitsland heeft zeker invloed op Nederland. Wij hebben namelijk te maken met dezelfde AVG-wet- en regelgeving. Ga maar eens na hoe dat zit bij jouw bedrijf. De kans is groot dat jij in Mailchimp e-mailadressen opslaat. Wellicht ook de voor- en achternamen van je klanten.
Hoe nu verder?
Na het opheffen van de Privacy Shield heeft Mailchimp actie ondernomen om haar gebruikers gerust te stellen:
“If you are located in the European Economic Area (EEA)/UK or use our platform to process data about your contacts in the EEA or UK, our Data Processing Addendum has been drafted to meet the requirements of the GDPR in order to enable you to transfer EEA/UK personal data to Mailchimp in the United States, and to permit Mailchimp to lawfully process that data on your behalf.
This DPA is incorporated directly into our Standard Terms of Use and does not require a signature. By using Mailchimp or signing up for an account, you’re agreeing to these Terms.
Under Mailchimp’s Terms of Use and Privacy Policy, each user promises that their use will be compliant with all applicable laws.”
Hoewel de Privacy Shield dus officieel is opgeheven, claimt Mailchimp nog steeds te handelen volgens die richtlijnen. Persoonsgegevens uit de EU zouden beschermd zijn in de VS. Dat komt omdat het Hof van Justitie van de Europese Unie, tijdens het opheffen van Privacy Shield, bevestigde dat zogeheten SCCs (Standard Contractual Clauses) geldig blijven. SCCs zijn modelcontractbepalingen voor verwerkers, goedgekeurd door de Europese Commissie of de Zwitserse federale autoriteit voor gegevensbescherming. Volgens het Europese Hof blijven die SCCs een geldig instrument om persoonlijke data buiten de EU op Amerikaanse servers op te slaan. Mailchimp beroept zich op die SCCs. Lees er meer over in dit artikel. Mailchimp waarschuwt wel dat dit case-by-case aangevochten kan worden zoals in Duitsland het geval was.
Wat betekent dit voor jouw bedrijf?
Ondanks het feit dat Mailchimp zich op de SCCs beroept, beveiligingsmaatregelen heeft genomen en volgens het Privacy Shield handelt, kunnen Amerikaanse inlichtingendiensten nog steeds druk uitoefenen op Mailchimp om hen de opgeslagen persoonsgegevens te overhandigen. De Amerikaanse wetgeving staat de eigen overheidsdiensten toe om zich te mengen in data binnen de private sector dankzij de FISA 702. Omdat de persoonsgegevens op Amerikaanse servers staan kunnen zij hier dus aanspraak op maken. Dat staat haaks op de AVG.
Omdat de FISA over ‘electronic communication service providers‘ gaat, heeft deze uitspraak effect op vrijwel alle marketingtools. Hierbij gaat het dan niet alleen om de marketingtool zelf, maar ook om de sub verwerkers die de aanbieders van deze tools inschakelen. Electronic communication providers zijn dan bijvoorbeeld de e-maildiensten, cloudopslag en Internet Service Providers (ISP’s) die jouw organisatie (of de verwerkers waarmee je organisatie samenwerkt) gebruikt.
De uitspraak in Duitsland kan dus een signaal zijn voor de Nederlandse toezichthouder (Autoriteit Persoonsgegevens). Die kan jou in de toekomst hierop aanspreken en eventueel een boete opleggen omdat jij ook gebruikmaakt van MailChimp.
Ontwikkelingen
Achter de schermen werkt men aan een Privacy Shield 2.0, of een andere opvolger van de originele overeenkomst tussen de EU en de VS. Het is nog onduidelijk wanneer die er gaat komen.
Tot die tijd bestaat de kans dat privacytoezichthouders bedrijven aanspreken op het gebruik van Mailchimp. Ook boetes liggen op de loer. Het is mogelijk dat een bedrijf besluit door te procederen om inzichtelijk te krijgen waarom er sprake is van een AVG-overtreding. Dat was bij het eerdergenoemde Duitse bedrijf niet het geval.
Mogelijk besluit Mailchimp om persoonsgegevens van Europese gebruikers binnen de EU op te slaan. Hier zijn nog geen signalen van bekend. Het is dus de vraag of dat echt gaat gebeuren.
Alternatieve platformen
Natuurlijk wil jij voldoen aan de Europese privacywetgeving. Gebruik je nu Mailchimp of overweeg je het te gebruiken? Dan doe je er goed aan om uit te wijken naar een ander platform dat persoonsgegevens binnen de EU opslaat. Hoewel het Duitse bedrijf uit mijn voorbeeld er zonder boete vanaf is gekomen, wil dat niet zeggen dat het bij jou ook lukt. De Autoriteit Persoonsgegevens gaat strenger toezien op naleving van de AVG-wetgeving. Het Duitse bedrijf kan voor hen ook een startsignaal zijn om bedrijven in Nederland te controleren.
Ga dus voor safe en onderzoek de mogelijkheden op het gebied van Europese e-mailplatformen. Er zijn genoeg alternatieven beschikbaar. Kijk bijvoorbeeld eens naar Copernica, Spotler of Mailcamp. Met deze software blijven persoonsgegevens die je verzamelt binnen de EU en voldoe je dus aan de Europese privacywetgeving. Houd wel in je achterhoofd dat het migreren naar een ander platform veel tijd kost. En geld natuurlijk. Maar gezien de hoge boetes die de Autoriteit Persoonsgegevens oplegt, is het de investering zeker waard. Zet alle opties op een rijtje, doe onderzoek en kies daarna het platform dat het beste bij jouw bedrijf past.
Dit artikel is nagekeken en beoordeeld op juridische juistheid door een privacy jurist.
Reacties