Gebruik Mailchimp is overtreding van de AVG
In Duitsland, maar in Nederland hebben we uiteraard te maken met dezelfde AVG
Een privacytoezichthouder uit Beieren heeft geoordeeld dat een organisatie geen gebruik mag maken van Mailchimp voor het sturen van e-mail, omdat hiermee onrechtmatig e-mailadressen worden doorgegeven buiten de EU. In de data-driven marketingsector wordt veel gebruik gemaakt van cloudoplossingen als Mailchimp, die data opslaan buiten de EU. In dit artikel licht ik toe wat de consequenties hiervan kunnen zijn.
De klacht in deze zaak werd ingediend door NOYB. Dit is de organisatie van de inmiddels bekende privacyactivist Max Schrems, die ook verantwoordelijk is voor de Schrems I- en Schrems II-uitspraken van het Europese Hof van Justitie (HvJ-EU). In deze zaken werd het dataverkeer naar de VS op basis van respectievelijk de Safe Harbor- en de Privacy Shield-regeling onrechtmatig verklaard. Aan doorgifte op basis van Standard Contractual Clauses (SCC) werden vergaande randvoorwaarden gesteld. De uitspraak van de Beierse toezichthouder geeft ons een interessante kijk op hoe deze uitspraken in de praktijk worden toegepast om het gebruik van marketingtools en cloudoplossingen van buiten de EU te verbieden. In de Explained: Data delen buiten de EU lees je meer over de precieze consequenties van de Schrems II-uitspraak.
Het besluit van de Duitse toezichthouder is niet gepubliceerd, maar door NOYB zelf bekend gemaakt. In deze publicatie van de EDPB (koepel van Europese privacytoezichthouders) licht de Duitse toezichthouder wel toe wat er gebeurd is. De klacht van NOYB ging over een organisatie die verwerkingsverantwoordelijke is voor het gebruik van e-mailtool Mailchimp. Na ontvangst van de klacht heeft de toezichthouder de verwerkingsverantwoordelijke om opheldering gevraagd en de consequenties van de Schrems II-uitspraak uitgelegd. De organisatie heeft toen laten weten per direct gestopt te zijn met het gebruik van Mailchimp.
Verweer van de organisatie
De aangesproken organisatie verweerde zich door uit te leggen dat het alleen e-mailadressen met Mailchimp had gedeeld voor het verzenden van e-mail. Ook gaf het aan de aanbevelingen van de EDPB voor aanvullende waarborgen bovenop SCC’s (nodig in landen waar het beschermingsniveau te laag is) niet had toegepast omdat die aanbeveling nog niet definitief is. Het zou willen wachten op de definitieve versie.
Beoordeling toezichthouder
De toezichthouder ging hier niet mee akkoord. Het gaf aan dat er sprake was van doorgifte van persoonsgegevens buiten de EU. Omdat dit gebeurde op basis van de modelcontracten (SCC’s) had de organisatie moeten beoordelen of er aanvullende waarborgen nodig waren. Omdat het in dit geval ging om datadoorgifte naar de VS, waarvan bekend is dat inlichtingendiensten toegang kunnen hebben tot data van cloudpartijen, waren aanvullende waarborgen nodig om te zorgen voor rechtmatige doorgifte. Volgens de toezichthouder is er daardoor maar één conclusie mogelijk: de doorgifte van data kon alleen rechtmatig zijn als de verantwoordelijke organisatie ervoor had gezorgd dat er met aanvullende waarborgen voor had gezorgd dat het probleem (toegang door inlichtingendiensten) verholpen was. Op basis van de conceptversie van de EDPB-aanbevelingen weten we dat zo’n aanvullende maatregel bijvoorbeeld encryptie kan zijn, waardoor er bij Mailchimp geen toegang was geweest tot persoonsgegevens.
Een voorbode voor meer handhaving?
Tot slot benadrukt de Duitse toezichthouder dat deze zaak exemplarisch is voor de manier waarop het de Schrems II-criteria zal toepassen bij handhaving. De toezichthouder stelt dat, ondanks herhaaldelijke kritiek op het uitblijven handhaving, de prioriteit wel degelijk bij handhaven ligt.
Het zal spannend worden hoe onze toezichthouder omgaat met deze lastige situatie voor ondernemers
Er zijn nog geen onderzoeken gepubliceerd, omdat de door hen aangesproken organisaties hun werkwijze hebben aangepast. Het gaat in dit geval om een Duitse toezichthouder, maar in Nederland hebben we uiteraard te maken met dezelfde AVG. Het zal spannend worden hoe onze toezichthouder omgaat met deze lastige situatie voor ondernemers.
Wat betekent dit voor de data-driven marketingsector?
Data-driven marketing is sterk verweven met tools en cloudoplossingen die data verwerken buiten de EU. Dat de impact van de Schrems II-uitspraak op onze sector groot zou zijn was daarom verwacht. De situatie rondom Mailchimp in Beieren maakt echter duidelijk dat het op dit moment al impact heeft op de praktijk. Via onze koepelorganisatie FEDMA heeft DDMA input geleverd op de EDPB-aanbevelingen voor aanvullende waarborgen die data-doorgifte met Standard Contractual Clauses mogelijk moeten maken. We hopen dat de definitieve aanbevelingen van de EDPB een werkbare oplossing bieden waarbij ruimte is voor een risico-gebaseerde aanpak: hoe groter het risico voor de betrokkenen, hoe zwaarder de maatregelen die nodig zijn. Die aanpak wordt ook gesteund door de Europese Commissie, maar het is nu afwachten of de EDPB hier ook achter staat.
Politiek de echte oplossing?
Terwijl organisaties in heel Europa gespannen in de gaten houden met welke aanbevelingen de EDPB komt kijken we met een schuin oog naar de onderhandelingen tussen de Europese Commissie en de Amerikaanse regering. Daar wordt gesproken over een opvolger van het Privacy Shield. Als dat lukt dan zijn we terug bij de oude situatie. Vanuit AVG-perspectief is doorgifte dan weer mogelijk naar gecertificeerde Amerikaanse organisaties. De vraag is dan hoe lang die afspraak standhoudt. De onderliggende problematiek van toegang door inlichtingendiensten is hiermee immers niet opgelost.
Idd iets om rekening mee te houden. Wat zijn goede alternatieven voor MailChimp die wél AVG-proof zijn? Laposta? Heeft iemand goede ervaringen met andere mailprogramma’s?
Beste RS,
Als er manieren zijn om doorgifte buiten de EU te voorkomen bij gebruik van Mailchimp dan hoor ik graag hoe dat werkt. Op de website waar je naar verwijst zie ik heel wat informatie, maar niets om doorgifte beperken of privacy te waarborgen in de VS.
Dit is inderdaad een lastige situatie voor ondernemers. Nu moet dus van iedere Cloud oplossing opgezocht worden waar de servers zich bevinden. En hoe zeker ben je dat inlichtingsdiensten in Europa geen toegang hebben tot deze gegevens?
Zouden (Amerikaanse) inlichtingendiensten echt op zoek zijn naar de nieuwsbrieven waar ik op ingeschreven ben? Want nu hebben we het over een situatie waarop mogelijk iemand anders toegang heeft zonder dat dat bekend wordt gemaakt. En om die reden moet een ondernemer wisselen van platform.
Ik vind privacy ook erg belangrijk, maar dit is voor de gemiddelde ondernemer erg lastig uit te voeren.
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!