Op 15 maart 2021 oordeelde de Duitse gegevensbeschermingsautoriteit van Beieren (BayLDA) dat een Duitse organisatie Mailchimp niet meer mag gebruiken voor het verzenden van hun e-mails. Het gebruik van Mailchimp is in strijd met de AVG, omdat hiermee gegevens onrechtmatig worden doorgestuurd buiten de Europese Unie. Een klacht van een abonnee over het doorsturen van gegevens naar de Verenigde Staten was aanleiding voor het onderzoek.
Eerder (juli 2020) heeft het Hof van Justitie van de Europese Unie het Privacy Shield ongeldig verklaard. Hierdoor zijn Nederlandse partijen die samenwerken met Amerikaanse partijen als Mailchimp, en persoonsgegevens verwerken, in overtreding van de wet. De uitspraak van de BayLDA is de eerste uitspraak waarin wordt geoordeeld dat een Europese organisatie die gebruikmaakt van een Amerikaanse e-mail tool artikel 44 van de AVG schendt. Als gevolg van de uitspraak heeft het bedrijf, het Duitse FOGS Magazin, onmiddellijk de samenwerking met Mailchimp stopgezet.
Belangrijkste punten uit het vonnis
1) De uitspraak dicteert dat Mailchimp, als de ontvanger van de e-mailadressen van nieuwsbriefabonnees, zou kunnen kwalificeren als een “elektronische communicatiedienstverlener” onder de Amerikaanse toegangswetgeving. En dat inlichtingendiensten dus toegang zouden kunnen hebben tot informatie over contacten.
2) Het bedrijf beriep zich op de SCC (Standard Contractual Clauses) voor de overdracht van gegevens buiten de EU, maar deze standaardclausules zijn ontoereikend voor een goede bescherming van contactinformatie.
Welke stappen kun je nemen?
Wanneer je samenwerkt met een Amerikaans bedrijf waarmee gegevens worden gedeeld, en dit bedrijf niet gecertificeerd is voor de AVG, zijn er naast de standaardcontracten aanvullende maatregelen nodig om aan de regelgeving te voldoen. Amerikaanse inlichtingendiensten hebben toegang tot gegevens die in de cloud zijn opgeslagen, dus deze extra beveiligen zijn essentieel.
Veel bedrijven wachten op de aanbevelingen van de EDPB (European Data Protection Board) over deze kwestie en op de gesprekken tussen de Europese Unie en de Verenigde Staten om tot een overeenkomst te komen die het ongeldig verklaarde Privacy Shield vervangt. Maar als er een overeenkomst wordt bereikt, hoe lang zou die dan van kracht zijn? Want het belangrijkste obstakel, de toegang van de Amerikaanse geheime diensten tot de opgeslagen gegevens, zal daar blijven.
Lees vooral ook de uitleg van de Duitse toezichthouder in een artikel van het European Data Protection Board.
Ons advies?
Samenvattend: wij, als Europese ESP, raden aan om te kiezen voor zekerheid. Maak je op dit moment gebruik van een Amerikaanse ESP, zoals Mailchimp, SendGrid of een andere partij, kijk dan vooral naar de Europese alternatieven met servers in Europa.
Bij Tripolis staan privacy en security van data voorop. We zijn ISO 27001 gecertificeerd, in het bezit van een Gouden Privacy Waarborg en onze servers staan uiteraard op Nederlands grondgebied. Heb je specifieke vragen over het opslaan van je data in Europa en/of (email) marketing automation? Neem gerust vrijblijvend contact met ons op.
Heb je vragen?
Vul dan je bericht in en wij nemen zo snel mogelijk contact met je op.
