Gebruik Mailchimp is in overtreding met de AVG.
Organisaties mogen geen gebruik meer maken van Mailchimp voor het sturen van e-mails heeft een privacy toezichthouder uit Beieren geoordeeld. (Voor Duitsland en Nederland gelden namelijk dezelfde AVG-regels). Mailchimp mag niet meer gebruikt worden omdat hiermee onrechtmatig e-mailadressen worden doorgegeven buiten de EU.
NOYB dient klacht in tegen Mailchimp.
NOYB diende klacht in tegen Mailchimp. NOYB is de organisatie van privacy activist Max Schrems, welke ook verantwoordelijk is voor de Schrems I- en Schrems II- uitspraken van het Europese Hof van Justitie (HvJ-EU). Het dataverkeer in deze zaken werden naar de VS op basis van respectievelijk de Safe Harbor- en Privacy Shield-regeling onrechtmatig verklaard.
Om het gebruik van marketingtools en cloudoplossingen van buiten de EU te verbieden geeft de uitspraak van de Beierse toezichthouder een interessante kijk hoe dit in praktijk wordt toegepast.
NOYB heeft deze uitspraak zelf bekend gemaakt. De klacht van NOYB ging over Mailchimp, een organisatie die verwerkingsverantwoordelijk is voor e-mailtools. De privacy toezichthouder heeft Mailchimp om opheldering gevraagd en de consequenties uitgelegd van de Schrems II-uitspraak. Laterna heeft de organisatie aangegeven per direct te stoppen met het gebruik van Mailchimp.
Reactie organisatie.
De betreffende organisatie verweerde zich tegen de uitspraak van de privacy toezichthouder door uit te leggen dat het alleen e-mailadressen met Mailchimp had gedeeld voor het verzenden van e-mail. De aanbevelingen van de EDPB voor aanvullende waarborgen bovenop SCC’s waren niet toegepast omdat die aanbeveling nog niet defenitief is.
Privacy toezichthouder.
Privacy toezichthouder ging met reactie van de organisatie niet akkoord. Er was namelijk sprake van doorgifte van persoonsgegevens buiten de EU. De organisatie had zelf moeten beoordelen op basis van SCC’s of er aanvullende waarborgen nodig waren. In dit geval waren er aanvullende waarborgen nodig om te zorgen voor rechtmatige doorgifte. Dit omdat er datadoorgifte naar de VS ging, hiervan is bekend dat de inlichtingsdiensten toegang hebben tot de data van cloudpartijen zoals Mailchimp.
Er is maar één conclusie mogelijk; als de verantwoordelijke organisatie met aanvullende waarborgen was gekomen had dit probleem (toegang door inlichtingendiensten buiten de EU) verholpen kunnen worden. Zo’n aanvullende maatregel kan encryptie zijn. Als Mailchimp deze aanvullende maatregel gebruikt had, was er geen toegang geweest tot persoonsgegevens buiten de EU.
Hoe verder?
De Beierse privacy toezichthouder dat deze zaak leidde is voor de manier waarop het de Schrems II-criteria zal toepassen bij handhaving gegaan. De prioriteit moet wel degelijk bij de handhaving liggen, dat wilt hij ook benadrukken.
Er is tot op heden nog geen onderzoek gepubliceerd, omdat de aangesproken organisaties hun werkwijze hebben aangepast.
Veel data-driven marketingtools en cloudoplossingen verwerken data buiten de EU. Hierdoor viel het te verwachten dat de impact van de Schrems II-uitspraak op de data-drive marketingsector groot zou zijn. De situatie rondom Mailchimp (in Beieren) maakt het duidelijk dat het op dit moment al impact heeft op de praktijk. Er zijn koepelorganisaties zoals FEDMA welke DDMA input geleverd heeft op de EDPB-aanbevelingen voor aanvullende waarborgen die data-doorgifte met Standard Contractual Clauses mogelijk moet maken. Hopende dat deze definitieve aanbevelingen van EDPB een werkbare oplossing bieden. Hoe hoger het risico voor de betrokkenen, hoe zwaarder de maatregelen die nodig zijn.
Op dit moment is het afwachten met welke aanbevelingen EDPB komen, ook kijken we met een schuin oog naar de onderhandelingen tussen de Europese Commissie en de Amerikaanse regering. Er wordt gesproken over een opvolger van het Privacy Shield, mocht dat lukken zijn we weer terug bij de oude situatie. Als we dan kijken vanuit AVG-perspectief is doorgifte weer mogelijk naar gecertificeerde Amerikaanse organisaties.
De vraag is hoe lang de afspraak standhoudt, maar de onderliggende problematiek, van toegang door inlichtingsdiensten is hiermee niet opgelost.
Hulp door NOMAXX.
Wil je meer weten over het gebruik van Mailchimp? Of juist het overstappen naar een veiliger data-driven marketingtool laat het ons weten, wij van NOMAXX. leggen je alles uitgebreid uit en helpen je overstappen naar een nieuwe marketingtool welke wél volgens de AVG-regels acteert.
Nog meer tips?
Ons team zit vol ideeën en inspiratie, welke ze met heel veel plezier willen inzetten om jouw webshop/site een stabiele groei te geven. Profiteer ook van onze expertise. Stuur ons gerust een berichtje voor een digitaal kopje koffie!
