Wat is er gebeurd?
Op 15 maart heeft de Duitse (Beierse) Data Protection Authority (DPA) ‘Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) (Hierna: DPA) geoordeeld dat het gebruik van de email marketing service ‘Mailchimp’ zonder toestemming van betrokkenen onrechtmatig is. Het onderzoek was ingesteld nadat een betrokkene een klacht had ingediend tegen het Duitse FOGS Magazin, welke gebruik maakte van de nieuwsbrieftool Mailchimp. De betrokkene beweerde dat de doorgifte van e-mailadressen van abonnees naar Mailchimp (VS) onrechtmatig is, oftewel niet voldaan is aan artikel 44 van de AVG.
Het Privacy Shield is een door de Europese Commissie goedgekeurd zelfcertificeringsmechanisme voor Amerikaanse partijen (zoals ook Mailchimp), die daarmee aan kunnen tonen een vergelijkbare standaard voor gegevensbescherming te hanteren als verwerkingen binnen Europa (AVG). In juli 2020 werd het Privacy Shield voor de VS ongeldig verklaard door het Hof van Justitie van de EU (Schrems ll). Persoonsgegevens kunnen nu worden doorgegeven aan derde landen (buiten de EER) op basis van een geldig adequaatheidsbesluit, passende waarborgen (modelcontracten) of bindende bedrijfsvoorschriften, zo stelt artikel 44 van de AVG. De verwerking door Mailchimp was tot juli 2020 gebaseerd op het Privacy Shield. Na de ongeldigheidsverklaring van het Privacy Shield kon de doorgifte gebaseerd worden op basis van passende waarborgen (ook wel: Standard Contractual Clauses, hierna SCC). Bovengenoemde opties – en dus ook de SCC – zijn voor de VS door de recente uitspraak niet meer geldig. Door nationale wetgeving in de VS kan bijvoorbeeld Amerikaanse Veiligheidsdiensten zoals de NSA op basis van FISA-wetgeving ten alle tijde gegevens opvragen bij Amerikaanse organisaties. Daardoor worden het adequaatheidsbesluit, de passende waarborgen en bindende bedrijfsvoorschriften overruled door de wetgeving en kan dus geen sprake meer zijn van een passend of vergelijkbaar beschermingsniveau.
Waarom dit besluit?
Mailchimp wordt gezien als Electronic Service Provider. Om die reden kan het bedrijf onderworpen worden aan gegevenstoegang door Amerikaanse autoriteiten op basis van de Amerikaanse wet FISA702. De doorgifte kon enkel toelaatbaar zijn als daarvoor extra maatregelen – in het kader van Schrems ll – werden genomen. FOGS Magazin had niet onderzocht of er extra maatregelen nodig waren als aanvulling op de SCC.Het gebruik van Mailchimp werd daarom onrechtmatig verklaard door de Beierse DPA.
Inmiddels is in een recente uitspraak van de Franse DPA duidelijk geworden wat wordt verstaan onder ‘aanvullende maatregelen’ die moeten worden genomen wanneer gegevens worden doorgegeven op basis van SCC’s. Op organisatorisch vlak moet met de Amerikaanse partij worden afgesproken dat tegen een eventueel verzoek van een Amerikaanse autoriteit (zoals bv. de NSA) voor het opvragen van gegevens in het kader van de FISA-wetgeving bezwaar wordt gemaakt en dit voorgelegd wordt aan een bevoegde rechter. Daarnaast moeten er technische maatregelen worden genomen. In het geval van de uitspraak van de Franse Raad van State is dat het gebruik van encryptie, waarbij de sleutel in het beheer is van een zogenaamde Trusted Third Party (TTP)[1] in Europa (Voor meer informatie over deze uitspraak zie ons artikel over een recente uitspraak van de Franse RvS).
Verwachting Nederlands gebruik Mailchimp
Om een consequente toepassing van de AVG door Europese privacytoezichthouders te bevorderen hanteert de European Data Protection Board (EDPB) z.g.n. conformiteitstoetsing. Dit houdt in dat er een advies kan worden gegeven over algemene toepassingen van de AVG of over zaken waarvan in meer dan een lidstaat gevolgen worden ondervonden.[2] Naar aanleiding van het door de DPA genomen besluit zijn er twee gevolgen mogelijk. Een gevolg zou kunnen zijn dat het besluit van de DPA in de ogen van de EDPB grensoverschrijdende gevolgen heeft, en zij daarom een opinie geeft over het gebruik van Amerikaanse e-mail marketing services. Een ander gevolg zou kunnen zijn dat Mailchimp in beroep gaat tegen het door de Beierse DPA genomen besluit. Hiervoor zou Mailchimp overigens wel een nieuwe procedure moeten starten, omdat zij in eerste aanleg de zaak niet hebben aangespannen. In het kader van Schrems ll lijkt de eerste optie het meest voor de hand liggend. Wanneer de EDPB een advies geeft heeft dit gevolgen voor heel Europa en dus ook voor Nederland. Gezien het bij e-mail marketing service vaak alleen gaat om e-mailadressen van betrokkenen (klanten), zal de overstap naar een andere dienstverlener minder omvangrijk zijn dan wanneer de gehele dataset van een bedrijf op de servers van een Amerikaanse partij is opgeslagen.
Alternatief Mailchimp
Wanneer de EDPB een opinie geeft zullen we waarschijnlijk op zoek moeten naar een alternatief voor Mailchimp. Opmerkelijk is dat er veel Europese aanbieders zijn, maar dat deze toch gebruik maken van vestigingen/locaties in de VS. Het begrip ‘doorgifte’ moet breder worden geïnterpreteerd dan enkel het doorsturen van gegevens naar een derde land (buiten de EER). Ook wanneer vanuit derde landen toegang wordt geboden tot persoonsgegevens, is er sprake van doorgifte.[3] Dus Amerikaanse aanbieders met servers in Europa voldoet niet aan de AVG. We hebben daarom onderzoek gedaan naar Nederlandse alternatieven voor Mailchimp. Voor meer informatie, zie onze FAQ over doorgifte.
Nederlands alternatief
We hebben enkele Nederlandse alternatieven onderzocht op een aantal punten. Het heeft de voorkeur om onze persoonsgegevens – of die van onze klanten – binnen de EER te houden. Daarom is dit punt bij zowel de aanbieder zelf als bij de subverwerker(s) van de aanbieder onderzocht. Daarnaast is -voor de volledigheid- onderzocht welke prijs de aanbieders hanteren, hoeveel extra functies beschikbaar zijn in een abonnement en de mate van gebruikersvriendelijkheid. Al deze punten zijn samengebracht in onderstaand overzicht. De bevindingen zijn gebaseerd op informatie van websites of aanvullende informatie van aanbieders.
* DHVVP heeft besloten om niet mee te werken aan dit onderzoek.
La Posta is een overzichtelijke, gebruikersvriendelijk en begrijpelijk platform. Het beschikt over 20 verschillende templates. Er wordt een basisinzicht gegeven in de resultaten van verzonden campagnes. Wat betreft doorgifte van persoonsgegevens is La Posta een goede keuze, gezien de data de EER niet verlaat.
Mailblue is een platform met meer opties voor een nieuwsbrief. Het platform beschikt over bijna 150 verschillende templates en handige instructievideo’s. Daarnaast wordt inzicht geboden in verschillende rapporten en informatie gegeven over geopende nieuwsbrieven en ‘clicks’. Mailblue is geen goede keuze wanneer je als organisatie je data binnen de EER wil houden.
Spotler is qua software vergelijkbaar met Mailblue. Wel is het platform iets overzichtelijker, wat het meer gebruikersvriendelijk maakt. In de online omgeving kunnen bepaalde doelgroepen gefilterd worden, waardoor nieuwsbrieven gerichter verstuurd kunnen worden. Spotler houdt in principe alle data binnen de EER, wel maken zij – als de klant hiervoor kiest – gebruik van subverwerkers buiten de EER. Een voorbeeld hiervan is MessageBird. Goed om te beseffen is dat hier enkel telefoonnummers worden doorgegeven voor het versturen van een SMS-bericht als daarvoor is gekozen. Wanneer je als organisatie uit wil sluiten dat enige data de EER verlaat, is Spotler minder geschikt.
Webpower is een uitgebreid platform dat een gedetailleerde rapportage geeft over het verloop van de campagne. Zo wordt onder andere inzicht geboden in het aantal geopende mails per dag, welk besturingssysteem is gebruikt, abonneeverloop en triggers.[4] Webpower heeft vestigingen buiten de EER, maar werkt met volledig gescheiden platformen. Hierdoor blijft alle data binnen de EER en kunnen andere vestigingen buiten de EER op geen enkele manier toegang krijgen tot de data van het Nederlandse platform van Webpower.
Conclusie
Het is nog even afwachten of de EDPB daadwerkelijk een opinie gaat geven omtrent deze uitspraak. Mocht dit gebeuren is het zaak dat we overstappen van Amerikaanse e-mail marketing service naar een Nederlands – of ander Europees – alternatief, waarbij data enkel binnen de EER wordt verwerkt.
Op de hoogte blijven van onze onderzoeken? En naturlijk zeker weten dat je gegevens alleen binnen de EER worden verwerkt? Met onze nieuwsbrief zit je goed. Inschrijven kan rechts onderin.
[1] Een TTP is een z.g.n. ‘vertrouwde derde partij’. Het is een onafhankelijke partij die verantwoordelijk is voor de uitwisseling van data tussen twee of meer verschillende partijen. Het gaat hierbij om pseudonimisatie, versleuteling en ontsluiting van databestanden met privacygevoelige informatie. https://elsi.health-ri.nl/categorieen/gegevensbescherming/wat-de-rol-van-een-trusted-third-party-ttp-binnen
[2] https://edpb.europa.eu/our-work-tools/consistency-findings_nl
[3] Handleiding AVG en UAVG Ministerie van Jusititie en Veiligheid, 8.1 p. 84.
[4] Trigger based e-mails zijn geautomatiseerd op basis van een gebeurtenis, bijvoorbeeld een aankoop of een download. https://webpower.nl/blog/boost-trigger-based-e-mails/