Er is veel gedoe rondom Mailchimp en hun Amerikaanse servers in relatie tot de GDPR wetgeving in de EU sinds de uitspraak van de Europese rechtbank (CJEU) in juli 2020.
In juli concludeerde de hoogste Europese rechter in de Schrems II-uitspraak dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet, ondanks het Privacy Shield. Dat waren de afspraken tussen de EU en de VS op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS. Met de uitspraak zette het Hof een streep door het Privacy Shield.
Alleen als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, mogen zij nog persoonsgegevens doorgeven aan de VS. En aan andere landen waarmee de EU geen (geldige) afspraken heeft over bescherming van persoonsgegevens.
Mailchimp verwijst naar het Privacy Shield en naar hun Standard Contractual Clauses in hun informatie rondom de AVG / GDPR. De Privacy Shield is nietig verklaard en de persoonsgegevens van de contacten in jouw audience binnen Mailchimp worden opgeslagen op servers in de VS.
Data bewaard in de VS
Het gaat niet alleen om Mailchimp maar om alle organisaties die data vanuit de EU opslaan in een niet EU-land. Dus ook Google, Facebook, Hubspot, Woocommerce en alle andere software bedrijven in de VS. Want in de VS vallen ze onder de wet die het mogelijk maakt om persoonsgegevens vrij te moeten geven aan de overheid of politie: FISA 702.
Mailchimp zelf geeft aan dat hun SCC (Standard Contractual Clauses) nog steeds geldig is en in de uitspraak is niets gezegd dat SCC's niet meer geldig zijn maar het maakt het wel lastig. Ze geven ook aan dat ze verplicht zijn bij wet om gegevens aan te leveren wanneer hen hier wettelijk om gevraagd wordt. Mailchimp meldt dat ze dit nooit vrijwillig zullen doen. Daarnaast tonen ze op deze pagina, in hun Transparency report, hoe vaak en door wie gegevens zijn opgevraagd en hoe vaak ze deze ook daadwerkelijk hebben aangeleverd. Bovendien stelt Mailchimp dat wanneer ze een aanvraag krijgen ze altijd eerst met de accounthouder contact opnemen zodat deze een oplossing kan zoeken.
If Mailchimp receives a compulsory request (whether through a subpoena, court order, search warrant, or other valid legal process) from any government agency or authority (including law enforcement) for access to or information about a Mailchimp account (including Customer Data) belonging to a Customer whose primary contact information indicates the Customer is located in Europe, Mailchimp shall:
(i) inform the government agency that Mailchimp is a processor of the data;
(ii) attempt to redirect the agency to request the data directly from Customer; and
(iii) notify Customer via email sent to Customer’s primary contact email address of the request to allow Customer to seek a protective order or other appropriate remedy.
Bron: https://mailchimp.com/legal/data-processing-addendum/
Een oplossing
Ik ga ervanuit dat giganten zoal Mailchimp, Microsoft en Google een oplossing voor dit 'probleem' gaan vinden. Elke organisatie is met privacy en veiligheid bezig. We willen allemaal dat er goed wordt omgegaan met persoonlijke gegevens.
Daarnaast is Mailchimp zo groot dat veel medewerkers druk bezig zijn met de bescherming van data en dat ze er alles aan doen om te zorgen dat ze alle EU accounts behouden. Van sommige kleinere EU e-mail service providers vraag ik mij af of ze de capaciteit en de know-how hebben om diezelfde veiligheid te creëren.
Het enige dat je kunt doen, is zorgen dat je open en eerlijk bent naar diegene waarvan je persoonlijke gegevens bewaart. Zorg dat je je (zoveel mogelijk) aan de GDPR regels houdt.
UPDATES
Via een mail naar de partners geeft Mailchimp aan dat ze plannen hebben om een EU datacenter te vestigen. Ze werken al twee jaar aan fundamentele wijzigingen in hun data infrastructuur waardoor ze lokale datacenters kunnen vestigen in onder andere de EU. Ze verwachten ten minste één datacenter te hebben in de EU in 2022. En er komt nog meer aan.
Er zijn nieuwe SCC's in werking gesteld om te zorgen dat de overdracht tussen verschillende partijen beter is vast te leggen en te beschermpen. Maar hierdoor is de Privay Shield nog niet wettelijk geldig. Het is in het belang van de V.S en de EU om tot een overeenstemming te komen over een nieuwe Privacy Shield. Deze onderhandeling zijn nog steeds bezig. Ondertussen moeten organisateis vertrouwen op de SCC's en ander ander overdrachtsmechanismes voor data transfers over de grens naar de V.S..
Het zekere voor het onzekere
Als je helemaal het zekere voor het onzekere wilt nemen, ga dan op zoek naar een Europese alternatief. De Autoriteit persoonsgegevens geeft ook aan, bij twijfel; houd data in EU.
Houd alles goed in de gaten en maak op basis van de huidige stand van zaken een keuze om bij Mailchimp te blijven of om over te stappen naar een EU alternatief bijv. Mailerlite, Laposta, Autorespond, Mailinglijst, Sendinblue of Spotler.
Wettelijk gezien kun je een boete krijgen omdat je software gebruikt dat data naar de VS overbrengt en daar bewaart waardoor je niet voldoet aan de GDPR / AVG wet.
Maar ik ben geen jurist, dus pin mij niet deze informatie vast.
Dit zijn nog een aantal handige links waar ik ook veel informatie vandaan heb:
https://www.frankwatching.com/archive/2020/08/18/privacy-shield-data-vs/
https://www.saleslovesmarketing.co/blog/privacy-shield-shot-down
https://ddma.nl/data-buiten-eu/
https://noyb.eu/en/next-steps-eu-companies-faqs
Wil je hier meer over weten of heb je een specifieke vraag, neem dan contact met mij op. Als Mailchimp expert en online communicatie en marketing deskundige kan ik je zeker helpen.
Of boek direct een uurtje Eerste Hulp bij Mailchimp in mijn agenda!
Photo by NASA on Unsplash
