Blog
1 augustus 2022

AVG en Mailchimp – Een Praktische Gids

De beslissing van een Duitse rechtbank ten aanzien van het gebruik van MailChimp heeft een aantal marketeers enige tijd geleden de stuipen behoorlijk op het lijf gejaagd, is dat terecht? Of valt het allemaal wel mee? In deze mini gids geven we een praktische uitleg hoe het nu écht zit en of de zorgen nu wel of niet terecht zijn – en veel belangrijker nog; hoe nu verder?

David van As Managing director

De General Data Protection Regulation kortweg GDPR of in gewoon Nederlands AVG is – zoals we inmiddels allemaal weten – de ‘nieuwe’ privacy verordening. Deze wet is op 25 mei 2018 in werking getreden en heeft privacy op de kaart weten te zetten bij marketeers. Deze regelgeving is gelijk voor alle Europese landen (EER om precies te zijn, dat is in gewoon Nederlands; de Europese Unie plus Noorwegen, Liechtenstein en IJsland). Zo kan het dus zijn dat jurisprudentie in een van de EER landen invloed heeft op alle andere landen binnen de EER.

 

SCHREMS II

Als we het hebben over de legaliteit om bijvoorbeeld een tool als MailChimp te gebruiken, valt al snel de term “Schrems’ alsof het daarmee allemaal duidelijk moet zijn voor de gemiddelde marketeer. “NEE” is het simpele antwoord, dat is het zeer zeker niet. Maar first things first; wat is nu precies Schrems II? Schrems verwijst naar Maximilian Schrems (Salzburg, oktober 1987) hij is een Oostenrijks advocaat, auteur en privacyactivist. Volgens Max Schrems mocht Facebook zijn persoonsgegevens niet exporteren naar de Verenigde Staten, omdat daar niet voldoende bescherming is tegen de mogelijkheid voor de overheid om toegang te verkrijgen tot Facebook’s gegevens. De klachten van Schrems leidden eerder al tot de Schrems I uitspraak, waarbij het Safe Harbor verdrag ongeldig werd verklaard. Schrems diende daarna in Ierland opnieuw vergelijkbare klachten in. Op 16 juli 2020 heeft het Hof van Justitie van de EU in reactie op de vragen van de Ierse rechter het Privacy Shield (opvolger van het Safe Harbor verdrag) ongeldig verklaard. Dit is met onmiddellijke ingang van kracht. Organisaties in de EU kunnen geen persoonsgegevens aan de Verenigde Staten doorgeven op grond van het Privacy Shield.

Safe Harbor & Privacy Shield

De AVG verbiedt (grosso modo) data export naar landen buiten de EER, nu hebben de wijze heren en dames uit Brussel gelukkig bedacht dat dat praktisch onwerkbaar was, en daarom heeft men een aantal uitzonderingen benoemd in de GDPR Verordening (EU) 2016/679. Daarin wordt gesteld dat naast de data uitwisseling binnen de EER, data uitwisseling ook mogelijk is met landen buiten de EER mits die als ‘veilig’ worden bestempeld. Wil je als organisatie data exporteren/uitwisselen met een bedrijf dat gevestigd is in een land dat beschouwd wordt als ‘adequaat’ dan is dat mogelijk zonder ingewikkelde juridische procedures, ondanks dat het bedrijf zich niet in de EER bevindt. Het safe harbor framework is in 2016 vervangen door het Privacy Shield en biedt verregaandere maatregelen voor de bescherming van privacy, maar het principe en de werking zijn zeer vergelijkbaar. In dit artikel gaan we gemakshalve niet verder in op de verschillen tussen de deze twee frameworks; voor de marketeer is immers de werking precies hetzelfde.

De uitspraak

De uitspraak van de rechter in Schrems II heeft dus als gevolg dat bedrijven en organisaties niet kunnen terug vallen op het Safe Harbor/Privacy Shield ‘keurmerk’ indien zij gebruik willen maken van (marketing) tooling van bedrijven met servers buiten de EER. Om dit wel mogelijk te maken zijn er, voor landen die niet als ‘adequaat’ worden beschouwd, zogenaamde SCC’s (Standard Contractual Clauses). Dit zijn een soort model contracten/overeenkomsten die bedrijven op individueel niveau (!) af dienen te sluiten met bijvoorbeeld een partij als MailChimp. Dit is niet alleen een complexe juridische exercitie, in veel gevallen ook volstrekt onwerkbaar aangezien deze ‘standaard contracten’ niet voorziet in de data uitwisseling van jouw organisatie.

Nu heeft de Europese Commissie nieuwe SCC’s gepubliceerd die het ‘makkelijker’ zouden moeten maken om deze SCC’s in gebruik te nemen, maar in de praktijk is dit niet altijd het geval.
Recent heeft de Duitse Autoriteit Persoonsgegevens, de Bayerisches Landesamt für Datenschutzaufsicht een Europees online tijdschrift het verbod opgelegd om nog langer Mailchimp te gebruiken om haar newsletters uit te sturen. De uitspraak is gebaseerd op het feit dat MailChimp gegevens verstuurt naar servers in de VS, en is daarmee potentieel niet GDPR compliant.

In de praktijk

Enige nuance is noodzakelijk; de Duitse AP heeft namelijk niet gezegd dat het gebruik van MailChimp an sich verboden is. De rechter neemt het Online Tijdschrift wél kwalijk dat het voorafgaand aan het gebruik van MailChimp niet had beoordeeld of er adequate aanvullende maatregelen waren getroffen om ervoor te zorgen dat haar persoonsgegevens beschermd waren tegen toegang door Amerikaanse toezichthoudende instanties.
Indien de organisatie dat wel had gedaan was het er waarschijnlijk achter gekomen dat de vereiste waarborgen die noodzakelijk zijn niet mogelijk zijn. Door onder andere verregaande bevoegdheden van Amerikaanse instanties als gevolg van de veranderende terreurwetgeving zoals bijvoorbeeld de partriot act is het onmogelijk 100% compliant te zijn met de GDPR

Maar, en hier wordt het een beetje vaag, mocht je nu gebruik maken van MailChimp en; voorafgaand aan het gebruik een uitgebreid assessment hebben gedaan of er adequate aanvullende maatregelen zijn getroffen door MailChimp en tot de conclusie zijn gekomen dat die – voor zover mogelijk – getroffen zijn, en; je hebt met MailChimp door de Europese Commissie goedgekeurde modelovereenkomsten (SCC’s) ondertekend

…..dan, ben je nog niet compliant. Dat hoeft in de basis geen hele grote ramp te zijn. Immers de Europese rechters hebben natuurlijk geen belang bij het platleggen van alle Europese organisaties die gebruik maken van bijvoorbeeld G-Suite en Office365 (wie niet? Zou ik bijna willen zeggen), daar gelden immers dezelfde regels voor, en zijn dus net zo non-compliant als MailChimp. Het verschil vraag je je misschien af?! Dat is makkelijk, voor G-Suite en Office365 is geen Europees alternatief. Voor MailChimp is er dat zeer zeker wel, daar zijn voldoende (betere) alternatieven, zoals bijvoorbeeld Maileon.

Maileon

Tribal Agency heeft sinds enige tijd een partnerschip met Maileon. Maileon is in alle opzichte een volwaardige vervanging van MailChimp EN 100% GDPR compliant – het is namelijk een Duiste tool met uitsluitend servers in – je raad het al; Duistland. Daarmee kan je als marketeer met een gerust hart je nieuwsbrieven (blijven) versturen, je hebt geen juridisch complexe documentatie nodig en je voorkomt dat je aan iemand uit moet leggen waarom je nog steeds gebruik maakt van een tool die niet GDPR compliant is waarvan er voldoende (betere) alternatieven zijn.

 

Maileon biedt – naast tal van andere voordelen – de volgende standaard functionaliteiten;

  • Gepersonaliseerde verzendtijd per contact;
  • Maileon intelligence, die content landingspagina scant en daarmee profielen verrijkt;
  • Ingebouwde recommendation engine;
  • Maileon Analytics, trigger een campagne of segmenteer aan de hand van bezochte webpagina’s;
  • Complexe en diepgaande segmentatie;
  • Krachtige API, contact events en webhooks;
  • Ingebouwde adres validatie tool.

Meer weten?

Op het gebied van data privacy werken wij als Tribal Agency samen met DPO Consultancy de experts in privacy en data protection. Meer informatie over Maileon, AVG in de digital marketing of iets anders? Neem contact op met Edwin van der Palen – Tech & Partnership Manager bij Tribal Agency.

Edwin van der Palen
Edwin van der Palen Tech & partner lead
Edwin van der Palen
Edwin van der Palen Tech & partner lead