Ben jij op zoek naar een e-mail marketing tool en wil je AVG-proof werken? Sla Mailchimp dan over want doordat alle data in de Verenigde Staten wordt opgeslagen, is deze provider niet AVG-proof. En dat leverde Mailchimp eerder dit jaar flink wat negatieve publiciteit op.
Wat is er gebeurd
Een Duitse online uitgeverij maakte gebruik van Mailchimp voor het versturen van hun nieuwsbrieven. De mailadressen werden op de servers van Mailchimp in de Verenigde Staten opgeslagen en dat is volgens de AVG niet toegestaan. Europese data moet namelijk binnen de EU worden opgeslagen omdat de Verenigde Staten met een ander privacy systeem werkt dan de EU; het Privacy Shield. Om die reden werd uitgeverij door de Beierse gegevensbeschermingsautoriteit gesommeerd om het gebruik van Mailchimp stop te zetten. Het bedrijf had namelijk niet voorafgaand onderzocht of er aanvullende waarborgen nodig waren voor het doorgeven van persoonsgegevens aan Mailchimp.
Hoe zit het ook alweer
Voor de AVG (GDPR) geldt dat je als Europeaan gegevens uit mag wisselen met landen die veilig genoeg geacht worden: het adequaatheidsbesluit. De Verenigde Staten vallen buiten die veilige lijst. Het Privacy Shield was erop gericht om de uitwisseling van persoonlijke data tussen de Europese Unie en de Verenigde Staten mogelijk te maken. Hiermee gold het als waarborg dat Amerikaanse bedrijven alsnog Europese data mochten opslaan, zonder in overtreding te zijn van de GDPR (General Data Protection Regulation). Maar om meerdere belangrijke redenen is het Privacy Shield ongeldig verklaard (bron: Frankwatching). En dat heeft gevolgen voor veel software die wij in Nederland gebruiken, waaronder Mailchimp.
Check de privacyverklaring
Charlotte Meindersma van Charlotte’s Law & Fine Prints zegt hier het volgende over:
“Elke organisatie moet in de privacyverklaring vermelden of ze gebruik maken van verwerkers buiten de EU/EER of dat ze om andere redenen persoonsgegevens doorgeven buiten de EU/EER. Een bedrijf is al een verwerker, wanneer deze de persoonsgegevens kan inzien of bijvoorbeeld opslaat. Een verwerker hoeft dus niet zelf actief iets met de persoonsgegevens te doen.
Uit een goede privacyverklaring kun je opmaken in welke landen persoonsgegevens verwerkt worden. Staan daar landen tussen buiten de EU/EER die niet adequaat zijn bevonden door de Europese Commissie, dan kun je niet zomaar van deze software of de diensten van dit bedrijf gebruik maken. Ook niet als ze verder beweren aan de AVG te voldoen.
Naast de privacyverklaring heb je met zo’n partij ook altijd een verwerkersovereenkomst nodig. Meestal zal deze partij dat al aan jou aanbieden. Soms doen ze dat met een aparte overeenkomst, maar het mag ook geïntegreerd zitten in de algemene voorwaarden. Staat het niet in de voorwaarden en kun je er, na contact, ook geen bij hen opvragen? Dan moeten alle alarmbellen afgaan en is dit geen privacy-proof partij.”
En die andere bekende tools dan
Deze uitspraak heeft dus ook gevolgen voor andere bekende tools die in Nederland veel gebruikt worden zoals Hubspot, Active Campaign (dus ook MailBlue) en Salesforce. Bij deze bedrijven worden alle data in de Verenigde Staten opgeslagen en werd voorheen verwezen naar de Privacy Shield. Na de Duitse uitspraak zijn zij natuurlijk zij met juristen aan de slag gegaan maar het blijft belangrijk om voorzichtig om te gaan met Amerikaanse gegevensverwerkers. Hier lees je daar meer over.
Jij bent verantwoordelijk
Want het is aan jou om veilig om te gaan met de persoonsgegevens die je in je bedrijf verzamelt. Jij bent verantwoordelijk voor de juiste verwerking. Zorg dus dat je weet hoe de software die jij gebruikt met jouw data omgaat en waar die gegevens worden opgeslagen. Is dat buiten de EU, dan loop je dus het risico dat dit niet AVG-proof is. Doe goed onderzoek of vraag een jurist met je mee te kijken als je twijfelt. Zeker als je gevoelige gegevens verwerkt zoals geboortedata, betaalgegevens, etc.
En zorg tevens voor een SSL-certificaat op je website. Ook dit is een verplichting vanuit de AVG.
Wat kun je wel gebruiken
Gelukkig zijn er verschillende goede Europese tools die je kunt gebruiken voor je e-mail marketing. Tools waarbij in ieder geval de data in Europa wordt opgeslagen. Let natuurlijk nog steeds op welke verdere maatregelen deze tools hebben getroffen om aan de AVG te voldoen. Want het gaat niet alleen om dataopslag. Een aantal mogelijke alternatieven:
- Laposta – Nederlands bedrijf
- Autorespond – Nederlands bedrijf
- MailerLite – Litouws bedrijf
- Sendinblue/Newsletter2Go – Frans/Duits bedrijf
Welke het meest geschikt voor jou is, hangt natuurlijk af van je wensen en eisen.
De bottom line van dit verhaal; wees niet naïef en zorg dat je weet of je met AVG-proof tools werkt. Want een fout is snel gemaakt.
0 reacties