Er is nog steeds veel gedoe rondom Mailchimp en hun Amerikaanse servers in relatie tot de GDPR wetgeving in de EU sinds de uitspraak van de Europese rechtbank (CJEU) in juli 2020. Daarom is er nu een nieuwe overeenkomst afgesloten tussen de EU en de VS over het uitwisselen van persoonlijke gegevens. Echter de wetgeving in de VS is niet gewijzigd en dus zal Max Schrems weer een (waarschijnlijk succesvolle) poging doen om ook deze regeling nietig te laten verklaren.
In juli concludeerde de hoogste Europese rechter in de Schrems II-uitspraak dat de bescherming van persoonsgegevens in de VS ernstig tekortschiet, ondanks het Privacy Shield. Dat waren de afspraken tussen de EU en de VS op basis waarvan bedrijven persoonsgegevens vanuit de EU mochten doorgeven aan de VS. Met de uitspraak zette het Hof een streep door het Privacy Shield.
Alleen als organisaties kunnen waarborgen dat gegevens net zo goed beschermd worden als in de EU, mogen zij nog persoonsgegevens doorgeven aan de VS. En aan andere landen waarmee de EU geen (geldige) afspraken heeft over bescherming van persoonsgegevens.
Mailchimp doet actief mee aan het nieuwe Data Privacy Framework. Net als Microsoft en Google dit al hebben gedaan zullen zijn hun informatie rondom de AVG / GDPR aan gaan passen. Ook onder de Data Privacy Framework worden de persoonsgegevens van de contacten in jouw lijsten binnen Mailchimp opgeslagen op servers in de VS.
Data bewaard in de VS
Het gaat niet alleen om Mailchimp maar om alle organisaties die data vanuit de EU opslaan in een niet EU-land. Dus ook Google, Facebook, Hubspot, Woocommerce en alle andere software bedrijven in de VS. Want in de VS vallen ze onder de wet die het mogelijk maakt om persoonsgegevens vrij te moeten geven aan de overheid of politie: FISA 702.
Mailchimp geeft aan dat hun SCC (Standard Contractual Clauses) blijven volgen. Ze geven ook nog steeds aan dat ze verplicht zijn bij wet om gegevens aan te leveren wanneer hen hier wettelijk om gevraagd wordt. Mailchimp meldt dat ze dit nooit vrijwillig zullen doen. Daarnaast tonen ze op deze pagina, in hun Transparency report, hoe vaak en door wie gegevens zijn opgevraagd en hoe vaak ze deze ook daadwerkelijk hebben aangeleverd. Bovendien stelt Mailchimp dat wanneer ze een aanvraag krijgen ze altijd eerst met de accounthouder contact opnemen zodat deze een oplossing kan zoeken.
If Mailchimp receives a compulsory request (whether through a subpoena, court order, search warrant, or other valid legal process) from any government agency or authority (including law enforcement) for access to or information about a Mailchimp account (including Customer Data) belonging to a Customer whose primary contact information indicates the Customer is located in Europe, Mailchimp shall:
(i) inform the government agency that Mailchimp is a processor of the data;
(ii) attempt to redirect the agency to request the data directly from Customer; and
(iii) notify Customer via email sent to Customer’s primary contact email address of the request to allow Customer to seek a protective order or other appropriate remedy.
Bron: https://mailchimp.com/legal/data-processing-addendum/
Een oplossing
Weer is er een Framework opgesteld die niet kan voorkomen dat gegevens opgeslagen in de VS geraadpleegd kunnen worden door een wettelijke instantie. Google heeft voor hun product Workspace gezorgd dat de data in de EU wordt bewaard. Mailchimp heeft dit (nog steeds) niet geregeld.
Het lijkt erop dat twee jaar de mededeling dat ze een oplossing voor het GDPR 'probleem' gaan zoeken, ze geen echte oplossing in de vorm van servers in de EU gaan verzorgen.
Het enige dat je kunt nu kunt doen, als je Mailchimp wilt blijven gebruiken, is zorgen dat je open en eerlijk bent naar diegene waarvan je persoonlijke gegevens bewaart. Zorg dat je je (zoveel mogelijk) aan de GDPR regels houdt.
UPDATES
Via een mail naar de partners geeft Mailchimp aan dat ze plannen hebben om een EU datacenter te vestigen. Ze werken al twee jaar aan fundamentele wijzigingen in hun data infrastructuur waardoor ze lokale datacenters kunnen vestigen in onder andere de EU. Ze verwachten ten minste één datacenter te hebben in de EU in 2022. En er komt nog meer aan.
Er zijn nieuwe SCC's in werking gesteld om te zorgen dat de overdracht tussen verschillende partijen beter is vast te leggen en te beschermpen. Maar hierdoor is de Privacy Shield nog niet wettelijk geldig. Het is in het belang van de V.S en de EU om tot een overeenstemming te komen over een nieuwe Privacy Shield. Deze onderhandeling zijn nog steeds bezig. Ondertussen moeten organisaties vertrouwen op de SCC's en ander ander overdrachtsmechanismes voor data transfers over de grens naar de V.S..
Het zekere voor het onzekere
Als je helemaal het zekere voor het onzekere wilt nemen, ga dan op zoek naar een Europese alternatief. De Autoriteit persoonsgegevens geeft ook aan, bij twijfel; houd data in EU.
Houd alles goed in de gaten en maak op basis van de huidige stand van zaken een keuze om bij Mailchimp te blijven of om over te stappen naar een EU alternatief bijv. Mailerlite, Laposta, Autorespond, Mailinglijst, Brevo (voorheen SendInBlue) of Spotler.
Wettelijk gezien kun je een boete krijgen omdat je software gebruikt dat data naar de VS overbrengt en daar bewaart waardoor je niet voldoet aan de GDPR / AVG wet.
Maar ik ben geen jurist, dus pin mij niet deze informatie vast.
Dit zijn nog een aantal handige links waar ik ook veel informatie vandaan heb:
https://www.frankwatching.com/archive/2020/08/18/privacy-shield-data-vs/
https://www.saleslovesmarketing.co/blog/privacy-shield-shot-down
https://noyb.eu/en/next-steps-eu-companies-faqs
Wil je hier meer over weten of heb je een specifieke vraag, neem dan contact met mij op. Als Mailchimp expert en online communicatie en marketing deskundige kan ik je zeker helpen.
Boek direct een uurtje Eerste Hulp bij Mailchimp in mijn agenda!
Photo by NASA on Unsplash