Voldoet jouw mailsoftware wel aan de EU privacy-eisen?

Er is momenteel veel ophef over het gebruik van Mailchimp. Verschillende overheidsinstellingen, zorginstellingen en andere organisaties stoppen per direct met het gebruik van deze software. Maar waarom eigenlijk, en nog belangrijker… wat nu?

Mailchimp mag niet meer? Wat is er aan de hand?

De Duitse autoriteit voor gegevensbescherming oordeelde eerder dat het gebruik van Mailchimp onwettig is, aangezien deze software e-mailadressen van nieuwsbriefabonnees ontvangt en zich kwalificeert als ‘aanbieder van elektronische communicatiediensten’ onder de Amerikaanse toezichtwetgeving. De data worden opgeslagen op servers in de VS. Daarmee voldoet het niet aan de regelgeving volgens de GDPR/AVG gebaseerd op EU-standaardbepalingen inzake gegevensbescherming.

Met andere woorden: software uit de VS is niet veilig. In het geval van Mailchimp lopen de overgedragen e-mailadressen het risico te worden doorgespeeld naar de Amerikaanse inlichtingendiensten. Dat wil je als Europeaan natuurlijk niet.

Zo voldoet je software aan de regels

We willen bijvoorbeeld wel e-mailadressen en namen van ontvangers opslaan om onze klanten en prospects op de hoogte te houden. Dat mag dus alleen volgens de AVG-regels. Dat betekent ook dat jouw leverancier van de software die je ervoor inzet om te gaan mailen aan diezelfde regels moet voldoen. Je moet er dus voor zorgen dat je software gebruikt uit een land dat AVG-proof is. Daar vallen alle landen in de EU/EER onder. Daarnaast zijn er nog meer landen door de Europese Commissie als veilig aangewezen. Bekijk hier de lijst van adequate landen. De VS valt daar dus niet onder.

Hoe weet je het zeker

Ben je onzeker over de software, bekijk dan de privacyverklaring. Elke organisatie moet daarin vermelden van welke gegevensverwerkers ze gebruikmaken. Je kunt daaruit opmaken of daar landen bij zitten buiten de EU of niet als veilig aangewezen door de Europese Commissie. Zo weet je of je wel of niet gebruik kunt maken van de software of diensten van een bedrijf. Maar het klinkt makkelijker dan gezegd. Soms moet je die verklaring opvragen of zelfs een verwerkersovereenkomst aangaan. En wil je toch in zee met een bedrijf buiten de EU, zorg dan voor een goed onderbouwde en gedocumenteerde risicoanalyse. Je bent namelijk zelf verantwoordelijk voor de opgevraagde persoonsgegevens. Blijf je de software toch gebruiken dan kan de Autoriteit Persoonsgegevens over gaan op het uitdelen van een boete.

Stap over naar EU-alternatieven

Voor vrijwel elke software is er wel een goed alternatief te vinden. Maar blijf goed opletten, ook software verkocht door een Nederlandse verkoper kan nog steeds gebruik maken van Amerikaanse faciliteiten. Voor je mailcampagnes kun je uiteraard nog steeds veilig gebruik blijven maken van Docufiller. Onze servers staan op Nederlandse bodem, de data wordt dus voor 100% binnen de EU opgeslagen. Daarnaast hebben wij overeenkomsten met onze leveranciers en wordt er geen data doorgestuurd wordt naar derden.

PS. Hierboven noemen we Mailchimp maar controleer ook je CRM-systeem en marketingtools (en de sub verwerkers die door deze tools worden ingeschakeld) …

Bronnen:

• https://gdprhub.eu/index.php?title=BayLDA_-_LDA-1085.1-12159/20-IDV
• https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
• https://www.frankwatching.com/archive/2021/06/10/privacy-proof-software/?fbclid=IwAR2HT-rerdaCw6Ci2Iacw5vL9r3c8IP92xEdJU_XaGYvXNc_ThnMeRJijTU
• https://www.frankwatching.com/archive/2020/08/18/privacy-shield-data-vs/
• https://siriuslegaladvocaten.be/data-export-na-schrems-ii-meer-duidelijkheid-op-basis-van-eerste-beslissingen/

Dit blog is geschreven door: 
Karin Dirkx - Online Marketeer bij Docufiller