Home » Blog » Regelgeving » Mailchimp, AVG, GDPR en Privacy Shield. Wat is er gebeurd?

Mailchimp, AVG, GDPR en Privacy Shield. Wat is er gebeurd?

We hebben jullie afgelopen juli van informatie voorzien in ons vorige blog artikel omtrent het bedrijf Mailchimp. In maart 2021 heeft een Duitse privacy toezichthouder geoordeeld dat een organisatie uit Duitsland geen mails mag versturen met Mailchimp. Dit mede omdat hiermee gegevens onrechtmatig werden doorgegeven buiten de Europese Unie. Dit wetsbesluit is in juli 2020 genomen waarbij de Privacy Shield regeling nietig is verklaard. Na het zware weer waarin Mailchimp zich in verkeerd is het bedrijf in september 2021 overgenomen door het bedrijf Intuit. 

Wellicht heb je bovenstaande informatie vaker voorbij zien komen. Er is namelijk nogal wat gaande omtrent persoonsdata in de EU, maar ook in de rest van de wereld. Nog maar niet te spreken over de verdwijning van de 3rth party cookies en de Telemarketing Wet. Deze onderwerpen schrijven we later voor jullie uit. Allereerst vonden wij het tijd om jullie te informeren over hoe de AVG (Algemene Verordening Gegevensbescherming) oftewel GDPR (General Data Protection Regulation) in elkaar zit en waar je op dient te letten als je met (mail)marketing partijen zoals Mailchimp een samenwerking start.

AVG, Privacy Shield, en overtreding. Hoe zit dat precies?

Mailchimp even als voorbeeld pakkende is een Amerikaans bedrijf die alle data (lees persoonsgegevens) bewaard op hun servers in Amerika. In Nederland en de rest van Europa worden daar strikte privacy eisen aan gesteld. Eisen die vastgelegd zijn in de Europese wet- en regelgeving die in mei 2018 zijn ingegaan: Algemene Verordening Gegevensbescherming (AVG), of in het Engels vertaald: General Data Protection Regulation (GDPR). Aan de eisen uit de AVG moeten Amerikaanse partijen zoals Mailchimp maar ook bedrijven zoals Facebook en Google voldoen als ze data van Europeanen verwerken en opslaan. 

Tot juli 2020 waren deze privacy-eisen afgestemd in de Privacy Shield regeling. Deze regeling bevatten afspraken tussen Europa en de Verenigde Staten over de bescherming van de privacy gegevens zoals persoonsgegevens van Europese burgers. Het Hof van Justitie heeft heeft  de Privacy Shield regeling ongeldig verklaard omdat de afspraken niet voldoende waren. Data van Europeanen kon hierdoor niet zomaar meer in de VS opgeslagen en verwerkt worden. De grootste uitdaging zat hem in de fysieke locatie van de gegevens. Wanneer deze gegevens op een Amerikaanse server staan, kan een software partij wel allerlei maatregelen treffen om de data te beveiligen maar de Amerikaanse inlichtingendienst kan toegang vorderen tot alle gegevens. En dat is onaanvaardbaar volgens de Europese rechtbank. 

Waar rekening mee te houden met een samenwerking buiten de EU?

En nu? Want veel bedrijven binnen de EU werken met Amerikaanse bedrijven samen. Google, Facebook, Mailchimp en allerlei andere kanalen zitten standaard in het marketingpakket. En steeds meer bedrijven werken met bijvoorbeeld Office365. Je adresgegevens in Excel in de Cloud. Kan dat dan nog wel? Officieel niet. Let wel, er is niet meteen een datalek, maar de juridische situatie is veranderd. 

Vind je het interessant om hier meer over te lezen? Dan verwijzen we je graag door naar ons artikel over het inrichten van een AVG-proof website. 

Menu