Afgelopen maand heeft één van de Duitse privacytoezichthouders geoordeeld dat het gebruik van Mailchimp een overtreding is van de AVG. Mailchimp is een marketingautomatiseringsplatform en e-mailmarketingdienst. De dienstverlening wordt aangeboden door The Rocket Science Group LLC, een bedrijf gevestigd in de Verenigde Staten (VS). Volgens de toezichthouder zou door het gebruik van Mailchimp onrechtmatig e-mailadressen worden doorgegeven buiten de Europese Economische Ruimte (EER). In deze blog gaan we dieper in op de uitspraak.
Doorgifte van persoonsgegevens naar de VS
Zoals inmiddels wel bekend is, is het Privacy Shield vorig jaar ongeldig verklaard. Desalniettemin kunnen persoonsgegevens worden doorgegeven aan organisaties in de VS op basis van de Standard Contractual Clauses (SCC’s). Het Europese Hof oordeelde namelijk in de Schrems II-zaak dat de SCC’s als mechanisme geldig blijven. Wel legde het Hof extra verantwoordelijkheid bij de Europese ondernemer en diens toezichthouders. Zij dienen te controleren en te bepalen of het recht van het ontvangende land niet afdoet aan het beschermingsniveau dat de SCC’s (behoren te) creëren. Voor de VS is dat wel het geval: door de Schrems ll-zaak werd duidelijk dat de VS onvoldoende bescherming biedt.
De Duitse toezichthouder
Hoe gaat men hier in de praktijk mee om? Afgelopen maand is het eerste oordeel van een privacytoezichthouder verschenen. In deze zaak maakte een Duitse uitgeverij gebruik van Mailchimp. Met het oog op de verspreiding van nieuwsbrieven heeft de Duitse uitgeverij in twee gevallen e-mailadressen aan Mailchimp in de VS doorgegeven. Deze gegevensoverdracht was gebaseerd op de SCC’s.
Een betrokkene die via Mailchimp een nieuwsbrief had ontvangen, diende een klacht in bij de lokale privacytoezichthouder (BayLDA) en verzocht de autoriteit een boete op te leggen. De autoriteit kwam tot de conclusie dat de doorgifte van het e-mailadres van de klager aan Mailchimp onrechtmatig was op grond van de AVG. De uitgeverij had niet onderzocht of er naast de SCC’s aanvullende maatregelen in de zin van het besluit van het Europese Hof nodig waren om ervoor te zorgen dat de doorgifte aan de AVG-vereisten voldoet.
De toezichthouder stelde daarnaast dat er ten minste bepaalde aanwijzingen waren dat de overgedragen e-mailadressen het risico liepen dat de Amerikaanse inlichtingendiensten er toegang toe zouden krijgen. In het licht van de Schrems II-zaak had het uitgeversbedrijf nagelaten te beoordelen of aanvullende maatregelen nodig waren om ervoor te zorgen dat de overgedragen gegevens werden beschermd en, zo nodig, dergelijke aanvullende maatregelen te treffen.
Gelukkig was de inbreuk qua aard en ernst gering: het ging niet om bijzonder gevoelige persoonsgegevens (enkel e-mailadressen) en de inbreuk bleef beperkt tot de twee gevallen.
De uitgeverij stopte met het gebruik van Mailchimp. Op basis hiervan zag de Duitse toezichthouder af van het opleggen van een boete of het nemen van een andere handhavingsmaatregel.
Paniek?
Vrijwel elke organisatie maakt gebruik van diensten van een Amerikaanse partij. Het sluiten van SCC’s is een must, maar let erop dat daarnaast nog aanvullende maatregelen worden getroffen. De Europese toezichthouder (EDPB) heeft hiervoor diverse richtlijnen opgesteld.
Maakt uw organisatie gebruik van Amerikaanse leveranciers? Wij helpen u graag met een risicoanalyse!
Deze blog is geschreven in samenwerking met stagiaire Daisy Brugman.