Het gebruik van Mailchimp onder de AVG

Iedereen weet het inmiddels: op 25 mei 2018 treed de nieuwe privacywetgeving voor Europa in werking, de AVG.

Onder de AVG hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Zodra je als organisatie persoonsgegevens in beheer hebt, ben je verantwoordelijk voor een correcte omgang met deze gegevens. Voor de AVG ben je dan ‘verwerkingsverantwoordelijke’.

Ook als je de persoonsgegevens onderbrengt bij een andere partij, dan blijf je verantwoordelijk. Bijvoorbeeld als je e-mailadressen invoert bij een programma als Mailchimp of Laposta. Daarom moet er elke keer als persoonsgegevens van de ene naar de andere organisatie worden overgedragen, een overeenkomst getekend worden waarin wordt vastgelegd dat de verwerker (ook) correct met de persoonsgegevens om zal gaan. Zo’n overeenkomst heet een verwerkersovereenkomst.

Als persoonsgegevens binnen de EU worden doorgegeven, dan is dit snel geregeld. Alle landen binnen de EU moeten immers dezelfde richtlijnen volgen.

Het doorgeven van persoonsgegevens buiten de EU is niet verboden binnen de AVG, maar dit mag alleen naar landen met een gelijkwaardig beschermingsniveau. Mailchimp is Amerikaans, en de Amerikaanse privacywetgeving is lang niet zo uitgebreid als de Europese.

Om dat op te lossen is het Privacy Shield in het leven geroepen. Dit is een set regels waaraan Amerikaanse bedrijven kunnen voldoen om de omgang met persoonsgegevens in lijn te brengen met de Europese wetgeving.

Mailchimp voldoet aan het Privacy Shield, en doet zijn best de richtlijnen van de AVG zo goed mogelijk te volgen. Of dat straks voldoende zal zijn, is niet helemaal duidelijk. Mailchimp zelf zegt erover: “Generally speaking, it means we expect that MailChimp’s EU customers will be able to continue to rely on MailChimp’s Privacy Shield certification in order to transfer their lawfully obtained personal data to MailChimp under the GDPR.” (in dit document: https://kb.mailchimp.com/binaries/content/assets/mailchimpkb/us/en/pdfs/mailchimp_gdpr_sept2017.pdf).

Los van deze onzekerheid zijn er nog twee punten om rekening mee te houden:

  • Als een verwerker van persoonsgegevens deze gegevens zelf uit handen geeft aan een andere partij, dan moet dat ook weer volgens de regels van de AVG gebeuren. Dit uit handen geven kan al bestaan uit het gebruik van opslag bij een cloud provider. Alle partijen waarmee Mailchimp op deze manier samenwerkt, zullen ook gecertificeerd moeten zijn onder het Privacy Shield. Het is niet duidelijk of dat het geval is.
  • Veel gebruikers van Mailchimp maken gebruik van externe plugins, bijvoorbeeld om een koppeling te maken met een CRM of om adressen te verzamelen. Ook deze plugins zullen volgense de AVG moeten werken, en ook met deze partijen zal een verwerkersovereenkomst gesloten moeten worden. Het vergt het nodige werk om uit te vinden of deze partijen binnen het Privacy Shield vallen, en om er verwerkersovereenkomsten mee af te sluiten.

Kortom, het is waarschijnlijk mogelijk na 25 mei 2018 Mailchimp te gebruiken, maar het brengt wel de nodige risico’s en inspanningen met zich mee.

In vergelijking daarmee is het werken met Laposta heel eenvoudig; een verwerkersovereenkomst staat binnen het programma klaar om getekend te worden, en alle servers (en dus alle data) bevinden zich in Nederland.

Nog steeds hulp nodig? Neem contact met ons op Neem contact met ons op