Een privacytoezichthouder in Beieren heeft onlangs het gebruik van MailChimp door een Duits bedrijf onrechtmatig verklaard. Reden? De aangescherpte AVG-regels voor data-uitwisseling met de VS na Schrems II. Die zijn in Nederland ook van toepassing en daarom waarschuwen we u alvast over de mogelijke consequenties.

Terugblik: de gevolgen van Schrems II

Voor we naar de uitspraak van de Duitse toezichthouder kijken, eerst een terugblik op de uitspraak in de zaak Schrems II.

In juli 2020 heeft het Europese Hof uitspraak gedaan in deze zaak. De centrale vraag: is het onder de AVG rechtsgeldig om persoonsgegevens door te geven aan de VS.

De uitkomst was helder: niet zonder passende waarborgen.

Het op dat moment geldende Privacy Shield in de vorm van juridisch bindende afspraken tussen de EU en de VS, bood deze waarborgen volgens de Europese rechter onvoldoende. In de rechtszaak is het Privacy Shield dan ook ongeldig verklaard.

Waarom?

privacy shield

Vooral omdat Amerikaanse veiligheidsdiensten toegang hebben tot alle (Europese) persoonsgegevens en deze naar eigen inzicht mogen verwerken.

Gegevensverwerking in de VS is nog wel mogelijk door middel van Standard Contractual Clauses (SCC), mits aanvullende waarborgen zijn getroffen.

Uitgebreide encryptie zonder sleutel in Amerika lijkt dan de enige mogelijkheid om nog gegevens door te kunnen geven aan een organisatie op Amerikaans grondgebied. Dit bleek ook weer eens uit de roadmap voor data-uitwisseling die de Europese Data Protection Board eind vorig jaar ter consultatie publiceerde.

Gebruik MailChimp onrechtmatig verklaard

Een privacytoezichthouder in Beieren kreeg onlangs een klacht over het gebruik van MailChimp door een Duitse organisatie. Na onderzoek verklaarde de toezichthouder in Duitsland de inzet van MailChimp door dit bedrijf inderdaad als onrechtmatig.

Waarom?

Hoewel er een SCC van toepassing was, heeft de organisatie niet onderzocht of er aanvullende waarborgen getroffen moesten worden. In het geval van MailChimp zijn er aanwijzingen dat deze onderworpen is aan gegevenstoegang door Amerikaanse inlichtingendiensten.

Het Duitse bedrijf heeft niet beoordeeld of de aan MailChimp overgedragen gegevens tegen dergelijke toegang werden beschermd. Daardoor was de inzet van dit mailsysteem onrechtmatig.

Het Duitse bedrijf gaf als tegenargument dat de definitieve richtlijnen voor data-uitwisseling met de VS nog altijd niet gepubliceerd zijn.

Dat klopt inderdaad.

De AVG-regels moeten echter worden nageleefd. Voor nu geldt dus: alleen data-uitwisseling onder passende waarborgen is rechtsgeldig met betrekking tot de VS.

Hierop heeft het Duitse bedrijf het gebruik van MailChimp gestaakt.

Wat betekent dit voor u?

MailChimp AVG

De Beierse toezichthouder heeft het gebruik van MailChimp als zodanig niet onrechtmatig verklaard. Wel is duidelijk dat extra, passende waarborgen ‘waarschijnlijk’ noodzakelijk zijn om gegevens met deze partij uit te mogen wisselen.

Grote vraag voor MailChimp-gebruikers: heeft u het privacy-onderzoek wél gedaan?

Zo niet, dan bent u mogelijk ook in overtreding met de AVG. Dit geldt net zo goed voor alle andere Amerikaanse apps en services waarmee u persoonsgegevens uitwisselt.

We hopen intussen dat de European Protection Board snel met een definitief stappenplan komt voor data-uitwisseling met de VS.

Hulp nodig bij de beoordeling van uw data-uitwisseling?

Wilt u weten of uw gegevensuitwisseling met de VS rechtsgeldig is? Onze juristen staan u graag te woord via 010 2290 646.

Blijf op de hoogte!

Op de hoogte blijven van deze en andere ontwikkelingen in ICT Recht? Abonneert u zich dan nu op onze maandelijkse nieuwsbrief.