De kans is groot dat jij met je e-mailmarketing in overtreding bent met de Wet AVG (Privacy Shield ongeldig)


Achteraf blijkt dat in de Facebook Live beeld en geluid niet helemaal synchroon lopen  😊


Privacy Shield

Verstuur jij online nieuwsbrieven of marketing e-mails én maak je gebruik van een Amerikaanse dienstverlener zoals bijvoorbeeld Mailchimp, Convertkit, Activecampaign (of resellers van Activecampaign), Hubspot of andere email marketing systemen? Dan is de kans groot dat je in overtreding bent met de AVG. Voordat je nu in de kramp schiet, lees verder voor de oplossing(en).

Converkit, Mailchimp en Activecampaign enz. zijn Amerikaanse bedrijven.

Deze bedrijven bewaren alle data (met persoonsgegevens) op servers in Amerika.

In de Wet AVG (Algemene Verordening Gegevensbescherming) (in het Engels GDPR General Data Protection Regulation) worden strikte privacy eisen gesteld aan het bewaren, gebruiken  en verwerken van persoonsgegevens.

Aan de eisen van de Wet AVG dienen Amerikaanse partijen zoals Convertkit, Mailchimp, Activecampaign etc. te voldoen wanneer zij data van Europeanen verwerken en opslaan.

Tot juli 2020 waren deze privacy-eisen afgestemd in de ‘Privacy Shieldregeling.

Deze Privacy Shield regeling is een regeling voor doorgifte van persoonsgegevens vanuit de EU (zoals wij in Nederland) naar de Verenigde Staten en bevat afspraken tussen Europa en de Verenigde Staten over de bescherming van de persoonsgegevens (privacy).

Op 16 juli 2020 is het Privacy shield ongeldig verklaard door het Europese Hof omdat het geen passend beschermingsniveau voor persoonsgegevens waarborgt voor inwoners van Europa (privacyshield.gov) zoals de AVG vereist.

Dit houdt concreet in dat data van Europese burgers niet zomaar in de Verenigde Staten opgeslagen en verwerkt mogen worden.

Het Privacy Shield was dus een mogelijkheid om persoonsgegevens door te geven aan landen buiten de Europese Economische Ruimte (EER). Door het ongeldig verklaren van het Privacy Shield is het strafbaar om persoonsgegevens (buiten de EU) door te geven aan een Amerikaanse dienstverlener.

Onderzoeksplicht

Veel Marketeers/ondernemers werken en maken gebruiken van Amerikaanse marketing tools zoals e-mail marketing software. Wij als marketeer en ondernemer hebben nu een onderzoeksplicht en dienen te controleren of onze contracten/tools met de Amerikaanse partijen nog voldoen aan de nieuwe eisen.

Het Privacy Shield zorgde ervoor dat de Amerikaanse bedrijf in Europa konden werken met standaard modelcontract bepalingen (Standard Contractual Clause afgekort SSC).

Tot nu toe kon je dus met een gerust hart zaken doen met gecertificeerde partijen zonder de Wet AVG / GDPR te overtreden. TOT 16 juli! Want dat is nu niet meer het geval!

Standard Contractual Clauses (SCC)

De Standard Contractual Clauses (SCC’s) of in het Nederlands: ‘de modelcontracten’ zijn extra aanvullende afspraken over de doorgifte van persoonsgegevens tussen Europa en organisaties buiten de EU zoals de Verenigde Staten.

In deze SCC staan alle maatregelen die in overeenstemming met het Privacy Shield nodig zijn om de privacy van de Europese burgers te waarborgen. Veel bedrijven hebben van dit soort contracten afgesloten met Amerikaanse bedrijven als extra waarborg bovenop Privacy Shield.

Het hof heeft geoordeeld dat de modelcontracten geldig zijn. Maar het hof voegt daaraan toe dat bij iedere doorgifte naar een land buiten de EER beoordeeld moet worden of het recht van dat derde land wel passende bescherming biedt voor de persoonsgegevens die op basis van dat contract worden doorgegeven.

De branchevereniging DDMA (Data Driven Marketing Association) stelt dat je nooit AVG compliant kunt zijn, ook al heb je SCC’s afgesloten met Amerikaanse bedrijven.

Verantwoordelijkheid

Nu de Privacy Shield ongeldig is, zijn wij als marketeer en ondernemer ZELF verantwoordelijk (artikel 5(2) AVG) om te checken of een partij voldoet aan de GDPR. Wij hebben daarin een onderzoeksplicht.

Case Study Duitsland maart 2021

Dat het menens is, laat deze case study zien.

Door het vervallen van de ‘Privacy Shield’-regeling heeft in maart 2021 een Duitse privacy toezichthouder geoordeeld dat een Duitse organisatie geen mails meer mag versturen met Mailchimp. Door het gebruik van Mailchimp worden gegevens onrechtmatig doorgegeven buiten de Europese Unie, wat een overtreding is van de Wet AVG. Het bedrijf is na de uitspraak per direct gestopt met het gebruik van Mailchimp.

Dit is weliswaar een uitspraak in Duitsland, maar Nederland heeft met dezelfde wet- en regelgeving te maken.

We zijn zelf verantwoordelijk dat de marketingtools die we gebruiken, voldoen aan alle eisen die de Europese Unie aan dataverwerking stelt.

     

Interessante informatie/verdieping
over dit onderwerp

Uitleg van de DDMA over het ongeldig verklaring van de Privacy Shield en de gevolgen voor bedrijven:

Mijn persoonlijke onderzoek naar Activecampaign

Ik heb best wel diep moeten graven. Activecampaign stuurde mij namelijk alle kanten op.

Allereerst verwezen zij mij naar een Data Processing Agreement (DPA)

Data Processing Agreement (DPA)

Een DPA is de Engelse benaming voor een verwerkersovereenkomst. De AVG verplicht namelijk alle verantwoordelijken en verwerkers om een overeenkomst of DPA af te sluiten over de verwerking van de gegevens. Dit sluit dus niet uit dat de data in Amerika wordt opgeslagen en niet in Europa 😉

Data opslag Activecampaign

Vindt plaats binnen de Verenigde Staten en dus niet volgens onze Wet AVG binnen Europa.

Modelcontracten

Voor zover ik heb kunnen achterhalen, zijn er géén SCC of modelcontracten. Iedereen is zeer terughoudend met informatievoorziening hierover. Erg teleurstellend want ik ben een enorm fan van Activecampaign.

Na al mijn gespit in de juridische shizzle ben ik wel tot de conclusie gekomen dat ook een SCC niet afdoende is om aan de Wet AVG te voldoen.

Wat zijn nu de mogelijke oplossingen?

Waar problemen zijn, zijn ook oplossingen. Dit is wat jij kunt doen: 

  1. 1
    Start met het controleren of er dataverwerking plaatsvindt (met specifieke softwaretools) naar de Verenigde Staten. Als je bijvoorbeeld persoonsgegevens in de cloud hebt staan, ga dan na waar de servers staan. Er zijn bijvoorbeeld Europese aanbieders die de Amerikaanse infrastructuur gebruiken. Hierdoor wordt alsnog persoonsgegevens doorgegeven aan de Vernigde Staten en is de kans groot dat deze dataverwerking onder de Amerikaanse regering valt.  Let daarbij ook op of er vanuit de VS toegang tot data in EU is (want ook dan is er sprake van doorgifte naar Amerika!).
  2. 2
    Controleren of deze bedrijven compliant zijn aan de Wet AVG / GDPR (bijvoorbeeld door gebruik van een Europese entiteit met Data Trustee). Aan de hand van SCC’s (Standard Contractual Clauses) zou data-uitwisseling alsnog mogelijk moeten zijn.

    De Bruyne van DDMA (branchevereniging voor data en marketing zegt hierover:

    “Het is volgens het EU-hof nodig om ‘case by case’ te bekijken of het land van bestemming veilig genoeg is. Kun je niet garanderen dat de gegevens in de VS voldoende beschermd zijn? Zijn er geen SCC’s beschikbaar? Of worden er geen aanvullende gegevens getroffen, zoals encryptie? Dan moet je serieus overwegen of je die tools nog kunt blijven gebruiken.”

    Het hof heeft geoordeeld dat de modelcontracten nog wel geldig zijn. Maar het Hof voegt daaraan ook toe dat bij iedere doorgifte naar een land buiten de Europese Economische Ruimte (EER) beoordeeld moet worden of het recht van het derde land wel passende bescherming biedt.

  3. 3
    Pas je privacyverklaring aan conform actuele ontwikkelingen
  4. 4
    Houd de updates van de Autoriteit Persoonsgegevens in de gaten

Als je dit niet kunt garanderen, dan ben je overtreding van de GDPR/AVG waardoor de Autoriteit Persoonsgegevens mag gaan beboeten.

Hét alternatief voor je e-mailmarketing systeem

Marketingfacts

-innovatie in marketing-

Volgens Marketingfacts:

“Terwijl organisaties in heel Europa gespannen in de gaten houden met welke aanbevelingen de EDPB (European Data Protection Board - Ria)  komt, kijken we met een schuin oog naar de onderhandelingen tussen de Europese Commissie en de Amerikaanse regering. Daar wordt gesproken over een opvolger van het Privacy Shield. Als dat lukt dan zijn we terug bij de oude situatie. Vanuit AVG-perspectief is doorgifte dan weer mogelijk naar gecertificeerde Amerikaanse organisaties. De vraag is dan hoe lang die afspraak standhoudt. De onderliggende problematiek van toegang door inlichtingendiensten is hiermee immers niet opgelost.”


Zoek naar een Europese vervanger

Met behulp van SCC’s (Standard Contractual Clauses) zou data uitwisseling alsnog mogelijk moeten zijn, maar dat is erg omslachtig en waarschijnlijk niet AVG/GDPR proof.

Er zijn nog heel veel onduidelijkheden over een nieuwe vorm van Privacy Shield en het onder bepaalde voorwaarden geldig verklaren van modelcontracten. Daarom ben ik van mening dat proactief handelen een pré is en het zekere voor het onzekere nemen.

Het switchen naar een data verwerker binnen de EU of EER geeft je de garantie dat je sowieso voldoet aan de AVG.

Toevallig (en toeval bestaat in mijn wereld niet 😊) ben ik mijn e-mail marketing al aan het overzetten op FluentCRM.

Dit heeft 2 voordelen:

  1. Fluent CRM is enorm kostenbesparend (zeker als je een grotere e-maillijst hebt of de intentie hebt om dit te gaan opzetten wat ook zeker mijn dringende advies is)

  2.  De data is in eigen hand want het is ‘self hosted’ en staat op jouw Europese server (win-win). Check of jouw server in Europa staat 😉. 

  3.  Fluent CRM is ingericht volgens AVG / GDPR

In alle eerlijkheid: ik had het arrest al eerder voorbij zien komen, maar hier geen actie op ondernomen omdat ik simpelweg niet wist WAT of HOE ik het moest oplossen.

Daarnaast had ik het vermoeden dat er wel snel een oplossing zou komen en dat de soep nooit zo heet gegeten wordt als het opgediend wordt. Een beetje struisvogelpolitiek dus.

Nadat ik geconfronteerd werd met bovengenoemde Duitse uitspraak ben ik erin gedoken en heb ik alles uitgeplozen (tot zover mijn vermogen gaat, ik ben nl. geen jurist, advocaat of adviseur). Maar ik ben wel een ondernemer en marketeer in hart en nieren. Alles wat er in deze blog staat, gaat ook mijzelf aan. Daarom ben ik er helemaal ingedoken. Persoonlijk vind ik het opbouwen van een goede e-maillijst die voldoet aan de wet AVG super belangrijk.

Naast Fluent CRM zijn er uiteraard ook andere Nederlandse alternatieven. Een partij die veel informatie hierover deelt is Spotler en Flowmailer. Met beide partijen heb ik geen ervaring. Daarnaast heb ik een overzicht gevonden met 70+ Europese alternatieven voor je e-mailmarketing

e-mailmarketing & Wet AVG Proof

Wil je meer weten over de regels die gelden en hoe je hier als ondernemer en marketeer rekening mee moet houden en kan toepassen? Ontdek alles over de AVG en je e-mailmarketing in de uitgebreide Wet AVG training.

Deze training is exclusief beschikbaar in de Van Klik naar Klant academie. Via het membership krijg je toegang. Je zit nergens aan vast en je kunt per maand het membership opzeggen. Ik houd namelijk van waarde geven en niet van moeilijk doen 😊)


Je komt alles te weten over de Wet AVG en kan dit per direct toepassen. 



Dit artikel is mede tot stand gekomen dankzij de adviesgesprekken en/of informatie verstrekt op de websites van DDMA, Autoriteit Persoonsgegevens, Europa EUSpotler , ICTrecht, Hekkelman advocaten, Kennedy van der Laan en Marketingfacts,

Disclaimer: dit artikel bevat informatie over de wet- en regelgeving. Het bevat geen juridisch advies.

pinterest 1
pin it 1

Meest Gestelde Vragen FluentCRM

E-mails versturen met Amazon SES. Dat is voor mij echt te ingewikkeld. Zijn er andere opties?

Er zijn verschillende opties:
 

  1.  Je kunt het (éénmalig) opzetten van een Amazon SES account uitbesteden aan Van Klik naar Klant. Je kunt vrijblijvend contact met ons opnemen.

  2.  Onderstaand een overzicht van providers gekoppeld in FluentCRM waarmee je ook e-mails kunt versturen (mijn advies: Amazon SES 😉 )
Andere providers om e-mails vanuit je website versturen

3. Een Email Service Provider (ESP) zoeken waar de data opgeslagen wordt in Europa. Zie mijn artikel over het feit dat jij waarschijnlijk in overtreding bent met de WET AVG. In dit artikel heb ik diverse verwijzingen opgenomen. 

Als je alles opslaat in je WordPress site, hoe weet je dan of je volgens AVG werkt?

Het állerbelangrijkste is dat de persoonsgegevens (data) wordt opgeslagen op een server in Europa. Wij als ondernemer/marketeer hebben onderzoeksplicht en zijn zelf verantwoordelijk. Vraag dus altijd na bij je hostingpartij WAAR je data wordt opgeslagen want dan weet je of je voldoet aan de Wet AVG. 

pinit fg en rect red 28

  • Wat heb je je er weer in vastgebeten en wat een info!! Ik was al om met je eerdere blog bericht naar FluentCRM. Ik heb nog wat uitdagingen omdat ik met twee verschillende website’s werk maar dat gaat helemaal goed komen. Thanx!

  • {"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
  • Wat heb je je er weer in vastgebeten en wat een info!! Ik was al om met je eerdere blog bericht naar FluentCRM. Ik heb nog wat uitdagingen omdat ik met twee verschillende website’s werk maar dat gaat helemaal goed komen. Thanx!

  • {"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
    Van Klik naar Klant Stappenplan

    In 9 Stappen een

    Winstgevend en Succesvol

    online bedrijf opzetten?

    >

    Deze website gebruikt geanonimiseerde analytische cookies. Mag ik ook marketing cookies in je browser opslaan om de website en mijn aanbod nog beter te maken? Klik dan op 'Tuurlijk, Ria!'. Meer over de cookies kun je lezen in mijn privacyverklaring

    Deze website gebruikt geanonimiseerde analytische cookies. Mag ik ook marketing cookies in je browser opslaan om de website en mijn aanbod nog beter te maken? Klik dan op 'Tuurlijk, Ria!'. Meer over de cookies kun je lezen in mijn privacyerklaring.

    FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

    AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

    Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.

    AdvertisingOur website places advertising cookies to show you 3rd party advertisements based on your interests. These cookies may track your personal data.

    OtherOur website places 3rd party cookies from other 3rd party services which aren't Analytical, Social media or Advertising.