Achteraf blijkt dat in de Facebook Live beeld en geluid niet helemaal synchroon lopen 😊
Privacy Shield
Verstuur jij online nieuwsbrieven of marketing e-mails én maak je gebruik van een Amerikaanse dienstverlener zoals bijvoorbeeld Mailchimp, Convertkit, Activecampaign (of resellers van Activecampaign), Hubspot of andere email marketing systemen? Dan is de kans groot dat je in overtreding bent met de AVG. Voordat je nu in de kramp schiet, lees verder voor de oplossing(en).
Converkit, Mailchimp en Activecampaign enz. zijn Amerikaanse bedrijven.
Deze bedrijven bewaren alle data (met persoonsgegevens) op servers in Amerika.
In de Wet AVG (Algemene Verordening Gegevensbescherming) (in het Engels GDPR General Data Protection Regulation) worden strikte privacy eisen gesteld aan het bewaren, gebruiken en verwerken van persoonsgegevens.
Aan de eisen van de Wet AVG dienen Amerikaanse partijen zoals Convertkit, Mailchimp, Activecampaign etc. te voldoen wanneer zij data van Europeanen verwerken en opslaan.
Tot juli 2020 waren deze privacy-eisen afgestemd in de ‘Privacy Shield’ regeling.
Deze Privacy Shield regeling is een regeling voor doorgifte van persoonsgegevens vanuit de EU (zoals wij in Nederland) naar de Verenigde Staten en bevat afspraken tussen Europa en de Verenigde Staten over de bescherming van de persoonsgegevens (privacy).
Op 16 juli 2020 is het Privacy shield ongeldig verklaard door het Europese Hof omdat het geen passend beschermingsniveau voor persoonsgegevens waarborgt voor inwoners van Europa (privacyshield.gov) zoals de AVG vereist.
Dit houdt concreet in dat data van Europese burgers niet zomaar in de Verenigde Staten opgeslagen en verwerkt mogen worden.
Het Privacy Shield was dus een mogelijkheid om persoonsgegevens door te geven aan landen buiten de Europese Economische Ruimte (EER). Door het ongeldig verklaren van het Privacy Shield is het strafbaar om persoonsgegevens (buiten de EU) door te geven aan een Amerikaanse dienstverlener.
Onderzoeksplicht
Veel Marketeers/ondernemers werken en maken gebruiken van Amerikaanse marketing tools zoals e-mail marketing software. Wij als marketeer en ondernemer hebben nu een onderzoeksplicht en dienen te controleren of onze contracten/tools met de Amerikaanse partijen nog voldoen aan de nieuwe eisen.
Het Privacy Shield zorgde ervoor dat de Amerikaanse bedrijf in Europa konden werken met standaard modelcontract bepalingen (Standard Contractual Clause afgekort SSC).
Tot nu toe kon je dus met een gerust hart zaken doen met gecertificeerde partijen zonder de Wet AVG / GDPR te overtreden. TOT 16 juli! Want dat is nu niet meer het geval!
Standard Contractual Clauses (SCC)
De Standard Contractual Clauses (SCC’s) of in het Nederlands: ‘de modelcontracten’ zijn extra aanvullende afspraken over de doorgifte van persoonsgegevens tussen Europa en organisaties buiten de EU zoals de Verenigde Staten.
In deze SCC staan alle maatregelen die in overeenstemming met het Privacy Shield nodig zijn om de privacy van de Europese burgers te waarborgen. Veel bedrijven hebben van dit soort contracten afgesloten met Amerikaanse bedrijven als extra waarborg bovenop Privacy Shield.
Het hof heeft geoordeeld dat de modelcontracten geldig zijn. Maar het hof voegt daaraan toe dat bij iedere doorgifte naar een land buiten de EER beoordeeld moet worden of het recht van dat derde land wel passende bescherming biedt voor de persoonsgegevens die op basis van dat contract worden doorgegeven.
De branchevereniging DDMA (Data Driven Marketing Association) stelt dat je nooit AVG compliant kunt zijn, ook al heb je SCC’s afgesloten met Amerikaanse bedrijven.
Verantwoordelijkheid
Nu de Privacy Shield ongeldig is, zijn wij als marketeer en ondernemer ZELF verantwoordelijk (artikel 5(2) AVG) om te checken of een partij voldoet aan de GDPR. Wij hebben daarin een onderzoeksplicht.
Case Study Duitsland maart 2021
Dat het menens is, laat deze case study zien.
Door het vervallen van de ‘Privacy Shield’-regeling heeft in maart 2021 een Duitse privacy toezichthouder geoordeeld dat een Duitse organisatie geen mails meer mag versturen met Mailchimp. Door het gebruik van Mailchimp worden gegevens onrechtmatig doorgegeven buiten de Europese Unie, wat een overtreding is van de Wet AVG. Het bedrijf is na de uitspraak per direct gestopt met het gebruik van Mailchimp.
Dit is weliswaar een uitspraak in Duitsland, maar Nederland heeft met dezelfde wet- en regelgeving te maken.
We zijn zelf verantwoordelijk dat de marketingtools die we gebruiken, voldoen aan alle eisen die de Europese Unie aan dataverwerking stelt.
Interessante informatie/verdieping
over dit onderwerp
Advocatenkantoor Kennedy van der Laan:
https://kvdl.com/artikelen/het-eu-vs-privacy-shield-is-gevallen-wat-betekent-dit-voor-uw-bedrijf
Doorgifte binnen en buiten de EU:
Veel gestelde vragen over het arrest van het Hof van Justitie:
Uitleg van de DDMA over het ongeldig verklaring van de Privacy Shield en de gevolgen voor bedrijven:
Mijn persoonlijke onderzoek naar Activecampaign
Ik heb best wel diep moeten graven. Activecampaign stuurde mij namelijk alle kanten op.
Allereerst verwezen zij mij naar een Data Processing Agreement (DPA)
Data Processing Agreement (DPA)
Een DPA is de Engelse benaming voor een verwerkersovereenkomst. De AVG verplicht namelijk alle verantwoordelijken en verwerkers om een overeenkomst of DPA af te sluiten over de verwerking van de gegevens. Dit sluit dus niet uit dat de data in Amerika wordt opgeslagen en niet in Europa 😉
Data opslag Activecampaign
Vindt plaats binnen de Verenigde Staten en dus niet volgens onze Wet AVG binnen Europa.
Modelcontracten
Voor zover ik heb kunnen achterhalen, zijn er géén SCC of modelcontracten. Iedereen is zeer terughoudend met informatievoorziening hierover. Erg teleurstellend want ik ben een enorm fan van Activecampaign.
Na al mijn gespit in de juridische shizzle ben ik wel tot de conclusie gekomen dat ook een SCC niet afdoende is om aan de Wet AVG te voldoen.
Wat zijn nu de mogelijke oplossingen?
Waar problemen zijn, zijn ook oplossingen. Dit is wat jij kunt doen:
- 1Start met het controleren of er dataverwerking plaatsvindt (met specifieke softwaretools) naar de Verenigde Staten. Als je bijvoorbeeld persoonsgegevens in de cloud hebt staan, ga dan na waar de servers staan. Er zijn bijvoorbeeld Europese aanbieders die de Amerikaanse infrastructuur gebruiken. Hierdoor wordt alsnog persoonsgegevens doorgegeven aan de Vernigde Staten en is de kans groot dat deze dataverwerking onder de Amerikaanse regering valt. Let daarbij ook op of er vanuit de VS toegang tot data in EU is (want ook dan is er sprake van doorgifte naar Amerika!).
- 2Controleren of deze bedrijven compliant zijn aan de Wet AVG / GDPR (bijvoorbeeld door gebruik van een Europese entiteit met Data Trustee). Aan de hand van SCC’s (Standard Contractual Clauses) zou data-uitwisseling alsnog mogelijk moeten zijn.
De Bruyne van DDMA (branchevereniging voor data en marketing zegt hierover:
“Het is volgens het EU-hof nodig om ‘case by case’ te bekijken of het land van bestemming veilig genoeg is. Kun je niet garanderen dat de gegevens in de VS voldoende beschermd zijn? Zijn er geen SCC’s beschikbaar? Of worden er geen aanvullende gegevens getroffen, zoals encryptie? Dan moet je serieus overwegen of je die tools nog kunt blijven gebruiken.”
Het hof heeft geoordeeld dat de modelcontracten nog wel geldig zijn. Maar het Hof voegt daaraan ook toe dat bij iedere doorgifte naar een land buiten de Europese Economische Ruimte (EER) beoordeeld moet worden of het recht van het derde land wel passende bescherming biedt. - 3Pas je privacyverklaring aan conform actuele ontwikkelingen
- 4Houd de updates van de Autoriteit Persoonsgegevens in de gaten
Als je dit niet kunt garanderen, dan ben je overtreding van de GDPR/AVG waardoor de Autoriteit Persoonsgegevens mag gaan beboeten.
Hét alternatief voor je e-mailmarketing systeem
Marketingfacts
-innovatie in marketing-
Volgens Marketingfacts:
“Terwijl organisaties in heel Europa gespannen in de gaten houden met welke aanbevelingen de EDPB (European Data Protection Board - Ria) komt, kijken we met een schuin oog naar de onderhandelingen tussen de Europese Commissie en de Amerikaanse regering. Daar wordt gesproken over een opvolger van het Privacy Shield. Als dat lukt dan zijn we terug bij de oude situatie. Vanuit AVG-perspectief is doorgifte dan weer mogelijk naar gecertificeerde Amerikaanse organisaties. De vraag is dan hoe lang die afspraak standhoudt. De onderliggende problematiek van toegang door inlichtingendiensten is hiermee immers niet opgelost.”
Zoek naar een Europese vervanger
Met behulp van SCC’s (Standard Contractual Clauses) zou data uitwisseling alsnog mogelijk moeten zijn, maar dat is erg omslachtig en waarschijnlijk niet AVG/GDPR proof.
Er zijn nog heel veel onduidelijkheden over een nieuwe vorm van Privacy Shield en het onder bepaalde voorwaarden geldig verklaren van modelcontracten. Daarom ben ik van mening dat proactief handelen een pré is en het zekere voor het onzekere nemen.
Het switchen naar een data verwerker binnen de EU of EER geeft je de garantie dat je sowieso voldoet aan de AVG.
Toevallig (en toeval bestaat in mijn wereld niet 😊) ben ik mijn e-mail marketing al aan het overzetten op FluentCRM.
Dit heeft 2 voordelen:
- Fluent CRM is enorm kostenbesparend (zeker als je een grotere e-maillijst hebt of de intentie hebt om dit te gaan opzetten wat ook zeker mijn dringende advies is)
- De data is in eigen hand want het is ‘self hosted’ en staat op jouw Europese server (win-win). Check of jouw server in Europa staat 😉.
- Fluent CRM is ingericht volgens AVG / GDPR
In alle eerlijkheid: ik had het arrest al eerder voorbij zien komen, maar hier geen actie op ondernomen omdat ik simpelweg niet wist WAT of HOE ik het moest oplossen.
Daarnaast had ik het vermoeden dat er wel snel een oplossing zou komen en dat de soep nooit zo heet gegeten wordt als het opgediend wordt. Een beetje struisvogelpolitiek dus.
Nadat ik geconfronteerd werd met bovengenoemde Duitse uitspraak ben ik erin gedoken en heb ik alles uitgeplozen (tot zover mijn vermogen gaat, ik ben nl. geen jurist, advocaat of adviseur). Maar ik ben wel een ondernemer en marketeer in hart en nieren. Alles wat er in deze blog staat, gaat ook mijzelf aan. Daarom ben ik er helemaal ingedoken. Persoonlijk vind ik het opbouwen van een goede e-maillijst die voldoet aan de wet AVG super belangrijk.
Naast Fluent CRM zijn er uiteraard ook andere Nederlandse alternatieven. Een partij die veel informatie hierover deelt is Spotler en Flowmailer. Met beide partijen heb ik geen ervaring. Daarnaast heb ik een overzicht gevonden met 70+ Europese alternatieven voor je e-mailmarketing.
e-mailmarketing & Wet AVG Proof
Wil je meer weten over de regels die gelden en hoe je hier als ondernemer en marketeer rekening mee moet houden en kan toepassen? Ontdek alles over de AVG en je e-mailmarketing in de uitgebreide Wet AVG training.
Deze training is exclusief beschikbaar in de Van Klik naar Klant academie. Via het membership krijg je toegang. Je zit nergens aan vast en je kunt per maand het membership opzeggen. Ik houd namelijk van waarde geven en niet van moeilijk doen 😊)
Je komt alles te weten over de Wet AVG en kan dit per direct toepassen.
Dit artikel is mede tot stand gekomen dankzij de adviesgesprekken en/of informatie verstrekt op de websites van DDMA, Autoriteit Persoonsgegevens, Europa EU, Spotler , ICTrecht, Hekkelman advocaten,
Kennedy van der Laan en Marketingfacts,
Disclaimer: dit artikel bevat informatie over de wet- en regelgeving. Het bevat geen juridisch advies.
Meest Gestelde Vragen FluentCRM
Er zijn verschillende opties:
- Je kunt het (éénmalig) opzetten van een Amazon SES account uitbesteden aan Van Klik naar Klant. Je kunt vrijblijvend contact met ons opnemen.
- Onderstaand een overzicht van providers gekoppeld in FluentCRM waarmee je ook e-mails kunt versturen (mijn advies: Amazon SES 😉 )
3. Een Email Service Provider (ESP) zoeken waar de data opgeslagen wordt in Europa. Zie mijn artikel over het feit dat jij waarschijnlijk in overtreding bent met de WET AVG. In dit artikel heb ik diverse verwijzingen opgenomen.
Het állerbelangrijkste is dat de persoonsgegevens (data) wordt opgeslagen op een server in Europa. Wij als ondernemer/marketeer hebben onderzoeksplicht en zijn zelf verantwoordelijk. Vraag dus altijd na bij je hostingpartij WAAR je data wordt opgeslagen want dan weet je of je voldoet aan de Wet AVG.
Wat heb je je er weer in vastgebeten en wat een info!! Ik was al om met je eerdere blog bericht naar FluentCRM. Ik heb nog wat uitdagingen omdat ik met twee verschillende website’s werk maar dat gaat helemaal goed komen. Thanx!
Hoi Ria, leuk artikel. Vraagje: is Amazon SES dan wel AVG proof (ipv Mailchimp en ActiveCampaign? Slaan zij hun data dan wel op in Europa? Want Flowmailer beweert o.a. dat ook Amazon SES niet AVG/GDPR compliant is. Zie: https://flowmailer.com/vergelijk/alternatief-amazon-ses
Op de website van Amazon SES word ik ook niet veel wijzer…
Hi Sander! Dankjewel voor je reactie.
Laat ik beginnen dat ik (totaal) geen juridische adviseur ben maar mij wel enorm verdiept heb in deze materie 😉.
Amazon SES voor zover ik weet, slaat geen gegevens op, maar als jij je Amazon SES account instelt in (zie mijn artikel: https://www.vankliknaarklant.nl/amazon-ses/) in Europa dan ben je zeker wel afgedicht voor wat betreft de Wet AVG regeling! Amazon heeft wereldwijd datacenters dus je kan bijvoorbeeld kiezen voor Amazon SES in Parijs (wat ik gedaan heb).
Daarnaast heb ik dit gevonden: https://aws.amazon.com/compliance/gdpr-center/ wat het een en ander onderstreept.
Dus ik hoop je hiermee wat verder geholpen te hebben.
Heel veel succes! Groetjes, Ria
Hi Ria, bedankt voor je reactie en je waardevolle input. Ik heb alles doorgenomen en vind het eigenlijk nog steeds best onduidelijk vanuit Amazon enz. Als ondernemer wordt het je echt wel heel lastig gemaakt op dit vlak. Je moet bijna een gdpr specialist worden om te kunnen voldoen aan deze wet. Ik hoop dat ze snel een vervanging van de privacy shield hebben.
Dank je wel voor dit artikel Ria. Heel helpend. Heldere informatie en het scheelt mij enorm veel lees- en zoekwerk. Ik weet wat mij te doen staat.