Mailchimp is in strijd met het Europese GDPR (AVG) omdat ze persoonsgegevens opslaan op Amerikaanse servers. Door de persoonsgegevens op te slaan op een Amerikaanse server is Mailchimp verplicht hun database toegankelijk te maken voor de Amerikaanse inlichtingendienst als daar om gevraagd wordt.
Kortom, het AVG kan de e-mailadressen die aan Mailchimp worden doorgegeven niet meer beschermen omdat ze niet meer in de Europese Economische ruimte vallen.
In 2021 is er een aanklacht geweest tegen een Duitse onderneming die gebruik maakte van Mailchimp. Als onderneming ben jij ‘verwerking verantwoordelijk’. Dit betekent dat jij verantwoordelijk bent over de persoonsgegevens die je verwerkt en met wie je ze deelt. En het gebruiken van een e-mailplatform die op een Amerikaanse Cloud server staat is in strijd met deze verantwoordelijkheid en dus de AVG.
De bovenstaande Duitse onderneming is er trouwens zonder boete vanaf gekomen maar is na de uitspraak wel gestopt met het gebruik van Mailchimp. De boete verviel omdat het om beperkte persoonsgegevens ging, in dit geval alleen e-mailadressen.
Het GDPR is een Europese wet- en regelgeving waar bedrijven zich aan moeten houden. Dit verklaart nog niet waarom Mailchimp opeens afgeraden wordt. Voorheen was er een afspraak tussen Europa en de Verenigde Staten over de bescherming van de privacy van Europese burgers op het moment dat deze gegevens worden verwerkt in de Verenigde Staten. Dit was afgestemd in de ‘Privacy Shield Agreement’, deze is in 2020 door het hof van justitie van de Europese unie ongeldig verklaard.
De uitspraak in Duitsland heeft ook invloed in Nederland. Want wij hebben namelijk te maken met dezelfde AVG wet- en regelgeving. Je loopt dus hetzelfde risico als de Duitse onderneming.
Geef je Mailchimp meer informatie dan alleen een e-mailadres? Zoals voor- en achternaam, dan loop je wellicht nog meer risico.
Na de opheffing van de Privacy Shield Agreement in 2020 heeft Mailchimp aanpassingen gedaan:
“If you are located in the European Economic Area (EEA)/UK or use our platform to process data about your contacts in the EEA or UK, our Data Processing Addendum has been drafted to meet the requirements of the GDPR in order to enable you to transfer EEA/UK personal data to Mailchimp in the United States, and to permit Mailchimp to lawfully process that data on your behalf.This DPA is incorporated directly into our Standard Terms of Use and does not require a signature. By using Mailchimp or signing up for an account, you’re agreeing to these Terms.
Under Mailchimp’s Terms of Use and Privacy Policy, each user promises that their use will be compliant with all applicable laws.”
Mailchimp claimt nog steeds te werken via de richtlijnen van het Privacy ShieldAgreement, ondanks de opheffing. Dit heeft te maken met dat de zogeheten SCCs (Standard Contractual Clauses) geldig blijven. Dit zijn door de Europese Commissie goedgekeurde model-contractbepalingen voor verwerkers. Mailchimp beroept zich dan ook met de bovenstaande claim op die SCCs.
Mailchimp waarschuwt wel dat bedrijven nog steeds aangevochten kunnen worden zoals in Duitsland het geval was.
Mailchimp kan zich beroepen op het SCCs, maatregelingen voor beveiliging doorvoeren en handelen via het Privacy ShieldAgreement, de Amerikaanse inlichtingendienst kan nog steeds Mailchimp forceren om de persoonsgegevens aan hen te overhandigen. Omdat de persoonsgegevens op een Amerikaanse server staan kunnen ze hier nog aanspraak op maken en dat staat haaks op het AVG.
De Duitse uitspraak is een duidelijk signaal naar de Nederlandse toezichthouder (Autoriteit Persoonsgegevens). Bedrijven die gebruik maken van Mailchimp kunnen in de toekomst hierop aangesproken worden of zelfs een boete ontvangen.
Als je dit risico niet wilt lopen, dan kan je aan de slag met verschillende Mailchimp alternatieven van Nederlandse en Europese bodem die wel voldoen aan de AVG.
Ondanks dat het nog onduidelijk is wanneer er een nieuw Privacy ShieldAgreement tussen de EU en VS komt, wordt er wel aan gewerkt.
In de tussentijd kan de privacytoezichthouder bedrijven aanspreken op het gebruik van Mailchimp.
Op het gebied van Europese e-mail platformen zijn er veel Mailchimp alternatieven. Zo heb je Spotler en Copernica, beide van Nederlandse bodem.
Gebruik je je Mailchimp sporadisch, maar heb je wel gegevens opgeslagen in Mailchimp? Stap dan over naar soortgelijke programma’s zoals LaPosta, MailerLite of Newsletter2Go.
Het overstappen van Mailchimp naar een alternatief kost tijd en geld. En kan voelen als een hatelijk klusje. Maar gezien de hoge boetes die de Autoriteit Persoonsgegevens oplegt, is het de investering waard.
