Privacy issues bij Mailchimp

Alhoewel de EU-US Privacy Shield sinds een jaar niet meer geldig is, wordt de software van het bedrijf MailChimp nog veelvuldig gebruikt.

Vanuit het perspectief van de Algemene Verordening Gegevensbescherming (AVG) bezien is het gebruik van software en services af te raden als daarbij persoonsgegevens (van betrokkenen) worden verwerkt in de Verenigde Staten. 

MailChimp niet AVG compliant

In principe zijn verwerkingen van persoonsgegevens van betrokkenen onrechtmatig wanneer een organisatie als verwerkingsverantwoordelijke geen passende waarborgen heeft afgesproken met de verwerker over de geheimhouding van persoonsgegevens bij de verwerking ervan; in dit geval dus MailChimp. De verwerking van persoonsgegevens door MailChimp vindt plaats in de Verenigde Staten waarvoor niet meer de wettelijke waarborgen van de AVG gelden.
Hierdoor mogen alleen persoonsgegevens van betrokkenen worden verwerkt wanneer aan iedere betrokkene waarvan het emailadres met de software en services van MailChimp wordt verwerkt, toestemming is gevraagd. Die toestemming is nodig omdat persoonsgegevens buiten de EU worden opgeslagen in een land waarvan de Europese Commissie de privacywetten heeft beoordeeld en geconcludeerd dat die wetten niet zo goed zijn dat ze voldoen aan de vereisten van de AVG.
(NB: het vragen van die toestemming is iets heel anders dan de gevraagde toestemming om iemand een nieuwsbrief te mogen sturen!)

Vaak zal in het geval dat een organisatie de software en services van MailChimp gratis gebruikt, geen sprake zijn  dat MailChimp afwijkt van de zelf door deze organisatie bepaalde bepalingen binnen de verwerkersovereenkomst. 
Voor de landen van de Europese Economische Ruimte (‘EER’) geldt dat alle software en services waarmee persoonsgegevens worden verwerkt, ‘privacy-proof’ moeten zijn. ‘Privacy-proof’ volgens de bepalingen van de AVG. Van MailChimp is bekend dat zij sinds juli 2020 niet meer kunnen voldoen aan de AVG. Het bedrijf heeft dat aangegeven in een verklaring waarbij ze aangeven te streven naar een oplossing ergens in 2022. Dat doen ze door een datacentrum op te zetten binnen de EER waar de data van bestaande en nieuwe Europese gebruikers verwerkt zullen gaan worden.

Feit is is dat er nauwelijks gebruikers bij MailChimp zijn vertrokken toen de EU-US Privacyshield op 16 juli 2020 ongeldig werd verklaard. En zolang gebruikers niet vragen dat MailChimp aan de bepalingen van de AVG voldoet, is het onwaarschijnlijk dat de noodzaak tot verandering door MailChimp hoog wordt ingeschat.
MailChimp moet zich als verwerker van de persoonsgegevens van Europese betrokkenen  aan de bepalingen van de AVG houden. De verwerkingsverantwoordelijke zal uiteindelijk door een nationale toezichthouder van een land binnen de EER mogelijk worden beboet bij constatering van een overtreding. Daarover heeft in Duitsland al een zaak gediend die was aangespannen door een betrokkene waarin op 15 maart 2021 een uitspraak is gedaan. De verwerkingsverantwoordelijke heeft in die zaak aangegeven onmiddellijk het gebruik van MailChimp te beëindigen, op grond waarvan de rechtbank het heeft gelaten bij een waarschuwing en geen boete heeft opgelegd.

Alternatieven voor MailChimp beschikbaar? 

Het advies is indien jouw organisatie zoveel mogelijk compliant wil zijn aan de AVG, om sterk te overwegen MailChimp niet (meer) te gebruiken en eventueel te onderzoeken of dezelfde software en services binnen een alternatief beschikbaar zijn waarvan de leverende organisatie wel voldoet aan de bepalingen van de AVG.