Mailchimp onder vuur!

Mailchimp

Ecommerce kan niet zonder e-mailmarketing. En bij e-mailmarketing denk je al snel aan Mailchimp, een van de meest gebruikte platforms om je nieuwsbrieven en updates bij je klanten onder de aandacht te brengen. Maar Mailchimp ligt onder vuur. Immers, het platform draait op Amerikaanse servers. Dus lijkt het gebruik ervan in strijd met de Nederlandse en Europese privacywetgeving. Je bent gewaarschuwd!

Mailchimp is de meest populaire e-mailmarketingsoftware ter wereld. Wat in 2001 begon als hobby van de ontwikkelaars Ben Chestnut en Mark Armstrong, groeide uit tot big business. Met als belangrijkste boost: het besluit in 2009 om de dienst tot op zekere hoogte gratis aan te bieden. Daarmee nam het aantal gebruikers stormenderhand toe. Inmiddels is Mailchimp goed voor de wereldwijde distributie van miljarden e-mails per maand. Maar voor Europese gebruikers dreigt nu een serieuze drempel. Mailchimp zou niet AVG-proof zijn.

Mailchimp in strijd met GDPR

De AVG, ook bekend als General Data Protection Regulation (GDPR), sinds 2018 van toepassing in EU-landen, begint de populaire cloudoplossing voor e-mailcampagnes danig in de weg te zitten. Lange tijd leek er geen vuiltje aan de lucht. Tot de luis in de pels van de wereldwijde data-industrie, de NOYB, zijn pijlen richtte op een willekeurige organisatie in Duitsland vanwege het gebruik van Mailchimp. Het doorgeven van e-mailadressen aan het Amerikaanse Mailchimp zou in strijd zijn met de AVG. Want de verordening verbiedt opslag van data buiten de EU.

Maar het doorgeven van de adressen diende geen ander doel diende dan het verzenden van e-mails, zo luidde het verweer van de betreffende organisatie. Helaas maakte dit geen indruk op de privacytoezichthouder in de Duitse deelstaat Beieren. Want deze oordeelde dat de doorgifte van persoonsgegevens wel degelijk onrechtmatig is. Met andere woorden: het gebruik van Mailchimp werd bestempeld als strafbaar. Een feitelijke straf (boete) bleef uit, maar de discussie rond data-uitwisseling tussen Europa en VS is heropend.

Gat in Privacy Shield

Het pijnpunt in de discussie is dat inlichtingendiensten in de VS in databanken van cloudpartijen als Mailchimp kunnen en mogen kijken. Tot 2020 bestond hier de zogeheten Privacy Shield-regeling voor. Dit was een reeks van afspraken met de VS om Europese burgers tegen de belangstelling van de Amerikaanse speurhonden  te beschermen.  De regeling werd door toedoen van de NOYB afgebrand door het Hof van Justitie van de Europese Unie. Sindsdien is datatransport naar de VS alleen toegestaan als de afzender extra beveiligingsmaatregelen treft. De organisatie die nu bij wijze van proef door de NOYB werd aangepakt, zo oordeelde de Duitse toezichthouder, bouwde onvoldoende waarborgen in om te voorkomen dat Big Brother mee kan kijken.

Echter, het inbouwen van dergelijke waarborgen is zo simpel nog niet. De koepel van Europese privacytoezichthouders (EDPB) werkt aan protocollen, maar die bestaan alleen nog in conceptvorm. De organisatie die op de vingers werd getikt – de naam is niet bekend gemaakt – gaf dat aan in haar verweer, maar dat mocht niet baten. Het bleef weliswaar bij een waarschuwing, maar Mailchimp ging meteen als e-mailmarketingtool overboord en er moest een nieuw systeem worden ingericht. De vraag is nu: moeten alle Ecommerce-ondernemers die gebruikmaken van Mailchimp hals over kop op zoek naar een nieuwe softwareoplossing?

Die vraag is nog niet zo eenvoudig te beantwoorden. Aanbieders van e-mailmarketingtools springen uiteraard dankbaar op de situatie in en grijpen het gesteggel rond Mailchimp aan om hun eigen waar aan te prijzen. Geef ze eens ongelijk. Er  circuleren steeds meer lijsten met betaalde best choices op internet. Frankwatching publiceerde recentelijk een handige lijst met alternatieve gratis mailprogramma’s. Met als inleidende tekst: ‘Mailchimp kan het raam uit, want software uit de VS voldoet niet aan de AVG.’

Wel of niet door met Mailchimp?

Misschien is dit wat kort door de bocht, hoewel zo’n lijst nooit kwaad kan als je het zekere voor het onzekere wil nemen door bij voorbaat met Mailchimp te stoppen. Maar ondanks de uitspraak van de Duitse privacytoezichthouder is het maar zeer de vraag of dat op stel en sprong noodzakelijk is. Ten eerste is het onzeker of de uitspraak van de toezichthouder stand had gehouden als de betreffende organisatie het hogerop had gezocht. Mailchimp zelf claimt namelijk wel degelijk aan de voorschriften te voldoen. Hierbij beroept Mailchimp zich op de zogeheten Standard Contractual Clauses, modelcontracten die zijn goedgekeurd door zowel de Europese Commissie.

Ten tweede heeft Mailchimp onlangs aangekondigd uiterlijk in 2022 een datacenter in de EU operationeel te hebben, waarmee het probleem de wereld uit zou zijn. Ten derde werken de EU en de VS aan nieuwe afspraken die het gat in het eerder genoemde Privacy Shield moeten dichten. Maar de uitspraak in het nadeel Mailchimp van de Beierse privacywaakhond kan natuurlijk gevolgen hebben. In navolging van de Duitse toezichthouder is er altijd een kans dat ook de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, bedrijven gaat aanspreken op het gebruik van Mailchimp of andere tools en platforms die draaien op servers in de VS.

Autoriteit Persoonsgegevens zwijgt

Overigens zijn er nog geen signalen die wijzen in die richting. Op de website van de Nederlandse privacywaakhond wordt vooralsnog met geen woord gerept over eventuele risico’s die aan de toepassing van de populaire e-mailmarketingtool verbonden zijn. Maar pas op: dat biedt geen enkele garantie op een zorgeloze toekomst in het intercontinentale dataverkeer. Een algemene stelregel is: als je geen zin hebt in gedonder, doe je er beter aan al je data in Europa te bewaren en te verwerken. Maar de belangrijkste conclusie op dit moment is dat al het gesteggel rond Mailchimp vooralsnog vooral verwarring schept.

 

Getagd onder: