Afhankelijk van Amerikaanse clouddiensten
Die Amerikanen kunnen er wat van. Ze ontwikkelen fantastisch werkende IT-diensten. Daarnaast weten ze met briljante marketingstrategieën de hele wereld daar afhankelijk van te maken. Er is echter maar één probleempje: zij verwerken de gegevens veelal buiten de EER. Dat staat op gespannen voet met de privacyrechten. De Europese Unie verdedigt deze privacyrechten voor haar onderdanen met vele regels. De redenatie is dat buiten de EER maar weinig controle is op hoe zorgvuldig en rechtmatig men met de gegevens omgaat. Van de Verenigde Staten weten we dat ze (on)behoorlijk veel persoonsgegevens verwerken in het kader van surveillance en spionage, onder meer door de onthullingen van Edward Snowden.
Dankzij de sterke lobby van de Verenigde Staten kregen haar IT-bedrijven toch altijd weer de vrijbrief om gemakkelijk met Europese persoonsgegevens te werken. Eerst op basis van de Safe Harbor Principles en – nadat die ongeldig werden verklaard – op grond van EU-US Privacy Shield. Vervolgens werd ook de laatste onderuit gehaald door Max Schrems.
Onder druk van de VS en hun IT-industrie en vanwege de afhankelijkheid van vele partijen in de EU, zal ongetwijfeld weer een nieuw framework worden opgezet. Maar het valt niet te verwachten dat de VS hun spionageactiviteiten zullen afzwakken ten bate van de privacyrechten van Europeanen.
Momenteel zit het Europese bedrijfsleven dus een beetje met een ‘inconvenient truth‘ te worstelen. We weten dat het gebruik van sommige diensten eigenlijk niet meer door de beugel kan, maar onze systemen en processen zijn er nog wel van afhankelijk. Zomaar stoppen kan eigenlijk niet, maar met de onrechtmatigheid doorgaan is ook geen optie.
Mailchimp in het nieuws
Soms dringt die ongemakkelijke waarheid zich weer nadrukkelijk op. Bijvoorbeeld na het lezen van het nieuws rondom de onrechtmatigheid van Mailchimp. Het Amerikaanse Mailchimp is één van de vele populaire leveranciers van marketingsoftware in de cloud. Mailchimp richt zich op het verlenen van diensten voor het versturen van nieuwsbrieven en mailings. Dat bedrijf heeft geen vestiging in de EU en verwerkt gegevens ook buiten de EER. We weten sinds het arrest Schrems II uit 2020 dat dat eigenlijk niet zomaar mag.
De Beierse autoriteit persoonsgegevens, de BayLDA, heeft een klacht behandeld. Die kwam van een betrokkene die protesteerde tegen de doorgifte van zijn e-mailadres aan een partij buiten de EU. De autoriteit kwam tot het oordeel dat het Duitse bedrijf dat Mailchimp gebruikte had nagelaten te onderzoeken welke “aanvullende maatregelen” nodig waren voor data-export. En dat deze “aanvullende maatregelen” daarom evenmin waren genomen. Daarom mochten de persoonsgegevens – met name e-mailadressen – niet naar de VS geëxporteerd worden. Het Duitse bedrijf is gestopt met het gebruik van Mailchimp.
Mailchimp verboden?
Betekent dit nu dat Mailchimp per definitie onrechtmatig is in de EU? Nee, niet per definitie. De gebruikers van Mailchimp dienen een onderzoek te doen naar de te nemen “aanvullende maatregelen”. De European Data Protection Board (EDPB) heeft weliswaar een handreiking gegeven, maar die lijkt niet goed werkbaar voor dit geval. Sterker nog, maildiensten zoals Mailchimp lijken te vallen onder Praktijkvoorbeeld 6 van de EDPB in haar Aanbevelingen 01/2020: het is een clouddienst die toegang heeft tot ongecodeerde gegevens en de Amerikaanse overheid heeft een te vergaande toegang tot die gegevens.
Niet valt in te zien hoe men het gebruik van Mailchimp nu goed kan praten. Er zijn nogal wat apen en beren op de weg te zien (in dit geval vooral apen). Het ligt voor de hand dat het gemakkelijker en juridisch veiliger is om snel een Europees alternatief te vinden voor Mailchimp. En dat zal voor vele andere Amerikaanse clouddiensten dus ook opgaan, hoe fijn die ook werken. De vraag is dus hoe lang wij in de EU onze koppen nog comfortabel in het zand kunnen steken als er meerdere van dit soort praktijkvoorbeelden volgen.
Wat moet uw organisatie hiermee?
Het is de hoogste tijd om in kaart te brengen welke datastromen van uw organisatie allemaal naar buiten de EER gaan. U dient uw verwerkers en subverwerkers dus onder de loep te nemen. Daarna dient per data-export naar derdelanden bekeken te worden op welke grondslag dit gebeurt en of aanvullende maatregelen nodig én mogelijk zijn. De specialisten van NORD Advocaten zijn bij uitstek goede sparringspartners bij deze uitdagingen.
