Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie EU-US Privacy Shield ongeldig verklaard. In deze regeling lagen afspraken tussen Europa en de Verenigde Staten vast over de bescherming van de privacy van Europese burgers op het moment dat persoonsgegevens worden verwerkt door Amerikaanse bedrijven. In de V.S. gelden namelijk andere, minder strikte regels als het gaat om de bescherming van de privacy van burgers dan in de Europese Unie. Daarom zijn er in 2016 allerlei afspraken gemaakt om deze privacy te waarborgen. Echter, zo sprak het Europese Hof uit, voldoen deze afspraken niet.

Gevolg? Privacy Shield is ongeldig en dat brengt Europese bedrijven en instellingen die met Amerikaanse partijen als Mailchimp en andere Amerikaanse ESP’s werken voor hun e-mail marketingactiviteiten in een lastig parket. Laten we hier eens dieper op in gaan en uiteenzetten wat de gevolgen zijn met betrekking tot e-mail marketing van het ongeldig verklaren van Privacy Shield.

Wat is Privacy Shield?

Voordat we kijken naar de gevolgen voor e-mail marketing van het ongeldig verklaren van de Privacy Shield-regeling, wil ik eerst graag wat meer achtergrondinformatie geven over de totstandkoming van de afspraken tussen de EU en de VS over het delen van persoonsgegevens en hoe die gegevens beschermd moeten worden.

Bescherming van persoonsgegevens

In de introductie van dit artikel refereerde ik er al aan. De manier waarop er in de Verenigde Staten wordt omgegaan met privacy van burgers is wezenlijk anders dan dat wij dat in Europa doen. Wij, in Europa, vinden het belangrijk dat persoonlijke data of persoonsgegevens beschermd worden. Ze zijn persoonlijk en zeggen iets over jou. Iets wat andere niet altijd wat aan gaat en waarover jij zelf de controle moet hebben. In essentie is dat de reden waarom wij in Europa ons sinds mei 2016 houden aan de General Data Protection Regulation (GDPR). Dat in de praktijk bedrijven tot mei 2018 de tijd hebben gekregen om systemen zo in te regelen dat zij aan de GDPR, of AVG (Algemene Verordening Gegevensbescherming) in het Nederlands, konden voldoen doet daar niets aan af.

In de AVG wordt gesteld dat bedrijven die persoonsgegevens (van bijvoorbeeld klanten) verwerken, die persoonsgegevens beschermen en daar voorzichtig mee omgaan. Persoonsgegevens zijn gegevens die aan een individu verbonden kunnen worden, of waarmee een individu kan worden geïdentificeerd. Bijvoorbeeld naam, foto, telefoonnummer, adres, bankrekeningnummer, e-mail-adres, vingerafdruk en medische data. Ten aanzien van deze gegevens moeten de volgende zaken worden gevolgd:

  • Transparantie: de persoon van wie de gegevens verwerkt worden, is hiervan op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten.
  • Doelbeperking: de persoonsgegevens worden voor een welbepaald gerechtvaardigd doel verzameld, en mogen niet voor andere zaken gebruikt worden.
  • Gegevensbeperking: enkel de gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld.
  • Juistheid: de persoonsgegevens moeten correct zijn en blijven.
  • Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel.
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.
  • Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.

Van Safe Harbor naar Privacy Shield

In de Verenigde Staten heb je geen GDPR. Sterker nog, de bekende grote techreuzen zoals Google en Facebook verdienen juist veel geld aan adverteerders met wie zij juist (persoonlijke) data van gebruikers delen of aan wie zij data doorverkopen. Dit was voor de Oostenrijkse privacy-activist Maximillian Schrems reden om in 2013 een klacht in te dienen bij de Ierse autoriteit persoonsgegevens. Hij stelde dat de doorgifte van zijn persoonsgegevens door Facebook Ireland aan het moederbedrijf Facebook Inc. in de Verenigde Staten verboden moest worden, omdat zijn gegevens daar onvoldoende beschermd zouden zijn. Al in 2000 hadden de Europese Unie en de Verenigde Staten hier afspraken over gemaakt en die vastgelegd in Safe Harbor. Bedrijven met Safe Harbor-certificering boden volgens de Europese Commissie een ‘passend beschermingsniveau’ voor persoonsgegevens, zodat persoonsgegevens vanuit de EU naar Amerikaanse bedrijven doorgegeven mochten worden.

Na de klacht van Schrems oordeelde het Europese Hof in 2015 dat deze gegrond was. Vanwege de FISA (Foreign Intelligence Surveillance Act) en de Patriot Act in de Verenigde Staten kan niet een niveau van bescherming dat ‘wezenlijk gelijkwaardig’ was met het niveau van bescherming in Europa worden geboden. Dit betekende dat de EU en de VS terug naar de tekentafel konden om nieuwe afspraken te maken. En die kwamen er in 2016 in de vorm van Privacy Shield. In het kort kan worden gesteld dat Privacy Shield de aangescherpte versie van Safe Harbor moest worden, met betere afspraken over bescherming van persoonsgegevens van Europeanen die worden verwerkt door Amerikaanse bedrijven. Net zoals in de AVG waren er zaken uitgewerkt over dataminimalisatie, transparantie en voorwaarden voor doorgifte van data.

Gevolgen Privacy Shield ongeldig verklaard

Critici stelden Privacy Shield direct al na de lancering in augustus 2016 ter discussie omdat zij zich vanwege in Amerika geldende wet- en regelgeving omtrent nationale veiligheid afvroegen of de nieuwe regeling daadwerkelijke voldoende bescherming aan Europese consumenten zou kunnen bieden. Nee dus, oordeelde het Hof van Justitie van de Europese Unie op 16 juli 2020. Het Privacy Shield biedt in vergelijking met de bescherming volgens de Europese GDPR niet ‘wezenlijk gelijkwaardige’ bescherming, omdat de Amerikaanse veiligheidsdiensten nog steeds (te veel) toegang kunnen krijgen tot (Europese) persoonsgegevens.

Conclusie:

Als jij als Nederlandse organisatie onder Privacy Shield samenwerkt met Amerikaanse partijen die persoonsgegevens verwerken, dan ben je vanaf nu in overtreding van de wet en moet je die samenwerking stopzetten. Alleen werken met ‘Standard Contractual Clauses’ lijkt – voor nu – een uitweg te bieden.

Standard Contractual Clauses blijven voorlopig van kracht

De ‘Standard Contractual Clauses’ (SCC’s) van de Europese Commissie, of in het Nederlands ‘de modelcontracten’, zijn extra aanvullende afspraken over de doorgifte van persoonsgegevens tussen een in de EU gevestigde organisatie en een organisatie buiten de EU, bijvoorbeeld de V.S. Veel organisaties hebben van dit soort contracten afgesloten met Amerikaanse bedrijven als extra waarborg bovenop Privacy Shield. Hiervan heeft het Europese Hof gezegd dat deze contracten doeltreffende mechanismen bevatten waarmee in de praktijk kan worden gewaarborgd dat het beschermingsniveau in de AVG kan worden nageleefd. De modelcontracten zijn dus niet ongeldig verklaard.

Conclusie:

Als jij als Nederlandse organisatie modelcontracten hebt afgesloten met Amerikaanse partijen die persoonsgegevens verwerken, dan ben je niet in overtreding van de wet en kun je de samenwerking voorlopig doorzetten.

  • Echter: Het Hof wijst daarbij wel uitdrukkelijk op de jouw onderzoeksplicht om voorafgaand aan enige doorgifte van persoonsgegevens naar een partij in een derde land te beoordelen of het beschermingsniveau in dat derde land wordt gerespecteerd. Is dit niet het geval, dan moet de doorgifte van persoonsgegevens alsnog gestaakt worden en/of het modelcontract met worden beëindigd. Iets dat wordt onderschreven door de European Data Protection Board (EDPB) als je het FAQ-document doorneemt dat zij naar aanleiding van de uitspraak van het Hof hebben opgesteld. En daar komt ook nog bij dat bepaalde onderdelen van de modelovereenkomst, zoals het voorbehoud van recht om audits uit te laten voeren, totaal niet realistisch zijn om te handhaven.

Maximillian Schrems is op een FAQ-pagina op de website van zijn stichting (NOYB – None Of Your Business) hier overigens heel stellig in. Het beschermingsniveau dat wordt vastgelegd in een modelcontract met een Amerikaanse partij kan door die partij nooit worden gerespecteerd omdat de Amerikaanse regering stelt dat hun wetgeving prevaleert boven welke afspraak of welk contract dan ook tussen organisaties in de VS en de EU. En als dat de juiste conclusie is, dan kun je dus ook concluderen dat modelcontracten tussen Amerikaanse en Europese organisaties ook niet (meer) geldig zijn.

Wat zeggen de DDMA en ICTRecht?

In Nederland zijn er een aantal instanties die vanuit hun rol nadrukkelijk betrokken zijn bij de economische en juridische gevolgen van o.a. Nederlandse en Europese wetgeving. En in hun geval met name op de snijvlakken van technologie, media en marketing. De snijvlakken waarin wij als Spotler ook opereren. Daarom hechten wij belang aan hoe in dit geval branchevereniging DDMA (Data Driven Marketing Association) en ICTRecht de uitspraak van het Europese Hof interpreteren en hoe zij naar de gevolgen kijken voor enerzijds Nederlandse consumenten en anderzijds naar de gevolgen voor Nederlandse organisaties die gebruik maken van Amerikaanse technologiebedrijven voor hun (e-mail) marketing. En uit publicaties van beide organisaties blijkt dat zij net zoals NOYB stellen dat je je nooit AVG-compliant kunt zijn, ook al heb je SCC’s afgesloten met Amerikaanse techbedrijven.

DDMA

Op een speciale webpagina ‘Data delen buiten de EU‘ komt de DDMA met een handige handleiding die je kunt downloaden om voor jezelf te bepalen hoe en of je nog data kunt exporteren buiten de EU. Daarnaast behandelen ze in een FAQ de meest gestelde vragen die bij hen als branchevereniging zijn binnen gekomen over Privacy Shield. In de antwoorden op vragen met betrekking tot het gebruik en afsluiten van SCC’s is de DDMA vrij duidelijk:

Data exporteren naar de V.S. en samenwerken met Amerikaanse techbedrijven kan eigenlijk niet meer:

  • “Als het land van bestemming niet voldoende waarborgen biedt, kan er geen sprake zijn van doorgifte van gegevens, tenzij je op een of andere manier extra waarborgen weet te treffen. Bijvoorbeeld door de gegevens volledig versleuteld op te slaan, waardoor veiligheidsdiensten niets met de data kunnen doen. Voor de Verenigde Staten lijken deze extra waarborgen (wat deze ook mogen zijn) onmisbaar, het Hof kwam immers in haar besluit over het Privacy Shield zelf tot de conclusie dat het rechtssysteem in de VS onvoldoende waarborgen biedt.
     
  • Het tekenen van SCC’s met organisaties in de VS lijkt op dit moment niet meer mogelijk. Als exporteur weet je door de Schrems II-uitspraak dat er door organisaties die vallen onder de Amerikaanse inlichtingenwetgeving geen passend beschermingsniveau gerealiseerd kan worden. Ook de Amerikaanse partij kan deze overeenkomst niet tekenen, omdat ze weten dat ze de verplichtingen die erin staan niet kunnen nakomen.”
Update april 2021 n.a.v. uitspraak privacytoezichthouder Beieren

Naar aanleiding van een uitspraak van een privacytoezichthouder uit Beieren (Duitsland) heeft Matthias de Bruyne, Senor Legal Council bij de DDMA in een blog op Marketingfacts gereageerd op die uitspraak. De betreffende toezichthouder oordeelde namelijk dat een organisatie geen gebruik mag maken van Mailchimp voor het sturen van e-mail, omdat hiermee onrechtmatig e-mailadressen worden doorgegeven buiten de EU. In de data-driven marketingsector wordt veel gebruik gemaakt van cloudoplossingen als Mailchimp, die data opslaan buiten de EU. In zijn bewuste blog licht Mathias toe wat de consequenties hiervan kunnen zijn.

ICTRecht

Ook ICTRecht zegt op hun website feitelijk hetzelfde als de NOYB stichting van Schrems en de DDMA als het gaat om het samenwerken met Amerikaanse techbedrijven. Op hun heldere Schrems II actielijst & FAQ pagina geeft ICTRecht het volgende antwoord op de vraag: Kunnen we nog steeds gebruik maken van SCC’s voor de doorgifte naar niet-adequate landen buiten de EER?

  • “In de AVG worden de SCC’s genoemd als apart mechanisme voor doorgifte, en de uitspraak heeft niet geleid tot de ongeldigheid van de SCC’s. Máár, let op: de uitspraak heeft nogmaals duidelijk gemaakt dat gebruik van de SCC’s alleen een optie is als de partijen die deze sluiten, zich ervan kunnen verzekeren dat de gegevens veilig zijn. Bijvoorbeeld tegen ongeautoriseerde inzage door autoriteiten. Valt de ontvangende organisatie onder de Amerikaanse wetgeving FISA (zoals alle ICT-providers), dan houdt het daar al voor je op.”

Overigens komt ICTRecht naast antwoorden op concrete Privacy Shield en SCC-vragen ook met een handig stappenplan voor organisaties met welke actie zij kunnen (of moeten) ondernemen:

  1. Pas je privacyverklaring aan:
    Geef aan dat je bekend met de uitspraak van het Hof en of je gegevens doorgeeft naar de V.S. (of een ander land buiten de EU)
     
  2. Check de afspraken met derden:
    Werk je zelf samen met een partij die gegevens (deels) verwerkt in de V.S. en wat heb je met hen afgesproken hierover? Of werk je samen met een partij die jouw gegevens (deels) laat verwerken in de V.S. en wat hebben zij met die partij hierover afgesproken?
     
  3. Verwerk zoveel mogelijk binnen de EER:
    Is het echt nodig om met Amerikaanse partijen samen te werken of zijn er misschien net zo goede Nederlandse of Europese alternatieven waarnaar je (makkelijk) kunt overstappen?
     
  4. Let op richtlijnen en uitspraken van europese toezichthouders:
    Houd goed in de gaten wat de Autoriteit Persoonsgegevens en de EDPB (European Data Protection Board) te zeggen hebben over de doorgifte van persoonsgegevens naar de V.S.
Kort gezegd:
  • Je hebt een meldplicht aan je klanten als je data exporteert naar de V.S. of andere landen buiten de EU of EER.
  • Je hebt een onderzoeksplicht om vast te stellen of de wetgeving van de V.S. of andere landen buiten de EU of EER voldoende privacybescherming biedt volgens de AVG.

En daarbij; data verwerken binnen de EU of EER geeft je de garantie dat je sowieso voldoet aan de AVG. Doe je dat nog niet dan geldt dat je naast je meldplicht en onderzoektsplicht ook de verplichting hebt om ontwikkelingen op het gebied van afspraken tussen de EU en V.S. moet volgen om daarop te kunnen anticiperen als dit nodig is.

Mailchimp en andere Amerikaanse ESP’s

De uitspraak van het Europese Hof en de interpretaties van NOYB, de DDMA en ICTRecht brengt mij tot slot bij Mailchimp en andere Amerikaanse ESP’s waarmee je je e-mail marketingactiviteiten kunt uitvoeren. Omdat Mailchimp, maar ook partijen als ActiveCampaign, Act-on en HubSpot toch echt onder de noemer ICT-provider vallen; het zijn immers software ontwikkelaars, kunnen zij in geen geval voldoen aan de privacy-eisen die in de Europese GDPR worden gesteld. Immers in de Amerikaanse wetgeving (FISA) staat dat die wetgeving boven iedere andere (nationale en internationale) wet, overeenkomst, contract of afspraak gaat. Daarom kan Mailchimp nooit de gegevensbescherming waarborgen die de EU aan de bescherming van persoonsgegevens stelt.

En hoewel Mailchimp op hun website vrijwel direct na de uitspraak van het Europese Hof met een statement kwam dat modelcontractbepalingen (SCC’s) nog steeds geldig zijn, waag ik dat in hun geval te betwijfelen. In theorie is daar inderdaad niets aan gelogen, maar in de praktijk ligt dat voor “ICT-provider” Mailchimp toch net even anders, denk ik.  Sterker nog, in de Mailchimp privacy statement stellen ze dat aan alle juridische en wettige voorwaarden zal worden voldaan:

2.B. Use of Personal Information

  • To meet legal requirements, including complying with court orders, valid discovery requests, valid subpoenas, and other appropriate legal mechanisms.
  • To respond to lawful requests by public authorities, including to meet national security or law enforcement requirements.

E-mail marketing en Privacy Shield

Als we na al deze informatie terug komen op de vraag of de uitspraak van het Europese Hof over het ongeldig verklaren van Privacy Shield en het onder bepaalde voorwaarden geldig verklaren van modelcontracten gevolgen heeft voor je e-mail marketingactiviteiten, dan is het antwoord: Ja, als je hiervoor met een Amerikaanse partij werkt. En hoewel er nog heel veel onduidelijkheden zijn over een nieuwe vorm van Privacy Shield en wat er wel en niet moet worden aangescherpt in modelcontracten, denk ik dat je beter proactief kunt handelen en het zekere voor het onzekere kunt nemen. Switch naar een Nederlandse ESP voor je e-mail marketingactiviteiten en je weet (bijna) zeker dat je aan de AVG voldoet.

Zo heeft Spotler alles goed voor elkaar en kunnen we je in het Nederlands lokaal de ondersteuning bieden die je nodig hebt om niet alleen veilig en volgens de wet via e-mail te communiceren, maar ook echt succesvol ermee te zijn. Daarom zeg ik: “No more monkey business!”

Dit artikel is mede tot stand gekomen dankzij de informatie verstrekt op de websites van NOYB, de DDMA, ICTRecht, de Autoriteit Persoonsgegevens, het lezen van blogs van gerenomeerde advocatenkantoren Kennedy Van der Laan en SOLV en na het inwinnen van advies en informatie bij Ruben Tienhooven, adviseur / Cyber Security & Privacy bij BDO Nederland.