07/04/2021

De Duitse Mailchimp beslissing maakt de impact van het Schrems II-arrest op data export pijnlijk duidelijk

Leesduur: 9 minuten

Een recente beslissing van de Beierse gegevensbeschermingsautoriteit doet grote twijfel rijzen over de vraag of het populaire e-mailmarketingplatform MailChimp volgens de GDPR wel legaal gebruikt kan worden.  

Bij uitbreiding stelt hetzelfde probleem zich voor bij quasi alle Amerikaanse softwaretoepassingen die persoonsgegevens van EU-burgers verwerken.  Data Export naar de VS is immers sinds afgelopen zomer niet meer mogelijk onder het door het Europees Hof van Justitie vernietigde Privacy Shield en ook het gebruik van Standard Contract Clauses als alternatief blijkt -en dat is voor gegevensbeschermingsspecialisten niet verbazend- zeer moeilijk te liggen omdat het Europees hof van Justitie in dat geval de bijkomende verplichting oplegt om individueel en geval per geval te onderzoeken of bijkomende veiligheidsmaatregelen nodig zijn.  

Precies dat laatste probleem komt nu naar boven in de beslissing over Mailchimp uit Beieren.

 

Data export?

De impact van het Schrems II-arrest van het Europese Hof van Justitie van afgelopen zomer laat zich steeds harder voelen.  Voor heel wat bedrijven was het toch even in de haren krabben vorig jaar, toen het Europese Hof het Privacy Shield tussen de VS en de EU (de EER eigenlijk) onderuit haalde.  Quasi alle software tools die Europese bedrijven vandaag gebruiken, zijn immers Amerikaans en aangezien de meeste daarvan tegenwoordig cloud services of online tools zijn, is er per definitie sprake van gegevensuitvoer naar de VS.

Het probleem werd enkel maar groter als we ook rekening houden met het feit dat het EHJ daar ook aan toevoegde dat wie data exporteert buiten de EU (ook naar andere bestemmingen dan de VS), meteen rekening moet houden met het feit dat de Standard Contract Clauses die de Europese Commissie zélf voorziet om veilige gegevensexport te garanderen tussen bedrijven en organisaties binnen en buiten de EU niet volstaan.

Het Schrems II-arrest zegt immers zeer duidelijk dat overdrachten van persoonsgegevens aan cloudserviceproviders in de Verenigde Staten geval per geval beoordeeld moeten worden en indien er een risico bestaat voor de integriteit van de betreffende gegevens, moeten bijkomende veiligheidswaarborgen voorzien worden.  Die aanvullende waarborgen dringen zich bij export naar de VS bijna automatisch op, gelet op de zeer vergaande onderzoeksbevoegdheden van de Amerikaanse inlichtingendiensten, bijvoorbeeld op grond van sectie 702 (50 USC § 1881a) van de Foreign Intelligence Surveillance Act (Cloud Services Act).

Gebruik van Mailchimp niet OK?

Het klinkt bijna absurd, maar de Beierse gegevensbeschermingsautoriteit (Bayerisches Landesamt für Datenschutzaufsicht) heeft eerder deze maand een Europees online tijdschrift het verbod opgelegd om nog langer Mailchimp te gebruiken om haar newsletters uit te sturen. Meer info vind je op deze link

De reden? Wel, wie Mailchimp gebruikt om nieuwsbrieven te versturen, stuurt persoonsgegevens (bijv. e-mailadressen en namen van ontvangers) naar de servers van Mailchimp in de Verenigde Staten en dat is potentieel niet OK.

De Beierse gegevensbeschermingsautoriteit motiveerde haar beslissing met de vaststelling dat het bedrijf niet voorafgaand had onderzocht of er aanvullende waarborgen nodig waren voor het doorgeven van persoonsgegevens aan Mailchimp, met name omdat Mailchimp mogelijk onderworpen is aan de Cloud Services Act. 

Let wel op de belangrijke nuance dat De Beierse gegevensbeschermingsautoriteit niet oordeelde niet dat MailChimp an sich per se onwettig is.  In plaats daarvan oordeelde het dat in dit specifieke geval het gebruik van MailChimp door het bedrijf in kwestie onwettig was omdat het bedrijf niet voorafgaand had beoordeeld of er adequate aanvullende maatregelen waren getroffen om ervoor te zorgen dat haar persoonsgegevens beschermd waren tegen toegang door Amerikaanse toezichthoudende instanties. 

 

Bijkomende waarborgen?

Het is inderdaad zo dat je als Europees bedrijf eigenlijk, volgend op het al geciteerde Schrems II arrest, al enige tijd geleden moest overgaan tot een interne data-export audit of een “vendor assessment” om achtereenvolgens in te schatten:

  • Of er sprake is van gegevensuitwisseling buiten de EU/EER
  • Of er een gepaste rechtsgrond voor handen is conform Hoofdstuk V GDPR (standard contract clauses, binding corporate rules of één van de andere minder gangbare en evidente rechtsgronden)
  • Wat de gevoeligheid is van de betreffende data en of de data-export an sich wel te verantwoorden is
  • Of bijkomende waarborgen zich al dan niet opdringen aan de zijde van de uitvoerder of van de ontvanger
  • Meer algemeen ook, of de ontvanger GDPR compliance kan garanderen

Die oefening dient, vanuit het oogpunt van het verantwoordingsprincipe onder GDPR vanzelfsprekend gedocumenteerd te worden en het is precies daarom dat wij bij Sirius Legal al sinds september een gratis Data Export Impact Assessment formulier ter beschikking stellen op onze website.  Dat formulier is inmiddels honderden keren gedownload door bedrijven uit gans Europa, overigens.

Welke bijkomende maatregelen zich eventueel opdringen, is overigens al een poos geleden opgelijst door de EDPB in haar “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” van 10 november 2020.  In dit document worden verschillende data export scenario’s voorgesteld en wordt telkens case by case aangegeven hoe gezorgd kan worden voor veilige uitwisseling van persoonsgegevens of welke werkwijze zeker niet voldoende veilig is.  

De steeds terugkerende boodschap in dat document is overigens de noodzaak om over te gaan tot encryptie van persoonsgegevens alvorens ze uit te voeren en om daarbij gebruik te maken van eigen (bij voorkeur Europese) encryptietechnieken voorafgaand aan de export en los van de eigen encryptie die platformen of tools standaard aanbieden.  

Ook het gebruik van Mailchimp valt binnen deze context.  Persoonsgegevens worden immers uitgevoerd naar de VS, waar Mailchimp onder de FISA wetgeving als een telecomprovider beschouwd wordt, die potentieel inzage moet geven in zijn klantengegevens aan de Amerikaanse overheid.  Encryptie dringt zich dan op.  Alleen… het gebruik van Mailchimp laat zo’n encryptie eigenlijk technisch gezien niet toe en de facto kan een Europees bedrijf Mailchimp dus niet rechtsgeldig gebruiken…

 

Mailchimp als Wake-up call?

Tot nu toe leek het erop dat de Europese gegevensbeschermingsautoriteiten voorlopig een oogje dicht knepen en een soort van onofficiële uitstelperiode hadden gegeven aan Europese bedrijven en organisaties om zich aan te passen aan de gewijzigde juridische situatie na het Schrems II arrest.  Dit had zeker ook te maken met het feit dat de al genoemde Standard Contract Clauses precies op dit ogenblik vernieuwd worden door de Europese Commissie.

Het optreden van de Beierse gegevensbeschermingsautoriteit toont nu echter aan dat de speeltijd nu wel degelijk ten einde is en dat bedrijven echt zullen moeten zorgen voor een veilige uitwisseling van persoonsgegevens met hun niet-Europese partners. In een persbericht bij de Mailchimp-beslissing merkte de autoriteit op dat deze zaak in haar ogen een voorbeeld is voor de wijze waarop het Schrems II-arrest in praktijk gehandhaafd zal worden. 

 

Is jouw software “data export compliant”?

De pijnlijk problematische vaststelling is dat geen enkele Amerikaanse softwaretoepassing op heden helemaal “GDPR compliant” werkt.

We deden zelf bij Sirius Legal de voorbije maanden een benchmark test bij 10 van de meest bekende marketingtools, waaronder Mailchimp, Sharpspring, Hubspot, Active Campaign, Salesforce en enkele anderen.  De vaststelling is dat de meeste van deze -stuk voor stuk Amerikaanse- aanbieders de voorbije maanden zich wel aangepast hebben in die zin dat zij niet langer het Privacy Shield inroepen als rechtsgrond, maar nu wel verwijzen naar Standard Contract Clauses, maar dat zij toch ook allemaal nog steeds verschillende tekortkomingen vertonen op het vlak van data-export verplichtingen:

  • In een aantal gevallen zijn de Standard Contract Clauses onvindbaar of niet beschikbaar
  • De meeste aanbieders voorzien ofwel geen ofwel slechts zeer algemene en vage “bijkomende waarborgen”
  • Zowat alle aanbieders doen op hun beurt beroep op subverwerkers, waarvan noch de identiteit, noch de locatie voldoende duidelijk is en waarvan weinig of geen garantie bestaat op GDPR en data-export compliance bij de betrokken subverwerker   

Hetzelfde geldt bij uitbreiding voor andere niet-Europese clouddiensten of online toepassingen.  Het is bijna per definitie zo dat die niet (helemaal) GDPR compliant werken en dat elk gebruik ervan een voorafgaande audit en eventueel het voorzien van bijkomende technische of organisatorische waarborgen vereist.

 

Kan je dan als Europees bedrijf helemaal geen Amerikaanse of andere niet-Europese services meer gebruiken?  

Zo’n vaart loopt het gelukkig niet en die conclusie zou ook absurd zijn in de huidige geglobaliseerde samenleving en economie waarin wij ons allemaal begeven.

In de Mailchimp-zaak was het probleem evident duidelijk, omdat het bedrijf in kwestie blijkbaar helemaal geen voorafgaande risk assessment gemaakt had om te documenteren of aanvullende waarborgen nodig waren.  Dat op zich was al voldoende om deze beslissing uit te lokken.  

Toekomstige zaken zullen wellicht minder voor de hand liggend tot een sanctie leiden, als je tenminste als EU-bedrijf een goed onderbouwde en gedocumenteerde voorafgaande risico-analyse gemaakt hebt of zelfs aanvullende waarborgen hebt geïmplementeerd.  Welke maatregelen in welke context “voldoende” zullen zijn, zal pas duidelijk worden als er voldoende rechtspraak voorhanden zal zijn, maar het is evident dat de “gevoeligheid” van de data en het risico op inzageverzoeken vanuit het buitenland meespelen.  Een mailinglijst voor een juridisch weekblad lijkt in die context veel minder problematisch dan de ledenlijst van een politieke partij en in dat eerste geval kan een goed onderbouwde voorafgaande inschatting wellicht (?) wel volstaan…

Deze beslissing is echter een waarschuwing voor alle bedrijven en organisaties in Europa over het belang van gepaste zorgvuldigheid bij de overdracht van persoonsgegevens buiten de EU.  Je kan als bedrijf maar best dringend aan de slag met een strenge en grondige interne auditoefening op basis waarvan je kan aantonen dat je hebt beoordeeld of jouw data al dan niet in handen kunnen komen van derden en met name van buitenlandse overheden als je gebruik maakt van niet-Europese toepassingen.

Gebruik hiervoor eventueel ons gratis Data Export Impact Assessment formulier om de nodige informatie te verzamelen bij je niet-Europese partners.  Hoe er ook rekening mee dat als een leverancier geen informatie kan of wil verstrekken om jou te helpen de potentiële risico’s goed in te schatten, je noodgedwongen zal moeten afwegen of je nog langer kan samenwerken en dat je dus in het ergste geval effectief op zoek moet naar een alternatieve (bij voorkeur Europese) partner…

 

Wil je meer weten over de praktische impact van Schrems II?

Wie meer wil weten, kan terecht bij bart@siriuslegal.be of kan hier rechtstreeks een online kennismaking inboeken via Google Meet.

Of beter nog, schrijf in voor het Schrems II webinar van ons internationale contactennetwerk Consulegis The Practical Impact of Schrems II on International Data Flows  op 14 april.  Sprekers uit de EU (waaronder Bart Van den Brande voor Sirius Legal), het VK, de VS en Indië bespreken er alle juridische en praktische gevoeligheden van internationale datastromen en maken tijd vrij voor al jouw vragen en bezorgdheden. 

 

Overigens, als je dit leest vanuit onze Mailchimp newsletter: ja, ook wij beraden ons op heden actief over hoe we verder kunnen werken en intern is de beslissing genomen om in de loop van het voorjaar over te stappen naar een andere provider.  Lead by example is een credo dat ons niet vreemd is.

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een andere manier aan recht te gaan doen.  Anders, directer, persoonlijker, betaalbaar en met 100% focus op de digitale economie.