Het Europese Privacy shield is onlangs ongeldig verklaard. Logisch dat je als webwinkelier nu zit met een paar vragen. Dit blogbericht is daarom bedoeld om een praktische uitleg te geven over wat dit voor jouw webwinkel betekent.
Allereerst een kleine noot; ik ben geen jurist. Vandaar dat dit bericht niet is bedoeld als complete juridische uitleg. Daarvoor verwijs ik je graag naar juridische partijen die hierin gespecialiseerd zijn. Mijn doel met dit bericht is om je een praktische uitleg te geven van het inhoudt.
Het Privacy Shield
Wat is het Privacy Shield? Het Europese Privacy Shield is een constructie die bedoeld is om opslag van persoonsgegevens op o.a. Amerikaans grondgebied mogelijk te maken. Het probleem van opslag van gegevens buiten de EER-landen is namelijk dat onder andere de Amerikaanse overheid zichzelf meer bevoegdheden verschaft dan onder de GDPR / AVG toegestaan is. Het Privacy Shield moest er voor zorgen dat de rechten van de consument toch voldoende geborgd zijn en daarmee opslag van persoonsgegevens in Amerika mogelijk is.
Persoonsgegevens delen met Amerikaanse bedrijven
Nu deze constructie door de rechter onderuit is gehaald, vervalt daarmee de mogelijkheid om persoonsgegevens door Amerikaanse bedrijven te laten verwerken. Dat, terwijl de meeste internetbedrijven tal van Amerikaanse oplossingen gebruiken. Denk daarbij aan: Mailchimp, Facebook en Google.
Wanneer je met zulke Amerikaanse aanbieders persoonsgegevens deelt is dit nu onrechtmatig.
Toch denken wij niet dat de soep zo heet gegeten wordt. Vrijwel elke moderne onderneming maakt gebruikt van tal van (Amerikaanse) SAAS-software. Daarom zijn de belangen groot om opslag van persoonsgegevens buiten de EU juridisch te faciliteren. We verwachten zelf dat er op Europees niveau een nieuwe oplossing gezocht wordt voor dit probleem.
WebwinkelKeur en het Privacy Shield
Ook wij van WebwinkelKeur maken gebruik van Amerikaanse software. In ons geval gaat het om Mailchimp voor de verzending van e-mail en reviewverzoeken. We zijn momenteel aan het inventariseren of overstap van software leverancier noodzakelijk is of dat er op een andere manier voldoende bescherming geboden kan worden.
Wij raden je aan om als webwinkelier te onderzoeken welke partijen jij gebruikt voor de verwerking van persoonsgegevens. Zitten daar Amerikaanse partijen bij of partijen die zelf werken met Amerikaanse partijen (zoals WebwinkelKeur) dan is het goed om de gevolgen in kaart te brengen.
Update 3 april 2021: We hebben advies ingewonnen bij MKB recht. Op basis van dat advies hebben wij geconcludeerd dat er geen noodzaak is op grond van de privacy regelgeving om over te stappen van e-mail provider voor het verzenden van reviewverzoeken. Lees hierover meer op ons blog: Test: het effect van de email provider op het aantal reviews.
Reacties
Hallo,
Ik lees dat jullie stappen hebben genomen / nemen om te voldoen aan het privacy shield. Hoe staat het er nu voor?
Beste Erlinde,
Ons belangrijkste aandachtspunt in deze is het gebruik van Mandrill (ofwel Mailchimp). Een e-mail systeem wat volledig geïntegreerd is in onze dienstverlening. De uitwisseling van data met Mandrill is gebaseerd op een SCC overeenkomst.
Het klopt dat wij stappen hebben ondernomen en hiermee nog bezig zijn. Sinds begin januari voeren we een pilot uit met een drietal systemen, die we een tijd gebruiken om te zien welke de beste resultaten geeft (afleveren van review uitnodigingen per e-mail). Vervolgens zal één van deze drie systemen Mandrill in zijn geheel gaan vervangen.
We nemen hier de tijd voor omdat de aflevering van deze e-mails een cruciaal onderdeel is van onze dienstverlening.
In de tussentijd hebben we MKB-recht gevraagd om onze huidige situatie, ten aanzien van de privacy wetgeving en de data uitwisseling met Mandrill, te beoordelen. Onderstaand vind je de conclusie van hun advies (op verzoek kan ik je ook voorzien van het volledige advies).
“Feit blijft dat de SCC’s (voor nu) geldig zijn. Feit blijft dat de SCC’s ten aanzien van de Verenigde Staten op losse schroeven staan. Feit blijft ook dat er niet direct een alternatief voor handen is. Nieuwe vormen voor een ultieme gegevensoverdracht tussen de VS en de EU zijn niet binnen één dag, één maand of één jaar gerealiseerd. Wanneer de SCC’s afgelopen zomer óók ongeldig zouden zijn verklaard, zou dit tot gevolg hebben dat een gigantisch aantal gegevensoverdrachten per direct hadden moeten stoppen of onrechtmatig waren. Dit was volgens het Hof onwenselijk. Feit blijft ook dat het Hof niet duidelijk is welke waarborgen er moeten zijn zodat gegevensoverdracht veilig kan verlopen.
Mijns inziens wordt de soep niet zo heet gegeten als zij wordt opgediend, mede omdat er geen alternatief is op grond waarvan gegevensoverdracht tussen de VS en de EU niet in twijfel kan worden getrokken. Het Hof weet dit ook. De komende jaren zal duidelijk worden hoe dit verder zal verlopen.
Waar het op lijkt, is dat het gebruik van e-mailadressen om klanten en/of andere derden mee te kunnen benaderen voor het rondsturen van een nieuwsbrief en/of het aansporen tot het geven van reviews veilig kan verlopen via Amerikaanse bedrijven en/of Amerikaanse servers.”
Met deze zienswijze is de urgentie voor ons afgenomen om Mandrill te vervangen. Na de pilot zullen we in de eerste plaats kijken naar kwalitatief de beste dienstverlener. Daarbij zien wij het als een pré als deze dienstverlener uit Europa komt. Maar dat is niet langer een harde eis aan onze zijde.
Ik hoop dat je met deze uitleg verder kunt.
Groet, Daan
Fijn dat jullie het hebben opgepakt!