- Het Privacy Shield is een regeling voor doorgifte van persoonsgegevens vanuit de EU naar de VS. Het doel van het Privacy Shield is een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de EU (Solv).
- Op 16 juli 2020 is het Privacy Shield ongeldig verklaard door het Europese Hof omdat het onvoldoende bescherming biedt voor inwoners van Europa (privacyshield.gov)
- Marketeers die werken met Amerikaanse marketing tools hebben nu een onderzoeksplicht en moeten nagaan of hun contracten met Amerikaanse partijen voldoen aan Europese wetgeving (DDMA). Dit is echter vrijwel onmogelijk gezien de Amerikaanse wetgeving.
Het Privacy Shield is ongeldig vanaf juli 2020.
Waarom is het Privacy Shield belangrijk voor marketeers
Veel marketeers maken gebruik van Amerikaanse marketing tools, zoals e-mail marketing software. Partijen als Mailchimp, Activecampaign en Hubspot hebben ook in Nederland een groot marktaandeel.
Het Privacy Shield zorgde ervoor dat deze Amerikaanse bedrijven in Europa konden werken met standaard modelcontract bepalingen (Standard Contractual Clause, oftewel SCC). In zo’n SCC staan alle maatregelen die conform het privacy shield nodig zijn om de privacy van Europese inwoners te waarborgen.
Kortweg zorgde het Privacy Shield ervoor dat je gerust zaken kon doen met gecertificeerde partijen, zonder de AVG/GDPR te overtreden. Sinds 16 juli is dit niet meer zonder meer het geval.
Wat is er veranderd sinds 16 juli
Nu het Privacy Shield ongeldig is, zijn exporteurs van data er zelf verantwoordelijk voor dat de ontvangende partij voldoet aan de GDPR. Dit geldt dus ook voor bedrijven die werken met marketing tools buiten de EU die persoonsgegevens bevatten.
Daarbij heeft de exporteur een onderzoeksplicht. Je bent er zelf verantwoordelijk voor dat jouw leverancier voldoet aan alle eisen die de Europese Unie aan dataverwerking stelt (Daar lees je hier meer over).
Dit betekent niet dat oude contracten niet meer geldig zijn, je ontkomt er echter ook niet aan om te controleren of jouw partner voldoet aan de wetgeving.
Helpt het als data in Europa wordt opgeslagen
Één van de aanleidingen voor het opheffen van het Privacy Shield was de Amerikaanse CLOUD act, die in 2018 is aangenomen (Cloud Act). Deze wet geeft de Amerikaanse overheid de mogelijkheid om persoonsgegevens op te eisen van Amerikaanse bedrijven, ook als deze buiten Amerika zijn opgeslagen.
Dit geeft een tamelijk bizarre situatie. Een Europees bedrijf kan voldoen aan de AVG door met een Amerikaanse leverancier te werken die data in Europa opslaat. Als vervolgens de Amerikaanse overheid middels de CLOUD act die gegevens opeist, dan is de Amerikaanse leverancier in overtreding met de AVG.
Echter, als data-exporteur heb je een onderzoeksplicht en verantwoordelijkheid. Uit zo’n onderzoek zal blijken dat er een risico is op overtreding van de AVG. Het is dus maar de vraag of het verstandig is met een Amerikaanse partij samen te werken.
Zijn er oplossingen om toch met Amerikaanse bedrijven te werken?
Een goede constructie heeft bijvoorbeeld Microsoft met het Azure Cloud Platform. Zij hebben een Duitse dochteronderneming opgericht (Azure Germany) die alle infrastructuur regelt, echter de verantwoordelijkheid voor de data ligt bij een derde partij (data trustee) die in dit geval onderdeel is van Deutsche Telecom.
In die constructie doe je dus zaken met een andere entiteit waar de Amerikaanse overheid geen invloed op heeft. Wellicht zijn er nog andere mogelijkheden, echter die zijn bij ons op het moment van schrijven niet bekend.
Wat te doen met jouw marketing tools
Ben je in overtreding als je gebruik maakt van Amerikaanse marketing tools zoals Mailchimp en ActiveCampaign? Waarschijnlijk niet als je kunt garanderen dat zij (ondanks de Amerikaanse wetgeving) compliant zijn aan AVG, bijvoorbeeld door gebruik van een Europese entiteit met Data Trustee. Als je dit niet kunt garanderen, dan ben je in overtreding en dat kan mogelijk een forse boete opleveren.
De veiligste weg, zoals ook geopperd door DDMA, is om over te stappen naar een Europees alternatief die voldoet aan AVG/GDPR. Gelukkig zijn die er voldoende voorhanden.
Meestgelezen marketing artikelen
Uiteraard hebben we ook een marketing weblog. Marketing kan namelijk niet meer zonder marketing software. Met onze artikelen proberen we je te helpen relevantere campagnes te maken, meer resultaat te halen uit content én je omzet te vergroten.
Dit zijn de meestgelezen artikelen uit ons marketing weblog
E-mail marketing strategie: in vijf stappen meer omzet uit e-mail marketing
Marketing tools: een overzicht van onmisbare marketing tools voor B2B en B2C
Retentie marketing: 6 tips om te voorkomen dat abonnees opzeggen
Campagne management: een aanpak voor marketing teams
AVG en GDPR proof e-mailmarketing
Over Basedriver
Basedriver is een digitaal marketing platform waarin content, data en campagnes bij elkaar komen. We zorgen ervoor dat B2B en B2C bedrijven hun content aan de juiste klant aanbieden door middel van persoonlijke nieuwsbrieven en e-mail marketing campagnes.
Basedriver staat voor:
- Een eenvoudige user interface met geautomatiseerde business ruling die zorgt dat marketeers zelfstandig kunnen werken met content, campagnes en data;
- Kwalitatieve marketing data door automatisch bounce management, actieve checks op datakwaliteit en koppelingen met meer dan 2.000 apps en sites;
- Een persoonlijke contact- en contentplanning die het mogelijk maakt om automatisch de juiste content aan de juiste ontvanger aan te bieden.
Met Basedriver vergroot je je marketing database, verstuur je relevantere campagnes, haal je meer rendement uit content én genereer je meer klanten.
