maileon, logo_color
  • Home
  • E-mailmarketing software
    • Features
    • Integraties & API’s
    • Vergelijking concurrenten
  • Klantcases
    • Universiteit Utrecht
    • Offspring
    • Vote Company
    • WATT Fietsen
  • Partners
    • Agencies
    • Team
    • Expert
  • Tarieven
  • Kennisbank
    • Whitepaper
    • Pers & nieuws
    • Release notes
    • Support materialen
  • Over ons
  • Contact
    • Demo aanvragen
maileon, logo_color
  • Home
  • E-mailmarketing software
    • Features
    • Integraties & API’s
    • Vergelijking concurrenten
  • Klantcases
    • Universiteit Utrecht
    • Offspring
    • Vote Company
    • WATT Fietsen
  • Partners
    • Agencies
    • Team
    • Expert
  • Tarieven
  • Kennisbank
    • Whitepaper
    • Pers & nieuws
    • Release notes
    • Support materialen
  • Over ons
  • Contact
    • Demo aanvragen
  • Home
  • E-mailmarketing software
    • Features
    • Integraties & API’s
    • Vergelijking concurrenten
  • Klantcases
    • Universiteit Utrecht
    • Offspring
    • Vote Company
    • WATT Fietsen
  • Partners
    • Agencies
    • Team
    • Expert
  • Tarieven
  • Kennisbank
    • Whitepaper
    • Pers & nieuws
    • Release notes
    • Support materialen
  • Over ons
  • Contact
    • Demo aanvragen
maileon, logo_color
  • Home
  • E-mailmarketing software
    • Features
    • Integraties & API’s
    • Vergelijking concurrenten
  • Klantcases
    • Universiteit Utrecht
    • Offspring
    • Vote Company
    • WATT Fietsen
  • Partners
    • Agencies
    • Team
    • Expert
  • Tarieven
  • Kennisbank
    • Whitepaper
    • Pers & nieuws
    • Release notes
    • Support materialen
  • Over ons
  • Contact
    • Demo aanvragen
Blog

E-mailmarketing volgens de privacy richtlijn – arrest van het Europees Hof van Justitie

Samenvatting

Het Hof van Justitie heeft de Privacy Shield overeenkomst, die voorheen de overdracht van persoonsgegevens aan deelnemende Amerikaanse bedrijven toestond, niet van kracht verklaard.

Vanwege de juridische situatie in de VS, waarbij de veiligheidsautoriteiten grotendeels onbeperkt toegang kunnen hebben tot persoonsgegevens zonder dat zij aan rechterlijke controle worden onderworpen, is de overdracht van persoonsgegevens aan bedrijven die contractueel verplicht zijn zich aan de Europese regelgeving inzake gegevensbescherming te houden, niet langer een optie.

Dit geldt zelfs als de persoon die verantwoordelijk is voor de overdracht van de gegevens (d.w.z. de bedrijven die e-mailmarketing uitvoeren) of hun contractverwerkers een beroep doen op de Europese standaardclausules inzake gegevensbescherming. Deze werden door het Hof van Justitie ook ontoereikend geacht ten opzichte van Amerikaanse bedrijven.

Om zware boetes van de Europese gegevensbeschermingsautoriteiten te voorkomen, moeten de verantwoordelijke partijen hun contractuele partners vragen of er persoonsgegevens worden doorgegeven aan de VS. Als dit inderdaad het geval is, moet de samenwerking met dit bedrijf onmiddellijk worden opgeschort.

Inleiding

Één van de centrale juridische uitdagingen van elke serieuze e-mailmarketing campagne is de naleving van het kader voor gegevensbescherming. Elk e-mailadres en (zoals het Hof van Justitie al heeft beslist) ook elk IP-adres moet altijd als persoonsgegevens worden behandeld en mag alleen worden verwerkt in overeenstemming met de bepalingen van de basisverordening inzake gegevensbescherming (GDPR).

In de praktijk komt een hele reeks spelers vaak in contact met persoonlijke gegevens van e-mailontvangers: van het bedrijf in wiens belang en voor wiens rekening nieuwsbrieven worden verstuurd (meestal ook de “verantwoordelijke” in de zin van de regelgeving inzake gegevensbescherming), via een bureau dat de campagne plant, tot de eigenlijke afzender (de zogenaamde ESP) en zijn onderaannemers.

Ook al vindt de gehele verwerking binnen de EU plaats, de wettelijke eisen zijn allesbehalve triviaal: de afzender moet de toestemming hebben van de ontvanger die voldoet aan de huidige eisen van het rechtsgebied, hij moet zich bij het verzamelen en verwerken van gegevens houden aan de eisen van de “Basic Data Protection Regulation” (GDPR) met betrekking tot gegevenseconomie, transparantie, verwijdering, etc. Èn hij moet met elk van zijn onderaannemers een overeenkomst voor verwerking sluiten die voldoet aan de eisen van de GDPR. De juridische situatie wordt echter echt ingewikkeld wanneer persoonsgegevens worden doorgegeven aan ontvangers buiten de EU. De GDPR staat dit in principe alleen toe onder bepaalde nauw omschreven voorwaarden, die bedoeld zijn om ervoor te zorgen dat de gegevens ook buiten de EU worden beschermd door een niveau van gegevensbescherming dat vergelijkbaar is met het niveau dat in Europa vereist is.

Tot nu toe heeft de overdracht van persoonsgegevens naar de VS vrijwel uitsluitend plaatsgevonden op basis van twee door de GDPR erkende instrumenten:

1- de contractuele verbintenis van het Amerikaanse bedrijf door middel van door de EU erkende modelclausules inzake gegevensbescherming (de zogenaamde standaardclausules inzake gegevensbescherming) en

2- de overdracht aan bedrijven die zich (ook contractueel) hebben verbonden tot deelname aan een tussen de EU en de VS overeengekomen systeem voor gegevensbescherming (het zogenaamde privacy shield)

De Privacy Shield overeenkomst

De Privacy Shield overeenkomst is in wezen een regeling voor de bescherming van privégegevens die in 2016 door de Europese Commissie is erkend en waar elk Amerikaans bedrijf zich vrijwillig bij kan aansluiten. Als een bedrijf zich bij de overeenkomst aansluit, wordt het beschouwd als een “veilige” gegevensverwerker waaraan persoonsgegevens kunnen worden doorgegeven onder dezelfde voorwaarden als aan een Europees bedrijf.

In zijn arrest van 17 juli 2020 heeft het Europees Hof van Justitie de Privacy Shield overeenkomst echter ongeldig verklaard. Zij motiveerde dit in wezen door te verwijzen naar de uitgebreide bevoegdheden van de Amerikaanse veiligheidsautoriteiten in het kader van de Foreign Intelligence Surveillance Act (met inbegrip van de rechtsgrondslag van PRISM en UPSTREAM). Op grond van deze wet hebben de Amerikaanse veiligheidsautoriteiten toegang tot persoonsgegevens van niet-Amerikaanse burgers die grotendeels vrij zijn van wettelijke beperkingen en die niet eens onderworpen zijn aan serieuze gerechtelijke controle op hun activiteiten. Met name dit laatste punt is door het Hof van Justitie bijzonder slecht ontvangen, omdat het optreden van de staat zonder de mogelijkheid van constitutionele controle niet te verenigen is met de Europese opvatting over rechtsbescherming.

Vanwege de aanzienlijke tekortkomingen in de gegevensbescherming in de VS, die zelfs door een privaatrechtelijke overeenkomst niet kunnen worden verholpen, heeft het Hof van Justitie uiteindelijk een overdracht van persoonsgegevens op basis van de overeenkomst inzake het beschermen van de persoonlijke levenssfeer als ondoeltreffend bestempeld.

Standaardovereenkomsten inzake gegevensbescherming met bedrijven uit de VS

Nadat de Privacy Shield overeenkomst ineffectief werd verklaard, beweren veel bedrijven met een sterke Amerikaanse connectie nu dat het hen niet aangaat omdat zij hun Amerikaanse gegevensverwerkers (vaak de moedermaatschappijen van de respectieve EU-dochterondernemingen) hebben verplicht tot een hoog niveau van gegevensbescherming door middel van de standaardclausules inzake gegevensbescherming die door de EU zijn erkend en daarom het Privacy Shield helemaal niet nodig hebben.

Volgens het recente arrest van het Hof van Justitie is deze argumentatie echter niet houdbaar. In zijn arrest heeft het Hof van Justitie duidelijk gemaakt dat deze standaard clausules weliswaar nog steeds geldig zijn, maar dat zij in elk afzonderlijk geval vereisen dat de wetgeving van het doelland over het algemeen een adequate gegevensbescherming toestaat. Wanneer dit niet mogelijk is, moet de verantwoordelijke persoon de overdracht van persoonsgegevens aan het derde land opschorten of beëindigen.

Volgens de bevindingen van het Hof van Justitie van de Europese Gemeenschap staan de wettelijke bepalingen in de Verenigde Staten – die voorrang hebben op elk verdrag – echter grotendeels ongereguleerde en ongecontroleerde toegang tot persoonsgegevens door de overheid toe. Daarom is elke overdracht van persoonsgegevens aan Amerikaanse bedrijven die gebonden zijn aan de standaardclausules inzake gegevensbescherming, onwettig.

Gevolgen in de praktijk

In haar arrest heeft het Europees Hof van Justitie uitdrukkelijk gesteld dat de toezichthoudende autoriteiten [zonder eigen keuzerecht] verplicht zijn op te treden tegen de doorgifte van gegevens aan derde landen die zich niet aan de GDPR houden. De keuze van de toezichthoudende autoriteiten bestaat uit verbodsbeschikkingen en (vanuit het oogpunt van de autoriteiten bijzonder effectief, vanuit het oogpunt van de betrokken ondernemingen bijzonder pijnlijk) het opleggen van boetes.

De GDPR classificeert de niet-juridische overdracht van persoonsgegevens als een bijzonder ernstige inbreuk op de regelgeving inzake gegevensbescherming en legt boetes op tot 20 miljoen EUR of 4% van de geconsolideerde jaaromzet die wereldwijd wordt behaald (het hoogste cijfer in elk afzonderlijk geval is relevant).

Om zich tegen deze gevoelige boetes te beschermen, moeten alle bedrijven die met dienstverleners met een sterke Amerikaanse connectie werken (met name de bekende Amerikaanse ESP’s zoals Salesforce, Mailchimp, Sharpspring etc.) zich afvragen of zij persoonsgegevens naar de VS overdragen. Corresponderende voorbeeldvragenlijsten zijn al te vinden op de relevante internet platforms, bijvoorbeeld op https://noyb.eu/en/next-steps-eu-companies-faqs Indien een overdracht van persoonsgegevens daadwerkelijk plaatsvindt op basis van de standaardclausules inzake gegevensbescherming of op basis van de overeenkomst inzake het beschermen van de persoonlijke levenssfeer, moet de samenwerking met deze bedrijven definitief worden opgeschort.

Lees hier meer posts over EPrivacy en privacy punten waar je rekening mee moet houden bij e-mailmarketing automation.

blog EU gdpr Mailchimp Privacy privacy shield Salesforce Sharpspring
73
245 Views
Partnership met DEA.Amsterdam PrevPartnership met DEA.AmsterdamAugust 18, 2020
Release notes 11-09-2020September 12, 2020 Release notes 11-09-2020 Next

Related Posts

Blog

Voordelen van e-mailadres verificatie services

Voordelen van e-mailadres verificatie services  Er is een grote...

Menno Worst January 7, 2020
Blog

E-mailmarketing volgens de privacy richtlijn – arrest van het Europees Hof van Justitie

Samenvatting Het Hof van Justitie heeft de Privacy Shield overeenkomst, die...

Menno Worst August 31, 2020
Recent Posts
  • Release notes 29-01-2021 February 1, 2021
  • Yes, Maileon valt twee keer in de prijzen! November 16, 2020
  • BLACK FRIDAY 2020: 5 TIPS VOOR SUCCESVOLLE E-MAILMARKETING CAMPAGNES November 9, 2020
  • Release notes 06-11-2020 November 7, 2020
  • 9 Handige KPI’s om je e-mail marketing te monitoren en verbeteren! November 3, 2020
Archives
  • February 2021
  • November 2020
  • September 2020
  • August 2020
  • July 2020
  • May 2020
  • April 2020
  • January 2020
  • December 2019
  • October 2019
  • September 2019
Categories
  • Artikel
  • Blog
  • Klant Case
  • News
  • Nieuwsbrief
  • Release notes

Maileon.nl

Home
E-mailmarketing software
Klantcases
Partners
Tarieven
Over ons
Contact

Uitgelicht

E-mailadressen check
Over ons
Blog
Vacatures

Capterra rating
4.6

Maileon Benelux B.V
Delpratsingel 22
4811 AP Breda
  contact@maileon.nl
  +31 (0)85 065 32 63
Contactpagina
eco, logo
csa, logo
ispa, logo
ddma, logo
gdpr, logo
thuiswaarborg, logo

Cookiebeleid | Algemene voorwaarden | Privacy Statement | Disclaimer

Copyright © 2021 Maileon Benelux. All Rights Reserved - Website door Padoem