E-mailmarketing volgens de privacy richtlijn – arrest van het Europees Hof van Justitie

Samenvatting

Het Hof van Justitie heeft de Privacy Shield overeenkomst, die voorheen de overdracht van persoonsgegevens aan deelnemende Amerikaanse bedrijven toestond, niet van kracht verklaard.

Vanwege de juridische situatie in de VS, waarbij de veiligheidsautoriteiten grotendeels onbeperkt toegang kunnen hebben tot persoonsgegevens zonder dat zij aan rechterlijke controle worden onderworpen, is de overdracht van persoonsgegevens aan bedrijven die contractueel verplicht zijn zich aan de Europese regelgeving inzake gegevensbescherming te houden, niet langer een optie.

Dit geldt zelfs als de persoon die verantwoordelijk is voor de overdracht van de gegevens (d.w.z. de bedrijven die e-mailmarketing uitvoeren) of hun contractverwerkers een beroep doen op de Europese standaardclausules inzake gegevensbescherming. Deze werden door het Hof van Justitie ook ontoereikend geacht ten opzichte van Amerikaanse bedrijven.

Om zware boetes van de Europese gegevensbeschermingsautoriteiten te voorkomen, moeten de verantwoordelijke partijen hun contractuele partners vragen of er persoonsgegevens worden doorgegeven aan de VS. Als dit inderdaad het geval is, moet de samenwerking met dit bedrijf onmiddellijk worden opgeschort.

Inleiding

Één van de centrale juridische uitdagingen van elke serieuze e-mailmarketing campagne is de naleving van het kader voor gegevensbescherming. Elk e-mailadres en (zoals het Hof van Justitie al heeft beslist) ook elk IP-adres moet altijd als persoonsgegevens worden behandeld en mag alleen worden verwerkt in overeenstemming met de bepalingen van de basisverordening inzake gegevensbescherming (GDPR).

In de praktijk komt een hele reeks spelers vaak in contact met persoonlijke gegevens van e-mailontvangers: van het bedrijf in wiens belang en voor wiens rekening nieuwsbrieven worden verstuurd (meestal ook de “verantwoordelijke” in de zin van de regelgeving inzake gegevensbescherming), via een bureau dat de campagne plant, tot de eigenlijke afzender (de zogenaamde ESP) en zijn onderaannemers.

Ook al vindt de gehele verwerking binnen de EU plaats, de wettelijke eisen zijn allesbehalve triviaal: de afzender moet de toestemming hebben van de ontvanger die voldoet aan de huidige eisen van het rechtsgebied, hij moet zich bij het verzamelen en verwerken van gegevens houden aan de eisen van de “Basic Data Protection Regulation” (GDPR) met betrekking tot gegevenseconomie, transparantie, verwijdering, etc. Èn hij moet met elk van zijn onderaannemers een overeenkomst voor verwerking sluiten die voldoet aan de eisen van de GDPR. De juridische situatie wordt echter echt ingewikkeld wanneer persoonsgegevens worden doorgegeven aan ontvangers buiten de EU. De GDPR staat dit in principe alleen toe onder bepaalde nauw omschreven voorwaarden, die bedoeld zijn om ervoor te zorgen dat de gegevens ook buiten de EU worden beschermd door een niveau van gegevensbescherming dat vergelijkbaar is met het niveau dat in Europa vereist is.

Tot nu toe heeft de overdracht van persoonsgegevens naar de VS vrijwel uitsluitend plaatsgevonden op basis van twee door de GDPR erkende instrumenten:

1- de contractuele verbintenis van het Amerikaanse bedrijf door middel van door de EU erkende modelclausules inzake gegevensbescherming (de zogenaamde standaardclausules inzake gegevensbescherming) en

2- de overdracht aan bedrijven die zich (ook contractueel) hebben verbonden tot deelname aan een tussen de EU en de VS overeengekomen systeem voor gegevensbescherming (het zogenaamde privacy shield)

De Privacy Shield overeenkomst

De Privacy Shield overeenkomst is in wezen een regeling voor de bescherming van privégegevens die in 2016 door de Europese Commissie is erkend en waar elk Amerikaans bedrijf zich vrijwillig bij kan aansluiten. Als een bedrijf zich bij de overeenkomst aansluit, wordt het beschouwd als een “veilige” gegevensverwerker waaraan persoonsgegevens kunnen worden doorgegeven onder dezelfde voorwaarden als aan een Europees bedrijf.

In zijn arrest van 17 juli 2020 heeft het Europees Hof van Justitie de Privacy Shield overeenkomst echter ongeldig verklaard. Zij motiveerde dit in wezen door te verwijzen naar de uitgebreide bevoegdheden van de Amerikaanse veiligheidsautoriteiten in het kader van de Foreign Intelligence Surveillance Act (met inbegrip van de rechtsgrondslag van PRISM en UPSTREAM). Op grond van deze wet hebben de Amerikaanse veiligheidsautoriteiten toegang tot persoonsgegevens van niet-Amerikaanse burgers die grotendeels vrij zijn van wettelijke beperkingen en die niet eens onderworpen zijn aan serieuze gerechtelijke controle op hun activiteiten. Met name dit laatste punt is door het Hof van Justitie bijzonder slecht ontvangen, omdat het optreden van de staat zonder de mogelijkheid van constitutionele controle niet te verenigen is met de Europese opvatting over rechtsbescherming.

Vanwege de aanzienlijke tekortkomingen in de gegevensbescherming in de VS, die zelfs door een privaatrechtelijke overeenkomst niet kunnen worden verholpen, heeft het Hof van Justitie uiteindelijk een overdracht van persoonsgegevens op basis van de overeenkomst inzake het beschermen van de persoonlijke levenssfeer als ondoeltreffend bestempeld.

Standaardovereenkomsten inzake gegevensbescherming met bedrijven uit de VS

Nadat de Privacy Shield overeenkomst ineffectief werd verklaard, beweren veel bedrijven met een sterke Amerikaanse connectie nu dat het hen niet aangaat omdat zij hun Amerikaanse gegevensverwerkers (vaak de moedermaatschappijen van de respectieve EU-dochterondernemingen) hebben verplicht tot een hoog niveau van gegevensbescherming door middel van de standaardclausules inzake gegevensbescherming die door de EU zijn erkend en daarom het Privacy Shield helemaal niet nodig hebben.

Volgens het recente arrest van het Hof van Justitie is deze argumentatie echter niet houdbaar. In zijn arrest heeft het Hof van Justitie duidelijk gemaakt dat deze standaard clausules weliswaar nog steeds geldig zijn, maar dat zij in elk afzonderlijk geval vereisen dat de wetgeving van het doelland over het algemeen een adequate gegevensbescherming toestaat. Wanneer dit niet mogelijk is, moet de verantwoordelijke persoon de overdracht van persoonsgegevens aan het derde land opschorten of beëindigen.

Volgens de bevindingen van het Hof van Justitie van de Europese Gemeenschap staan de wettelijke bepalingen in de Verenigde Staten – die voorrang hebben op elk verdrag – echter grotendeels ongereguleerde en ongecontroleerde toegang tot persoonsgegevens door de overheid toe. Daarom is elke overdracht van persoonsgegevens aan Amerikaanse bedrijven die gebonden zijn aan de standaardclausules inzake gegevensbescherming, onwettig.

Gevolgen in de praktijk

In haar arrest heeft het Europees Hof van Justitie uitdrukkelijk gesteld dat de toezichthoudende autoriteiten [zonder eigen keuzerecht] verplicht zijn op te treden tegen de doorgifte van gegevens aan derde landen die zich niet aan de GDPR houden. De keuze van de toezichthoudende autoriteiten bestaat uit verbodsbeschikkingen en (vanuit het oogpunt van de autoriteiten bijzonder effectief, vanuit het oogpunt van de betrokken ondernemingen bijzonder pijnlijk) het opleggen van boetes.

De GDPR classificeert de niet-juridische overdracht van persoonsgegevens als een bijzonder ernstige inbreuk op de regelgeving inzake gegevensbescherming en legt boetes op tot 20 miljoen EUR of 4% van de geconsolideerde jaaromzet die wereldwijd wordt behaald (het hoogste cijfer in elk afzonderlijk geval is relevant).

Om zich tegen deze gevoelige boetes te beschermen, moeten alle bedrijven die met dienstverleners met een sterke Amerikaanse connectie werken (met name de bekende Amerikaanse ESP’s zoals Salesforce, Mailchimp, Sharpspring etc.) zich afvragen of zij persoonsgegevens naar de VS overdragen. Corresponderende voorbeeldvragenlijsten zijn al te vinden op de relevante internet platforms, bijvoorbeeld op https://noyb.eu/en/next-steps-eu-companies-faqs Indien een overdracht van persoonsgegevens daadwerkelijk plaatsvindt op basis van de standaardclausules inzake gegevensbescherming of op basis van de overeenkomst inzake het beschermen van de persoonlijke levenssfeer, moet de samenwerking met deze bedrijven definitief worden opgeschort.

Lees hier meer posts over EPrivacy en privacy punten waar je rekening mee moet houden bij e-mailmarketing automation.

Lees meer

E-mailmarketing automation: 4 privacy-punten waar je rekening mee moet houden

E-mailmarketing en privacy gaan hand in hand. Of je nu bij een gemeente, financiële instelling of een sterk consumentenmerk werkt: het maakt eigenlijk niet uit. Privacy is de afgelopen jaren steeds belangrijker geworden en je kunt hier zomaar de mist mee in gaan. Natuurlijk zijn er veel (juridische) vereisten op het gebied van privacy. De basisregel is dat je altijd de juiste grondslag moet hebben voor gegevensverwerking. In het geval van e-mailmarketing is toestemming de juiste grondslag, welke aan strenge eisen dient te voldoen. In dit artikel worden vier tips gegeven om succesvol te zijn in e-mailmarketing automation zonder de privacy uit het oog te verliezen.

Tip 1: Het uitschakelen van usertracking op individueel niveau

Pixel- of usertracking is een hot topic en zowel consumenten als bedrijven worden hier steeds bewuster van. Zo heeft de New York Times bijvoorbeeld een eigen tool ontwikkelt waardoor ze geen gebruik meer hoeven te maken van de tracking technologie van partijen als Facebook en Twitter. Wanneer je zelf pixeltracking inzet voor re-marketing, dan is er een flinterdunne lijn tussen het verwerven van nieuwe potentiële klanten of het irriteren van je doelgroep. Houd hier als e-mailmarketeer altijd rekening mee en bedenk goed hoe je hier mee om wilt gaan. Het belangrijkste voordeel van pixeltracking is dat je deze informatie kunt inzetten om een hoge mate van personalisatie door te voeren. Iets waar de consument en de marketeer beiden blij van worden.

Facebook pixel: wat is het nu eigenlijk en hoe werkt het precies?

Een groot nadeel van pixeltracking is echter dat veel consumenten niet op de hoogte zijn of en welke informatie er precies getracked wordt. Wanneer er vervolgens bekend wordt dat er pixeltracking plaatsvindt, kan dit al snel als creepy of onbetrouwbaar gezien worden. Communiceer dus duidelijk wanneer je wel gebruik maakt van tracking, om welke data het gaat en met welk doel. Gebruik jij als e-mailmarketeer altijd usertracking op individueel niveau of schakel je deze uit voor (bepaalde) e-mailmarketing campagnes? Natuurlijk is dit sterk afhankelijk van je organisatie en de doelgroep die je wilt bereiken, maar zorg er in ieder geval voor dat je de optie hebt tot het uitschakelen van usertracking. Bij de meeste e-mailmarketing software staat usertracking op individueel niveau altijd aan en schakel je deze eenvoudig uit.

Tip 2: Houd rekening met lokale vereisten

Als je actief bent in meerdere landen, besef dan dat iedere regio of land specifieke vereisten heeft op het gebied van privacy. Richt je e-mailmarketing (software) dan ook zo in dat je op lokaal niveau kunt acteren. Een goed voorbeeld hiervan is dat een double opt-in (DOI) niet overal verplicht is, maar in Duitsland wel. Richt hier dus een aparte DOI-flow voor in en geef in je e-mailmarketing software ook aan dat deze e-mailadressen altijd een DOI verlangen. Ook al is een DOI niet verplicht in Nederland, het kan wel zinvol zijn om dit te gebruiken:

  • Je filtert de spam-, bot- en schadelijke adressen er grotendeels mee uit
  • De aanvrager handelt niet (meer) in een impuls en zal je mails niet snel als spam kwalificeren
  • Je weet zeker dat iemand niet voor de grap een aanmelding voor een vriend heeft gedaan
Pas je aan per lokale markt

Een ander voorbeeld is de Robinson lijst in Oostenrijk. Dit is vergelijkbaar met het bel-me-niet-register en houdt personen en bedrijven bij die niet persoonlijk benaderd willen worden via e-mail. Ben je actief in Oostenrijk en wil je via e-mailmarketing de dialoog aangaan met je relaties? Check dan altijd eerst of ze niet op de Robinson-lijst voorkomen. Check hier of iets soortgelijks als een Robinson-lijst van toepassing is in de overige landen waar je actief bent.

Tip 3: Het recht om vergeten te worden

Sinds de komst van de AVG heeft iedere consument het recht om “vergeten te worden”. Dit betekent dat hij een verzoek kan doen om alle data die je van hem hebt, te verwijderen uit je systemen. In de praktijk komt dit (nog) niet zo vaak voor en als dit wel gebeurt hebben veel organisaties moeite om hieraan te voldoen. Het kost tijd en energie om alle data te vinden: in welke databases komt een relatie voor en wie is er eigenlijk verantwoordelijk voor? De inrichting van je e-mail verzendlijsten is hierin erg belangrijk. Werk je met 1 centrale verzendlijst, of maak je gebruik van een veelvoud aan verzendlijsten?

Recht om vergeten te worden

Als er iemand aangeeft om “vergeten” te willen worden, is het wel fijn dat je eenvoudig kunt zien in welke verzendlijsten hij of zij voorkomt. En dat je dit adres vervolgens ook eenvoudig kunt verwijderen van de desbetreffende verzendlijst(en). Het meest handige is dat je met 1 centrale contactlijst werkt waarbij je met 1 druk op de knop kunt zien in welke (geautomatiseerde trigger) e-mailcampagnes een contact valt. En dit contact vervolgens eenvoudig kunt uitsluiten en verwijderen.

Tip 4: Waar staat je data?

Niet iedere e-mail serviceprovider (ESP) gaat op dezelfde manier met je data om. Per ESP verschilt dit: de een haar servers draaien bijvoorbeeld alleen in de EU, terwijl bij de ander de servers alleen in de VS staan. Voor sommige organisaties kan Europa al te ver weg zijn en dient alle data in Nederland of zelfs lokaal binnen het bedrijf te blijven. Mocht dit het geval zijn, dan is het belangrijk om van tevoren hier je ESP op te selecteren.

Waar gaat mijn data nu eigenlijk naar toe? En is er ook een lokale of hybride set-up mogelijk? Het belangrijkste voordeel van een lokale of hybride set-up is veiligheid. Doordat de software op je eigen servers draait ben je namelijk zelf volledig in control op het gebied van veiligheid en onderhoud. Wel brengt dit vaak hogere set-up kosten met zich mee.

Marketing automation & privacy: maak een bewuste keuze

Privacy heeft een grote invloed op e-mailmarketing. Dit hoeft echter helemaal geen belemmering te zijn. Maak een bewuste keuze en laat je vooral niet beperken om het maximale uit e-mailmarketing automation te halen!

Lees meer

EPrivacy

EPrivacy Verordening – Wat komt er op ons af?  

In feite moest de ePrivacy verodening (ePV), samen met de verordening inzake gegevensbescherming (AVG), reeds in 2018 worden aangenomen. Zo gemakkelijk was het blijkbaar niet, en het wordt nu niet verwacht voor 2020, waarmee de toepassing dus waarschijnlijk niet bindend is voor 2022.   

Waarom duurt dit zo lang? Het huidige ontwerp wordt bekritiseerd. Vooral de digitale reclame-industrie ziet zichzelf bedreigd in haar bestaan. Een recente studie van WIK (Scientific Institute for Infrastructure and Communication Services GmbH) van november 2017 lijkt deze vrees te bevestigen. Privacy experts, benadrukken echter de mogelijkheden en voordelen van het reguleringsvoorstel.  

We proberen in deze blog een zo goed mogelijk overzicht te geven in de ePV door het beantwoorden van een aantal vragen. 

  1. Wat is de ePV?  

De Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie), is een voorgestelde Europese verordening die de e-privacyrichtlijn (Richtlijn 2002/58/EG) moet vervangen, omdat zij beter zou zijn afgestemd op de nieuwe technologische realiteit. De aanpassingen omvatten onder andere verbetering van de beveiliging en vertrouwelijkheid van communicatie, het definiëren van duidelijkere regels over volgtechnologieën zoals cookies en meer harmonisatie tussen de lidstaten.  

Deze verordening zal in de toekomst van invloed zijn op iedereen die elektronische communicatiegegevens en -informatie met betrekking tot het eindapparaat van de eindgebruiker (bv. smartphone, pc, tablet) verwerkt in verband met de levering en het gebruik van elektronische communicatiediensten (zie artikel 2, lid 2, van de ePrivacy VO-ontwerpverordening).  

2. Is er echt een verordening nodig?  

 De ePV vult de algemene bepalingen van de AVG op het gebied van elektronische communicatiegegevens aan en verduidelijkt deze. Relevante bepalingen van deze verordening zijn alleen van toepassing op bedrijfseigenaren die communicatiediensten exploiteren, zoals het aanbieden van een Messenger-app. Op dit gebied zijn de zeer algemene regels van het AVG niet specifiek genoeg en is er behoefte aan een specifieke verordening. De ePV vervangt de oude ePrivacy-richtlijn (2002/58/EG) en het Cookiebeleid. Deze richtlijnen uit 2002 en 2009 worden vervangen door de nieuwe verordening, die dan direct van toepassing is en voorziet in een uniforme wetgeving in alle EU-lidstaten.  

3.Wat is het doel van de regeling?  

 Het uiteindelijke doel van de verordening is het versterken van de online privacy van EU-burgers. In het algemeen zal het vertrouwen van de burgers in de digitale communicatie door de nieuwe verordening worden verbeterd. Het toepassingsgebied omvat vrijwel elke vorm van elektronische communicatie – telefoon-, web- of e-maildiensten via het internet of things (slimme koelkasten, fitnesstracker, slimme voertuigen etc)  

4. Wat moet je aanpassen?  

 De invoering van de ePV betreft vooral veranderingen in marketingstrategieën en bestaande bedrijfsmodellen. De financiering van online media kan dus in gevaar komen. Blogs, websites van verschillende krantenformaten en soortgelijke modellen zijn momenteel vaak afhankelijk van banners die op de respectievelijke zijden worden weergegeven. Tot nu toe niet betaald door de gebruiker voor de inhoud en informatie, maar door de bedrijven via de bijbehorende reclame.  

5. Wat als je je niet gaat houden aan ePV?  

 Natuurlijk moet je je gewoon aan de ePV houden, maar mochten bedrijven dit nalaten of te laat implementeren dan zitten hier serieuze consequenties aan verbonden. Vergelijkbaar met de AVG kan een overtreding van de ePV duur zijn, ze zijn namelijk hetzelfde als de boetes onder AVG: 

  • € 20.000.000,- of 4% van de wereldwijde omzet; of 
  • € 10.000.000,- of 2% van de wereldwijde omzet. 

Lees meer