Amerikaanse bedrijven en privacy, wees er als ondernemer alert op

Posted on by

Die Amerikanen kunnen er wat van. Ze ontwikkelen fantastisch werkende IT-diensten. Vervolgens weten ze met briljante marketingstrategieën de halve wereld er afhankelijk van te maken. Maar er is wél een probleem: ze kunnen vaak niet voldoen aan Europese privacyregels. 

Amerikaanse diensten verwerken onze persoonsgegevens vaak buiten Europa. Dat staat op gespannen voet met privacyrechten. Van de VS weten we dat ze (on)behoorlijk veel persoonsgegevens verwerken in het kader van surveillance en spionage, onder meer door de onthullingen van Edward Snowden.

Dankzij de sterke lobby door de Verenigde Staten kregen Amerikaanse IT-bedrijven toch telkens weer een vrijbrief om gemakkelijk met Europese persoonsgegevens te werken. Eerst op basis van de Safe Harbor Principles en – nadat die ongeldig werden verklaard – op grond van het EU-US Privacy Shield.

De hoogste rechter van de Europese Unie zette in juli 2020 ook een dikke streep door deze regeling. Het toevertrouwen van persoonsgegevens aan Amerikaanse partijen mag dus niet zonder meer. 

Bedrijven in Europa weten nu niet goed waar ze aan toe zijn. Ze weten dat het gebruik van sommige diensten eigenlijk niet meer door de beugel kan, maar veel systemen en processen zijn er nog wel van afhankelijk. Zomaar stoppen kan eigenlijk niet, maar met de onrechtmatigheid doorgaan is ook geen optie. Ook juridische experts konden tot op heden maar moeilijk duiden wat de ongeldigheid voor de alledaagse praktijk betekent. Een praktijkgeval biedt hier meer duidelijkheid.

Zo kwam kortgeleden het Amerikaanse bedrijf Mailchimp in het nieuws. Mailchimp-gebruikers kunnen met het online-programma nieuwsbrieven en mailings naar klanten sturen. Het heeft alleen geen vestiging in Europa en verwerkt gegevens ook nog eens buiten de zogeheten Europese Economische Ruimte (EER). Sinds die uitspraak van juli 2020 weten wij dat dit niet zomaar mag.

De Beierse autoriteit persoonsgegevens heeft een klacht behandeld over de doorgifte van e-mailadressen aan Mailchimp. De autoriteit kwam tot het oordeel dat het Duitse bedrijf dat Mailchimp gebruikte, niet goed had onderzocht welke aanvullende maatregelen nodig waren voor data-export. Deze extra maatregelen waren ook niet genomen. Daarom mochten de persoonsgegevens – met name e-mailadressen – niet naar de VS geëxporteerd worden. Het Duitse bedrijf is gestopt met het gebruik van Mailchimp.

Gezien de recente ontwikkelingen is het dus tijd om in kaart te brengen welke datastromen en persoonsgegevens van je organisatie via een andere partij buiten de EER terecht komen. Loop dus al je (digitale) toeleveranciers goed na op dit vlak. En misschien kom je er dan achter dat je een andere dienstverlener moet zoeken.

Alles bij de bron; RTVNoord