Het forum voor de webwinkel eigenaar en bezoeker van webwinkels.

 
ericvr
Berichten: 4
Lid geworden op: 20 januari 2017

Mailchimp en de wet bescherming persoonsgegevens

20 januari 2017

Beste allemaal,

Onze webwinkel is half november open gegaan en loopt al best aardig. Ik kijk af en toe op dit forum en heb hier al veel waardevolle informatie vandaan gehaald. Vandaag had ik een vraag waar ik al een paar dagen mee worstel en ik denk dat er met mij meer mensen zijn die hier tegenaan lopen.

We hebben de mogelijkheid om je in te schrijven voor een nieuwsbrief en het was de bedoeling om alle bestellingen te synchroniseren met mailchimp. Zo is het heel makkelijk om in mailchimp een campagne aan te maken om bijvoorbeeld een specifieke mail te sturen naar alle klanten die een bepaald product hebben gekocht. Ik heb me een beetje proberen te verdiepen in de regels voor de wet bescherming persoonsgegevens en daar komt eigenlijk uit naar voren dat het niet zonder meer is toegestaan om klantgegevens naar derden buiten de EU te sturen. Mailchimp is een Amerikaans bedrijf met servers in Amerika. Ik heb met de autoriteit persoonsgegevens gebeld en zij bevestigen dat ik geen klantgegevens naar mailchimp mag sturen zonder uitdrukkelijke toestemming van de klant. Daarnaast geldt er ook een meld plicht bij de autoriteit persoonsgegevens voor het melden van het delen van persoonsgegevens. Mij werd verteld dat er momenteel niet wordt gehandhaafd op het negeren van de meldplicht, daar dit in 2018 zal vervallen, maar dat er wel wordt gehandhaafd op het delen van klantgegevens met derden buiten de EU zonder toestemming.

Ik zie hier op het forum geregeld posts langskomen waar mensen Mailchimp noemen als een goede tool. Ik ben het hiermee eens, maar volgens de wet mag deze tool niet zomaar worden gebruikt. Ik ben nu aan het kijken naar alternatieven in Europa of de EER en heb tot nu toe alleen sendinblue gevonden die ook campagnes kan starten op basis van aangekocht product.

De vragen die ik heb zijn,
- Degenen die Mailchimp gebruiken, houden jullie rekening met WBP en welke maatregelen hebben jullie getroffen om Mailchimp op een legale manier te kunnen gebruiken?
- Zijn er nog meer Europese e-mail marketing tools waarbij het net als met Mailchimp en Sendinblue mogelijk is om campagnes te richten op specifiek verkochte producten (met ondersteuning voor Woocommerce)?

Ik ben heel benieuwd naar jullie reacties en hoe jullie hierover denken.
 
Gebruikersavatar
WebwinkelMeerwaarde
Berichten: 1397
Lid geworden op: 11 augustus 2015
Contacteer:

Re: Mailchimp en de wet bescherming persoonsgegevens

20 januari 2017

Naast de mogelijkheid om via MailChimp (op je website) bezoekers zich te laten registreren voor de nieuwsbrief, heb je inderdaad de mogelijkheid om mensen toe te voegen.

Mensen die klant bij je zijn mag je daarvoor benaderen.

Het is alleen de vraag of je deze gegevens vervolgens daadwerkelijk deelt met MailChimp. Jij hebt er een afgesloten account en jouw adresgegevens worden (lijkt mij) niet standaard gebruikt dan welke andere partij dan ook.

Correct me if I'm wrong, volgens mij zit er geen contractvoorwaarde bij hen voor het afsluiten van een account, dat al jouw gegevens door derden gebruikt kunnen worden.


Om nog even een vergelijking te trekken. Google (analytics) vraagt je expliciet of je hiervoor toestemming geeft. Dit kan je vervolgens gewoon wijzigen, of accepteren (maar dan moet je dit ook duidelijk maken in je cookie melding).
 
ericvr
Berichten: 4
Lid geworden op: 20 januari 2017

Re: Mailchimp en de wet bescherming persoonsgegevens

20 januari 2017

Het is alleen de vraag of je deze gegevens vervolgens daadwerkelijk deelt met MailChimp. Jij hebt er een afgesloten account en jouw adresgegevens worden (lijkt mij) niet standaard gebruikt dan welke andere partij dan ook.

Correct me if I'm wrong, volgens mij zit er geen contractvoorwaarde bij hen voor het afsluiten van een account, dat al jouw gegevens door derden gebruikt kunnen worden.
De webwinkel zet de gegevens (e-mail adres en naam van de klant en soms zelfs bestelgegevens) bij Mailchimp neer. Amerikaanse wetgeving (Patriot act) staat toe dat overheidsdiensten toegang kunnen krijgen tot deze gegevens, ongeacht de afspraken die mailchimp met jou maakt. De autoriteit persoonsgegevens vertelde me zelfs dat het gebruikmaken van een e-mail provider in b.v. Amerika (zoals Fastmail, Australisch bedrijf met servers in de USA) zelfs wordt gezien als het verwerken van klantgegevens (als e-mails met klantgegevens hier vandaan worden verzonden). De Amerikaanse overheid zou immers middels de patriot act toegang tot deze gegevens kunnen krijgen. Zelfs als die data met zware encryptie wordt opgeslagen, geldt dit. Ik vond het behoorlijk ver gaan en ik kan me voorstellen dat veel ondernemers hier niet van op de hoogte zijn. Dit is de reden dat ik mijn e-mail heb ondergebracht binnen de EER.
Om nog even een vergelijking te trekken. Google (analytics) vraagt je expliciet of je hiervoor toestemming geeft. Dit kan je vervolgens gewoon wijzigen, of accepteren (maar dan moet je dit ook duidelijk maken in je cookie melding).
Als ik het goed heb staat het datacenter van Google in Nederland (binnen de EU) en heeft Google overeenkomsten gesloten waardoor de Patriot Act niet op deze data zou gelden, aangezien dit in strijd is met EU wetgeving. Hierbij geldt dus niet dat data buiten de EU beschikbaar wordt gemaakt en hoef je dus geen melding te doen en toestemming te vragen. Het vinkje waar je het over hebt, gaat over of Google de door jou opgeslagen data mag delen met derden.
Dit is wat ik er van heb begrepen en wat me verteld is door de autoriteit persoonsgegevens. Ik schrok hier wel een beetje van en als ik er naast zit, dan hoor ik het graag!
Ik weet niet of het voldoende is om bij het inschrijven voor een nieuwsbrief te vermelden dat de gebruiker ermee akkoord gaat dat de data buiten de EU wordt opgeslagen. Dat zou op zich een nette oplossing kunnen zijn. Helaas geldt dat natuurlijk niet in het geval waarbij bestelgegevens worden doorgegeven aan Mailchimp (de ecommerce functie bij Mailchimp, die erg leuk werkt).

Hier een kort overzicht van de regels voor vrijstelling van de meld plicht, gegevens verwerken buiten de EU
Hier een korte discussie op Quora over het gebruik van Mailchimp vanuit de EU

(Edit: linkjes toegevoegd)
 
Mick
Berichten: 849
Lid geworden op: 12 juli 2014

Re: Mailchimp en de wet bescherming persoonsgegevens

20 januari 2017

Als ik het goed heb staat het datacenter van Google in Nederland (binnen de EU) en heeft Google overeenkomsten gesloten waardoor de Patriot Act niet op deze data zou gelden, aangezien dit in strijd is met EU wetgeving. Hierbij geldt dus niet dat data buiten de EU beschikbaar wordt gemaakt en hoef je dus geen melding te doen en toestemming te vragen.
Hier sla je de plank in iedergeval al mis! ;-)
Ja, Google heeft een groot datacenter gebouwd in Nederland (net zoals Microsoft en andere grote Amerikaanse organisaties) maar dit is niet het enige datacenter van Google!
https://www.google.com/about/datacenter ... index.html
Dat er een datacenter van Google in Nederland staat, betekend niet dat jouw Gmail account nu op een Nederlandse server staat, de kans is zelfs veel groter dat deze buiten Nederland opgeslagen staat!

Dit zou dus beteken dat je Gmail niet zakelijke zou mogen gebruiken. Bekijk eens welke diensten je allemaal gebruikt: cloud service, betaalprovider, administratie, email en natuurlijk de hosting van je eigrn webshop. Heb jij de garantie dat alle diensten gebruik maken van Nederlandse servers?

Je mag je eigen klantgegevens gewoon verwerken, zolang je deze niet zonder expliciete toestemming aan derden verstrekt. Je mag de gegevens dus wel in jouw mailchimp account gebruiken, maar je mag ze niet als klantenbestand aan mailchimp (of je buurman) verstrekken.
Advertentie

Met Shopify maak je zelf je eigen webwinkel dankzij meer dan honderd thema’s en de complete appstore. Shopify sluit ook goed aan op dropshippers. De software is technisch volledig SEO-geoptimaliseerd en biedt alle sociale media-integraties. Meer info op Shopify.com.

 
ericvr
Berichten: 4
Lid geworden op: 20 januari 2017

Re: Mailchimp en de wet bescherming persoonsgegevens

20 januari 2017

Dit zou dus beteken dat je Gmail niet zakelijke zou mogen gebruiken. Bekijk eens welke diensten je allemaal gebruikt: cloud service, betaalprovider, administratie, email en natuurlijk de hosting van je eigrn webshop. Heb jij de garantie dat alle diensten gebruik maken van Nederlandse servers?
Ja, als ondernemers zijn wij verantwoordelijk voor het verwerken van de gegevens van onze klanten en ja, wij moeten dus uitzoeken of we de gegevens wel mogen delen met anderen of mogen doorgeven naar landen buiten de EU (zijn twee verschillende dingen). Er gelden verschillende vrijstellingen, zo geldt bijvoorbeeld voor betaalproviders een uitzondering, omdat dit noodzakelijk is voor het uitvoeren van de overeenkomst die je hebt met je klant, mits deze zich binnen de EU bevindt. 
Je mag je eigen klantgegevens gewoon verwerken, zolang je deze niet zonder expliciete toestemming aan derden verstrekt. Je mag de gegevens dus wel in jouw mailchimp account gebruiken, maar je mag ze niet als klantenbestand aan mailchimp (of je buurman) verstrekken.
De wet is hier in mijn ogen heel duidelijk over. Ja je mag klantgegevens gewoon verwerken (niet alle klantgegevens overigens, wel klantgegevens benodigd voor het runnen van je webshop), maar op het moment dat je ze doorgeeft naar een partij buiten de EU, heb je expliciet toestemming nodig van de klant en dien je melding te maken bij de autoriteit persoonsgegevens (zie Artikel 76 lid 1 Wbp). 
Ik heb geen uitzonderingen kunnen vinden die voor mijn bedrijf van toepassing zijn. De artikelen in de wet die ik heb gevonden zijn voor mij duidelijk en de gesprekken die ik heb gevoerd met de autoriteit persoonsgegevens bevestigen dit helaas. 

Ik heb zelf de conclusie getrokken dat het voor mijn webwinkel noodzakelijk is om mijn servers en data binnen de EER te houden. Mail provider is geregeld, runbox.com (Noorwegen, valt binnen de EER) en nu ben ik op zoek naar een goed alternatief voor MailChimp. Iemand tips?
 
Mick
Berichten: 849
Lid geworden op: 12 juli 2014

Re: Mailchimp en de wet bescherming persoonsgegevens

20 januari 2017

Begrip 'doorgifte' 
Met het begrip "doorgifte" in dit artikel wordt gedoeld op het ter kennis brengen van de gegevens aan een persoon die zich bevindt buiten de rechtsmacht van één van de landen van de Unie.
Mailchimp is geen 'persoon' je verwerk nog steeds je eigen klantgegevens op je eigen account bij Mailchimp. Deze gegevens staan wellicht op een server in de USA maar worden niet gedeeld met of verwerkt door een persoon in de USA.

Mocht je nog twijfelen, dan kan je de vraag ook eens neerleggen bij ICTrecht, zij hebben hier veel meer verstand van dan mij en zijn tevens zelf gebruiker van Mailchimp! ;-)
 
Mick
Berichten: 849
Lid geworden op: 12 juli 2014

Re: Mailchimp en de wet bescherming persoonsgegevens

21 januari 2017

Mocht mijn benadering niet juist zijn, dan voldoet MailChimp alsnog aan de volgende voorwaarden:
Elke organisatie in de VS die gecertificeerd is bij het privacy shield, heeft een passend beschermingsniveau (voor de duur van de certificatie). Dat betekent dat organisaties vanuit Europa persoonsgegevens mogen doorgeven naar deze organisaties in de VS.
https://www.privacyshield.gov/participa ... 000TO6hAAG