Gegevensbescherming en e-mail nieuwsbrieven | AVG

Het blijft vreemd dat we in Europa zo weinig gebruik maken van Europese IT-leveranciers; vaak wordt er zonder te kijken van Amerikanen gebruik gemaakt. Een voorbeeld van een Amerikaans bedrijf dat veel wordt gebruikt is het marketing platform MailChimp, veel gebruikt voor allerlei e-mail nieuwsbrieven.

De persoonsgegevens worden door het platform in de Verenigde Staten opgeslagen; waarschijnlijk wordt er gebruik gemaakt van Privacy Shield (zo lang die regeling nog blijft gelden), wat  betekent dat het onder AVG niet verboden is dit platform te gebruiken.

Ik heb diverse juridische nieuwsbrieven via deze leverancier, dus er is alle aanleiding om hun privacy statement eens beter te bekijken.

Privacy statement van MailChimp
In dat privacy statement staan interessante dingen. In de Engelstalige voorwaarden wordt de ontvanger van e-mail aangeduid als ‘Contact’. De ‘Member’ is degene die van de service gebruik maakt, de klant van het platform en de afzender van de e-mailberichten.

In het onderdeel van de statement over Contacts staat dat er niet alleen persoonsgegevens afkomstig van het Member worden verwerkt. Ook wordt er allerlei andere informatie verwerkt:

(ii) Information we collect automatically: When you interact with an email campaign that you receive from a Member or browse or purchase from a Member’s connected store, we may collect information about your device and interaction with an email. We use cookies and other tracking technologies to collect some of this information. Our use of cookies and other tracking technologies is discussed more below, and in more detail in our Cookie Statement here.

Device information: We collect information about the device and applications you use to access emails sent through our Services, such as your IP address, your operating system, your browser ID, and other information about your system and connection.

Product usage data: We collect usage data about you whenever you interact with emails sent through the Services, which may include dates and times you access emails and your browsing activities (such as what pages are viewed). We also collect information regarding the performance of the Services, including metrics related to the deliverability of emails and other electronic communications our Members send through the Services. This information allows us to improve the content and operation of the Services, and facilitate research and analysis of the Services.

(iii) Information we collect from other sources: From time to time, we may obtain information about you from third-party sources, such as social media platforms and third-party data providers. We take steps to ensure that such third parties are legally or contractually permitted to disclose such information to us, and we use this information to provide publicly available social media information about you to Members who have enabled the “Social Profiles” feature in their MailChimp accounts.

Degene die zich aanmeldt voor een nieuwsbrief verwacht niet dat het IP adres, het operating system en allerlei andere identificerende gegevens (“fingerprint”) worden verzameld. Dat er informatie bij derden, zoals social media (= Facebook c.s.) en “third-party data providers” wordt toegevoegd aan de eigen gegevens van het platform, is al helemaal verrassend. In de passages over de klanten en over bezoekers van de website is hetzelfde te vinden. Zo wordt bij website bezoekers het volgende opgemerkt:

In addition, we may combine Personal Information with other information we collect or obtain about you (such as information we source from our third-party partners) to serve you specifically, such as to deliver a product or service according to your preferences or restrictions, or for advertising or targeting purposes in accordance with this privacy policy. When we combine Personal Information with other information in this way, we treat it as, and apply all of the safeguards in this privacy policy applicable to, Personal Information.

Verder op wordt er eveneens melding gemaakt van het delen met derden:

We may share and disclose your Personal Information to the following types of third parties for the purposes described in this privacy policy (…)
(i) Our service providers: Sometimes, we share your information with our third-party service providers, who help us provide and support our Services and other business-related functions.
Members something they have requested (like enable a feature such as Social Profiles), then we may share Members’ or Contacts’ Personal Information with a service provider for that purpose. Other examples include analyzing data, hosting data, engaging technical support for our Services, processing payments, and delivering content.

In het deel over Contacts schrijft het bedrijf dat zij de verzamelde gegevens voor hun eigen doelen, hun “legitimate business interests“, gebruiken, wat meer is dan alleen het voorkomen van misbruik van de dienst. Uit de tekst wordt duidelijk dat de persoonsgegevens ook voor eigen marketingactiviteiten gebruikt, alles onder de noemer “To provide, support and improve the Services“.

De gegevens van één Contact (nieuwsbriefabonnee) worden door MailChimp gebruikt ten behoeve van alle klanten (Members) van het bedrijf, zo leid ik uit het onderstaande af:

We may use the Personal Information we collect or receive about you for our legitimate business interests, including (…) For our data analytics projects. Our data analytics projects use data from MailChimp accounts, including your Personal Information, to provide and improve the Services. We use information, like your purchase history, provided to us by Members, so we can make more informed predictions, decisions, and products for our Members. For example, we use data from MailChimp accounts to enable product recommendation, audience segmentation, and predicted demographics features for our Members. If you prefer not to share this data, you can opt out of data analytics projects at any time by emailing us at personaldatarequests@mailchimp.com

Ten aanzien van de grondslag is er een prachtig open eind opgenomen:

Other purposes. To carry out other legitimate business purposes, as well as other lawful purposes.

Over data protection rights citeerde ik hierboven al een opt-out bepaling. Verder staat er onder meer:

In addition, if you are a resident of the EEA, you can object to processing of your Personal Information, ask us to restrict processing of your Personal Information or request portability of your Personal Information. Again, you can exercise these rights by emailing us at personaldatarequests@mailchimp.com

Opvallend is dat deze omvangrijke dataverzamelingsactiviteiten bij MailChimp standaard aanstaan en opting out moeilijk wordt gemaakt. Een correcte gang van zaken zou zijn dat opting out bij het aanmelden wordt aangeboden.

In de voorwaarden staat een waarschuwing voor contact met MailChimp via social media zoals Facebook:

Any information, communications, or materials you submit to us via a social media platform is done at your own risk without any expectation of privacy.

Zou dat niet ook gezegd moeten worden voor de dienst van deze leverancier?

Iedereen die als deelnemer (Member) gebruik maakt van dit marketing platform stelt MailChimp in staat om persoonsgegevens van de geadresseerden van nieuwsbrieven (Contacts) te verzamelen en voor andere doelen te gebruiken. Veel Nederlandse bedrijven en organisaties volstaan in hun aanmeldformulier met verwijzing naar de algemene voorwaarden en het privacy statement van het marketing platform. Ik denk dat dit onvoldoende is, als ik het bovenstaande zo zie.

Overigens heb ik niet gekeken in hoeverre het platform gebruik maakt van technieken als session-replay scripts, een methode om mee te lezen met degene achter de computer, waarmee zelfs wachtwoorden en andere vertrouwelijke informatie kan worden onderschept. In dit bericht wordt het uitgelegd.

Alternatief? Laposta
Nu mogelijk binnenkort een einde komt aan Privacy Shield, is er alle reden om te kijken naar een Europees alternatief.
En die zijn er, al zijn ze minder bekend. Ik heb geen uitputtend onderzoek gedaan, maar kwam het Nederlandse bedrijf Laposta tegen, met informatie over hun product dat er veel positiever uitziet. Zij verklaren zich aan de AVG te houden en schrijven in hun privacy statement dat zij zelfs bij gratis accounts de persoonsgegevens niet zelf gebruiken:

Beveiliging klantgegevens bij een gratis account
Nadrukkelijk vermelden wij dat het gratis account geen verborgen voorwaarden kent. Ook bij een gratis account gebruiken wij je (relatie)gegevens op geen enkele wijze; ook dan verkopen of geven wij deze niet aan derden.
Wij gebruiken gratis accounts ook niet voor het maken van reclame. Uitzondering op deze regel is een (bescheiden) verwijzing naar Laposta onderaan elke verzonden nieuwsbrief.

Een gelijksoortige mededeling wordt over betaalde accounts gedaan. Ook de cookie statement ziet er veel beter uit. Zo staat er:

Voor ons statistiekenprogramma en deze website maken wij nadrukkelijk geen gebruik van third-party cookies. Third-party cookies zijn cookies waarmee het gedrag van bezoekers over verschillende websites heen kan worden gevolgd. Vooral advertentienetwerken maken hiervan gebruik.

Tijd voor een onafhankelijke test
Uit het bovenstaande kan worden afgeleid dat het hoog tijd wordt dat de nieuwsbrieven service aanbieders eens uitvoerig worden getest op eigenschappen en naleving van de AVG. Er zijn mogelijk meer Europese aanbieders die een goede nieuwsbrievendienst leveren.

Gebruikers van e-mail diensten doen er goed aan na te denken over een zorgvuldige keuze van de leverancier, dus één die de persoonsgegevens alleen gebruikt ten behoeve van de gebruiker.


Aanvulling 8 november 2018
Inmiddels is de Rotterdamse Orde van Advocaten Laposta als nieuwsbrievendienst gaan gebruiken. Dat geeft aan dat zij een AVG-bewuste keuze hebben gemaakt.

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in ICT, privacy, e-commerce en getagged met , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s