Blog > Inventory Alarm en het Privacy Shield
1 september 2020 - laatste update 14 februari 2022 - click here for the English version
Het zal je wellicht niet ontgaan zijn: op 16 juli 2020 is het EU-US privacy shield ongeldig verklaard. Sindsdien ben ik voor Inventory Alarm hiermee aan de slag gegaan. In dit artikel lees je welke stappen al zijn gezet, wat op dit moment de status is en welke vervolgstappen je kunt verwachten.
Achtergrond
Er is al veel over “Schrems II” geschreven. In het kort betekent het, dat het privacy shield geen basis meer is, om persoonsgegevens in de VS te verwerken.
Qua technologie, features, support en nog veel meer hebben VS gebaseerde diensten een fantastisch aanbod en ik heb er veel ervaring mee. Toch is het gezien dit soort juridische ontwikkelingen (helaas) verstandig om dit eens onder de loep te nemen, en te onderzoeken of er geen alternatieven zijn waar je zekerder van je zaak kunt zijn dat er geen AVG/GDPR regels worden overtreden.
Als je een moreel en/of praktisch oordeel over hoe erg of waarschijnlijk het is dat VS inlichtingendiensten in je klantdata zouden gaan rondsnuffelen, even terzijde schuift, blijft er wél de juridische GDPR realiteit waar je als ondernemer toch iets mee moet.
In het geval van Inventory Alarm was het zaak om het gebruik van SendGrid onder de loep te nemen, met als uitkomst dat Inventory Alarm bezig is met overstappen van SendGrid naar Rapidmail.
Als dit nieuwe materie voor je is, dan raad ik je aan eerst dit artikel te lezen op Frankwatching. Ook de (Nederlandse) Data Driven Marketing Association heeft een duidelijke uitleg inclusief stappenplan en een lijst veelgestelde vragen.
Lees je liever een artikel geschreven door een ICT jurist? Dan kan ik je deze juridisch onderbouwde en goed leesbare blogpost van ICTRecht aanraden.
Welke stappen zijn al gezet voor Inventory Alarm?
Met het stappenplan van de DDMA in de hand zijn de volgende stappen al gezet:
“1. Breng ontvangers in kaart”
In de privacyverklaring van Inventory Alarm en de privacyverklaring van het dashboard staan deze op een rijtje bij het kopje Delen van persoonsgegevens met derden.
“2. Controleer welke ontvangende partijen gegevens verwerken buiten de EU”
Ook deze informatie vind je terug in bovenstaande twee privacyverklaringen.
Er is één ontvangende partij welke gegevens verwerkt buiten de EU:
SendGrid
Update 30 oktober 2020: sinds 10 oktober 2020 worden alle lage voorraad e-mails verstuurd via Rapidmail.com, een e-mail provider uit Duitsland, volledig gehost in Duitsland en dus met alle dataopslag in de EU.
De ervaringen de afgelopen maand met Rapidmail zijn zeer positief. Bijkomend voordeel is, dat Rapidmail in de praktijk een hoger afleverpercentage blijkt te hebben dan Sendgrid! Dat zijn dus twee vliegen in een klap.
Na een uitgebreide test, mét een van onze grootste klanten, is de overstap gemaakt. Voor alle nieuwe klanten sinds 10 oktober wordt nu Rapidmail gebruikt voor de email inschrijvingen en terug-op-voorraad emails. Bestaande klanten die nog geen domeinvalidatie hadden ingesteld, gaan automatisch over op Rapidmail zodra ze de domeinvalidatie voltooien.
Klanten die al bij Sendgrid de domeinvalidatie hadden ingesteld, zullen we binnenkort ook uitnodigen over te stappen.
Alle e-mail die Inventory Alarm verstuurt, wordt met SendGrid afgeleverd door gebruik te maken van hun transactionele e-mail API. De servers van SendGrid staan in de US. SendGrid verwijdert verstuurde mail automatisch na 30 dagen. Het beheer van de e-mail inschrijvingen doen we niet in SendGrid, maar in de database achter Inventory Alarm (zie kopje Microsoft Azure). SendGrid is voor Inventory Alarm puur een “e-mail verstuur gateway”.
SendGrid is EU-US Privacy Shield gecertificeerd. Vanwege de ontwikkelingen rondom dit privacy shield hebben we SendGrid schriftelijk gevraagd naar de vervolgstappen voor het gebruiken van SendGrid binnen de EU. Afhankelijk van de uitkomst zullen EU email providers met vergelijkbare functionaliteit worden overwogen als alternatief in de nabije toekomst.
Op 11 augustus 2020 heeft SendGrid een publiek statement uitgebracht hierover voor alle Twilio diensten (Sendgrid is een Twilio dienst), verwijst naar Twilio’s Binding Corporate Rules en Twilio’s Standard Contractual Clauses (§ 14.4). Tevens geeft Sendgrid aan bezig te zijn met een bijwerkte versie van het Privacy Shield artikel. We hebben een aantal vervolgvragen gesteld aan Sendgrid hierover en wachten hun antwoorden af.
“3. Kies waar mogelijk voor gegevensopslag binnen de EU”
Zoals al genoemd in deze blogpost wordt SendGrid uitgefaseerd en wordt Rapidmail gebruikt.
Voor SendGrid zijn er een aantal haalbare alternatieven beschikbaar. Hierbij heb ik gekeken naar de exacte features die we vanuit Inventory Alarm gebruiken en naar de kwaliteit en track record van de betreffende partij.
De alternatieven die het beste uit de bus komen voor Inventory Alarm zijn Flowmailer (Nederland), Mailjet (Frankrijk) en Sendinblue (Frankrijk). Deze bedrijven zijn gevestigd in de EU en slaan hun data op in de EU. Inmiddels heb ik bij deze e-mail diensten een trial account aangemaakt en uitgebreide tests uitgevoerd.
Een interessante, lange lijst van EU alternatieven vind je bij Sales Loves Marketing. Ook voor je eigen e-mail marketing kan deze lijst interessante informatie bevatten.
De Inventory Alarm webapplicatie en database wordt gehost bij Microsoft Azure, Region: West Europe. Dit datacenter bevindt zich in Nederland (EU). De webhostingdienst wordt afgenomen van Microsoft Ireland Operations Ltd, een in Ierland (EU) gevestigde zelfstandige dochteronderneming van Microsoft.
In de privacyverklaring van Inventory Alarm en de privacyverklaring van het dashboard is de informatie over Microsoft inmiddels bijgewerkt. Deze informatie over Microsoft geven voldoende waarborgen dat de gegevens niet in handen komen van instanties in niet-EU landen zoals de US.
Tot slot nog een analytics tip: zoek je EU gebaseerde website analytics die privacy hoog in het vaandel hebben staan dan kan ik je deze twee aanraden: Plausible.io (Duitsland) en Simpleanalytics.com (Nederland). Voor de inventoryalarm.com website die je nu bekijkt gebruik ik zelf ook Simpleanalytics.com. Het Inventory Alarm Dashboard gebruikt overigens geen analytics.
“4. Informeer de betrokkenen”
De eerste stap hierin was het aanpassen van eerder gelinkte privacyverklaringen. Vervolgens is deze blogpost geschreven om jullie nader te informeren over het proces en de status.
Inventory Alarm integreert met Lightspeed eCom. Daarom heb ik ook Lightspeed, via de partner manager, gevraagd om elkaar hierover op de hoogte te houden. Op het community forum is ook al een post hierover geschreven door een Lightspeed eCom klant, inclusief een reactie van Lightspeed.
“5. Houd de toezichthouder in de gaten”
De website van de Autoriteit Persoonsgegevens heeft op de homepage de laatste nieuwsberichten, evenals een artikel over Schrems II. Verder sta ik via een aantal online communities in contact met andere online ondernemers en juristen die dit scherp in de gaten houden.
Vervolg
Tot slot, ik blijf dit actief in de gaten houden. Afhankelijk van de ontwikkelingen bij SendGrid, Microsoft Azure en Lightspeed wordt deze blogpost verder aangevuld.
Update 30 oktober 2020: in de blogpost is nu informatie opgenomen over het vervangen van SendGrid door Rapidmail.
Geschreven door Jeroen
@jeroenbai
