Tysk datatilsyn dumper brugen af Mailchimp: Virksomhed manglede risikovurdering

6. april 2021 kl. 03:4512
München, Bayern, Tyskland
Illustration: Thomas Wolf via Wikipedia.
Tysk virksomhed havde ikke taget højde for, at amerikanske efterretningstjenester potentielt kigger med i nyhedsbreve udsendt via Mailchimp. Kendelsen stiller krav til, at danske virksomheder husker risikovurderingen, lyder det fra advokat.
Louise Olifent
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Louise Olifent

En tysk virksomhed skal stoppe med at bruge tjenesten Mailchimp til at sende nyhedsbreve ud. Sådan lyder konklusionen i en kendelse fra datatilsynet i den tyske delstat Bayern.

Virksomheden manglede nemlig at lave en risikovurdering, og det er et krav, ifølge GDPR. Reglerne sikrer europæeres data mod dårlig beskyttelse i usikre tredjelande som USA, hvor efterretningstjenesterne potentielt kan kigge med.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
Opret brugerLog ind
12 kommentarer.  Hop til debatten

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
Kjeld Flarup Christensen
7. april 2021 kl. 10:31

Hvor er det dog et usagligt og fordummende indslag...</p>
<p>Samme argument kunne føres for at du skal beskytte dig selv mod overfald eller indbrud.

Faktum er at du skal beskytte dig selv mod indbrud, så jeg ser ikke noget fordummende i, at man skal tænke sig om hvad man giver væk af informationer.

Det er vel ikke staten/politiet der skal tænke for dig er det?

Det er jo lige netop det jeg skriver, du skal tænke selv, ikke tro at andre gør det. GDPR er kun en hjælp, ikke en garanti.

  • more_vert
    • insert_linkKopier link
9
malik taaning
6. april 2021 kl. 23:39

Typisk vil modtageren selv være klar over dette og sikre sig. F.eks. ved ikke at bruge en amerikansk mailserver.

Det er da fuldstændig underordnet hvilken mailserver jeg bruger som modtager hvis afsender (e.g via mailchimp) har information om hvilke nyhedsbreve jeg har modtaget.

Nu er det ud fra artiklen svært at afgøre hvilken type nyhedsbreve der refereres til, men hvis der er tale om et firma som sender nyheder om dem selv og deres produkter (til de kunder som har "opted in" på dette), så har jeg svært ved at anlægge en anden risiko vurdering end at det må være ok også med Mailchimp...

Heldigvis har EU med GDPR gjort det til databehandlerens problem at sikre at mine præferencer og politiske holdninger (samt mine foretrukne værktøjsmærker) ikke bliver udleveret til andre end dem jeg har givet lov til.

Det er altså ikke mig som bruger der skal holde øje med hvilken service firma X bruger til nyhedsbreve og om de skifter dagen efter jeg har meldt mig til.

Alt det indebærer at data IKKE må sendes til USA da de har vist sig ude af stand til at holde snitterne fra personlige data. (læs: giver minimum samme databeskyttelse som i EU)

  • more_vert
    • insert_linkKopier link
8
Troels Madsen
6. april 2021 kl. 23:17

Nu er det ud fra artiklen svært at afgøre hvilken type nyhedsbreve der refereres til, men hvis der er tale om et firma som sender nyheder om dem selv og deres produkter (til de kunder som har "opted in" på dette), så har jeg svært ved at anlægge en anden risiko vurdering end at det må være ok også med Mailchimp...

  • more_vert
    • insert_linkKopier link
6
Johnny Lüchau
6. april 2021 kl. 20:37

Typisk vil modtageren selv være klar over dette og sikre sig. F.eks. ved ikke at bruge en amerikansk mailserver.

Som nævnt ovenfor, så kan det være vanskeligt at vide om det danske firma (eller et EU-firma) benytter sig af en amerikansk cloud-service, nede under motorhjelmen.

Det er langt fra alle firmaer som beskriver i detaljer, f.eks. hvilket firma som ejer det datacenter de benytter. Der skal kun en beskeden amerikansk ejer-andel til, før et firma er underlagt amerikansk lovgivning og dermed er tvunget til at udlevere data til amerikanske myndigheder. Også selvom data befinder sig fysisk i EU.

Et firma jeg talte med fornyligt, havde lavet en smart cloud-service som de hostede i et tysk datacenter, så de havde styr på datasikkerheden, mente de. Da jeg spurgte hvem de brugte, fik jeg svaret at det var velia.net. Sagen er bare at de er ejet af Godaddy, altså underlagt amerikansk lovgivning og dermed ikke tilladt at bruge for virksomheder i EU (til behandling af persondata).

Det er ikke nemt at navigere i det her rod og man skal spørge ind til detaljerne inden man vælger.

  • more_vert
    • insert_linkKopier link
4
Johnny Lüchau
6. april 2021 kl. 18:31

Ja, naturligvis. Det havde jeg overset. God pointe!

  • more_vert
    • insert_linkKopier link
3
malik taaning
6. april 2021 kl. 18:27

Tror du skal se det i et større perspektiv, hvilket nyhedsbrev du følger er IKKE ligegyldigt.

Hvad du abonnerer på kan være ulovligt i andre lande, og kan i den grad være personligt.

DERFOR skal det ikke til USA (eller andre 3d verdenslande)

  • more_vert
    • insert_linkKopier link
2
Johnny Lüchau
6. april 2021 kl. 14:56

Umiddelbart er e-mailadressen i sig selv vel ikke det store problem, men måske er det fordi der ofte følger en del mere data med, når man bruger sådan én service.

Hvis man f.eks. bruger en Signup-formular fra Mailchimp, som også indeholder felter til navn, adresse og telefonnummer, så har vi balladen.

Når modtager interagerer med nyhedsbrevet, så opsamles der også en bunke data.

Når man skifter til en EU-baseret leverandør, skal man være vågen. Jeg har for nyligt haft debatten med MailerLite i Litauen, som har en masse fine features, men når de så hoster deres service hos Google, må de ikke bruges alligevel.

Det kommer til at gøre ondt på danske udbydere også - se f.eks. danske Marketingplatform.com, som stolt praler med at de passer særdeles godt på vores data og derefter fortæller at

"Alle data opbevares og behandles på vore sikrede, dedikerede servere i Google Cloud Platform, der fysisk står placeret i Holland. "

Man må altså heller ikke bruge et dansk firma, med data i Holland, fordi de bruger et amerikansk firma som databehandler. Man skal være grundig når man afsøger markedet!

  • more_vert
    • insert_linkKopier link
1
Kjeld Flarup Christensen
6. april 2021 kl. 10:58

Jeg tror den store overraskelse her er, at nyhedsbreve er omfattet af GDPR.

Umiddelbart vil jeg mene, at en risikovurdering hurtigt vil konkludere at indholdet ikke er et problem.

Men e-mailadresserne kan være et problem.

  • more_vert
    • insert_linkKopier link