Spoiler (zonder drama):

Mailchimp kan in de praktijk nog steeds werken, maar “juridisch waterdicht” is het in 2026 simpelweg lastig zolang je met een Amerikaans platform werkt óók als je je best doet met SCC’s, DPF en documentatie.

Wat staat er in peto?

• De kern van het probleem: Mailchimp is een Amerikaans bedrijf
• Wat heeft Mailchimp gedaan om AVG-compliant te zijn?
• Wat zegt de Autoriteit Persoonsgegevens (AP)?
• Het tracking-pixel probleem
• Wat zijn de risico’s als je Mailchimp gebruikt?
• Wat kun je doen om het risico te verkleinen?
• Conclusie: Is Mailchimp nog AVG-proof in 2026?

De kern van het probleem: Mailchimp is een Amerikaans bedrijf

Mailchimp is eigendom van Intuit, een Amerikaans bedrijf. Dat betekent dat persoonsgegevens van jouw nieuwsbriefabonnees mogelijk worden opgeslagen en verwerkt op servers in de Verenigde Staten. En daar begint het AVG-probleem.

En ja: dit onderwerp wordt vaak gezocht als “Mailchimp AVG”, “Mailchimp GDPR” of “is Mailchimp AVG-proof?” precies omdat compliance en e-mailmarketing hier botsen.

Waarom is dat een probleem?

De AVG (Algemene Verordening Gegevensbescherming) stelt strenge eisen aan het doorsturen van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER). De VS heeft namelijk andere privacywetten dan de EU. Amerikaanse wetgeving zoals FISA 702 en de Cloud Act geven Amerikaanse autoriteiten vergaande bevoegdheden om toegang te krijgen tot data van niet-Amerikanen, ook als die data op Europese servers staat – zolang het bedrijf maar Amerikaans is.

In juli 2020 haalde het Hof van Justitie van de Europese Unie een streep door het Privacy Shield, het mechanisme dat datatransfers naar de VS mogelijk maakte. Dit gebeurde in de beroemde Schrems II-uitspraak (Case C-311/18) [Bron: CJEU Schrems II Ruling]. De reden? FISA 702 en de Cloud Act geven Amerikaanse autoriteiten te veel macht, waardoor EU-burgers onvoldoende bescherming genieten.

De situatie is in 2026 nog precairder geworden. In december 2025 waarschuwde NOYB, de privacyorganisatie van Max Schrems, dat het huidige Data Privacy Framework (de opvolger van Privacy Shield) onder ernstige druk staat. De Amerikaanse Supreme Court behandelde in december 2025 de zaak Trump v. Slaughter, waarin de onafhankelijkheid van de Federal Trade Commission (FTC) ter discussie staat. De FTC is een belangrijk onderdeel van de toezichtmechanismen waarop de Europese Commissie vertrouwde bij het goedkeuren van het Data Privacy Framework. Juridische experts verwachten breed dat het conservatieve Supreme Court in juni of juli 2026 zal beslissen dat de FTC niet onafhankelijk genoeg is, wat een fundamentele pijler onder het framework wegslaat [Bron: NOYB, December 2025].

Wat heeft Mailchimp gedaan om AVG-compliant te zijn?

Mailchimp heeft verschillende stappen gezet om aan de AVG te voldoen:

1. Standard Contractual Clauses (SCC’s)

Mailchimp gebruikt Standard Contractual Clauses (SCC’s), een door de Europese Commissie goedgekeurd contractueel mechanisme voor datatransfers naar landen buiten de EU. Deze clausules leggen contractueel vast dat de ontvanger van de data zich aan EU-privacynormen houdt.

Maar: SCC’s alleen zijn niet genoeg. Na Schrems II moet je als organisatie een Transfer Impact Assessment (TIA) uitvoeren om te beoordelen of de wetgeving in het land van bestemming (in dit geval de VS) de bescherming die de SCC’s bieden niet ondermijnt. De Autoriteit Persoonsgegevens en de European Data Protection Board (EDPB) zijn hier glashelder over: als je persoonsgegevens van EU-burgers naar de VS stuurt, moet je aanvullende maatregelen treffen bovenop SCC’s [Bron: EDPB Recommendations 01/2020].

Praktische vertaalslag: je TIA is niet “een vinkje”, maar een onderbouwing waarom je denkt dat het verantwoord is inclusief eventuele extra maatregelen (encryptie, minimale data, beperking van tracking, etc.)

2. Data Privacy Framework (DPF)

In 2023 is het Data Privacy Framework geïntroduceerd als opvolger van Privacy Shield. Mailchimp heeft zich aangesloten bij dit framework, wat in theorie een juridische basis biedt voor datatransfers naar de VS [Bron: Data Privacy Framework List].

Maar: Het Data Privacy Framework staat onder aanhoudende juridische druk. Hoewel het framework in september 2025 zijn eerste juridische uitdaging overleefde toen het Europese Gerecht de zaak van Franse parlementariër Philippe Latombe afwees, is de strijd nog niet voorbij. Op 29 oktober 2025 kondigde Latombe aan dat hij in beroep gaat bij het Hof van Justitie van de Europese Unie (CJEU), de hoogste rechter van de EU. Dit betekent dat het framework in 2026-2027 opnieuw onder de loep wordt genomen door dezelfde rechtbank die Privacy Shield in 2020 ongeldig verklaarde [Bron: Euractiv, October 2025].

Daarnaast heeft Max Schrems, de privacyactivist achter de Schrems II-uitspraak, herhaaldelijk aangegeven dat het Data Privacy Framework dezelfde fundamentele problemen heeft als Privacy Shield. Hoewel Schrems in maart 2025 suggereerde dat hij mogelijk geen nieuwe rechtszaak hoeft aan te spannen omdat andere partijen dit al doen, blijft de kans groot dat het framework opnieuw wordt aangevochten en mogelijk ongeldig wordt verklaard.

Zoals eerder genoemd, komt daar nu de dreiging van de Trump v. Slaughter zaak bij. Als de Supreme Court in 2026 oordeelt dat de FTC niet onafhankelijk genoeg is, verliest het Data Privacy Framework een van zijn belangrijkste juridische fundamenten. Dit zou kunnen leiden tot een snelle ineenstorting van het framework, nog voordat het CJEU een definitief oordeel velt.

3. Subverwerkers

Mailchimp werkt met meerdere subverwerkers wereldwijd. Deze subverwerkers hebben toegang tot jouw data voor specifieke doeleinden (bijvoorbeeld hosting, analytics, klantenservice). Mailchimp publiceert een lijst van subverwerkers, maar niet al deze partijen zijn Europees [Bron: Mailchimp Subprocessors].

Het risico: Elke subverwerker die in de VS of een ander land buiten de EU opereert, creëert een extra risico voor datatransfers. Je bent als verwerkingsverantwoordelijke verantwoordelijk voor de hele verwerkingsketen.

Wat zegt de Autoriteit Persoonsgegevens (AP)?

De Nederlandse Autoriteit Persoonsgegevens heeft zich de afgelopen jaren steeds kritischer uitgelaten over het gebruik van Amerikaanse cloudplatforms en diensten.

De AP heeft in 2026 ook meer middelen om handhavend op te treden. In september 2025 werd bekend dat de AP voor 2026 een budget van €53,5 miljoen krijgt, een stijging van ruim €4 miljoen ten opzichte van 2025. Hoewel de AP zelf aangeeft dat dit, gecorrigeerd voor inflatie en nieuwe taken zoals handhaving van de AI Act, feitelijk een reële budgetdaling betekent, laat de verhoging wel zien dat gegevensbescherming een prioriteit blijft voor de Nederlandse overheid [Bron: Tweakers, September 2025].

De AP kan boetes opleggen tot 4% van je wereldwijde jaaromzet of 20 miljoen euro, wat het hoogste is. En ze doen dat ook: volgens de GDPR Enforcement Tracker hebben EU-toezichthouders tot januari 2026 in totaal €6,79 miljard aan GDPR-boetes opgelegd, verspreid over 2.731 handhavingsacties. Nederland staat op de vierde plaats in de EU met €353 miljoen aan opgelegde boetes in 32 zaken. De meest voorkomende overtredingen waarvoor boetes worden opgelegd zijn: onvoldoende rechtsgrondslag voor gegevensverwerking (€3,01 miljard), niet-naleving van algemene verwerkingsprincipes (€2,52 miljard), en onvoldoende technische en organisatorische beveiligingsmaatregelen (€928 miljoen) [Bron: GDPR Enforcement Tracker, January 2026].

In het post-Schrems II tijdperk zijn we meerdere collectieve acties en klachten gezien tegen organisaties die data naar de VS sturen zonder adequate waarborgen. NOYB heeft bijvoorbeeld honderden klachten ingediend tegen websites die Google Analytics gebruiken, wat heeft geleid tot uitspraken van toezichthouders in meerdere EU-landen.

Het tracking-pixel probleem

Naast de kwestie van datatransfers naar de VS is er nog een ander AVG-probleem met Mailchimp: tracking pixels.

Wat zijn tracking pixels?

Mailchimp plaatst standaard onzichtbare tracking pixels in je e-mails. Deze pixels registreren:

• Of een e-mail is geopend
• Wanneer deze is geopend
• Op welk apparaat
• Waar de ontvanger zich bevond (via IP-adres)

Deze gegevens worden naar Mailchimp gestuurd en verwerkt, vaak zonder dat de ontvanger hier expliciet toestemming voor heeft gegeven.

Waarom is dat een probleem?

De ePrivacy Richtlijn (de cookiewet) is hier kristalhelder: voor het plaatsen van tracking-technologie heb je vooraf toestemming nodig. Dit geldt ook voor tracking pixels in e-mails.

De Franse privacytoezichthouder CNIL heeft in juni 2025 een publieke consultatie gelanceerd over conceptrichtlijnen die nog strenger zijn. De CNIL stelt voor dat organisaties dubbele toestemming moeten vragen voor e-mailtracking: één toestemming voor het ontvangen van marketinge-mails (artikel 13 ePrivacy Richtlijn) en een aparte, expliciete toestemming voor tracking pixels (artikel 5.3 ePrivacy Richtlijn). Nog opmerkelijker: de CNIL stelt voor dat wanneer gebruikers hun toestemming intrekken, tracking pixels onmiddellijk server-side moeten worden uitgeschakeld, zelfs in eerder verstuurde e-mails. Dit zou het intrekken van toestemming effectief transformeren in een recht op gegevenswissing. De consultatie sloot op 24 juli 2025 en definitieve richtlijnen worden in 2026 verwacht [Bron: Hogan Lovells, June 2025].

De Autoriteit Persoonsgegevens heeft meerdere organisaties gewaarschuwd en beboet voor tracking zonder toestemming. Hoewel de AP zich tot nu toe vooral heeft gericht op website-tracking (cookies), is de juridische logica identiek voor e-mailtracking.

Het probleem met Mailchimp: Mailchimp activeert tracking pixels standaard. Veel gebruikers weten niet eens dat dit gebeurt, laat staan dat ze hun ontvangers om toestemming vragen. En zelfs als je tracking uitschakelt in Mailchimp, blijft Mailchimp zelf bepaalde metadata verzamelen.

Tip (minimale frictie): als je tracking (tijdelijk) uitzet, blijf je nog steeds “gewoon” mailen je verliest alleen een deel van je meetbaarheid. Voor veel organisaties is dat een prima trade-off zolang de juridische status van tracking en internationale transfers zo beweeglijk is.

Wat zijn de risico’s als je Mailchimp gebruikt?

Als je Mailchimp gebruikt zonder aanvullende maatregelen, loop je verschillende risico’s:

1. Boete van de AP

De AP kan een boete opleggen als blijkt dat je:

• Persoonsgegevens naar de VS stuurt zonder adequate waarborgen
• Tracking pixels gebruikt zonder toestemming
• Geen deugdelijke verwerkersovereenkomst hebt
• Geen Transfer Impact Assessment hebt uitgevoerd

Met een totaal van €6,79 miljard aan GDPR-boetes in de EU tot januari 2026, en Nederland op de vierde plaats met €353 miljoen aan opgelegde boetes, is duidelijk dat toezichthouders actief handhaven. De kans op een boete is reëel, vooral nu de AP meer budget heeft gekregen voor 2026.

2. Schadeclaims van betrokkenen

Onder de AVG hebben betrokkenen (je nieuwsbriefabonnees) het recht om schadevergoeding te eisen als hun persoonsgegevens onrechtmatig zijn verwerkt. In het post-Schrems II tijdperk zijn we collectieve acties gezien tegen organisaties die data naar de VS sturen. Denk aan de massale klachten tegen Google Analytics-gebruikers.

3. Reputatieschade

Een datalek of AVG-overtreding kan je reputatie ernstig schaden. Klanten en relaties verwachten dat je zorgvuldig omgaat met hun persoonsgegevens.

4. Juridische onzekerheid

Het Data Privacy Framework staat onder aanhoudende juridische druk. Philippe Latombe heeft beroep aangetekend bij het CJEU, en de Trump v. Slaughter zaak bij de Amerikaanse Supreme Court kan in 2026 een fundamentele pijler onder het framework wegslaan. Als het framework ongeldig wordt verklaard, zoals gebeurde met Safe Harbor (2015) en Privacy Shield (2020),  sta je opnieuw voor de vraag: mag ik Mailchimp nog gebruiken?

Wat kun je doen om het risico te verkleinen?

Als je Mailchimp wilt blijven gebruiken, zijn er stappen die je kunt nemen om het AVG-risico te verkleinen (maar niet volledig weg te nemen):

1. Voer een Transfer Impact Assessment (TIA) uit

Beoordeel of de datatransfer naar de VS voldoende waarborgen biedt. Documenteer je bevindingen. De EDPB heeft hiervoor richtlijnen gepubliceerd [Bron: EDPB Recommendations 01/2020].

2. Schakel tracking pixels uit

Zet tracking uit in Mailchimp, of vraag expliciet toestemming aan je ontvangers voordat je tracking activeert. Let op: als de CNIL-richtlijnen in 2026 definitief worden en andere EU-landen dit voorbeeld volgen, moet je mogelijk dubbele toestemming vragen en server-side uitschakelmechanismen implementeren.

3. Minimaliseer dataverzameling

Verzamel alleen de persoonsgegevens die echt nodig zijn. Hoe minder data je naar de VS stuurt, hoe kleiner het risico.

4. Sluit een verwerkersovereenkomst

Zorg dat je een Data Processing Addendum (DPA) met Mailchimp hebt afgesloten. Mailchimp biedt dit aan [Bron: Mailchimp DPA].

5. Informeer je ontvangers

Wees transparant in je privacyverklaring over het feit dat je Mailchimp gebruikt en dat data mogelijk naar de VS gaat.

6. Overweeg Europese alternatieven

Er zijn inmiddels diverse Europese e-mailmarketingplatforms die data binnen de EU houden, zoals:

• Maileon (Duitsland, met een Nederland’s team)
• Brevo (voorheen Sendinblue, Frankrijk)
• Laposta (Nederland)
• Flexmail (België)

Deze platforms bieden vergelijkbare functionaliteit, maar zonder het juridische risico van transatlantische datatransfers.

Wil je hier vooral een oplossing die schaalbare marketing automation combineert met EU-dataopslag en een duidelijke privacy-aanpak? Dan is het logisch om ook even te kijken naar Maileon als Europees alternatief.

Conclusie: Is Mailchimp nog AVG-proof in 2026?

Het eerlijke antwoord: Mailchimp is juridisch gezien niet waterdicht AVG-proof in 2026.

Hoewel Mailchimp stappen heeft gezet (SCC’s, Data Privacy Framework, DPA), blijven er aanzienlijke risico’s:

1. Het Data Privacy Framework staat onder aanhoudende juridische druk, met een lopend beroep bij het CJEU en de dreiging van de Trump v. Slaughter zaak bij de Amerikaanse Supreme Court die in 2026 een fundamentele pijler kan wegslaan.
2. Amerikaanse wetgeving (FISA 702, Cloud Act) geeft autoriteiten vergaande toegang tot data.
3. Tracking pixels vereisen expliciete toestemming, en de CNIL stelt in 2026 mogelijk nog strengere eisen zoals dubbele toestemming en server-side uitschakelmechanismen.
4. De AP heeft in 2026 een verhoogd budget van €53,5 miljoen en EU-toezichthouders hebben tot januari 2026 al €6,79 miljard aan GDPR-boetes opgelegd – handhaving is een reële dreiging.

Ons advies:

• Als je Mailchimp gebruikt, neem dan minimaal de bovenstaande maatregelen (TIA, tracking uit, DPA, transparantie).
• Overweeg serieus om over te stappen naar een Europees alternatief. Dit elimineert het risico van transatlantische datatransfers volledig.
• Blijf de juridische ontwikkelingen volgen. Met de verwachte Supreme Court-uitspraak in juni/juli 2026 en het lopende CJEU-beroep kan de situatie snel veranderen.

De realiteit is: zolang Mailchimp een Amerikaans bedrijf blijft en Amerikaanse wetgeving niet fundamenteel verandert, blijft er een juridisch grijs gebied. En in dat grijze gebied loop je risico’s – risico’s die je als organisatie bewust moet afwegen.

Wil je helemaal zeker zijn? Kies dan voor een Europees platform. Wil je Mailchimp blijven gebruiken? Neem dan de nodige maatregelen en documenteer je keuzes zorgvuldig.

De keuze is aan jou – maar maak hem weloverwogen.