24/02/22 Een tijd geleden schreef Julia een blog over websites die een boete riskeerden als zij hun privacyonvriendelijke cookiebanners niet zouden aanpassen om zo aan de privacywetgeving te voldoen. Nu, bijna een jaar later, heeft de Belgische Gegevensbeschermingsautoriteit (GBA) een boete op gelegd van maar liefst 250.000 euro aan IAB Europe (IAB). IAB is de brancheorganisatie van digitale adverteerders die met haar Transparency & Consent Framework (TCF) de AVG overtreedt, althans volgens de GBA. Deze boete kan grote gevolgen hebben voor de manier waarop websites gebruik maken van cookies voor gerichte online marketing en reclame. Maar liefst 80% van de Europese websites gebruikt namelijk het TCF als cookie pop-up op hun websites.
Wat is er aan de hand met het TCF?
Het TCF bestaat uit een pop-up die verschijnt zodra een internetgebruiker voor het eerst een website of applicatie bezoekt. Via deze pop-up kan een gebruiker toestemming geven voor (of bezwaar maken tegen) het gebruik van cookies. Door middel van deze cookies kunnen uitgebreide profielen en voorkeuren van websitebezoekers worden verzameld en opgebouwd. Alhoewel de gemiddelde gebruiker alle cookiebanners het liefst meteen accepteert om er maar vanaf te zijn, is het toch erg belangrijk dat men begrijpt wat er met hun persoonsgegevens gebeurt zodra zij via TCF hun toestemming of voorkeuren doorgeven.
Real Time Bidding
Dat de gevolgen van toestemming moeilijk zijn te overzien komt met name doordat het een behoorlijk technisch systeem is dat achter het Framework schuilgaat. De voorkeuren die gebruikers via het TCF vastleggen worden namelijk gebruikt voor Real Time Bidding. Bij dit systeem worden gebruiksprofielen van internetgebruikers geveild om gepersonaliseerde advertentieruimtes in ‘’real time’’ te verkopen aan online adverteerders. Dus zodra u op een website komt en uw profiel goed past bij de reclame die een adverteerder wil laten zien, zal hij ‘achter de schermen’ via een tussenpersoon bieden op de advertentieruimte en tadaa, daar zijn de Nike schoenen die u al een tijdje wilt (of al lang hebt gekocht).
Adverteerders weten uw voorkeuren omdat deze in een zogenoemde ‘TC String’ zijn opgeslagen en gedeeld met alle bij het IAB aangesloten organisaties. Door middel van een cookie die door het CMP op de computers van gebruikers werd geplaatst konden bovendien de IP-adressen van gebruikers gekoppeld worden aan hun voorkeuren, wat deze gebruikers identificeerbaar maakte. Dit zorgt ervoor dat de verwerkte gegevens gekwalificeerd kunnen worden als persoonsgegevens onder de AVG.
GBA doet uitspraak
Op verschillende punten acht de GBA bovengenoemd proces niet in overeenstemming met de AVG. Zo oordeelt de GBA dat de informatie in de pop-up die duidelijkheid moet scheppen te algemeen en te vaag is waardoor de gevolgen voor de gebruiker moeilijk zijn te overzien. Daarnaast oordeelt de GBA nu, anders dan IAB, dat het TCF een sleutelrol speelt in de architectuur van het Real Time Bidding-systeem waardoor IAB volgens de GBA gezien moet worden als verwerkingsverantwoordelijke voor het verwerken en delen van de TC String. Als verwerkingsverantwoordelijke zou IAB aan alle verplichtingen moeten voldoen die de AVG aan deze rol toekent, zoals het bijhouden van een verwerkingsregister, het doen van een DPIA en het hebben van een DPO. Aan deze verplichtingen voldoet het IAB nu niet. Ook zou IAB geen geldige rechtsgrond hebben vastgesteld voor het verwerken en delen van de voorkeuren van gebruikers via de TC String.
Voor bovengenoemde inbreuken heeft IAB naast een flinke administratieve boete twee maanden gekregen om met een herstelplan voor de dag te komen. Zij krijgen vervolgens zes maanden om hun voorgenomen maatregelen te implementeren.
Autoriteit Persoonsgegevens adviseert te stoppen met gebruik TCF
De Autoriteit Persoonsgegevens gaat een stap verder en adviseert websites direct te stoppen met het gebruik van het TCF en een alternatief te zoeken. De toezichthouder gaf in het Financieel Dagblad aan dat het maar de vraag is of andere systemen die gebruikers volgen en deze data doorverkopen wel aan de AVG zullen voldoen. Tot op heden is er op de website van de Autoriteit nog geen formeel standpunt ingenomen.
IAB is tegen het oordeel van de GBA in beroep gegaan en vraagt aan Europese toezichthouders om niet te handhaven totdat er een definitief oordeel ligt over het TCF. Dat dit verhaal een staartje krijgt is dus zeker. Wilt u weten of uw cookie pop-up voldoet aan de vereisten van de AVG? Neem contact op met legal consultant Julia Buhrs!
Meer weten?
Benieuwd wat de Data Act voor positieve/ negatieve impact heeft op uw organisatie en wat de mogelijkheden zijn om invloed uit te oefenen op het wetgevingsproces? Neem dan gerust contact met ons op via onderstaand formulier.