De Belgische Gegevensbeschermingsautoriteit (GBA) oordeelde dat het Transparency en Consent Framework (TCF) niet voldoet aan de Algemene verordening gegevensbescherming (AVG). Dit framework, dat is ontwikkeld door Interactive Advertising Bureau Europe (IAB Europe), is een mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt.
De GBA heeft IAB Europe hiervoor een boete van 250.000 euro opgelegd. Ook heeft het bedrijf twee maanden de tijd om een actieplan ter verbetering voor te leggen.
De GBA heeft sinds 2019 klachten ontvangen over IAB Europe. Uit de klachten kwam naar voren dat het TCF niet overeenkomt met de AVG. Op 2 februari heeft de Belgische tegenhanger van de Autoriteit Persoonsgegevens het vonnis uitgesproken dat de klachten gegrond waren. De beslissing wordt gesteund door alle andere betrokken AVG-autoriteiten, die bijna alle 30 landen in de Europese Unie vertegenwoordigen.
David Stevens, voorzitter van de GBA, is trots: “Het dappere kleine België heeft weer eens laten zien dat het niet bang is om belangrijke zaken aan te pakken, zoals deze, die echt alle Europese burgers aangaat die online winkelen, werken of spelen. Online privacy en de strijd tegen al te opdringerige vormen van adverteren is voor ons een belangrijke prioriteit.”
Het probleem van cookie-toestemmingen
Het TCF van IAB Europe is bedoeld om het naleven van de AVG te vergemakkelijken. Het is specifiek bedoeld voor organisaties die gebruikmaken van het OpenRTB-protocol. Dit is een van de meest gebruikte protocollen voor ‘Real Time Bidding’, voor het verkopen van advertentieruimte. Kort gezegd is Real Time Bidding een ogenblikkelijke, geautomatiseerde veiling van gebruikersprofielen. Als een website adertentieruimte bevat, kunnen adverteerders constant bieden op deze ruimte via het veilingsysteem.
Voor gerichte advertenties is het nodig om een gebruikersprofiel van de bezoeker te hebben. Dit profiel wordt onder andere door middel van cookies opgemaakt. Toestemming voor het plaatsen van cookies geef (of weiger) je in die bekende pop-ups. Deze heten Consent Management Platformen (CMP’s). Binnen deze platformen komt het TCF in beeld.
Het TCF vergemakkelijkt het vastleggen van de gebruikersvoorkeuren via het CMP. De voorkeuren, bijvoorbeeld dat je advertentiecookies weigert, worden opgeslagen in een TC-string. Deze string wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem. Daarnaast plaatst het CMP een cookie op het apparaat van de websitebezoeker. Deze euconsent-v2 cookie wordt samen met de TC-string gekoppeld aan je IP-adres. Zo kunnen je voorkeuren direct naar jou herleid worden.
Inbreuk op de AVG
Het TCF speelt een sleutelrol in het OpenRTB-systeem, omdat het de voorkeuren weergeeft die je kunt kiezen. De GBA is dan ook van oordeel geweest dat IAB Europe de verwerkingsverantwoordelijke is als het gaat om de registratie van toestemmingen. Dit proces verliep echter niet volgens de wetgeving van de AVG. De volgende inbreuken op de wet zijn vastgesteld:
- Rechtmatigheid. IAB Europe heeft geen rechtsgrond voor de verwerking van de TC-string vastgesteld. De rechtsgronden voor de verdere verwerking door adtech-verkopers zijn bovendien ontoereikend.
- Transparantie en informatie van de gebruikers. De informatie in de CMP-interfaces zijn te algemeen en te vaag om te begrijpen. Gebruikers kunnen hierdoor niet goed controle houden op hun persoonsgegevens.
- Verantwoordingsplicht, beveiliging en gegevensbescherming door ontwerp en door standaardinstellingen. IAB Europe heeft onvoldoende organisatorische en technische maatregelen getroffen om persoonsgegevens te beschermen. Ook is het nauwelijks mogelijk om de rechten van gebruikers te waarborgen en te controleren.
- Andere verplichtingen van de verwerkingsverantwoordelijke die op grote schaal persoonsgegevens verwerkt. IAB Europe heeft geen register van verwerkingsactiviteiten bijgehouden, geen Data Protector Officer aangewezen en geen gegevensbeschermingseffectbeoordeling uitgevoerd.
