Veelgebruikte cookiepop-ups van IAB zijn in strijd met de AVG

Veelgebruikte cookiepop-ups van IAB zijn in strijd met de AVG

De Belgische Gegevensbeschermingsautoriteit heeft op 2 februari 2022 geoordeeld dat het Transparency and Consent Framework (TCF) van IAB Europe om meerdere redenen niet aan de AVG voldoet.* De twee grootste problemen zijn dat IAB niet voldoende om toestemming heeft gevraagd voor de TC String en dat er niet voldoende werd geïnformeerd over wat er met de persoonsgegevens gebeurde. De uitspraak in België geldt voor heel Europa, omdat er onderlinge afspraken zijn gemaakt over de handhaving van grensoverschrijdende inbreuken. Wat houdt dit in?

Cookies voor advertenties

80% van de Europese websites zou de cookie pop-up van IAB gebruiken. Het systeem van IAB is onder meer gekoppeld aan een Real Time Bidding systeem, waarmee advertenties geplaatst kunnen worden op basis van gegevens van de websitebezoekers. De bezoekers krijgen daarmee specifiek op hen gerichte advertenties te zien.

De TC String is een persoonsgegeven

IAB Europe maakte gebruik van zogenaamde Transparency and Consent Strings, ofwel TC Strings. Dit is een reeks aan tekens, waarmee de voorkeuren van de websitebezoeker zijn opgeslagen en worden doorgegeven. Deze TC String en een cookie die geplaatst wordt, worden gekoppeld aan het IP-adres van de bezoeker. Daarmee is ook de TC String zelf een persoonsgegeven geworden.

Vergelijk het bijvoorbeeld met een kenteken. Het kenteken op zich zegt niet zoveel. Maar zodra je weet op wiens naam het staat, is dat kenteken ook een persoonsgegeven geworden. Het is dan niet meer alleen een cijfer, maar je weet bij wie het cijfer hoort.

Volgen IAB is een TC String geen persoonsgegeven, omdat het slechts een reeks tekens is. Daar denkt de Belgische Gegevensbeschermingsautoriteit dus anders over, vanwege de koppeling aan het IP-adres en een cookie.

Toestemming ontbreekt

Als persoonsgegevens worden verwerkt of verzamelde informatie, zoals voorkeuren, aan andere persoonsgegevens worden gekoppeld, is daar soms toestemming voor nodig.

IAB meende op basis van het gerechtvaardigd belang de persoonsgegevens te mogen verwerken. Soms is het inderdaad zo dat je een belangenafweging kunt maken, waarbij je de privacybelangen tegen de marketingbelangen afweegt. Soms is het verwerken van persoonsgegevens voor marketing op basis hiervan mogelijk.

Maar in dit geval worden er op grote schaal persoonsgegevens verwerkt, verrijkt en verder gedeeld met de adverteerders. Dat mag niet op basis van de grondslag gerechtvaardigd belang. Hier was toestemming voor nodig. Maar die is nooit gevraagd.

IAB informeerde niet voldoende

Bovendien informeerde IAB niet voldoende over de persoonsgegevens die werden verwerkt en met wie het allemaal gedeeld werd. Er werd enigszins informatie verstrekt, maar zo vaag dat een gemiddelde bezoeker hieruit niet kon begrijpen welke gegevens werden verwerkt en met wie het zou worden gedeeld of wat er verder met de gegevens zou gebeuren.

Al zou IAB dus om toestemming hebben gevraagd, dan was de informatievoorziening zo slecht, dat de toestemming alsnog niet geldig zou zijn.

Iedereen die van IAB gebruikmaakte, moet gegevens verwijderen

IAB kreeg een boete van €250.000 opgelegd en mag niet meer op deze manier werken. Hiertegen gaat IAB in beroep.

Maar in de tussentijd is het wel zo dat verzamelde gegevens door adverteerders die gebruik maakten van de IAB diensten, alle persoonsgegevens die ze hebben verwerkt, moeten vernietigen, omdat ze deze onrechtmatig hebben verkregen. Voorlopig kunnen websites geen gebruikmaken van de cookie pop-up van IAB.

* Nieuwsbericht: De GBA herstelt de orde in de online advertentie-industrie: IAB Europe wordt verantwoordelijk gehouden voor een mechanisme dat in strijd is met de AVG.

Blog