Spring naar content

Het TCF wordt veel gebruikt op de Europese online advertentiemarkt. Organisaties gebruiken het systeem om cookies te plaatsen die persoonsgegevens verzamelen, die ingezet worden in het Real Time Bidding-proces. In 2019 werden bij meerdere Europese toezichthouders klachten ingediend tegen het TCF wegens schending van de AVG. De Belgische toezichthouder GBA startte daarop een onderzoek. Op basis van dat onderzoek heeft de GBA meerdere inbreuken op de AVG vastgesteld. Deze zijn grotendeels terug te voeren tot twee punten:

Punt 1: Verantwoordelijkheid

Het eerste punt is de verantwoordelijkheid voor het TCF. De GBA beschouwt IAB Europe als verwerkingsverantwoordelijke. De vereniging betwist dit en stelt zich op als verwerker. Daardoor is nooit voldaan aan de AVG-verplichtingen die bij een verwerkingsverantwoordelijke horen, zoals het hebben van een verwerkingenregister of het voldoen aan de informatieplicht.

Punt 2: TC-strings

Als tweede maakt het TCF gebruik van zogenoemde TC-strings. Deze strings bevatten gepseudonimiseerde informatie (een reeks van gecodeerde tekens) over de websitebezoeker die zijn toestemming wel of niet heeft gegeven via het systeem. De GBA onderscheidt daarin twee soorten verwerkingen:

  • a) het opslaan en verwerken van de toestemming/voorkeuren in de strings
  • b) het verzamelen en verspreiden van deze strings (en dus persoonsgegevens) aan organisaties die het TCF gebruiken.

De strings worden op zichzelf door de GBA gezien als een persoonsgegeven in de zin van de AVG. Daarom is er een grondslag nodig en moet er worden geïnformeerd over de verwerking onder a). IAB Europe voert aan dat het gerechtvaardigd belang van de organisaties die het TCF gebruiken als grondslag kan worden gezien. De GBA oordeelt echter dat een geldige grondslag mist, bij zowel de websitebezoekers die wel toestemming hebben gegeven als de bezoekers die dat niet hebben gedaan. Volgens de GBA zijn dus persoonsgegevens verwerkt zonder grondslag en moeten deze strings verwijderd worden.

Gevolgen voor TCF-gebruikers onduidelijk

Op basis van deze overtredingen heeft de GBA een boete van 250.000 euro opgelegd aan IAB Europe. Deze boete kan per dag verder oplopen met 5.000 euro als de vereniging niet binnen twee maanden een herstelplan voorlegt aan de toezichthouder. Vervolgens heeft IAB Europe nog 4 maanden om de gebreken te herstellen. In het herstelplan moet onder andere een geldige grondslag voor de verwerking van persoonsgegevens worden meegenomen. IAB Europe heeft zelf in een reactie laten weten aan de slag te gaan met het herstelplan.

Wat dit besluit precies betekent voor organisaties die het TCF gebruiken, is vooralsnog onduidelijk. Wij brengen de mogelijke gevolgen voor TCF-gebruikers op dit moment in kaart en houden je hiervan uiteraard op de hoogte.

Ben je lid en heb je een vraag? Stuur een mailtje naar legal@ddma.nl.

Romar van der Leij

Voormalig Legal counsel | DDMA

Ook interessant

Lees meer
AI Act |

AI & Cookies: Wat mag volgens de cookiebepaling?

Als online marketeer werk je dagelijks met klantdata en trackingtechnologie. Wat veel professionals zich niet realiseren: AI speelt hier een steeds grotere, vaak onzichtbare rol – van 360°-klantprofielen tot lookalike…
Lees meer
AI Act |

AI & Auteursrecht: prompts, input en output – wie heeft de rechten?

“Schrijf een LinkedIn-post alsof een B2B-copywriter het heeft geschreven voor managers van middelgrote bedrijven over onze nieuwe dienst” – deze prompt behoort volgens ChatGPT tot de meest gebruikte prompts door…
Lees meer
AI Act |

AI & Privacy: datagebruik volgens de AI Act en de AVG

Werk je als marketeer met AI, dan krijg je te maken met twee wetten: de nieuwe AI Act en de vertrouwde AVG. Beide zijn bedoeld om mensen te beschermen, maar…