Spring naar content

Het TCF wordt veel gebruikt op de Europese online advertentiemarkt. Organisaties gebruiken het systeem om cookies te plaatsen die persoonsgegevens verzamelen, die ingezet worden in het Real Time Bidding-proces. In 2019 werden bij meerdere Europese toezichthouders klachten ingediend tegen het TCF wegens schending van de AVG. De Belgische toezichthouder GBA startte daarop een onderzoek. Op basis van dat onderzoek heeft de GBA meerdere inbreuken op de AVG vastgesteld. Deze zijn grotendeels terug te voeren tot twee punten:

Punt 1: Verantwoordelijkheid

Het eerste punt is de verantwoordelijkheid voor het TCF. De GBA beschouwt IAB Europe als verwerkingsverantwoordelijke. De vereniging betwist dit en stelt zich op als verwerker. Daardoor is nooit voldaan aan de AVG-verplichtingen die bij een verwerkingsverantwoordelijke horen, zoals het hebben van een verwerkingenregister of het voldoen aan de informatieplicht.

Punt 2: TC-strings

Als tweede maakt het TCF gebruik van zogenoemde TC-strings. Deze strings bevatten gepseudonimiseerde informatie (een reeks van gecodeerde tekens) over de websitebezoeker die zijn toestemming wel of niet heeft gegeven via het systeem. De GBA onderscheidt daarin twee soorten verwerkingen:

  • a) het opslaan en verwerken van de toestemming/voorkeuren in de strings
  • b) het verzamelen en verspreiden van deze strings (en dus persoonsgegevens) aan organisaties die het TCF gebruiken.

De strings worden op zichzelf door de GBA gezien als een persoonsgegeven in de zin van de AVG. Daarom is er een grondslag nodig en moet er worden geïnformeerd over de verwerking onder a). IAB Europe voert aan dat het gerechtvaardigd belang van de organisaties die het TCF gebruiken als grondslag kan worden gezien. De GBA oordeelt echter dat een geldige grondslag mist, bij zowel de websitebezoekers die wel toestemming hebben gegeven als de bezoekers die dat niet hebben gedaan. Volgens de GBA zijn dus persoonsgegevens verwerkt zonder grondslag en moeten deze strings verwijderd worden.

Gevolgen voor TCF-gebruikers onduidelijk

Op basis van deze overtredingen heeft de GBA een boete van 250.000 euro opgelegd aan IAB Europe. Deze boete kan per dag verder oplopen met 5.000 euro als de vereniging niet binnen twee maanden een herstelplan voorlegt aan de toezichthouder. Vervolgens heeft IAB Europe nog 4 maanden om de gebreken te herstellen. In het herstelplan moet onder andere een geldige grondslag voor de verwerking van persoonsgegevens worden meegenomen. IAB Europe heeft zelf in een reactie laten weten aan de slag te gaan met het herstelplan.

Wat dit besluit precies betekent voor organisaties die het TCF gebruiken, is vooralsnog onduidelijk. Wij brengen de mogelijke gevolgen voor TCF-gebruikers op dit moment in kaart en houden je hiervan uiteraard op de hoogte.

Ben je lid en heb je een vraag? Stuur een mailtje naar legal@ddma.nl.

Romar van der Leij

Legal counsel

Ook interessant

Lees meer
Conversion Rate Optimisation |

Dark patterns – wat mag wel en niet volgens de EDPB

De European Data Protection Board (EDPB – koepel van alle Europese privacytoezichthouders) heeft nieuwe guidelines vastgesteld over het herkennen en vermijden van dark patterns op sociale media. De guideline is…
Lees meer
Legal |

Europees akkoord op nieuwe regels voor digitale diensten

In de nacht van vrijdag 23 op zaterdag 24 april hebben de Europese instellingen (wederom) bewezen dat niet alle wetgevingsprocessen langdurig zijn. Rond de klok van twee is er namelijk…
Lees meer
Legal |

Striktere regels voor onlinemarktplaatsen, gebruikersreviews en gepersonaliseerde prijzen

Het (online) consumentenrecht verandert per 28 mei 2022. Vanaf die datum is de Moderniseringsrichtlijn van toepassing. De richtlijn introduceert allerlei nieuwe consumentenregels waar bedrijven rekening mee moeten houden. Voor online…