Spring naar content

Het TCF wordt veel gebruikt op de Europese online advertentiemarkt. Organisaties gebruiken het systeem om cookies te plaatsen die persoonsgegevens verzamelen, die ingezet worden in het Real Time Bidding-proces. In 2019 werden bij meerdere Europese toezichthouders klachten ingediend tegen het TCF wegens schending van de AVG. De Belgische toezichthouder GBA startte daarop een onderzoek. Op basis van dat onderzoek heeft de GBA meerdere inbreuken op de AVG vastgesteld. Deze zijn grotendeels terug te voeren tot twee punten:

Punt 1: Verantwoordelijkheid

Het eerste punt is de verantwoordelijkheid voor het TCF. De GBA beschouwt IAB Europe als verwerkingsverantwoordelijke. De vereniging betwist dit en stelt zich op als verwerker. Daardoor is nooit voldaan aan de AVG-verplichtingen die bij een verwerkingsverantwoordelijke horen, zoals het hebben van een verwerkingenregister of het voldoen aan de informatieplicht.

Punt 2: TC-strings

Als tweede maakt het TCF gebruik van zogenoemde TC-strings. Deze strings bevatten gepseudonimiseerde informatie (een reeks van gecodeerde tekens) over de websitebezoeker die zijn toestemming wel of niet heeft gegeven via het systeem. De GBA onderscheidt daarin twee soorten verwerkingen:

  • a) het opslaan en verwerken van de toestemming/voorkeuren in de strings
  • b) het verzamelen en verspreiden van deze strings (en dus persoonsgegevens) aan organisaties die het TCF gebruiken.

De strings worden op zichzelf door de GBA gezien als een persoonsgegeven in de zin van de AVG. Daarom is er een grondslag nodig en moet er worden geïnformeerd over de verwerking onder a). IAB Europe voert aan dat het gerechtvaardigd belang van de organisaties die het TCF gebruiken als grondslag kan worden gezien. De GBA oordeelt echter dat een geldige grondslag mist, bij zowel de websitebezoekers die wel toestemming hebben gegeven als de bezoekers die dat niet hebben gedaan. Volgens de GBA zijn dus persoonsgegevens verwerkt zonder grondslag en moeten deze strings verwijderd worden.

Gevolgen voor TCF-gebruikers onduidelijk

Op basis van deze overtredingen heeft de GBA een boete van 250.000 euro opgelegd aan IAB Europe. Deze boete kan per dag verder oplopen met 5.000 euro als de vereniging niet binnen twee maanden een herstelplan voorlegt aan de toezichthouder. Vervolgens heeft IAB Europe nog 4 maanden om de gebreken te herstellen. In het herstelplan moet onder andere een geldige grondslag voor de verwerking van persoonsgegevens worden meegenomen. IAB Europe heeft zelf in een reactie laten weten aan de slag te gaan met het herstelplan.

Wat dit besluit precies betekent voor organisaties die het TCF gebruiken, is vooralsnog onduidelijk. Wij brengen de mogelijke gevolgen voor TCF-gebruikers op dit moment in kaart en houden je hiervan uiteraard op de hoogte.

Ben je lid en heb je een vraag? Stuur een mailtje naar legal@ddma.nl.

Romar van der Leij

Voormalig Legal counsel | DDMA

Ook interessant

Lees meer
ePrivacy Verordening |

DDMA Cookiebanner checklist: 6 tips om jouw cookiebanner helemaal compliant te maken

De Autoriteit Persoonsgegevens (AP) kondigde begin 2024 aan meer nadruk te leggen op de naleving van cookieregels. Wij krijgen hierdoor steeds meer de vraag van leden om hun cookiebanner te…
Lees meer
DDMA |

DDMA zoekt Legal Stagiaire

Als Legal Stagiaire bij DDMA werk je in het hart van de Nederlandse marketingwereld. Die wereld staat nooit stil en strekt zich uit van digitale advertenties tot influencermarketing en van…
Lees meer
AVG |

Franse toezichthouder CNIL treedt op tegen databroker Solocal: waar ligt de grens bij gebruik van klantdata?

Onlangs ontving de Franse databroker Solocal Marketing Services een boete van €900.000 van de Franse privacytoezichthouder CNIL. De reden hiervoor was onrechtmatige verwerking van miljoenen persoonsgegevens voor direct marketingdoeleinden, zonder…