IAB Transparency and Consent Framework in strijd met AVG

Het TCF wordt veel gebruikt op de Europese online advertentiemarkt. Organisaties gebruiken het systeem om cookies te plaatsen die persoonsgegevens verzamelen, die ingezet worden in het Real Time Bidding-proces. In 2019 werden bij meerdere Europese toezichthouders klachten ingediend tegen het TCF wegens schending van de AVG. De Belgische toezichthouder GBA startte daarop een onderzoek. Op basis van dat onderzoek heeft de GBA meerdere inbreuken op de AVG vastgesteld. Deze zijn grotendeels terug te voeren tot twee punten:

Punt 1: Verantwoordelijkheid

Het eerste punt is de verantwoordelijkheid voor het TCF. De GBA beschouwt IAB Europe als verwerkingsverantwoordelijke. De vereniging betwist dit en stelt zich op als verwerker. Daardoor is nooit voldaan aan de AVG-verplichtingen die bij een verwerkingsverantwoordelijke horen, zoals het hebben van een verwerkingenregister of het voldoen aan de informatieplicht.

Punt 2: TC-strings

Als tweede maakt het TCF gebruik van zogenoemde TC-strings. Deze strings bevatten gepseudonimiseerde informatie (een reeks van gecodeerde tekens) over de websitebezoeker die zijn toestemming wel of niet heeft gegeven via het systeem. De GBA onderscheidt daarin twee soorten verwerkingen:

• a) het opslaan en verwerken van de toestemming/voorkeuren in de strings
• b) het verzamelen en verspreiden van deze strings (en dus persoonsgegevens) aan organisaties die het TCF gebruiken.

De strings worden op zichzelf door de GBA gezien als een persoonsgegeven in de zin van de AVG. Daarom is er een grondslag nodig en moet er worden geïnformeerd over de verwerking onder a). IAB Europe voert aan dat het gerechtvaardigd belang van de organisaties die het TCF gebruiken als grondslag kan worden gezien. De GBA oordeelt echter dat een geldige grondslag mist, bij zowel de websitebezoekers die wel toestemming hebben gegeven als de bezoekers die dat niet hebben gedaan. Volgens de GBA zijn dus persoonsgegevens verwerkt zonder grondslag en moeten deze strings verwijderd worden.

Gevolgen voor TCF-gebruikers onduidelijk

Op basis van deze overtredingen heeft de GBA een boete van 250.000 euro opgelegd aan IAB Europe. Deze boete kan per dag verder oplopen met 5.000 euro als de vereniging niet binnen twee maanden een herstelplan voorlegt aan de toezichthouder. Vervolgens heeft IAB Europe nog 4 maanden om de gebreken te herstellen. In het herstelplan moet onder andere een geldige grondslag voor de verwerking van persoonsgegevens worden meegenomen. IAB Europe heeft zelf in een reactie laten weten aan de slag te gaan met het herstelplan.

Wat dit besluit precies betekent voor organisaties die het TCF gebruiken, is vooralsnog onduidelijk. Wij brengen de mogelijke gevolgen voor TCF-gebruikers op dit moment in kaart en houden je hiervan uiteraard op de hoogte.

Ben je lid en heb je een vraag? Stuur een mailtje naar legal@ddma.nl.

Romar van der Leij

Voormalig Legal counsel | DDMA