Spring naar content

Het TCF wordt veel gebruikt op de Europese online advertentiemarkt. Organisaties gebruiken het systeem om cookies te plaatsen die persoonsgegevens verzamelen, die ingezet worden in het Real Time Bidding-proces. In 2019 werden bij meerdere Europese toezichthouders klachten ingediend tegen het TCF wegens schending van de AVG. De Belgische toezichthouder GBA startte daarop een onderzoek. Op basis van dat onderzoek heeft de GBA meerdere inbreuken op de AVG vastgesteld. Deze zijn grotendeels terug te voeren tot twee punten:

Punt 1: Verantwoordelijkheid

Het eerste punt is de verantwoordelijkheid voor het TCF. De GBA beschouwt IAB Europe als verwerkingsverantwoordelijke. De vereniging betwist dit en stelt zich op als verwerker. Daardoor is nooit voldaan aan de AVG-verplichtingen die bij een verwerkingsverantwoordelijke horen, zoals het hebben van een verwerkingenregister of het voldoen aan de informatieplicht.

Punt 2: TC-strings

Als tweede maakt het TCF gebruik van zogenoemde TC-strings. Deze strings bevatten gepseudonimiseerde informatie (een reeks van gecodeerde tekens) over de websitebezoeker die zijn toestemming wel of niet heeft gegeven via het systeem. De GBA onderscheidt daarin twee soorten verwerkingen:

  • a) het opslaan en verwerken van de toestemming/voorkeuren in de strings
  • b) het verzamelen en verspreiden van deze strings (en dus persoonsgegevens) aan organisaties die het TCF gebruiken.

De strings worden op zichzelf door de GBA gezien als een persoonsgegeven in de zin van de AVG. Daarom is er een grondslag nodig en moet er worden geïnformeerd over de verwerking onder a). IAB Europe voert aan dat het gerechtvaardigd belang van de organisaties die het TCF gebruiken als grondslag kan worden gezien. De GBA oordeelt echter dat een geldige grondslag mist, bij zowel de websitebezoekers die wel toestemming hebben gegeven als de bezoekers die dat niet hebben gedaan. Volgens de GBA zijn dus persoonsgegevens verwerkt zonder grondslag en moeten deze strings verwijderd worden.

Gevolgen voor TCF-gebruikers onduidelijk

Op basis van deze overtredingen heeft de GBA een boete van 250.000 euro opgelegd aan IAB Europe. Deze boete kan per dag verder oplopen met 5.000 euro als de vereniging niet binnen twee maanden een herstelplan voorlegt aan de toezichthouder. Vervolgens heeft IAB Europe nog 4 maanden om de gebreken te herstellen. In het herstelplan moet onder andere een geldige grondslag voor de verwerking van persoonsgegevens worden meegenomen. IAB Europe heeft zelf in een reactie laten weten aan de slag te gaan met het herstelplan.

Wat dit besluit precies betekent voor organisaties die het TCF gebruiken, is vooralsnog onduidelijk. Wij brengen de mogelijke gevolgen voor TCF-gebruikers op dit moment in kaart en houden je hiervan uiteraard op de hoogte.

Ben je lid en heb je een vraag? Stuur een mailtje naar legal@ddma.nl.

Romar van der Leij

Legal counsel

Ook interessant

Lees meer
DDMA |

Vacature: Senior Legal Counsel DDMA

Als Senior Legal Counsel bij DDMA werk je in het hart van de Nederlandse marketingwereld. Die wereld staat nooit stil en strekt zich uit van influencermarketing tot fondsenwerving en van…
Lees meer
AVG |

TCF-update: plan voor alternatieve cookiebanner IAB Europe goedgekeurd

Begin 2022 oordeelde de Belgische privacytoezichthouder (GBA) dat het Transparancy and Consent Framework (TCF) van IAB Europe in strijd is met de Algemene Verordening Gegevensbescherming. Het gevolg was een boete…
Lees meer
AVG |

Meta krijgt 390 miljoen euro boete voor wijzigen van gebruikersvoorwaarden

Na een langslepende procedure heeft de Ierse toezichthouder (DPC) begin 2023 het finale besluit genomen ten aanzien van twee klachten gericht aan Meta, het moederbedrijf van Facebook en Instagram. DPC…