Blog

Gegevensbescherming

De GBA heeft geoordeeld.

“De GBA* heeft geoordeeld dat het TCF*, dat door IAB Europe is ontwikkeld, niet voldoet aan een aantal bepalingen van de AVG. Het TCF is een wijdverspreid mechanisme dat het beheer van voorkeuren van gebruikers voor online gepersonaliseerde advertenties vergemakkelijkt. Dit mechanisme speelt ook een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB).”

Met deze woorden kondigt de GBA haar beslissing met betrekking tot TCF aan.

Eén ding is zeker, de GBA is hier zeker niet over een nacht ijs gegaan. In maar liefst 139 bladzijden argumenteert de Autoriteit waarom zij het nodig acht een boete van 250.000 EUR op te leggen aan het Europese IAB. Met daarnaast een verplichting om niet compliant verzamelde persoonsgegevens te wissen. Het dossier is gebaseerd op 9 klachten, waarvan 4 partijen rechtstreeks klacht bij de GBA indienden. En het werd opgesteld na overleg met de 27 andere Gegevensbeschermingsautoriteiten.

De voornaamste argumenten van de GBA

Als we de argumenten van de GBA voor de -naar Belgische normen hoge- boete op een rij zetten, zijn dit de belangrijkste:

  • IAB Europe is niet de verwerker van persoonsgegevens die via TCF verwerkt worden, maar is verantwoordelijk voor de verwerking
  • Zij had, gezien het grote volume aan te verwerken persoonsgegevens, een DPO moeten aanstellen
  • Ook had zij voor TCF een DPIA moeten uitvoeren. Daarin weeg je de risico’s van de verwerking voor rechten en vrijheden van de betrokkenen af tegen de principes van GDPR. Daar houd je ook de technische en organisatorische maatregelen, die je neemt om deze rechten en vrijheden te beschermen, onder de loep.
  • IAB Europe heeft geen register van verwerkingen
  • Ook kan zij onvoldoende aantonen dat de partners waarmee zij werken GDPR compliant zijn en voldoende veiligheid van verwerking kunnen verzekeren
  • Zij moet zorgen voor een betere technische en organisatorische maatregelen bij van de verwerking van persoonsgegevens

Hoe zit dat met de rol van IAB Europe als verwerkingsverantwoordelijke?

Een belangrijk deel van bovenstaande argumenten hangt samen met het oordeel van de GBA dat IAB Europe als verwerkingsverantwoordelijke optreedt. Dit met betrekking tot de registratie van het toestemmingssignaal. En de bezwaren en voorkeuren van de individuele gebruikers door middel van een unieke TC* String, die gekoppeld is aan een identificeerbare gebruiker.

Verwerkingsverantwoordelijke ben je als jij de doelen en de middelen van een verwerking bepaalt. Daarbij is de redenering van de GBA dat IAB Europe dat inderdaad doet voor TFC, aangezien het framework door IAB Europe is ontwikkeld. En IAB Europe bindende voorschriften oplegt aan deelnemende organisaties. Deze bindende voorschriften hebben volgens de Inspectiedienst van de GBA o.a. betrekking op de verwerking van persoonsgegevens bij het verzamelen en verwerken van de opt-ins. Plus de voorkeuren van onlinegebruikers, op de verwerkingsdoeleinden en op de toegestane vendors.

Wat nu?

Dat IAB Europe aan het bekijken is hoe ze tegen deze uitspraak in beroep kan gaan zal niemand verbazen. Het sleutelelement dat ze daarbij allicht zal aanvechten de verantwoordelijke voor de verwerking te zijn. Want als zij slechts verwerker zijn, vervallen de argumenten van de GBA voor een groot deel.. In afwachting heeft IAB Europe echter slechts twee maanden tijd om een plan op te maken om de vastgestelde inbreuken op te lossen. Allicht kunnen zij een aantal eenvoudige zaken opzetten om het vertrouwen van de GBA te winnen. Dan denken we aan het aanstellen van een DPO en het opmaken van een DPIA. Maar dat zal niet volstaan om op termijn compliant te worden.

Als gebruiker van TCF is het dus voorlopig nog koffiedik kijken wat het eindresultaat van een eventuele beroepsprocedure zal zijn. Gezien de grondigheid waarmee de GBA dit dossier heeft behandeld, heeft IAB Europe een serieuze klus te klaren om aan te tonen dat zij slechts verwerker zijn. Kunnen ze dat niet, dan zal TCF grondig moet worden aangepast.

Nawoord

De GBA heeft geoordeeld. Als we hun uitspraak bekijken samen met een aantal andere uitspraken zoals die van de Oostenrijkse DPA over Google Analytics en die van een Duitse DPA over Google fonts dan lijkt 2022 het jaar te worden waarin men stevig zal schudden aan de boom van de cookie- en pixel-gebaseerde verwerkingen.
We raden iedereen dan ook aan de GDPR-actualiteit de komende maanden goed te volgen en nog eens kritisch te kijken naar de eigen aanpak van gegevensbescherming. Ook in dit dossier komen weer een aantal basiselementen zoals het hebben van een geldige rechtsgrond, het register van verwerkingen, de DPO en het opmaken van DPIA’s naar voor. De UBA zal in elk geval het nodige doen om jullie op de hoogte te houden.

*GBA: gegevensbeschermingsautoriteit
*TCF: Transparency and Consent Framework
*TC: Transparency and Consent

Wil je hierover eens sparren met ons? Contacteer ons.

Ben je nieuwsgierig naar onze diensten rond dit thema? Klik hier.

Blog