Skip to main content

IAB Europe beboet door Belgische gegevensbeschermingsautoriteit voor GDPR-overtredingen

    Het laatste besluit over GDPR-overtredingen komt uit België, waar de Belgische gegevensbeschermingsautoriteit IAB Europe een boete van 250.000 euro oplegde voor GDPR-overtredingen die voortvloeiden uit hun transparantie- en toestemmingskader (Transparency and Consent Framework - TCF). Wij onderzoeken de achtergrond van deze zaak en de gevolgen die zij zal hebben voor marketing- en reclamebureaus in heel Europa.

    Wat is IAB Europa?

    IAB (Interactive Advertising Bureau) Europe is een vereniging voor digitale marketing en reclame die bestaat uit nationale IAB's, mediabedrijven, technologiebedrijven en marketing- en reclamebureaus. Hun missie is het bevorderen van de samenwerking tussen politici en de reclame- en marketingindustrie, met het oog op het creëren van industriewijde normen en praktijken die de bedrijfsontwikkeling in heel Europa bevorderen.

    Wat is het Transparantie- en toestemmingskader (TCF)?

    Een van hun grootste verwezenlijkingen was de oprichting en implementatie van het TCF. Ze beschrijven het als "de enige GDPR-toestemmingsoplossing die door de sector voor de sector is gebouwd, en die een echte industriestandaardbenadering creëert".

    In principe creëert het TCF een omgeving waarin website-eigenaren bezoekers kunnen informeren over welke soorten persoonsgegevens worden verzameld, hoe de gegevens zullen worden verwerkt en gebruikt, en welke andere derde partijen toegang hebben tot de gegevens. Het TCF geeft professionals ook een gemeenschappelijke taal om te gebruiken bij het verstrekken van informatie over geïnformeerde toestemming met betrekking tot het verzamelen van persoonsgegevens.

    Het doel was ervoor te zorgen dat iedereen die betrokken is bij het digitale marketing- en reclameproces voldoet aan de GDPR en ePrivacy wanneer persoonsgegevens worden verwerkt of informatie wordt opgeslagen op apparaten door het gebruik van cookies, ID's en andere trackingtechnologieën.

    Dit was vooral belangrijk voor bedrijven die gebruik maken van het OpenRTB-protocol - een van de meest gebruikte real-time biedprotocollen, belangrijk voor adverteerders die bieden op advertentieruimte op websites. Gewone gebruikers zijn zich vaak niet bewust van deze protocollen en algoritmen, die op hen gericht zijn en de processen achter de schermen controleren, maar zij zijn wel bekend met pop-ups. Via deze pop-ups of banners - die meestal worden beheerd door platforms voor toestemmingsbeheer (CMP's) - kunnen gebruikers toestemming geven voor het verzamelen en gebruiken van hun persoonsgegevens. Het TCF helpt, via het CMP, de voorkeuren van de gebruikers vast te leggen.

    Daarna worden de voorkeuren opgeslagen in een TC String die kan worden gedeeld met andere organisaties in het OpenTRB-systeem. Deze string is, samen met de cookies, gekoppeld aan het IP-adres van een gebruiker - waardoor hij identificeerbaar wordt.

    De zaak tegen IAB Europe

    Sinds 2019 heeft de Belgische DPA talloze klachten ontvangen over IAB Europe, specifiek over het TCF en hoe het de GDPR schendt. Juist deze week hebben ze de zaak afgerond en zijn ze het eens met de argumenten in de klachten.

    Op basis van het gebruik van TCF stelde de DPA dat IAB Europe "optreedt als een gegevensbeheerder met betrekking tot de registratie van het toestemmingssignaal, de bezwaren en de voorkeuren van individuele gebruikers door middel van een unieke Transparency and Consent (TC) String, die gekoppeld is aan een identificeerbare gebruiker". Dit betekent dat zij gebonden zijn aan de GDPR en verantwoordelijk zijn voor eventuele schendingen. Vervolgens somden zij verschillende GDPR-inbreuken op:

    • Rechtmatigheid: IAB Europe heeft geen rechtsgrondslag vastgesteld voor de verwerking van de TC String.
    • Transparantie: De door het CMP verstrekte informatie is te algemeen en vaag, waardoor het voor gebruikers moeilijk is om controle te hebben over hun persoonsgegevens.
    • Verantwoordingsplicht en beveiliging: Er zijn geen organisatorische of technische maatregelen die in overeenstemming zijn met gegevensbescherming by design en by default.
    • Andere verplichtingen: IAB Europe had geen DPO aangesteld, geen DPIA (data protection impact assessment) uitgevoerd en geen logboek van verwerkingsactiviteiten bijgehouden.

    Op basis van deze bevindingen heeft de Belgische gegevensbeschermingsautoriteit IAB Europe een boete van 250 000 euro opgelegd, waarbij IAB Europe twee maanden de tijd kreeg om een actieplan op te stellen om deze inbreuken ongedaan te maken en zes maanden om dit plan uit te voeren. De DPA heeft ook verklaard dat IAB Europe onverwijld alle gebruikersgegevens moet wissen die momenteel onder het huidige TCF-systeem zijn verwerkt.

    IAB Europe is van plan tegen dit besluit in beroep te gaan en zegt tegen het tijdschrift Forbes: "Wij verwerpen de bevinding dat wij een gegevensbeheerder zijn in de context van het TCF. Wij zijn van mening dat deze bevinding juridisch onjuist is en grote onbedoelde negatieve gevolgen zal hebben die veel verder gaan dan de digitale reclame-industrie. Wij overwegen alle opties met betrekking tot een juridische procedure.

    De impact van het Belgische DPA-besluit

    Net als het Oostenrijkse DPA-besluit tegen Google Analytics, zal het recente Belgische besluit verstrekkende gevolgen hebben in heel Europa en de VS.

    Hielke Hijmans, voorzitter van de geschillenkamer van de Belgische gegevensbeschermingsautoriteit, verklaarde met betrekking tot de beslissing: "De verwerking van persoonsgegevens (bv. het vastleggen van gebruikersvoorkeuren) onder de huidige versie van het TCF is onverenigbaar met de GDPR, vanwege een inherente schending van het beginsel van eerlijkheid en rechtmatigheid. Mensen wordt gevraagd toestemming te geven, terwijl de meesten van hen niet weten dat hun profiel een groot aantal keren per dag wordt verkocht om hen bloot te stellen aan gepersonaliseerde advertenties. Hoewel het TCF betreft, en niet het hele real time biedsysteem, zal onze beslissing van vandaag grote gevolgen hebben voor de bescherming van de persoonsgegevens van internetgebruikers. De orde moet worden hersteld in het TCF-systeem, zodat gebruikers weer controle krijgen over hun gegevens."

    Op basis van het one-stop-mechanisme is dit besluit in België onmiddellijk afdwingbaar in de hele EU. Momenteel vertrouwt ongeveer 80% van het Europese internet op het TCF, volgens de Ierse Raad voor burgerlijke vrijheden. Het besluit om IAB Europe een sanctie op te leggen en het gebruik van TCF te beperken, samen met de eis om alle huidige gegevens te wissen, zal gevolgen hebben voor uitgevers, adverteerders, techbedrijven en grote techbedrijven zoals Google en Amazon.

    Veel adverteerders zijn op zoek naar een uitweg, maar voor uitgevers en website-eigenaren kunnen de volgende stappen bestaan uit het implementeren van cookieloze opties die niet langer IP-adressen traceren, gegevens opslaan op apparaten van gebruikers, of toestemmingsvoorkeuren vereisen via CMP's.

    Bij Visitor Analytics bouwen we alles met een privacy-first mentaliteit, wat betekent dat ons product GDPR/CCPA-compliant is en kan functioneren zonder de vereiste van cookies, toestemmingsbanners of het opslaan van gegevens.