De zaak is technisch gezien complex, maar draait onder meer om cookie pop-up's en de manier waarop een groot deel van de online advertenties worden aangeboden, en de toestemming die je daar als gebruiker voor geeft, in strijd zijn met de Europese privacywetgeving, ook wel bekend als de GDPR of AVG.

Lees ook: het begin van het einde voor de cookie pop-up.

Door de uitspraak moet sectorvereniging IAB Europe, dat het desbetreffende systeem ontwikkelde, niet alleen een boete betalen, maar ook binnen de twee maanden met een actieplan komen om de manier van werken te verbeteren.

Toestemming bij real time advertenties

De zaak draait om het door IAB Europe ontwikkelde TCF, Transparency and Consent Framework. Die standaard regelt toestemming rond advertentietrackers. Denk daarbij aan de goedkeuringen rond cookies die je moet geven wanneer je een site bezoekt.

Die trackers maken zeer persoonlijk gerichte advertenties mogelijk doorheen verschillende sites of apps en laat real-time bidding (RTB) toe. Zo is de kans groot dat je reclame voor verbouwingen krijgt als je eerder vergelijkbare sites hebt bezocht. De achterliggende biedstrijd tussen welke advertentie je krijgt, en hoeveel een adverteerder daarvoor betaalt, gebeurt automatisch met behulp van TCF.

Specifiek gaat het om data rond voorkeuren van de gebruiker die worden vastgelegd in de zogenaamde TC string, die vervolgens wordt uitgewisseld met spelers in dat ecosysteem. Maar die TC string is gekoppeld aan een identificeerbare gebruiker.

Toch verwerking persoonsgegevens

Toen de GBA in 2020 een voorlopig oordeel velde, zei IAB Europe dat het oneens was met de toenmalige beslissing, dat het niet de data controller is en dat TCF een vrijwillig systeem is en de wet volgt.

De Gegevensbeschermingsautoriteit veegt dat nu van tafel. Het stelt dat IAB Europe wel degelijk de verwerkingsverantwoordelijke is en wijst de organisatie op vier overtredingen:

Er is volgens de GBA geen rechtsgrond voor de verwerking van de TC string en de rechtsgronden in TCF om data te verwerken zijn onvoldoende. Er is te weinig transparantie en informatie voor gebruikers, wat er op neerkomt dat banners die om toestemming vragen bij het bezoek van een website te vaag zijn voor de aard en omvang van de verwerking. Het merkt daarbij op dat TCF een complex systeem is waardoor gebruikers moeilijk controle behouden over hun gegevens.

Een derde overtreding gaat over de verantwoordingsplicht, beveiliging en bescherming door de standaardinstellingen. Het huidige systeem waarbij je toestemming geeft voor advertentietracking is volgens de GBA onvoldoende in lijn met de wet.

Tot slot merkt de GBA op dat IAB Europe geen DPO (Data Protecion Officer) heeft en geen GPIA (gegevenseffectenbeoordeling) heeft. Dat zijn twee zaken die intussen al lang gangbaar (en verplicht) zijn bij organisaties die op zulke schaal met data omgaan.

Huiswerk voor de advertentiesector

IAB Europe kan nog in beroep gaan tegen de beslissing, maar het lijkt er op dat de organisatie en haar partners een stevige brok huiswerk krijgen, bovenop de boete van 250.000 euro.

Binnen twee maanden moet er een plan komen om het systeem rond TCF wel in regel te hebben met de GDPR. Dat betekent onder meer een geldige rechtsgrond voor de verwerking en verspreiding van de verzamelde gegevens. De GBA zegt daarbij expliciet dat 'gerechtvaardigd belang' hier niet van toepassing is. Dat is een veelgebruikt argument om dataverwerking zonder al te veel toestemming of duidelijkheid toch uit te voeren.

Tegelijk moet IAB Europe ook elke deelnemende organisatie doorlichten om zeker te zijn dat ook zij de GDPR naleven.

GBA: Europees van kracht

De beslissing rond IAB Europe was een werk van lange adem. De Gegevensbeschermingsautoriteit licht in een reactie aan Data News toe hoe dat komt. 'Er spelen diverse elementen, zegt Hielke Hijmans, voorzitter van de Geschillencommissie. 'Het is een ongelooflijk complex dossier dat we zowel technisch als juridisch moesten onderzoeken en we diverse analyses van verschillende experts hebben gekregen.' Daarnaast maakte ook procedurele bezwaren van verschillende partijen het lastig.

Maar Hijmans is ook positief: 'Het is een uitspraak die meteen in heel Europa van kracht is. Dit is tot stand gekomen in overleg met andere Europese toezichthouders. Het one-stop-shop mechanisme (waarbij één nationale regulator voor de hele EU beslist, nvdr) wordt vaak bekritiseerd, maar hier heeft het goed gewerkt.' Zo werden de voorlopige beslissingen ook afgetoetst bij de andere regulatoren vooraleer het tot een finale uitspraak kwam.

'Ik ben enorm trots dat we dit samen met andere toezichthouders hebben gedaan, maar ook dat we met een relatief klein team een vrij ingewikkelde zaak hebben afgerond. We stellen vast dat op het terrein er nog te veel lacunes zijn rond het naleven van de AGV, en deze uitspraak zal daar impact op hebben.'

Over de stappen voor IAB Europe, of wat als hun plan niet volstaat, spreekt de GBA zich niet uit. 'We willen niet vooruitlopen op wat er nog moet gebeuren', klinkt het. Wel heeft de advertentiefederatie een strakke deadline, eens hun plan is goedgekeurd, moet het binnen de zes maanden worden uitgevoerd, met dwangsommen van 5.000 euro per dag uitstel.

Academici en privacyactivisten blij

Ook vanuit de kant van de aanklagers klinkt er enthousiasme. Onder meer de Nederlandse stichting Bits of Freedom, Lige des Droits Humains en dr. Jef Ausloos (Universiteit Amsterdam) en Dr Pierre Dewitte (doctoraatsonderzoeker, KU Leuven) schaarden zich achter de zaak. Zij stellen dat alle data die onder TCF zijn verzameld nu ook moet vernietigd worden, en dat die uitspraak ook impact heeft op de advertentiemodellen van Google, Amazon of Microsoft.

'De beslissing van vandaag bevrijdt honderden miljoenen Europeanen van consent spam, en het groter gevaar dat hun intieme online activiteiten tussen duizenden bedrijven worden uitgewisseld,' stelt dr. Johnny Ryan van de Irish Council for Civil Liberties, die ook een van de aanklagers was.

IAB reageert

IAB Europe erkent de uitspraak maar is het er niet mee eens. 'We zijn het er niet mee eens dat we een data controller zijn in de context van TCF. Dit is wettelijk fout en zal grote onbedoelde gevolgen hebben die breder gaan dan de sector van digitale advertenties,' klinkt het in een reactie.

Wel benadrukt de organisatie dat TCF niet verboden wordt, wat de klagers hadden gevraagd, en dat het uitkijkt naar een samenwerking met de GBA om in de komende maanden van TCF een formele code of conduct rond GDPR te maken.

Update 15 uur:

Artikel aangevuld met reacties van de GBA en de organisaties die de zaak aanspanden.

Update 4/2/22:

Artikel aangevuld met reactie van IAB Europe.

De zaak is technisch gezien complex, maar draait onder meer om cookie pop-up's en de manier waarop een groot deel van de online advertenties worden aangeboden, en de toestemming die je daar als gebruiker voor geeft, in strijd zijn met de Europese privacywetgeving, ook wel bekend als de GDPR of AVG.Lees ook: het begin van het einde voor de cookie pop-up.Door de uitspraak moet sectorvereniging IAB Europe, dat het desbetreffende systeem ontwikkelde, niet alleen een boete betalen, maar ook binnen de twee maanden met een actieplan komen om de manier van werken te verbeteren.De zaak draait om het door IAB Europe ontwikkelde TCF, Transparency and Consent Framework. Die standaard regelt toestemming rond advertentietrackers. Denk daarbij aan de goedkeuringen rond cookies die je moet geven wanneer je een site bezoekt.Die trackers maken zeer persoonlijk gerichte advertenties mogelijk doorheen verschillende sites of apps en laat real-time bidding (RTB) toe. Zo is de kans groot dat je reclame voor verbouwingen krijgt als je eerder vergelijkbare sites hebt bezocht. De achterliggende biedstrijd tussen welke advertentie je krijgt, en hoeveel een adverteerder daarvoor betaalt, gebeurt automatisch met behulp van TCF.Specifiek gaat het om data rond voorkeuren van de gebruiker die worden vastgelegd in de zogenaamde TC string, die vervolgens wordt uitgewisseld met spelers in dat ecosysteem. Maar die TC string is gekoppeld aan een identificeerbare gebruiker.Toen de GBA in 2020 een voorlopig oordeel velde, zei IAB Europe dat het oneens was met de toenmalige beslissing, dat het niet de data controller is en dat TCF een vrijwillig systeem is en de wet volgt.De Gegevensbeschermingsautoriteit veegt dat nu van tafel. Het stelt dat IAB Europe wel degelijk de verwerkingsverantwoordelijke is en wijst de organisatie op vier overtredingen:Er is volgens de GBA geen rechtsgrond voor de verwerking van de TC string en de rechtsgronden in TCF om data te verwerken zijn onvoldoende. Er is te weinig transparantie en informatie voor gebruikers, wat er op neerkomt dat banners die om toestemming vragen bij het bezoek van een website te vaag zijn voor de aard en omvang van de verwerking. Het merkt daarbij op dat TCF een complex systeem is waardoor gebruikers moeilijk controle behouden over hun gegevens. Een derde overtreding gaat over de verantwoordingsplicht, beveiliging en bescherming door de standaardinstellingen. Het huidige systeem waarbij je toestemming geeft voor advertentietracking is volgens de GBA onvoldoende in lijn met de wet.Tot slot merkt de GBA op dat IAB Europe geen DPO (Data Protecion Officer) heeft en geen GPIA (gegevenseffectenbeoordeling) heeft. Dat zijn twee zaken die intussen al lang gangbaar (en verplicht) zijn bij organisaties die op zulke schaal met data omgaan.IAB Europe kan nog in beroep gaan tegen de beslissing, maar het lijkt er op dat de organisatie en haar partners een stevige brok huiswerk krijgen, bovenop de boete van 250.000 euro.Binnen twee maanden moet er een plan komen om het systeem rond TCF wel in regel te hebben met de GDPR. Dat betekent onder meer een geldige rechtsgrond voor de verwerking en verspreiding van de verzamelde gegevens. De GBA zegt daarbij expliciet dat 'gerechtvaardigd belang' hier niet van toepassing is. Dat is een veelgebruikt argument om dataverwerking zonder al te veel toestemming of duidelijkheid toch uit te voeren.Tegelijk moet IAB Europe ook elke deelnemende organisatie doorlichten om zeker te zijn dat ook zij de GDPR naleven.De beslissing rond IAB Europe was een werk van lange adem. De Gegevensbeschermingsautoriteit licht in een reactie aan Data News toe hoe dat komt. 'Er spelen diverse elementen, zegt Hielke Hijmans, voorzitter van de Geschillencommissie. 'Het is een ongelooflijk complex dossier dat we zowel technisch als juridisch moesten onderzoeken en we diverse analyses van verschillende experts hebben gekregen.' Daarnaast maakte ook procedurele bezwaren van verschillende partijen het lastig.Maar Hijmans is ook positief: 'Het is een uitspraak die meteen in heel Europa van kracht is. Dit is tot stand gekomen in overleg met andere Europese toezichthouders. Het one-stop-shop mechanisme (waarbij één nationale regulator voor de hele EU beslist, nvdr) wordt vaak bekritiseerd, maar hier heeft het goed gewerkt.' Zo werden de voorlopige beslissingen ook afgetoetst bij de andere regulatoren vooraleer het tot een finale uitspraak kwam.'Ik ben enorm trots dat we dit samen met andere toezichthouders hebben gedaan, maar ook dat we met een relatief klein team een vrij ingewikkelde zaak hebben afgerond. We stellen vast dat op het terrein er nog te veel lacunes zijn rond het naleven van de AGV, en deze uitspraak zal daar impact op hebben.'Over de stappen voor IAB Europe, of wat als hun plan niet volstaat, spreekt de GBA zich niet uit. 'We willen niet vooruitlopen op wat er nog moet gebeuren', klinkt het. Wel heeft de advertentiefederatie een strakke deadline, eens hun plan is goedgekeurd, moet het binnen de zes maanden worden uitgevoerd, met dwangsommen van 5.000 euro per dag uitstel.Ook vanuit de kant van de aanklagers klinkt er enthousiasme. Onder meer de Nederlandse stichting Bits of Freedom, Lige des Droits Humains en dr. Jef Ausloos (Universiteit Amsterdam) en Dr Pierre Dewitte (doctoraatsonderzoeker, KU Leuven) schaarden zich achter de zaak. Zij stellen dat alle data die onder TCF zijn verzameld nu ook moet vernietigd worden, en dat die uitspraak ook impact heeft op de advertentiemodellen van Google, Amazon of Microsoft.'De beslissing van vandaag bevrijdt honderden miljoenen Europeanen van consent spam, en het groter gevaar dat hun intieme online activiteiten tussen duizenden bedrijven worden uitgewisseld,' stelt dr. Johnny Ryan van de Irish Council for Civil Liberties, die ook een van de aanklagers was.IAB Europe erkent de uitspraak maar is het er niet mee eens. 'We zijn het er niet mee eens dat we een data controller zijn in de context van TCF. Dit is wettelijk fout en zal grote onbedoelde gevolgen hebben die breder gaan dan de sector van digitale advertenties,' klinkt het in een reactie.Wel benadrukt de organisatie dat TCF niet verboden wordt, wat de klagers hadden gevraagd, en dat het uitkijkt naar een samenwerking met de GBA om in de komende maanden van TCF een formele code of conduct rond GDPR te maken.Update 15 uur: Artikel aangevuld met reacties van de GBA en de organisaties die de zaak aanspanden.Update 4/2/22:Artikel aangevuld met reactie van IAB Europe.