Het begin van het einde voor de ‘cookie pop-up’?
Het raamwerk waarop een groot deel van de cookie pop-ups op het web gebaseerd is, lijkt niet in regel met de Europese privacyrichtlijnen. Tot die conclusie zou de Belgische Gegevensbeschermingsautoriteit zijn gekomen.
IAB Europe, de beroepsorganisatie van Europese internetadverteerders, heeft van de Belgische Gegevensbeschermingsautoriteit (GBA) te horen gekregen dat het fouten heeft gemaakt tegen de privacywetgeving, beter gekend als de GDPR. Dat schrijft de organisatie zelf in een blogpost. De organisatie is verantwoordelijk voor het zogeheten Transparency & Consent Framework (TCF), het raamwerk waarop een meerderheid van de pop-upvensters voor tracking-toestemming gebaseerd is.
Dat raamwerk is niet in lijn met de GDPR omtrent transparantie, eerlijkheid en verantwoording, aldus een eerste onderzoeksrapport van de GBA een jaar geleden. Nu, een jaar later, zou er ook een echte bindende beslissing vallen.
En daarin zou dus beslist worden dat TCF en diens standaard tegen de regels zijn, maar ook dat IAB Europe mee verantwoordelijk is voor de inbreuken. De organisatie komt daar nu zelf mee naar buiten, voordat de GBA een officiële mededeling doet. Voor er over een echte boete of afschaffing beslist kan worden, gaat GBA zijn rapport eerst nog naar de andere Europese privacy-autoriteiten sturen, die zelf een maand krijgen om hun eigen bevindingen te noteren. IAB Europe probeert in zijn blogpost meteen ook de leden de sussen met de melding dat de inbreuken ‘herstelbaar’ zouden zijn.
Privacy-activisten, waaronder de Belgische Liga van de Rechten van de Mens en de Ierse Council for Civil Liberties, die met hun klachten over het raamwerk naar de GBA zijn getrokken, zien het alvast als een overwinning.
‘We hebben gewonnen’, schrijft Johnny Ryan van de Irish Council of Liberties in een eigen mededeling. ‘Er is beslist dat de online advertentie-industrie en diens beroepsorganisatie IAB Europe englishhonderden miljoenen Europeanen van hun fundamentele rechten hebben beroofd.’
Cookie-raamwerk
In de praktijk is IAB Europe de ontwerper van de meeste cookie-pop-ups die je tegenkomt. De TCF-standaard wordt volgens Johnny Ryan gebruikt door zo’n 80% van de Europese websites. Je kent ze als die pop-ups die beginnen met ‘We value your privacy’ en vooral gebouwd lijken om je zo snel mogelijk op ‘Allow All’ te laten klikken. Volgens de GBA zouden die ontwerpen op zich al tegen de geest van de GDPR zijn.
Bovendien wordt IAB Europe in het rapport gezien als een ‘data controller’, omdat TCF die toestemming verzamelt en traceert voor gebruikers via ‘transparency consent strings’. Dat zijn bestanden waarin metadata zit over de toestemming die een gebruiker heeft gegeven, welke providers toestemming hebben gekregen en onder welke omstandigheden. En dat is persoonlijke informatie, zegt de GBA, die IAB Europe verzamelt en doorstuurt naar ‘real time bidding’-platformen, waar duizenden bedrijven kunnen bieden om advertenties te sturen naar gebruikers die bepaald gedrag vertonen.
Advertentiecookies in de vuilbak?
De organisatie zou dus samen de adverteerders de nodige maatregelen moeten nemen om die gegevens veilig bij te houden, iets wat ze blijkbaar tot nu toe niet deed. Volgens IAB Europe omdat ze die transparency consent strings zelf niet verwerkt.
Het nieuws komt op een moment dat het Europese Parlement opnieuw naar de toestemmingsformulieren rond cookies kijkt, en mogelijk van plan is om de hele advertentietracking technologie te verbieden in een nieuwe regelgeving rond digitale diensten. Ook Google, ‘s werelds grootste online advertentiebureau, is al even aan het afstappen van het ‘third party cookie’ concept, al is het alternatief dat het bedrijf voorstelt, afhankelijk van wie je het vraagt, mogelijk nog invasiever.
Fout opgemerkt of meer nieuws? Meld het hier