De Gegevensbeschermingsautoriteit is van oordeel dat een standaard rond informatievergaring voor online advertenties de GDPR overtreedt. Dat kan gevolgen hebben voor hoe tracking voor gepersonaliseerde advertenties werkt.
Het gaat om een voorlopig oordeel na een eerste onderzoek waarbij de Belgische GBA inbreuken heeft gevonden in het zogenaamde Transparency & Consent Framework, kortweg TCF. Dat is een standaard binnen de online advertentiesector die wordt gebruikt om toestemming te verkrijgen rond advertentietrackers.
Die trackers maken het op hun beurt mogelijk om gebruikers zeer persoonlijk gerichte advertenties te sturen op basis van bijvoorbeeld hun surfgedrag over verschillende sites of apps heen. Het laat ook real-time bidding toe, een geautomatiseerd proces waarbij bepaalde adverteerders meer (kunnen) betalen als ze hun reclame aan een zeer relevant individu kunnen tonen. Denk daarbij aan advertenties van pakweg baby-artikelen die je ziet nadat je vergelijkbare sites of producten hebt opgezocht.
Maar dat gebeurt volgens sommigen niet volgens de regel van de privacywetgeving. Maar liefst 22 organisaties en individuen uit 16 EU-lidstaten, doorgaans organisaties rond privacy- en burgerrechten en experts in de materie, hebben daarom een klacht ingediend bij de Belgische Gegevensbeschermingsautoriteit.
Waarom in België?
De voornaamste reden waarom dat in België gebeurt, is omdat TCF werd opgezet door sectorvereniging IAB (Interactive Advertising Bureau), wiens Europese hoofdzetel in Brussel zit. Dat maakt de Belgische Gegevensbeschermingsautoriteit bevoegd.
Volgens de aanklagers zijn er nu in een eerste onderzoek schendingen van de GDPR-wetgeving vastgesteld en wordt de zaak nu verder bestudeerd door de Geschillenkamer van de GBA om tot een uitspraak (en mogelijk boetes) te komen. Dat zal volgens de aanklagers pas tegen 2021 zijn.
Wat gaat er fout?
Volgens de aanklagers laat het Transparency & Consent Framework van IAB bedrijven toe om gevoelige informatie van individuen uit te wisselen, ook zonder hun toestemming. “De aanpak van IAB Europe toont dat het de risico’s negeert die een impact hebben op de rechten en vrijheden van dataonderwerpen (mensen, nvdr).” Aldus de GBA in een voorlopige uitspraak die de aanklagers konden inkijken.
In het kort zorgt TCF er voor dat internetgebruikers online worden gevolgd, van wat ze bekijken tot waar ze fysiek zijn, met als doel hen gepersonaliseerde advertenties te sturen. Maar zonder voldoende toestemming, wat in strijd is met de GDPR-wetgeving.
“Niet alleen bevestigt het onderzoek van de GBA de schendingen in de klacht, het heeft zelfs een bijkomende lijst van juridische kwesties opgelijst,” zegt Pierre Dewitte, doctoraatsonderzoeker rond intellectueel eigendomsrecht aan de KU Leuven en één van de aanklagers.
Data News vroeg de GBA om een reactie maar de privacywaakhond geeft zelf geen commentaar op de zaak omdat het onderzoek nog loopt.
IAB reageert
De aanklagers stellen IAB verantwoordelijk omdat zij als sectorvereniging de standaard rond TCF hebben opgesteld en beheren. Data News vroeg IAB om een reactie. Daar wijzen ze er op dat het om een voorlopige visie gaat en op dit moment geen bindend oordeel is over het al dan niet schenden van de GDPR-wetgeving.
“We zijn het respectvol oneens met de GBA haar interpretatie van de wet, waarbij IAB Europe als een data controller wordt gezien in de context van de implementatie van TCF door uitgevers.” Klinkt het bij de sectorvereniging. Het wijst er daarbij op dat zo’n oordeel ook druk zet op open source compliance standaarden die zowel sectoren als consumenten dienen of beschermen.
Daarnaast wijst de organisatie er op dat TCS een vrijwillige standaard is die een interpretatie van de wet reflecteert, en in lijn zou zijn met richtlijnen van verschillende Europese DPA’s. Het wijst daarbij onder meer naar CNIL (Frankrijk), DPC (Ierland) en ICO (Groot-Brittannië).
Wat verandert er?
Voorlopig niets. Het is sowieso afwachten op een definitieve uitspraak en in afwachting daarvan lijkt IAB niet van plan te zijn om TCF aan te passen.
Als er een effectieve veroordeling komt, dan kan het wel zijn dat de manier waarop adverteerders internetgebruikers volgen en data over hen verzamelen ernstig aan banden wordt gelegd.
Een belangrijke vraag daarbij is wie de verantwoordelijke is. IAB Europe laat in haar reactie blijken dat het zichzelf louter als leverancier van de standaard ziet, niet als de datacontroller (en dus medeverantwoordelijk voor de data-uitwisseling). Maar de klacht en het voorlopig onderzoek van de GBA lijkt die redenering niet te volgen.
Fout opgemerkt of meer nieuws? Meld het hier