Advertentiecookies van IAB in strijd met AVG
De Belgische Gegevensbeschermingsautoriteit heeft op 2 februari 2022 geoordeeld dat het Transparency and Consent Framework (TCF) van IAB Europe, waarbij gebruik werd gemaakt van tracking- en advertentiecookies, om meerdere redenen niet aan de AVG voldoet. De uitspraak in België geldt voor heel Europa. Dit was te voorkomen geweest, met name door meer transparantie en beter vragen om toestemming.
IAB gebruikte advertentiecookies met tracking
80% van de Europese websites zou de cookie pop-up van IAB gebruiken. Het systeem van IAB is onder meer gekoppeld aan een Real Time Bidding systeem, waarmee advertenties geplaatst kunnen worden op basis van gegevens van de websitebezoekers. De bezoekers krijgen daarmee specifiek op hen gerichte advertenties te zien.
Dit is op zich niet verboden. Geen enkele soort cookies zijn verboden. Over alle cookies moet je informeren. Cookies met een grote impact op de privacy, die niet noodzakelijk zijn voor de dienstverlening, mogen pas na toestemming geplaatst worden. De regels rondom cookies worden geregeld in de Telecommunicatiewet, maar voor de toestemming wordt verwezen naar de AVG en hoe deze voorschrijft hoe je aan rechtsgeldige toestemming komt.
De twee grootste problemen zijn dat IAB niet voldoende om toestemming heeft gevraagd voor de TC String en dat er niet voldoende werd geïnformeerd over wat er met de persoonsgegevens gebeurde.
LawStories in je mailbox?
De TC String is een persoonsgegeven
IAB Europe maakte gebruik van zogenaamde Transparency and Consent Strings, ofwel TC Strings. Dit is een reeks aan tekens, waarmee de voorkeuren van de websitebezoeker zijn opgeslagen en worden doorgegeven. Deze TC String en een cookie die geplaatst wordt, worden gekoppeld aan het IP-adres van de bezoeker. Daarmee is ook de TC String zelf een persoonsgegeven geworden.
Volgen IAB is een TC String geen persoonsgegeven, omdat het slechts een reeks tekens is. Volgens de Belgische Gegevensbeschermingsautoriteit is dat niet voldoende anoniem, vanwege de koppeling aan het IP-adres en een cookie.
De AVG gaat over alle informatie waarmee een persoon direct of indirect geïdentificeerd kan worden. Je hoeft bij gegevens dus nog niet direct te weten bij wie die gegevens horen. Maar zodra je die anonieme gegevens kunt combineren met andere gegevens, waardoor je wel weet om wie het gaat, zijn het persoonsgegevens geworden. Zo zit dat dus ook met de TC String. Op zichzelf is het geen persoonsgegeven, maar gecombineerd met het IP-adres en de cookie wel.
Toestemming ontbreekt
Als persoonsgegevens worden verwerkt of verzamelde informatie, zoals voorkeuren, aan andere persoonsgegevens worden gekoppeld, is daar soms toestemming voor nodig.
IAB meende op basis van het gerechtvaardigd belang de persoonsgegevens te mogen verwerken. Soms is het inderdaad zo dat je een belangenafweging kunt maken, waarbij je de privacybelangen tegen de marketingbelangen afweegt. Soms is het verwerken van persoonsgegevens voor marketing op basis hiervan mogelijk.
Maar in dit geval worden er op grote schaal persoonsgegevens verwerkt, verrijkt en verder gedeeld met de adverteerders. Dat mag niet op basis van de grondslag gerechtvaardigd belang. Hier was toestemming voor nodig. Maar die is nooit gevraagd.
IAB informeerde niet voldoende
Bovendien informeerde IAB niet voldoende over de persoonsgegevens die werden verwerkt en met wie het allemaal gedeeld werd. Er werd enigszins informatie verstrekt, maar zo vaag dat een gemiddelde bezoeker hieruit niet kon begrijpen welke gegevens werden verwerkt en met wie het zou worden gedeeld of wat er verder met de gegevens zou gebeuren.
Al zou IAB dus om toestemming hebben gevraagd, dan was de informatievoorziening zo slecht, dat de toestemming alsnog niet geldig zou zijn.
Deze informatie moet in elk geval in de privacyverklaring terug te vinden zijn. Het mag er echter niet in verstopt zitten. De belangrijkste informatie moet daarom getoond worden bij de toestemmingsknop.
Iedereen die van IAB gebruikmaakte, moet gegevens verwijderen
IAB kreeg een boete van €250.000 opgelegd en mag niet meer op deze manier werken. Hiertegen gaat IAB in beroep.
Maar in de tussentijd is het wel zo dat verzamelde gegevens door adverteerders die gebruik maakten van de IAB diensten, alle persoonsgegevens die ze hebben verwerkt, moeten vernietigen, omdat ze deze onrechtmatig hebben verkregen. Voorlopig kunnen websites geen gebruikmaken van de cookie pop-up van IAB.
