“De Gegevensbeschermingsautoriteit (GBA) heeft geoordeeld dat het Transparency and Consent Framework (TCF), dat door IAB Europe is ontwikkeld, niet voldoet aan een aantal bepalingen van de AVG. Het TCF is een wijdverspreid mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt, en dat een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB).”
Met deze woorden kondigt de GBA haar beslissing met betrekking tot TCF aan.
Als een ding zeker is, dan is het dat de GBA bij deze uitspraak niet over een nacht ijs is gegaan: 139 bladzijden lang argumenteert de Autoriteit waarom zij het nodig acht een boete van 250.000 EUR en een verplichting om niet compliant verzamelde persoonsgegevens te wissen denkt te moeten opleggen aan het Europese IAB. Het dossier is gebaseerd op 9 klachten, waarvan 4 rechtstreeks bij de GBA werden ingediend, en werd opgesteld na overleg met de 27 andere Gegevensbeschermingsautoriteiten.
De voornaamste argumenten van de GBA
Als we de argumenten van de GBA voor de, naar Belgische normen hoge, boete op een rijtje zetten dan zijn dit de belangrijkste:
- IAB Europe is niet de verwerker van de persoonsgegevens die via TCF verwerkt worden, maar de verantwoordelijke voor de verwerking
- IAB Europe had, gezien het grote volume aan persoonsgegevens dat verwerkt wordt een DPO moeten aanstellen
- IAB Europe had voor TCF een DPIA moeten uitvoeren waarin de risico’s van de verwerking voor de rechten en vrijheden van de betrokkenen worden afgewogen tegen de principes van GDPR en de technische en organisatorische maatregelen die genomen worden om deze rechten en vrijheden te beschermen
- IAB Europe heeft geen register van verwerkingen
- IAB Europe kan onvoldoende aantonen dat de partners waarmee gewerkt wordt GDPR-compliant zijn en voldoende veiligheid van de verwerking kunnen verzekeren.
- IAB Europe moet zorgen voor een betere technische en organisatorische maatregelen bij van de verwerking van persoonsgegevens.
Hoe zit dat met de rol van IAB Europe als verwerkingsverantwoordelijke?
Een belangrijk deel van bovenstaande argumenten hangt samen met het oordeel van de GBA dat IAB Europe als verwerkingsverantwoordelijke optreedt met betrekking tot de registratie van het toestemmingssignaal, de bezwaren en de voorkeuren van de individuele gebruikers door middel van een unieke Transparency and Consent (TC) String, die gekoppeld is aan een identificeerbare gebruiker.
Verwerkingsverantwoordelijke ben je als je de doelen en de middelen van een verwerking bepaalt, en de redenering van de GBA is dat IAB Europe dat inderdaad doet voor TFC aangezien het framework door IAB Europe is ontwikkeld, en IAB Europe bindende voorschriften oplegt aan deelnemende organisaties. Deze bindende voorschriften hebben volgens de Inspectiedienst van de GBA o.a. betrekking op de verwerking van persoonsgegevens bij het verzamelen en verwerken van de opt-ins en de voorkeuren van onlinegebruikers, op de verwerkingsdoeleinden en op de toegestane vendors.
Wat nu?
Dat IAB Europe aan het bekijken is hoe ze tegen deze uitspraak in beroep kan gaan zal niemand verbazen. Het sleutel-element dat ze daarbij allicht zullen aanvechten is dat IAB Europe de verantwoordelijke voor de verwerking is, omdat in het geval zij slechts verwerker zijn, de argumenten van de GBA voor een groot deel vervallen.
In afwachting heeft IAB Europe echter slechts 2 maanden tijd om een plan op te maken om de vastgestelde inbreuken op te lossen. Allicht zijn er een aantal meer eenvoudige zaken zoals het aanstellen van een DPO en het opmaken van een DPIA stappen die ze kunnen zetten om het vertrouwen van de GBA te winnen, maar dat zal niet volstaan om op termijn compliant te worden.
Als gebruiker van TCF is het dus voorlopig nog koffiedik kijken wat het eindresultaat van een eventuele beroepsprocedure zal zijn. Gezien de grondigheid waarmee de GBA dit dossier heeft behandeld wordt het een serieuze klus voor IAB Europe om aan te tonen dat zij slechts verwerker zijn. Kunnen ze dat niet, dan zal TCF grondig moet worden aangepast.
Nawoord
Als we de uitspraak van de GBA bekijken samen met een aantal andere uitspraken zoals die van de Oostenrijkse DPA over Google Analytics en die van een Duitse DPA over Google fonts dan lijkt 2022 het jaar te worden waarin er stevig zal worden geschud aan de boom van de cookie- en pixel-gebaseerde verwerkingen.
We raden iedereen dan ook aan de GDPR-actualiteit de komende maanden goed te volgen en nog eens kritisch te kijken naar de eigen gegevensbeschermingsaanpak: Ook in dit dossier komen weer een aantal basiselementen zoals het hebben van een geldige rechtsgrond, het register van verwerkingen, de DPO en het opmaken van DPIA’s naar voor.
De UBA zal in elk geval het nodige doen om jullie op de hoogte te houden.