De Belgische privacytoezichthouder, de Gegevensbeschermingsautoriteit (GBA), heeft geoordeeld dat het Transparency en Consent Framework (TCF) van IAB Europe niet voldoet aan de vereisten van de Algemene verordening gegevensbescherming (AVG). Het framework werkt als mechanisme om het verkrijgen en vastleggen van toestemming voor Real Time Bidding (RTB) te vereenvoudigen. Oké, dat zijn veel afkortingen in één alinea. Waar gáát dit over?
Wat is RTB?
RTB is een geautomatiseerde online veiling van gebruikersprofielen. Stel je voor dat je website X bezoekt. Op website X worden altijd erg interessante advertenties getoond middels banners, die toevallig ook (bijna angstaanjagend) goed aansluiten bij jouw interesses. Het ‘vullen’ van deze advertenties die aansluiten bij het profiel van de websitebezoeker kan plaatsvinden middels RTB. Dit houdt in dat achter de schermen adverteerders kunnen bieden om hun advertenties te laten tonen aan websitebezoekers die qua profiel hier goed bij aansluiten. Om dit te kunnen doen moeten ze natuurlijk wel het profiel weten van de websitebezoeker, je wilt tenslotte geen advertentie van een gloednieuwe sportauto aan een 70’er tonen (overigens is dit een puur hypothetisch voorbeeld, en is dit wellicht juist de perfecte doelgroep voor de sportauto).
Dit houdt in dat met de adverteerders gegevens gedeeld worden van de websitebezoeker. En dit moet allemaal in een hele korte tijd gebeuren, aangezien jij direct de relevante advertentie moet zien als je op de website komt.
Hoe het IAB TCF v2.0 framework werkt
Waar persoonsgegevens worden verwerkt moet (in de meeste gevallen) aan de AVG worden voldaan. En om dit het hele verplichte AVG-verhaal te vereenvoudigen voor zowel websitebezoekers als adverteerders, heeft het IAB Europe hiervoor het IAB TCF v2.0 framework opgezet. Middels TCF wordt er aan de websitebezoekers bij een eerste bezoek een interface getoond (een variant van de welbekende cookiebanner). Binnen deze interface kan er toestemming geven worden voor het verzamelen en delen van persoonsgegevens ten behoeve van gepersonaliseerde advertenties. Het framework biedt ook de mogelijkheid om dit te weigeren. Zie ook het voorbeeld hieronder (bron).
De door de websitebezoeker aangegeven voorkeuren worden vervolgens door het TCF vastgelegd en opgeslagen in een zogeheten “TC string”. Om het nog wat ingewikkelder te maken wordt de TC string weer gekoppeld aan een cookie, die het IP-adres van de websitebezoeker inzichtelijk maakt. En voor de privacyguru’s onder ons: dit maakt de websitebezoeker identificeerbaar, omdat we een IP-adres als persoonsgegeven zien. Deze TC string wordt vervolgens weer gedeeld met de adverteerders, zodat zij inzage hebben in de voorkeuren van een websitebezoeker. Zo kunnen adverteerders beslissen of ze willen bieden op de advertentieruimte, omdat de websitebezoeker wellicht bij hun profiel aansluit. Maar dat voldoen aan de AVG gaat behoorlijk mis bij IAB Europe.
Waarom is IAB Europe in strijd met de AVG?
Om te beginnen: de GBA oordeelde dat IAB Europe de verwerkingsverantwoordelijke is ten aanzien van het verzamelen en delen van de gegevens (de TC string). Dit houdt in dat IAB Europe moet voldoen aan de vereisten uit de AVG die voor de verwerkingsverantwoordelijke gelden. Dat zijn er nogal wat, en dat bleek in de praktijk lastig. De GBA heeft de volgende inbreuken vastgesteld:
- Er is geen grondslag aanwezig om de TC string te verzamelen, en tevens geen rechtsgrond om de TC string vervolgens door de adverteerders verder te laten verwerken. Een rechtsgrond is de basis die je nodig hebt om gegevens te mogen verwerken. Denk hierbij aan toestemming, of het uitvoeren van een overeenkomst die je met de betrokkenen (websitebezoekers) hebt gesloten.
- De middels het framework verstrekte informatie aan de websitebezoekers was te algemeen en te vaag. Nu is het van belang om te benoemen dat het ook een vrij ingewikkelde werkwijze is die niet eenvoudig is uit te leggen aan betrokkenen. Dit betekent echter dat je nog meer je best moet doen om alle benodigde informatie te verstrekken zodat de websitebezoeker een weloverwogen keuze kan maken. Gebeurt dit niet, dan is de verkregen toestemming ook niet geldig.
- Het framework waarborgt o.a. niet de rechten van de betrokkenen, en controleert niet de integriteit van hun keuzes. Er is ook een gebrek aan (aangetoonde) organisatorische en technische maatregelen om de gegevens goed te beschermen.
- Andere algemene verplichtingen die op de verwerkingsverantwoordelijke rusten werden niet nageleefd, zoals het bijhouden van een verwerkingsregister, het uitvoeren van een DPIA en het aanstellen van een Functionaris gegevensbescherming.
Verder is het nog interessant om te vermelden dat uit een onderzoek van Adalytics is gebleken dat zelfs indien de websitebezoeker middels het framework tracken en profileren weigerde, dit door adverteerders toch werd gedaan.
Een boete van €250.000
Mede gezien de grote (privacy)impact die het framework heeft, aangezien het door veel websites gebruikt wordt en dus op grote schaal gegevens van websitebezoekers verwerkt, wordt er door de GBA een administratieve boete van €250.000,- opgelegd. Daarnaast zijn er diverse corrigerende maatregelen opgelegd, om er zorg voor te dragen dat het framework in overeenstemming met de AVG wordt gebracht. Het is nu dus nog even in spanning afwachten hoe deze maatregelen doorgevoerd gaan worden door IAB Europa. Ik ben in ieder geval erg benieuwd hoe een AVG-proof versie van het framework eruit zou zien.
Meer lezen over dit onderwerp? Lees verder:
