De recente uitspraak van het Marktenhof over de rol van IAB Europe in het Transparency & Consent Framework (TCF) biedt helderheid in een langlopende discussie over digitale privacy.
Het Marktenhof oordeelt dat de TC String, die gebruikersvoorkeuren over cookies vastlegt, onder bepaalde omstandigheden als persoonsgegeven kan worden beschouwd, maar dit betekent geenszins dat het gebruik ervan illegaal is. Integendeel, IAB Europe erkent de uitkomst van het Hof als een belangrijke stap richting duidelijkheid en juridische zekerheid, en heeft haar TCF-updates al in lijn gebracht met de vereisten, onder meer door het specificeren van de rechtsgrondslag voor de verwerking van de TC String. Daarbij benadrukt het Marktenhof dat IAB Europe als gezamenlijke verwerkingsverantwoordelijke fungeert tot het moment dat een TC String wordt verzameld, maar geen verantwoordelijkheid draagt voor de verwerking van gegevens in de verdere keten. Deze nuancering is cruciaal, want het bevestigt dat het TCF als raamwerk kan blijven functioneren binnen de kaders van de AVG.
In dit artikel analyseren we de uitspraak van het Marktenhof. We bespreken de kernpunten van de uitspraak, de gevolgen voor de leden van VIA (zoals de noodzaak van overeenkomsten en gezamenlijke verantwoordelijkheid) en het oordeel over ‘gerechtvaardigd belang’ als juridische grondslag voor dataverwerking in het TCF.
Het Marktenhof heeft nu uitdrukkelijk bevestigd dat een TC String een persoonsgegeven is onder de Algemene Verordening Gegevensbescherming (AVG). Hoewel een TC String op het eerste gezicht slechts een reeks tekens is, bevat deze code informatie over de voorkeuren van een specifieke gebruiker. Bijvoorbeeld: gebruiker X geeft geen toestemming voor gepersonaliseerde reclame. Deze informatie (de TC String), over gebruiker X, kan vervolgens gekoppeld worden aan een individueel apparaat of persoon. Namelijk, via het bijbehorende cookie en het IP-adres van het apparaat van gebruiker X. Het Hof wijst erop dat hierdoor de TC String informatie over een identificeerbare natuurlijke persoon betreft. De voorkeuren behoren tot één gebruiker, en via een IP-adres of unieke cookie kan die gebruiker in veel gevallen worden herkend.
Vervolgens heeft het Marktenhof behandeld wie er juridisch verantwoordelijk is voor de verwerking van die persoonsgegevens (de TC String) binnen het TCF. In de AVG is bepaald dat de verwerkingsverantwoordelijke de partij is die het doel “waarom verwerken we deze data?” en de middelen “hoe verwerken we dit?” bepaalt.
Het Marktenhof heeft bevestigd dat IAB Europe zélf als verwerkingsverantwoordelijke optreedt voor de verwerking van TC Strings binnen het TCF. Het Marktenhof is tot deze beslissing gekomen omdat IAB Europe het TCF-framework aan de advertentie-industrie ontwerpt, beheert en verstrekt. Via dit raamwerk legt IAB Europe bindende regels en technische standaarden op aan alle deelnemers over hoe ze toestemming en voorkeuren moeten vastleggen en doorgeven. Hierdoor bepaalt IAB Europe in grote mate het “waarom en hoe” van de gegevensverwerking die plaatsvindt bij het genereren van de TC String.
Als voorbeeld wijst het Hof erop dat het TCF is opgezet met het doel om de onderliggende advertentiepraktijken (zoals OpenRTB) in overeenstemming te brengen met de AVG. Door dit doel te stellen en de technische uitwerking (het string-format, de cookie etc.) te bepalen, beslist IAB Europa over het doel en de essentiële middelen van de verwerking de persoonsgegevens (de TC Strings) binnen het TCF.
Belangrijk is dat IAB Europe niet de enige verantwoordelijke is: er is sprake van gezamenlijke verantwoordelijkheid. Alle partijen die meedoen aan het TCF – met name de websites/uitgevers die de CMP plaatsen, de CMP-leveranciers zelf, en de adtech-partijen – hebben ieder een rol bij het verzamelen en gebruiken van de TC Strings. Zij bepalen samen het IAB Europe hoe het proces verloopt. Het Marktenhof bevestigt dat IAB Europe gezamenlijk verwerkingsverantwoordelijke is samen met deze andere TCF-deelnemers voor de verwerking van persoonsgegevens binnen het TCF.
De vuistregel die uit deze uitspraak kan worden afgeleid, is dat IAB Europe en een partij die het TCF implementeert, gezamenlijk verantwoordelijk zijn voor het correct vastleggen en doorgeven (verwerken) van de voorkeuren van de gebruiker, in overeenstemming met de privacywetgeving. Gezamenlijke verantwoordelijkheid betekent echter niet automatisch dat beide partijen voor gelijke delen (50/50) aansprakelijk zijn. De rechter beoordeelt de taakverdeling binnen de verwerking om te bepalen in hoeverre elke partij aansprakelijk is voor een onjuiste verwerking van persoonsgegevens.
Een belangrijk nuance in de uitspraak is dat de gezamenlijke verantwoordelijkheid van IAB Europe zich beperkt tot de TCF-fase zelf, en niet automatisch doorloopt in alle latere verwerkingen door derden buiten het TCF. Met andere woorden, IAB Europe is niet (mede)verantwoordelijk voor wat er gebeurt nadat de TC String is doorgegeven aan anderen.
In de online advertentieketen gebruiken adtech-partijen de TC Strings om te weten of ze wel of niet gepersonaliseerde data van de gebruiker mogen verwerken tijdens een advertentieveiling. Maar die verdere verwerking in het OpenRTB-systeem – bijvoorbeeld het daadwerkelijk samenstellen van een gepersonaliseerd profiel of het plaatsen van een gerichte advertentie – valt buiten de directe controle van IAB Europe.
IAB Europe is verantwoordelijk voor het kader en mechanisme waarmee toestemming wordt geregistreerd en gedeeld (de TC String via TCF). Maar zodra een individuele uitgever of adtech-partij die informatie vervolgens gebruikt om een gepersonaliseerde advertentie te tonen of om gegevens verder te analyseren, ligt de verantwoordelijkheid voor dát gebruik primair bij die partij zelf. IAB Europe heeft die latere stappen niet (volledig) in de hand en is daar dus ook niet verantwoordelijk voor.
De uitspraak van het Marktenhof heeft concrete implicaties voor VIA leden die gebruikmaken van het TCF en de TC Strings. Hieronder zijn de belangrijkste gevolgen op een rij gezet:
Tot slot heeft het Marktenhof in haar uitspraak het gerechtvaardigd belang grondslag behandeld. Een heikel punt in deze zaak was of er een geldige rechtsgrond is voor de verwerking van persoonsgegevens in het kader van het TCF/OpenRTB.
Het Marktenhof oordeelt dat het TC String een persoonsgegevens is zodra het aan een IP-adres kan worden gekoppeld. Omdat het daarmee onder de reikwijdte van de AVG valt, is een rechtsgrondslag nodig voor het verzamelen van de TC String.
Dit betekent echter niet dat het gebruik ervan illegaal is. Integendeel, IAB Europe erkent deze uitkomst als een verduidelijking van de spelregels en heeft de noodzakelijke stappen al gezet door de rechtsgrondslag voor de verwerking van de TC String aan te passen. IAB Europe heeft dit opgelost in een recente update van het TCF (een versie 2.2), waarbij de rechtsgrondslag is aangepast naar het beroep op “gerechtvaardigd belang” of een “opt-out”-mechanisme. Zo blijft het TCF volledig binnen de kaders van de AVG functioneren.
TC Strings zijn persoonsgegevens, en IAB Europe heeft samen met alle deelnemende partijen een verantwoordelijkheid om deze gegevens volgens de privacyregels te behandelen. VIA leden die het TCF gebruiken doen er verstandig aan de juridische implicaties te begrijpen: ze delen niet alleen in de voordelen van een gestandaardiseerd content-systeem, maar ook in de verantwoordelijkheden en aansprakelijkheden. Er zullen nieuwe overeenkomsten of voorwaarden nodig zijn om die gezamenlijke verantwoordelijkheid te formaliseren, en elke partij moet intern de compliance op orde brengen. IAB Europe komt hier later op terug.
Tot slot is het gerechtvaardigd belang een van de manieren waarop IAB Europe het verzamelen van de TC String wil legaliseren en in overeenstemming brengen met de AVG. Het benadrukt dat de verwerking niet zonder meer ongeoorloofd is, zolang dit belang goed wordt onderbouwd en gebruikers de kans krijgen bezwaar te maken.
