UPDATE: Uitspraak APD inzake Transparency Consent Framework

Op 02-02-2022 heeft de Belgische gegevensbeschermingsautoriteit (APD) het onderzoek dat het heeft uitgevoerd naar het Transparency Consent Framework (TCF) van IAB Europe en het daaraan verbonden besluit gepubliceerd. Hier kun je de belangrijkste conclusies en consequenties van dit besluit vinden.

De wijze waarop het TCF op dit moment het verkrijgen van de uit de Algemene Verordening Gegevensbescherming (AVG) afkomstige grondslag ‘toestemming’ voor de inzet van cookies in relatie met OpenRTB faciliteert is onrechtmatig, doordat betrokkenen niet op een eenvoudige en transparante wijze worden geïnformeerd over het proces.

Het TCF is een standaard die wordt gebruikt om de informatievoorziening rondom- en rechtvaardiging van cookies gelijk te trekken. Cookies kunnen grofweg worden onderverdeeld in twee soorten: ‘functionele cookies’ en ‘niet-functionele cookies’. Functionele cookies zijn cookies die noodzakelijk zijn voor het goed laten werken van een website, zoals het onthouden van wachtwoorden en voorkeursinstellingen bij een volgend bezoek. Niet-functionele cookies worden bijvoorbeeld ingezet om advertenties die worden getoond op een website te personaliseren. Voor het gebruik van niet-functionele cookies moet in de meeste gevallen actief om toestemming worden gevraagd aan de betrokkene.[1] Dit is niet het geval bij functionele cookies, waarbij een beroep op een ‘gerechtvaardigd belang’ ook volstaat als grondslag. Het is dan toegestaan om zonder toestemming van de betrokkene de cookie in te zetten, mits de betrokkene daarover wordt geïnformeerd.De meeste gepersonaliseerde advertenties die online worden getoond, worden gepersonaliseerd door een proces dat ‘real time bidding’ wordt genoemd. Door middel van real time bidding kunnen adverteerders (geautomatiseerd) bieden op advertentieruimte.  Hierdoor is het mogelijk advertenties alleen aan betrokkenen te laten zien waarvan wordt ingeschat dat zij geïnteresseerd zijn in die specifieke advertentie. Voor het gebruik van deze techniek moet altijd toestemming worden gevraagd. Voor real time bidding zijn verschillende platformen beschikbaar waaronder OpenRTB. OpenRTB is ontwikkeld door IAB Technology Laboratory.Volgens de APD is het gehele proces van toestemming vragen voor de inzet van cookies door middel van het TCF tot het personaliseren van advertenties op het platform van OpenRTB zo gecompliceerd (geworden) dat het voor betrokkenen onmogelijk is rechtsgeldig toestemming te geven. Eén van de vereisten voor rechtsgeldige toestemming is namelijk dat de betrokkene op een eenvoudige en transparante wijze wordt geïnformeerd over het gebruik van zijn/haar persoonsgegevens. Doordat het proces (door het grote aantal deelnemende partijen) zo gecompliceerd is geworden, is het niet mogelijk om dit op een eenvoudige wijze aan een betrokkene uit te leggen en kan er dus ook niet rechtsgeldig toestemming worden gevraagd, aldus de APD.Dit betekent concreet dat het gebruik van het TCF in combinatie met OpenRTB niet is toegestaan totdat het proces is vergemakkelijkt en de informatievoorziening verbeterd. Het grote aantal deelnemende partijen bij het proces om advertenties te personaliseren zal waarschijnlijk drastisch terug moeten worden gebracht.Een TC String moet volgens de APD als een persoonsgegeven worden aangemerkt. Het gebruik daarvan is daarom alleen toegestaan als wordt voldaan aan de AVG.

Een TC String is een databestand dat wordt gebruikt om bepaalde voorkeuren van een betrokkene die een website bezoekt vast te leggen (oftewel een cookie). Hierbij moet worden gedacht aan of een betrokkene wel of geen toestemming geeft voor het gebruik van cookies voor bepaalde doeleinden. De APD noemt het hierdoor een ‘toestemmingsignaal’. TC Strings zijn onderdeel van het TCF.Een persoonsgegeven is een gegeven dat direct of indirect een persoon kan identificeren. Als een organisatie met persoonsgegevens werkt, moet het daarmee automatisch voldoen aan de AVG. De APD oordeelt dat een TC String, in tegenstelling tot het standpunt van IAB Europe, moet worden aangemerkt als een persoonsgegeven. Hoewel niet kan worden vastgesteld dat een TC String direct een betrokkene kan identificeren, is het daarentegen wél mogelijk om dit indirect te doen; het is volgens de APD onvermijdelijk om bij het vastleggen van de keuzes van een betrokkene ook het IP-adres vast te leggen. Een IP-adres is (in de meeste gevallen) een persoonsgegeven. Daarnaast wordt een TC String vaak gekoppeld aan andere persoonsgegevens zoals het geval bij het personaliseren van advertenties in de context van OpenRTB. Dit maakt verdere identificatie mogelijk, aldus de APD.Dit betekent dat organisaties die gebruik maken van TC Strings een beroep moeten kunnen doen op een AVG-grondslag voor de inzet van deze cookie. De APD geeft aan dat voor de inzet voor een TC String het mogelijk is om een beroep te doen op een ‘gerechtvaardigd belang’. Er hoeft dan niet om toestemming te worden gevraagd bij de betrokkene. Echter, het TCF maakt het niet mogelijk om als betrokkene bezwaar te maken tegen het gebruik van de TC String. Iets dat wél verplicht is bij een beroep op een ‘gerechtvaardigd belang'. Dat maakt een beroep op een ‘gerechtvaardigd belang’ op dit moment niet succesvol volgens de APD. Aangezien er ook geen toestemming wordt gevraagd (of een beroep kan worden gedaan op een andere AVG-grondslag), is de inzet van de TC String op dit moment onrechtmatig.

IAB Europe is verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens binnen het TCF.

De AVG herkent twee rollen: de verwerkingsverantwoordelijke en de verwerker. Een verwerkingsverantwoordelijke is een organisatie die het doel en middel van het gebruik van persoonsgegevens vaststelt. Het is daarmee (zoals het woord zelf ook al aangeeft) hoofdverantwoordelijke voor de persoonsgegevens. Als twee (of meerdere) organisaties het doel en middel vaststellen, wordt er gesproken van gezamenlijke verwerkingsverantwoordelijkheid. Een verwerker is een organisatie die in opdracht van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. IAB Europe stelt volgens de APD de doeleinden vast van de TC Strings. Dit volgt uit verschillende ‘TCF Policies’. Daarnaast oefent IAB Europe invloed uit op de middelen die worden ingezet voor de verzameling van persoonsgegevens onder het TCF. Zo bepaalt IAB Europe de opslaglocatie van de TC Strings. Dit maakt dat IAB Europe een beslissende rol speelt in de verzameling van persoonsgegevens door organisaties die gebruik maken van de standaard. Hierdoor moet IAB Europe worden aangemerkt als verwerkingsverantwoordelijke. In relatie met OpenRTB moet IAB Europe tevens worden gezien als verwerkingsverantwoordelijke gezamenlijk met de andere partijen die betrokken zijn bij het personaliseren en plaatsen van advertenties.  IAB Europe is er altijd vanuit gegaan dat het zowel geen verwerkingsverantwoordelijke noch verwerker is. Op basis van dit uitgangspunt heeft de organisatie aangenomen dat het aan bepaalde verplichtingen uit de AVG niet hoefde te voldoen. Het besluit van de APD betekent dat IAB Europe als verwerkingsverantwoordelijke daardoor aan een groot aantal verplichtingen zoals beschreven in de AVG niet voldoet. Hierbij moet worden gedacht aan het treffen van voldoende beveiligingsmaatregelen, het toezicht houden op gebruikers van het TCF, het informeren van betrokkenen, het bijhouden van een verwerkingsregister en het aanstellen van een Functionaris Gegevensbescherming.  IAB Europe krijgt twee maanden de tijd om een verbeterplan op te stellen. Nadat de APD dit plan heeft goedgekeurd, moet IAB Europe binnen zes maanden het plan ten uitvoer brengen. VIA Nederland heeft ook de vraag neergelegd bij de Nederlandse Autoriteit Persoonsgegevens hoe zij denken te gaan handhaven op basis van dit besluit. * UPDATE 11 februari de AP heeft in schriftelijke reactie laten:

Vraag: “We zijn benieuwd hoe de uitspraken in het FD zich verhouden tot de tijdspanne die door IAB Europa is gegeven verbeteringen uit te voeren?”

Reactie AP: Zoals bekend heeft de Belgische toezichthouder geconstateerd dat het TCF niet voldoet aan de AVG en heeft daarom IAB Europe twee sancties opgelegd: een boete en een corrigerende maatregel. In dit geval heeft IAB twee maanden gekregen om een actieplan op te stellen aan de hand waarvan het TCF wél aan de AVG voldoet. Het actieplan omvat onder andere het vaststellen van een geldige rechtsgrond voor de verwerking en verspreiding van gebruikersvoorkeuren in het kader van het TCF. Indien dat lukt, en de Belgische toezichthouder keurt dat plan goed, dan heeft IAB nog eens zes maanden om dat actieplan door te voeren om zo TCF te laten voldoen aan de AVG.

Dat neemt geenszins weg dat het TCF in zijn huidige vorm niet aan de AVG voldoet. Dat heeft de Belgische toezichthouder immers aangetoond. Inzet van het TCF is dus een overtreding van de AVG. De AP kan dan eventueel overgaan tot handhaven. Handhaving kan daarbij overigens niet alleen bestaan uit een boete of een corrigerende maatregel (zoals in het geval van IAB). Ook een berisping is een handhavingsinstrument dat de AP tot haar beschikking heeft. De AP zal de bevindingen van de Belgische toezichthouder, over het actieplan van IAB, in dat kader dan ook nauwlettend volgen.

Lees hier de FAQ van IAB Europa

Lees hier het statement IAB Europa

Gerelateerde artikelen

ArtikelData, Tech & Legal

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder

WhitepaperData, Tech & LegalData & Techniek

Whitepaper Data-Cleanrooms: Wat zijn het en hoe zet je ze effectief in?

Het landschap van digitale marketing is flink veranderd. Firefox en Safari ondersteunen geen cookies van derden meer, Chrome is ze aan het uitfaseren en de ePrivacy Richtlijn en GDPR vereisen dat uitgevers en adverteerders toestemming van consumenten krijgen om hun data te verzamelen en te gebruiken. En dat zorgt voor de nodige uitdagingen op het gebied van data en privacy. Gelukkig bieden data-cleanrooms een oplossing. Cleanrooms maken het voor bedrijven mogelijk om samen te werken en data te analyseren met behoud van privacy en naleving van regelgeving. Ze zijn vooral nuttig in situaties waarin meerdere partijen de collectieve kracht van hun gegevens willen benutten zonder de individuele privacy of gegevensbeveiliging in gevaar te brengen. Klantgegevens worden zorgvuldig geanonimiseerd en ontdaan van alle persoonlijke of identificeerbare informatie. Deze gegevens kunnen vervolgens worden geanalyseerd en gebruikt om nieuwe inzichten te krijgen over gebruikers op een geaggregeerd niveau. Dit whitepaper geeft marketeers die nog geen of weinig ervaring hebben met data-cleanrooms inzicht in alle mogelijkheden. Van het definiëren van doelstellingen tot juridische zaken, uploaden van data en verbinding met andere bronnen tot het uitvoeren van data-analyses. De theorie wordt aangevuld met cases uit de Nederlandse reclame-industrie en aanbevelingen die betrekking hebben op de beperkingen en kosten van data-cleanrooms. Bijdragen van: Birgit Boing, Emmelijn Hermens, Weiwei Liu-Schröder, Bastiaan Spaans, Bernard de Vreede, Mark Wilmont.

Lees verder

RichtlijnenData, Tech & Legal

Legal Digital Advertising Checklist

In een tijdperk waarin digitale interactie en online aanwezigheid de norm zijn geworden, is het verzamelen van persoonsgegevens een integraal onderdeel geworden van het online ecosysteem. Dit gebeurt door middel van (tracking-)cookies en diverse andere vergelijkbare tracking-technieken. Het tonen van gepersonaliseerde advertenties is een essentieel onderdeel geworden van de digital advertising wereld. Deze vorm van adverteren maakt niet alleen gratis toegang tot websites mogelijk, maar biedt betrokkenen ook een op maat gemaakte ervaring. Het is van cruciaal belang dat deze vorm van adverteren plaatsvindt in overeenstemming met wet- en regelgeving. Deze checklist biedt een overzicht van de belangrijkste juridische aspecten waar bedrijven rekening mee moeten houden bij het plaatsen van advertenties online. Door deze checklist te volgen, kan worden nagegaan of online advertentiegebruik zowel juridisch correct als professioneel verantwoord is. Let op: deze checklist is ontwikkeld als hulpmiddel voor bedrijven om te streven naar naleving van het wettelijk en regelgevend kader binnen de advertentiebranche. Het gebruik van deze checklist impliceert echter geen garantie dat volledige naleving wordt bereikt. Het wordt altijd aangeraden een juridisch professional te raadplegen om te waarborgen dat alle relevante wetten en regels worden nageleefd en correct worden geïnterpreteerd.

Lees verder