Vragen autoriteit persoonsgegevens naar aanleiding besluit apd tcf

Vanuit de werkgroep Privacy zijn een aantal vragen opgesteld en voorgelegd aan de AP. We blijven in contact met de AP en zullen vervolgvragen stellen. Heb je zelf vragen die je wilt stellen neem contact op met [email protected].

1. Waarom heeft de Autoriteit Persoonsgegevens aangegeven het besluit van de Belgische gegevensbeschermingsautoriteit (APD) mogelijk te gaan handhaven, terwijl de APD IAB Europe eerst (in totaal) 8 maanden de tijd biedt om de gebreken op te lossen? En IAB Europe in beroep is gegaan?

"Omdat het systeem in de huidige vorm niet aan de wet voldoet. Daarom heeft de Belgische privacytoezichthouder APD aan IAB Europe een boete van 250.000 euro opgelegd voor het gebruik van het Transparency and Consent Framework (TCF). Daarnaast legde de APD een last onder dwangsom op aan IAB Europe. Die last onder dwangsom houdt in dat IAB binnen twee maanden een actieplan moet maken om het TCF wél aan de Algemene verordening gegevensbescherming (AVG) te laten voldoen.

Na eventuele goedkeuring van het actieplan door de Belgische toezichthouder, moet IAB Europe binnen zes maanden de wijzigingen uit het actieplan implementeren. Lukt dat niet binnen de gestelde termijn? Dan moet IAB Europe 5.000 euro per dag betalen.

Dat IAB Europe naast de opgelegde boete het systeem moet verbeteren, is omdat het systeem in de huidige vorm niet aan de AVG voldoet. Bij het gebruik van het TCF zijn meerdere partijen betrokken: IAB Europe, de eigenaar van de website, de maker van de cookiemelding (consent management platform) en de deelnemende verkopers van advertenties (adtech-bedrijven).

IAB Europe heeft nu sancties opgelegd gekregen van de Belgische toezichthouder. Net als bij IAB Europe, kunnen privacytoezichthouders ook handhavend optreden bij de andere partijen die met het TCF persoonsgegevens verwerken.

De AP zal vanzelfsprekend de bevindingen van de Belgen op het actieplan en het verdere verbetertraject nauwlettend volgen. Op 1 april heeft IAB Europa een actieplan ingediend. Het plan moet het mogelijk maken om in 6 maanden een nieuwe versie van de TCF uit te rollen onder toezicht van de APD. Het actieplan is nog niet geëvalueerd en gevalideerd door de APD."

2. Is er overeenstemming tussen de verschillende Europese privacy toezichthouders met betrekking tot de handhaving van het besluit?

"De Belgische toezichthouder is in deze zaak de leidende toezichthouder. Dit betekent dat het aan de Belgische toezichthouder is om handhavend op te treden richting IAB Europe, zoals ze ook heeft gedaan met dit besluit. Er zijn diverse actoren betrokken bij het TCF. Het is afhankelijk van de specifieke actor en waar deze gevestigd is, welke toezichthouder in de EU bevoegd is om handhavend op te treden jegens deze specifieke actor."

3. De APD heeft aangegeven dat een beroep op de grondslag ‘toestemming’ voor het gebruik van cookies in combinatie met OpenRTB niet slaagt, mede door het aantal vendors dat betrokken is bij TCF/OpenRTB. Maximaal hoeveel vendors mogen door publishers worden ingezet om nog steeds rechtsgeldige toestemming te kunnen vragen?  

"Het is aan de Belgische toezichthouder om in het verbetertraject met IAB Europe te bepalen welke aanpassingen aan het TCF noodzakelijk zijn. De AP volgt nauwlettend dit traject. Desalniettemin, is het aan de betrokken actoren om hun due diligence onderzoek uit te voeren en te bepalen welke maatregelen noodzakelijk zijn om compliant met de AVG te zijn. Dit is niet slechts van één factor afhankelijk, maar dient een geheel van maatregelen te zijn om compliant met de AVG te zijn, o.a. aangaande de eis van een vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming."

4. De APD heeft aangegeven dat een beroep op de grondslag ‘toestemming’ voor het gebruik van cookies in combinatie met OpenRTB niet slaagt doordat het proces te gecompliceerd is. Is de eenvoud/complexiteit van een proces een vereiste voor het geven van toestemming?

"Zie de beantwoording van vraag 3."

5. De APD heeft IAB Europe (in totaal) 8 maanden de tijd gegeven om het TCF te verbeteren. Om in de tussentijd al stappen te kunnen zetten, hebben we 6 praktische tips opgesteld voor publishers om hun cookiebeleid op korte termijn te verbeteren. Hoe kijken jullie naar deze tips (zie bijlage)? Hebben jullie aanvullingen?

"Het past niet binnen de wettelijke taken van de AP om hier op deze wijze een review op te doen."

6. Door dit besluit wordt het gebruik van third party cookies bemoeilijkt. Dit heeft vooral nadelige gevolgen voor kleine en middelgrote bedrijven. Hoe kan de Autoriteit Persoonsgegevens waarborgen dat dit besluit niet in het voordeel van Big Tech valt waardoor hun marktmacht nog meer groeit.

"De AP en haar Europese collega-privacytoezichthouders houden toezicht op de naleving van de privacywetgeving. De macht van de markt valt buiten het bereik van onze wettelijke taken en zorgen hierover moeten bij de ACM en haar Europese collega’s worden geadresseerd."

7. Het real time bidding-proces is op dit moment open, in die zin dat iedere organisatie toegang heeft tot het proces. Zou het probleem dat wordt aangekaart in het besluit worden verholpen als het proces wordt gesloten? Dit zou betekenen dat alleen organisaties toegang krijgen die voldoen aan vooraf vastgestelde voorwaarden en dat persoonlijke data zoveel als mogelijk verwijderd wordt van het protocol.  

"Er is samenhang tussen het TCF en OpenRTB. Echter, ondanks de vaststellingen van de Belgische toezichthouder over de grondslagen, heeft de Belgische toezichthouder geen sancties opgelegd aan IAB Europe ten aanzien van verwerkingen die uitsluitend onder het OpenRTB geschieden. Zie verder de beantwoording van vraag 3."

Questions to the Dutch Data Protection Authority following the APD's decision regarding the TCF

1.Why has the Dutch Data Protection Authority indicated that it may enforce the decision of the APD, while the APD first gives IAB Europe a period of 8 months (in total) to resolve the deficiencies? And while IAB Europe has lodged an appeal against this decision?

"Because in its current form, the system does not comply with the law. This is why the Belgian data protection supervisor APD has imposed a fine of € 250,000 on IAB Europe for the use of the Transparency and Consent Framework (TCF). In addition, the APD imposed an order subject to a penalty on IAB Europe. This order subject to a penalty means that IAB must draw up an action plan within two months to have the TCF comply with the General Data Protection Regulation (GDPR).

After any approval of the action plan by the Belgian supervisory authority, IAB Europe must implement the changes set out in the action plan within six months. If this is not possible within the set timeframe, IAB Europe will have to pay 5,000 euro per day.

In addition to the fine imposed, IAB Europe has to improve the system as in its current form, the system does not comply with the GDPR. Several parties are involved in the use of the TCF: IAB Europe, the owner of the website, the creator of the cookie notification (consent management platform), and the participating advertisement vendors (adtech companies).

The Belgian supervisory authority has now imposed sanctions on IAB Europe. As with IAB Europe, data protection supervisors may also take enforcement measures against other parties that process personal data using the TCF.

It goes without saying that the DPA will closely follow the findings of the Belgians on the action plan and the further improvement process. IAB Europe submitted their action plan on April 1st, which should enable a new version of the TCF to be rolled out over the course of 6 months, under the supervision of the APD. The plan still needs to be reviewed and validated by the APD."

2. Is there agreement between the different European supervisory authorities on the enforcement of the decision?

"The Belgian supervisory authority is the lead in this case. This means that it is up to the Belgian supervisory authority to take enforcement measures against IAB Europe, as it has done with this decision. Various actors are involved in the TCF. Which EU supervisory authority is competent to take enforcement measures against a specific actor depends on that specific actor and where it is located."

3. The APD has indicated that 'consent' cannot successfully be invoked as a legal basis for the use of cookies in combination with OpenRTB, partly because of the number of vendors involved in TCF/OpenRTB. What is the maximum number of vendors that publishers can use and still be able to ask for a legally valid consent?  

"It is up to the Belgian supervisory authority to determine in the improvement process with IAB Europe what adjustments to the TCF are necessary. The DPA is closely following this process. Nevertheless, it is up to the actors involved to perform their due diligence and determine what measures are necessary for compliance with the GDPR. This does not depend on one single factor, but compliance with the GDPR requires a set of measures, including the requirement of free, specific, informed and unambiguous consent."

4. The APD has indicated that 'consent' cannot successfully be invoked as a legal basis for the use of cookies in combination with OpenRTB because the process is too complicated. Is the simplicity/complexity of a process a requirement for giving consent?

"See the answer to question 3."

5. The APD has granted IAB Europe a period of 8 months (in total) to improve the TCF. To be able to take steps in the meantime, we have compiled 6 practical tips for publishers to improve their cookie policies in the short term. What is your opinion on these tips (see attachment)? Do you have any additions?

"It is not part of the statutory duties of the DPA to review this in this way."

6. This decision makes the use of third party cookies more difficult. This affects small and medium-sized enterprises in particular. How can the Dutch Data Protection Authority ensure that this decision does not favour Big Tech and increases their market power even more?

"The DPA and its European colleagues monitor compliance with privacy legislation. Market power is beyond the scope of our statutory duties and concerns about it should be addressed to the Netherlands Authority for Consumers and Markets (ACM) and its European colleagues."

7. The real-time bidding process is currently open, in the sense that any organisation has access to the process. Would the problem raised in the decision be solved if the process was closed? This would mean that only organisations that meet predetermined conditions are granted access and that personal data is removed from the protocol as much as possible.  

"The TCF and OpenRTB are interrelated. However, despite the Belgian supervisory authority's findings on the legal bases, the Belgian supervisory authority has not imposed any sanctions on IAB Europe with regard to processing operations that are exclusively carried out under the OpenRTB. See also the answer to question 3."

Gerelateerde artikelen

ArtikelData, Tech & Legal

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder

WhitepaperData, Tech & LegalData & Techniek

Whitepaper Data-Cleanrooms: Wat zijn het en hoe zet je ze effectief in?

Het landschap van digitale marketing is flink veranderd. Firefox en Safari ondersteunen geen cookies van derden meer, Chrome is ze aan het uitfaseren en de ePrivacy Richtlijn en GDPR vereisen dat uitgevers en adverteerders toestemming van consumenten krijgen om hun data te verzamelen en te gebruiken. En dat zorgt voor de nodige uitdagingen op het gebied van data en privacy. Gelukkig bieden data-cleanrooms een oplossing. Cleanrooms maken het voor bedrijven mogelijk om samen te werken en data te analyseren met behoud van privacy en naleving van regelgeving. Ze zijn vooral nuttig in situaties waarin meerdere partijen de collectieve kracht van hun gegevens willen benutten zonder de individuele privacy of gegevensbeveiliging in gevaar te brengen. Klantgegevens worden zorgvuldig geanonimiseerd en ontdaan van alle persoonlijke of identificeerbare informatie. Deze gegevens kunnen vervolgens worden geanalyseerd en gebruikt om nieuwe inzichten te krijgen over gebruikers op een geaggregeerd niveau. Dit whitepaper geeft marketeers die nog geen of weinig ervaring hebben met data-cleanrooms inzicht in alle mogelijkheden. Van het definiëren van doelstellingen tot juridische zaken, uploaden van data en verbinding met andere bronnen tot het uitvoeren van data-analyses. De theorie wordt aangevuld met cases uit de Nederlandse reclame-industrie en aanbevelingen die betrekking hebben op de beperkingen en kosten van data-cleanrooms. Bijdragen van: Birgit Boing, Emmelijn Hermens, Weiwei Liu-Schröder, Bastiaan Spaans, Bernard de Vreede, Mark Wilmont.

Lees verder

RichtlijnenData, Tech & Legal

Legal Digital Advertising Checklist

In een tijdperk waarin digitale interactie en online aanwezigheid de norm zijn geworden, is het verzamelen van persoonsgegevens een integraal onderdeel geworden van het online ecosysteem. Dit gebeurt door middel van (tracking-)cookies en diverse andere vergelijkbare tracking-technieken. Het tonen van gepersonaliseerde advertenties is een essentieel onderdeel geworden van de digital advertising wereld. Deze vorm van adverteren maakt niet alleen gratis toegang tot websites mogelijk, maar biedt betrokkenen ook een op maat gemaakte ervaring. Het is van cruciaal belang dat deze vorm van adverteren plaatsvindt in overeenstemming met wet- en regelgeving. Deze checklist biedt een overzicht van de belangrijkste juridische aspecten waar bedrijven rekening mee moeten houden bij het plaatsen van advertenties online. Door deze checklist te volgen, kan worden nagegaan of online advertentiegebruik zowel juridisch correct als professioneel verantwoord is. Let op: deze checklist is ontwikkeld als hulpmiddel voor bedrijven om te streven naar naleving van het wettelijk en regelgevend kader binnen de advertentiebranche. Het gebruik van deze checklist impliceert echter geen garantie dat volledige naleving wordt bereikt. Het wordt altijd aangeraden een juridisch professional te raadplegen om te waarborgen dat alle relevante wetten en regels worden nageleefd en correct worden geïnterpreteerd.

Lees verder