Belgische privacy-toezichthouder torpedeert legitimiteit Europese cookieformulieren
De Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit stelt dat de wijze waarop het online reclamebedrijf IAB Europe gebruikers volgt en om toestemming vraagt in strijd is met Europese privacywetgeving. Alle gegevens die onder deze methodiek is verzameld moeten worden gewist, stelt de privacywaakhond.
De zaak diende in België, maar vanwege het grensoverstijgende belang hadden andere Europese toezichthouders en digitale burgerrechtenorganisaties zoals het Nederlandse Bits of Freedom zich bij de klacht aangesloten.
Centraal staat IAB’s zogeheten Transparency & Consent Framework (TCF) - een gestandaardiseerd cookie-formulier van IAB dat op 80 procent van Europese websites wordt gebruikt. Onder meer Google, Facebook-moeder Meta en Microsoft zijn bij IAB aangesloten.
In totaal gaat het om zo’n duizend bedrijven die deelnemen in IAB Europe. De gegevens van al deze bedrijven zijn onwettig verzameld en moeten worden verwijderd. De toezichthouder legde IAB Europe een boete van 250.000 euro op en geeft de organisatie twee maanden de tijd om alsnog aan AVG-wetgeving te voldoen.
Er staat nu dertig dagen beroepsmogelijkheid open.
De Gegevensbeschermingsautoriteit wijst in het oordeel (hier in pdf-formaat te lezen) op diverse problemen met het huidige systeem:
Zo zou TCF persoonlijke gegevens onvoldoende beschermen en vertrouwelijk houden, verzamelde data in strijd met geldende AVG-regels verwerken en onvoldoende transparant zijn wat er precies met persoonlijke gegevens wordt gedaan.
Een verweer dat vastgelegde voorkeuren niet als persoonsgegevens gezien kunnen worden, werd door de Geschillenkamer niet gevolgd.
Verder stelt de Geschillenkamer dat IAB Europe nalatig is geweest door onvoldoende rekening te houden met privacy-risico’s die voortkomen uit verdere verwerking van TCF-profielen.
Deze risico’s kleven volgens de Geschillenkamer in het bijzonder aan OpenRTB, een zogeheten real time bidding platform waar adverteerders gericht reclame kunnen inkopen op basis van via TCF geregistreerde voorkeuren. Daar had IAB Europe maatregelen moeten nemen, vindt de toezichthouder.
In een verklaring zegt IAB Europe het oordeel te erkennen, maar van mening te verschillen dat zij een controlerende rol spelen in het data-verzamelproces. “We geloven dat dit oordeel geen houvast heeft in de wet en tegelijk enorme onbedoelde negatieve gevolgen zal hebben, ook buiten de digitale reclameindustrie. We houden alle opties open wat betreft een beroep”, aldus IAB Europe.
Tegelijk noemt IAB Europe de uitspraak een kans om TCF te hervormen zodat het past binnen Europese privacywetgeving.
Praat mee