2022
De GBA herstelt de orde in de online advertentie-industrie: IAB Europe wordt verantwoordelijk gehouden voor een mechanisme dat in strijd is met de AVG
De Gegevensbeschermingsautoriteit (GBA) heeft geoordeeld dat het Transparency and Consent Framework (TCF), dat door IAB Europe is ontwikkeld, niet voldoet aan een aantal bepalingen van de AVG. Het TCF is een wijdverspreid mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt, en dat een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB). De GBA heeft IAB Europe een boete van 250.000 euro opgelegd en geeft het bedrijf twee maanden de tijd om een actieplan voor te leggen om zijn activiteiten in overeenstemming te brengen.
Context van de zaak
Sinds 2019 heeft de GBA een reeks klachten ontvangen die gericht waren tegen Interactive Advertising Bureau Europe (IAB Europe). De klachten hadden betrekking op de overeenstemming van het zogenaamde Transparency & Consent Framework (TCF) met de AVG.
Het TCF, dat door IAB Europe is ontwikkeld, heeft tot doel bij te dragen tot de naleving van de AVG door organisaties die vertrouwen op het OpenRTB-protocol.
Het OpenRTB-protocol is een van de meest gebruikte protocollen voor "Real Time Bidding", d.w.z. de ogenblikkelijke, geautomatiseerde online veiling van gebruikersprofielen voor het verkopen en het aankopen van advertentieruimte op het internet. Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen technologiebedrijven die duizenden adverteerders vertegenwoordigen ogenblikkelijk ("in real time") achter de schermen op die advertentieruimte bieden via een geautomatiseerd veilingssysteem dat algoritmes gebruikt, om gerichte advertenties te laten zien die specifiek zijn afgestemd op het profiel van die persoon.
Wanneer gebruikers voor het eerst een website of applicatie bezoeken, verschijnt een interface (een Consent Management platform of CMP) waar ze hun toestemming kunnen geven voor het verzamelen en delen van hun persoonsgegevens, of bezwaar kunnen maken tegen verschillende soorten van verwerking op basis van de gerechtvaardigde belangen van adtech-verkopers. Hier komt het TCF in beeld: het vergemakkelijkt het vastleggen, via het CMP, van de voorkeuren van de gebruikers. Deze voorkeuren worden dan gecodeerd en opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt. Het CMP plaatst ook een cookie (euconsent-v2) op het apparaat van de gebruiker. In combinatie kunnen de TC string en de euconsent-v2 cookie worden gekoppeld aan het IP-adres van de gebruiker, waardoor de auteur van de voorkeuren identificeerbaar wordt. Het TCF speelt een sleutelrol in de architectuur van het OpenRTB-systeem, aangezien het de gebruikersvoorkeuren weergeeft met betrekking tot potentiële verkopers en verschillende verwerkingsdoeleinden, waaronder het aanbieden van advertenties op maat.
Voornaamste bevindingen: het TCF impliceert de verwerking van persoonsgegevens
In tegenstelling tot wat IAB Europe beweert, is de Geschillenkamer van de GBA van oordeel dat IAB Europe als verwerkingsverantwoordelijke optreedt met betrekking tot de registratie van het toestemmingssignaal, de bezwaren en de voorkeuren van de individuele gebruikers door middel van een unieke Transparency and Consent (TC) String, die gekoppeld is aan een identificeerbare gebruiker. Dit betekent dat IAB Europe verantwoordelijk kan worden gesteld voor mogelijke schendingen van de AVG.
De GBA heeft een reeks inbreuken op de AVG door IAB Europe vastgesteld:
- Rechtmatigheid: IAB Europe heeft geen rechtsgrond voor de verwerking van de TC string vastgesteld, en de door het TCF geboden rechtsgronden voor de verdere verwerking door adtech-verkopers zijn ontoereikend;
- Transparantie en informatie van de gebruikers: de informatie die via de CMP-interface wordt verstrekt, is voor de gebruikers te algemeen en te vaag om de aard en de reikwijdte van de verwerking te kunnen begrijpen, met name gezien de complexiteit van het TCF. Daarom is het voor gebruikers moeilijk om controle over hun persoonsgegevens te houden;
- Verantwoordingsplicht, beveiliging en gegevensbescherming door ontwerp en door standaardinstellingen: bij gebrek aan organisatorische en technische maatregelen overeenkomstig het beginsel van gegevensbescherming door ontwerp en door standaardinstellingen, om onder meer de daadwerkelijke uitoefening van de rechten van de betrokkenen te waarborgen en de geldigheid en de integriteit van de keuzes van de gebruiker te controleren, is de overeenstemming van het TCF met de AVG niet voldoende gewaarborgd of aangetoond;
- Andere verplichtingen van de verwerkingsverantwoordelijke die op grote schaal persoonsgegevens verwerkt: IAB Europe heeft geen register van verwerkingsactiviteiten bijgehouden, geen DPO aangewezen en geen "DPIA" uitgevoerd (gegevensbeschermingseffectbeoordeling).
Sanctie
Naar aanleiding van deze inbreuken heeft de Geschillenkamer van de GBA beslist om ernstige sancties op te leggen, met name omdat het TCF er voor een grote groep burgers toe kan leiden dat zij de controle over hun persoonlijke informatie verliezen. De Geschillenkamer heeft IAB Europe daarom een administratieve boete van 250.000 euro opgelegd. Zij heeft het bedrijf bovendien gelast een reeks corrigerende maatregelen te treffen en de huidige versie van het TCF in overeenstemming met de AVG te brengen.
Deze maatregelen omvatten (onder andere):
- het vaststellen van een geldige rechtsgrond voor de verwerking en verspreiding van gebruikersvoorkeuren in het kader van het TCF, evenals het verbod op het gebruik van het gerechtvaardigd belang als basis voor de verwerking van persoonsgegevens door organisaties die deelnemen aan het TCF;
- het grondig doorlichten van deelnemende organisaties om er zeker van te zijn dat zij voldoen aan de vereisten van de AVG.
De GBA geeft IAB Europe twee maanden de tijd om een actieplan voor te leggen om deze corrigerende maatregelen toe te passen.
Tegen deze beslissing kan beroep worden aangetekend.
Hielke Hijmans, Voorzitter van de Geschillenkamer van de GBA: "De verwerking van persoonsgegevens (bijv. gebruikersvoorkeuren vastleggen) onder de huidige versie van het TCF is niet in overeenstemming met de AVG, wegens een inherente inbreuk op het beginsel van behoorlijkheid en rechtmatigheid. Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen. Hoewel onze beslissing van vandaag betrekking heeft op het TCF en niet op het hele Real Time Bidding-systeem, zal ze grote gevolgen hebben voor de bescherming van persoonsgegevens van internetgebruikers. De orde in het TCF-systeem moet worden hersteld, zodat gebruikers weer controle over hun gegevens krijgen."
Het éénloketmechanisme
De ontwerpbeslissing die de GBA had voorbereid, is onderzocht in het kader van het samenwerkingsmechanisme van de AVG (het "éénloketmechanisme"). Na grondig onderzoek en twee bezwaren die de GBA in een nieuw voorstel heeft verwerkt, werd de huidige beslissing goedgekeurd door alle betrokken autoriteiten, die de meeste van de dertig landen in de Europese Ruimte vertegenwoordigen.
David Stevens, Voorzitter van de GBA: "Het dappere kleine België heeft weer eens laten zien dat het niet bang is om belangrijke zaken aan te pakken, zoals deze, die echt alle Europese burgers aangaat die online winkelen, werken of spelen. Online privacy en de strijd tegen al te opdringerige vormen van adverteren is voor ons een belangrijke prioriteit.”
Hielke Hijmans: "Ik ben trots op het cruciale werk dat de Inspectiedienst en onze Geschillenkamer in deze zaak hebben verricht, in nauwe samenwerking met onze Europese tegenhangers in het éénloketmechanisme. Dit voorbeeld bewijst dat het éénloketmechanisme doeltreffend kan zijn."
Update 11/01/2023: De Geschillenkamer van de GBA keurt het actieplan van IAB Europe goed
De Geschillenkamer van de GBA heeft IAB Europe vandaag meegedeeld dat zij het actieplan heeft goedgekeurd om de verwerking van persoonsgegevens in het kader van het TCF in overeenstemming te brengen met de bepalingen van de Algemene Verordening Gegevensbescherming (AVG).
In een beslissing van 2 februari 2022 stelde de Geschillenkamer een reeks inbreuken op de AVG door IAB Europe vast en gelastte zij het bedrijf een actieplan in te dienen voor de uitvoering van corrigerende maatregelen. De Geschillenkamer heeft, nadat ze de goedkeuring van het actieplan uitgesteld had in afwachting van het beroep bij het Marktenhof, dat besloot prejudiciële vragen aan het HvJ-EU voor te leggen zonder evenwel de beslissing van 2 februari 2022 te vernietigen, het actieplan nu formeel goedgekeurd. IAB Europe heeft vanaf vandaag maximaal zes maanden de tijd om de voorgestelde maatregelen uit te voeren.
De GBA kan geen verdere mededelingen doen over de inhoud van het actieplan wegens de lopende gerechtelijke procedure.
Update 16/03/2023
Naar aanleiding van een tweede beroep van IAB Europe bij het Marktenhof, heeft de Geschillenkamer van de GBA de uitvoeringstermijn van het actieplan van IAB Europe opgeschort tot het Hof zich uitspreekt over het nieuwe beroep, waarvan de hoorzitting van de partijen gepland is op 31 mei 2023.