Europees Hof: veelgebruikte cookiepop-ups IAB in strijd met AVG
De cookiepop-ups van IAB Europe, die op grote schaal door websites worden gebruikt om gebruikers toestemming te vragen voor het plaatsen van cookies, zijn in strijd met de AVG. Dat heeft het Hof van Justitie van de Europese Unie vandaag geoordeeld (pdf). De Belgische privacytoezichthouder GBA oordeelde al in 2022 dat het systeem in strijd met de AVG is.
Het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie, is de ontwikkelaar van het Transparency and Consent Framework (TCF). Dit is een veelgebruikt mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt en een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB).
Het TCF moet organisaties die gebruikmaken van het OpenRTB-protocol helpen bij het naleven van de AVG. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor RTB, waarbij gebruikersprofielen worden geveild voor het verkopen en aankopen van online advertentieruimte. Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen techbedrijven via RTB gerichte advertenties laten zien die specifiek zijn afgestemd op het profiel van de betreffende persoon.
Wanneer gebruikers voor het eerst een website of applicatie bezoeken, verschijnt een interface (een Consent Management platform of CMP) waar ze hun toestemming kunnen geven voor het verzamelen en delen van hun persoonsgegevens, of bezwaar kunnen maken tegen verschillende soorten van verwerking op basis van de gerechtvaardigde belangen van adtech-verkopers.
Het TCF vergemakkelijkt, via het CMP, het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt.
Het CMP plaatst ook een cookie op het apparaat van de gebruiker. In combinatie kunnen de TC string en het cookie worden gekoppeld aan het ip-adres van de gebruiker, waardoor de gebruiker identificeerbaar wordt. IAB Europa is van mening dat het geen verwerkingsverantwoordelijke is, maar dat is volgens de GBA wel het geval. De Belgische privacytoezichthouder stelde twee jaar geleden vast dat IAB Europe op verschillende punten de AVG heeft geschonden.
Zo heeft IAB Europe geen rechtsgrond voor de verwerking van de TC string, is de informatie die via de CMP-interface aan gebruikers wordt verstrek te algemeen en te vaag om de aard en de reikwijdte van de verwerking te kunnen begrijpen, is de overeenstemming van het TCF met de AVG niet voldoende gewaarborgd of aangetoond en voldoet IAB Europe niet aan andere verplichtingen die gelden voor partijen die op grote schaal persoonsgegevens verwerken.
Oordeel Hof
Vanwege het overtreden van de AVG besloot de Belgische privacytoezichthouder een boete op te leggen. IAB Europe ging in beroep tegen de boete bij het hof van beroep in Brussel, dat prejudiciële vragen heeft voorgelegd aan het Europees Hof. Dat laat vandaag weten dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven in de zin van de AVG vormt. Daarnaast moet IAB Europe worden beschouwd als een „gezamenlijke verwerkingsverantwoordelijke” in de zin van de AVG.
'Einde advertentie-industrie'
Het Irish Council for Civil Liberties (ICCL) meldde destijds dat het TCF op tachtig procent van de Europese websites wordt gebruikt. "Mensen in heel Europa worden elke dag op bijna elke website en in elke app sinds de AVG zes jaar werd geïntroduceerd lastiggevallen door fake 'toestemming' pop-ups", zegt Johnny Ryan van het ICCL. "IAB Europe heeft geprobeerd zijn verantwoordelijkheid voor deze farce te ontlopen, maar het Hof van Justitie van de Europese Unie heeft dit hersteld. Deze beslissing is niet alleen het einde van de grootste spamoperatie in de geschiedenis, het zal ook het einde van de online tracking-gebaseerde advertentie-industrie betekenen."Naast een boete oordeelde de GBA twee jaar geleden dat IAB Europe ook corrigerende maatregelen moest doorvoeren. Volgens het ICCL moet alle data die via het TCF is verzameld worden verwijderd door de meer dan duizend bedrijven die van het framework gebruikmaken. Het gaat onder andere om de advertentietakken van Amazon, Google en Microsoft, aldus de Ierse burgerrechtenbeweging.
Reactie IAB
IAB Europe laat in een reactie weten dat het Hof niet heeft geoordeeld dat de cookiepop-ups of het TCF illegaal zijn (pdf). Nu het Europees Hof uitspraak heeft gedaan zal de zaak in België worden hervat.
Reactie GBA
"We zijn ingenomen met de interpretatie van het HvJ-EU dat onze visie bevestigt dat een gestructureerde tekenreeks waarin de gebruikersvoorkeuren worden vastgelegd, een persoonsgegeven is, en dat een sectororganisatie zoals IAB Europe (gezamenlijke) verwerkingsverantwoordelijke is van dit persoonsgegeven. Door belangrijke concepten van de AVG te verduidelijken, zal deze uitspraak een positief effect hebben op alle betrokkenen in de Europese Unie. De procedure bij het Belgische Marktenhof kan worden hervat", zegt Hielke Hijmans van de GBA in een reactie."In zijn beslissing oordeelde het Hof, zoals de GBA had geoordeeld in haar beslissing 21/2022, dat een gestructureerde tekenreeks die de voorkeuren van internetgebruikers weerspiegelt, zoals de TC String van IAB EUROPE, effectief kan worden beschouwd als een persoonsgegeven, en dat IAB EUROPE kan worden gekwalificeerd als gezamenlijke verwerkingsverantwoordelijke voor de verwerking van de gebruikersvoorkeuren voor online reclame", zo laat de privacytoezichthouder verder weten.
Mogelijk een boete met 4 jaar wettelijke rente want er is al die tijd aardig doorverdiend.....
Dat zou veel problemen bij gebruikers oplossen.
Het is aan de Belgische rechter (die het Hof om een standpunt hierover had gevraagd) om te concluderen dat iemand die in strijd met de wet opereert daarmee illegaal opereert. De open deur moet alleen nog ingetrapt worden.
Dat gaat natuurlijk over TCF zoals het nu werkt. Maar onderdeel van de zaak is ook dat de cookie-popup te algemeen en te vaag is voor de betrokkene om de reikwijdte van de verwerking van de persoonsgegevens te kunnen begrijpen, en dat lost IAB Europe echt niet op door nu een vinkje voor toestemming voor de TC-string toe te voegen aan de pop-up. Er maken meer dan duizend bedrijven van het framework gebruik, waaronder ongetwijfeld bedrijven die handelen in verkregen persoonsgegevens, en dan is het volstrekt onmogelijk om te voorspellen waar die gegevens gaan belanden en hoe ze gebruikt gaan worden. Maar dat is precies wat AVG wel vereist dat duidelijk wordt gemaakt aan de betrokkene. Ik denk daarom dat het hele advertentieveilingmodel onmogelijk in overeenstemming te krijgen is met de AVG. Ik ben benieuwd wat de rechter gaat concluderen.
Zeker weten, ik zie bijv. Google, TikTok en Meta er tussen staan.
Voor de rest is het een schimmige lijst van adtech en die leven van het handelen in gegevens.
https://iabeurope.eu/members-directory/
Je kan ook stellen dat er geen bedrijf tussenstaat die niet handelt in persoonsgegevens, dat is namelijk het enige bestaans doel van IAB
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
