08 feb '22
De Belgische gegevensbeschermingsautoriteit heeft geoordeeld dat het Transparency and Consent Framework, een systeem van online-reclameorganisatie IAB Europe waarmee een brede toestemming wordt verzameld voor het verwerken van persoonsgegevens voor (o.a.) online marketing, niet voldoet aan de Algemene verordening gegevensbescherming (AVG). Met dit systeem wordt toestemming gevraagd aan consumenten voor het verwerken van hun gegevens, waarna de ingestelde gebruikersvoorkeuren voor online reclame beschikbaar worden gesteld aan derde partijen (adverteerders). Op basis van de voorkeuren en het IP-adres van consumenten kan gepersonaliseerde reclame worden aangeboden.
In het besluit van de Belgische gegevensbeschermingsautoriteit valt te lezen dat de combinatie van de verschillende gebruikersgegevens die worden verzameld het mogelijk maakt om personen te identificeren (te onderscheiden van anderen). Daarmee is sprake van het verwerken van persoonsgegevens in de zin van de AVG. Door de autoriteit is geoordeeld dat IAB Europe de verwerkingsverantwoordelijke is onder de AVG, omdat IAB Europe invloed uitoefent op de manier waarop de gegevens worden verzameld en de manier waarop deze worden gebruikt. IAB Europe heeft aangegeven zich in dat oordeel niet te kunnen vinden (welk oordeel ook in bredere zin voor service providers gevolgen zou kunnen hebben).
Voor het betreffende gebruik van persoonsgegevens voor reclamedoeleinden is een wettelijke grondslag nodig, zowel voor de vastlegging van de gegevens als voor de doorgifte aan en verder gebruik van de persoonsgegevens door derden. Het systeem van IAB Europe vraagt om toestemming, maar deze voldoet niet aan de eisen die de AVG daaraan stelt. Het probleem is dat het voor consumenten onvoldoende duidelijk is waarvoor zij precies toestemming geven. De informatie die wordt verstrekt is onvoldoende. Hierdoor is het voor de consument lastig om controle te houden over het gebruik van zijn persoonsgegevens (het systeem dat IAB Europe aanbiedt is complex). Overigens werd ook zonder succes een beroep gedaan op een ‘gerechtvaardigd belang’ als grondslag (de belangen van de internetgebruikers wegen zwaarder dan de belangen van IAB Europe).
Naast het voornoemde, voldeed IAB Europe ook op andere punten niet aan de AVG. Zo is de wijze waarop IAB Europe informatie heeft verstrekt aan betrokkenen onvoldoende transparant, begrijpelijk en gemakkelijk toegankelijk. Ook heeft IAB Europe onvoldoende maatregelen getroffen volgens de principes van privacy by design en privacy by default, om onder meer de uitoefening van rechten van betrokkenen onder de AVG te waarborgen. Daarnaast heeft IAB Europe geen Functionaris Gegevensbescherming aangesteld, had zij geen verwerkingsregister en was niet het vereiste Data Processing Impact Assessment (DPIA) uitgevoerd.
IAB Europe heeft om deze redenen een boete gekregen ter hoogte van EUR 250.000,00.
Naar verwachting zullen de gevolgen van het besluit van de Belgische gegevensbeschermingsautoriteit behoorlijk groot zijn, nu 80% van alle Europese websites het systeem van IAB Europe gebruikt om gerichte advertenties te tonen. Nu de Belgische gegevensbeschermingsautoriteit heeft geoordeeld dat niet wordt voldaan aan de vereisten onder de AVG, kan het systeem van IAB Europe in deze vorm niet langer worden gebruikt. IAB Europe heeft twee maanden de tijd om haar werkwijze aan te passen. Zij kan echter ook nog in rechte tegen de beslissing opkomen en het is niet ondenkbaar dat zij daartoe zal overgaan.
Deze beslissing past in een trend waarin toezichthouders kritisch zijn over het gebruik van tracking cookies. Hierbij verwijzen wij bijvoorbeeld naar ons recente blog over Google Analytics. De onderhavige uitspraak van de Belgische toezichthouder is overigens ook goedgekeurd door diverse andere Europese toezichthouders en het besluit van Google Analytics lijkt ook door meerdere autoriteiten te worden gedragen. Hier zien we dus ook steeds meer samenwerking binnen Europa.
Bent u benieuwd of de cookies die uw website gebruikt wel voldoen aan de AVG? Of heeft u behoefte aan een Quick Scan waarin wij bekijken of u binnen uw organisatie de juiste maatregelen heeft getroffen om te voldoen aan de AVG (bijv. welke documenten u nodig heeft)? Neem dan contact op met ons privacy team via privacy@ploum.nl. Voor andere vragen over (online) reclame verwijzen wij naar deze pagina (incl. contactgegevens).
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.