Een systeem van brancheorganisatie IAB dat op veel websites gebruikt wordt om via een pop-up toestemming te vragen voor het plaatsen van cookies, is in strijd met de AVG. Dat meldde Tweakers. In iets juridischer taal oordeelde het Hof van Justitie dat het IAB de (mede) verwerkingsverantwoordelijke is voor alle tracking die daar aan hangt.
Zoals Tweakers uitlegt:
IAB is de grootste Europese brancheorganisatie voor adverteerders, marketingbureaus en mediabedrijven. De organisatie bouwde jaren geleden de tool Transparency & Consent Framework, waarmee cookietoestemming in één keer geregeld kan worden volgens de AVG-regels. Veel gebruikers zien dit systeem in de vorm van de cookiepop-up die op veel sites langskomt. Naar schatting gebruikt ongeveer tachtig procent van de Europese websites en apps het systeem.
In dit framework zit iets dat een “transparency and consent string” (TC string) heet, waarmee consent centraal beheerd wordt en door alle leveranciers uitgelezen kan worden:
A TC String’s primary purpose is to encapsulate and encode all the information disclosed to a user and the expression of their preferences for their personal data processing under the GDPR. Using a Consent Management Platform (CMP), the information is captured into an encoded and compact HTTP-transferable string. This string enables communication of transparency and consent information to entities, or “vendors”, that process a user’s personal data. Vendors decode a TC String to determine whether they have the necessary legal bases to process a user’s personal data for their purposes. The concise string data format enables a CMP to persist and retrieve a user’s preferences any time they’re needed as well as transfer that information to any vendors who need it.
Hiermee kun je op één site consent geven voor bijvoorbeeld adverteerders A en B, waarna die consent ook ingezet kan worden op een andere site. De TC string wordt daarom gedeeld met alle sites waar het framework wordt ingezet. Klinkt dit spannend qua AVG? Ja, dat dacht ik ook.
De Belgische toezichthouder stelde een onderzoek in en vond dat het IAB – beheerder van het framework – eigenlijk de verwerkingsverantwoordelijke was voor de TC string, waar immers persoonsgegevens in zitten. IAB ging daartegen in beroep, want die string wás niet eens een persoonsgegeven en bovendien waren het de afnemers van het framework die de gegevens gebruikten, niet zij.
Het Hof van Justitie kreeg dit als prejudiciële vragen voorgelegd, en kwam niet geheel verrassend tot de conclusie dat (a) de TC string persoonsgegevens bevat en (b) het IAB wel degelijk verwerkingsverantwoordelijke daarvoor is.
Allereerst het persoonsgegeven-zijn. Die TC-string is letterlijk alleen een reeks voorkeuren en consents, terwijl een persoonsgegeven tot een identificeerbaar persoon herleidbaar moet zijn. Dat laatste is het geval, aldus het Hof:
45 Aangezien een gebruiker kan worden geïdentificeerd door een letter- en tekenreeks als de TC-string te koppelen aan aanvullende gegevens, zoals met name het IP-adres van het toestel van deze gebruiker of andere identificatoren (…)
Dit is genoeg: het is niet nodig dat je vervolgens met het IP-adres tot een naam en adres of contactgegevens kunt komen. Dit bevestigt dus mijn opvatting dat onder de AVG “127.0.0.1/20240308-08:09” je identiteit is en niet slechts een code waarmee je nog een ‘echte’ identiteit (zoals je naam) moet gaan halen.
Natuurlijk heeft IAB geen toegang tot de logs van haar leden, zodat zij niet aan de string kan zien om welke persoon het gaat. Maar in het dossier was terug te vinden dat die leden “verplicht zijn om [IAB] op haar verzoek alle informatie te verstrekken waarmee zij gebruikers kan identificeren van wie de gegevens zijn opgeslagen in een TC-string.” Nee, ik weet ook niet waarom, maar het staat er, dus kan IAB óók de bezoekers identificeren.
Is het IAB dan verwerkingsverantwoordelijke? Dat ben je als je doel en middelen vaststelt. En dat hebben ze gedaan:
Wat in de eerste plaats het doel van die verwerking van persoonsgegevens betreft, blijkt (…) dat het door IAB Europe opgestelde TCF een standaard is die ertoe strekt te waarborgen dat de AVG wordt nageleefd wanneer de persoonsgegevens van gebruikers van een internetsite of applicatie worden verwerkt door bepaalde ondernemingen die deelnemen aan de online veiling van advertentieruimte.
[Verder blijkt] dat het TCF een standaard is die de leden van IAB Europe worden geacht te aanvaarden wanneer zij zich bij deze vereniging willen aansluiten.
Het IAB stelt dus vast waar het TCF voor gebruikt wordt (doel) en hoe je dit doel moet realiseren als lid (middelen). Dat is genoeg, dat in de praktijk het IAB niet betrokken is bij de dagelijkse werking is niet relevant. Daarmee zijn ze dus verwerkingsverantwoordelijke, zij het gezamenlijk met de leden die immers de gegevens verwerven die ze voor eigen doeleinden (het afstemmen van marketing en reclame) gebruiken.
De kop van het Tweakers-artikel zegt “TCF in strijd met AVG”. Dat gaat wat ver: hooguit kun je zeggen dat IAB als verwerkingsverantwoordelijke haar plichten (zoals informatieverstrekking en faciliteren van rechten) niet is nagekomen. Als ze dat (en de andere AVG eisen) gaat doen, dan zou het TCF kunnen blijven bestaan. Echter, in de Belgische procedure is al een boete (250.000 euro) opgelegd en twee maanden de tijd om een actieplan in te dienen met verbeterpunten. Dat suggereert dat een verbod de volgende stap gaat zijn.
Arnoud