Brussels Hof vernietigt beslissing privacytoezichthouder over cookiepop-ups
Het Brussels Hof van Beroep heeft een beslissing van de Belgische privacytoezichthouder GBA vernietigd dat cookiepop-ups waar zeer veel websites gebruik van maken voor het plaatsen van trackingcookies in strijd zijn met de AVG. Het Interactive Advertising Bureau Europe (IAB Europe), de branchevereniging voor de advertentie-industrie, dat het beroep aanspande, zegt de uitspraak te verwelkomen. De GBA zegt de uitspraak te analyseren.
De Gegevensbeschermingsautoriteit (GBA) velde begin 2022 een oordeel over het Transparency and Consent Framework (TCF) van het IAB. Het TCF is een veelgebruikt mechanisme dat het beheer van gebruikersvoorkeuren voor online gepersonaliseerde advertenties vergemakkelijkt, en dat een sleutelrol speelt bij het zogenaamde Real Time Bidding (RTB). Sinds 2019 ontving de GBA meerdere klachten die gericht waren tegen IAB Europe en erover gingen of het TCF wel aan de AVG voldoet.
Het TCF moet organisaties die gebruikmaken van het OpenRTB-protocol helpen bij het naleven van de AVG. Het OpenRTB-protocol is een van de meest gebruikte protocollen voor "Real Time Bidding", waarbij gebruikersprofielen worden geveild voor het verkopen en aankopen van online advertentieruimte. Wanneer gebruikers een website of applicatie bezoeken die advertentieruimte bevat, kunnen techbedrijven via RTB gerichte advertenties laten zien die specifiek zijn afgestemd op het profiel van de betreffende persoon.
Wanneer gebruikers voor het eerst een website of applicatie bezoeken, verschijnt een interface (een Consent Management platform of CMP) waar ze hun toestemming kunnen geven voor het verzamelen en delen van hun persoonsgegevens, of bezwaar kunnen maken tegen verschillende soorten van verwerking op basis van de gerechtvaardigde belangen van adtech-verkopers.
Het TCF vergemakkelijkt, via het CMP, het vastleggen van de voorkeuren van gebruikers. Deze voorkeuren worden dan opgeslagen in een "TC string", die wordt gedeeld met de organisaties die deelnemen aan het OpenRTB-systeem, zodat zij weten waarvoor de gebruiker toestemming heeft gegeven of waartegen hij bezwaar heeft gemaakt. Het CMP plaatst ook een cookie op het apparaat van de gebruiker. In combinatie kunnen de TC string en het cookie worden gekoppeld aan het ip-adres van de gebruiker, waardoor de gebruiker identificeerbaar wordt.
"De verwerking van persoonsgegevens (bijv. gebruikersvoorkeuren vastleggen) onder de huidige versie van het TCF is niet in overeenstemming met de AVG, wegens een inherente inbreuk op het beginsel van behoorlijkheid en rechtmatigheid. Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen", oordeelde de GBA.
Boete en actieplan
De privacytoezichthouder stelde dat het TCF ervoor kan zorgen dat een grote groep burgers de controle over hun persoonlijke informatie verliest. De GBA legde het IAB een boete van 250.000 euro op. Daarnaast kreeg IAB Europe twee maanden de tijd om een actieplan voor te leggen om corrigerende maatregelen door te voeren. De brancheorganisatie ging in beroep tegen de beslissing van de GBA. Het Brussels Hof van Beroep heeft de beslissing nu wegens procedurele redenen vernietigd. Wat die zijn laat de toezichthouder niet weten. Wel bevestigde het Hof de opgelegde boete van 250.000 euro.De Belgische toezichthouder merkt op dat het Hof in zijn arrest de door de GBA vastgestelde inbreuken en opgelegde sancties bevestigt. "Het Hof oordeelt meer bepaald dat de TC string een persoonsgegeven is in de zin van de AVG en dat IAB Europe optreedt als gezamenlijke verwerkingsverantwoordelijke voor de verwerking van gebruikersvoorkeuren binnen het TCF."
De GBA stelt verder dat het belangrijk is dat het Hof heeft bevestigd dat de TC string een persoonsgegeven is en dat IAB Europe optreedt als gezamenlijke verwerkingsverantwoordelijke voor de verwerking van gebruikersvoorkeuren binnen het TCF. "Deze verheldering van sleutelbegrippen in de AVG heeft en zal een blijvende positieve impact hebben op alle betrokkenen in de EU."
Beperkte rol
IAB Europe zegt de uitspraak te verwelkomen en dat die de beperkte rol van de brancheorganisatie binnen het TCF bevestigt. Zo heeft het Hof het standpunt van de GBA verworpen dat IAB Europe een gezamenlijke verwerkingsverantwoordelijke is samen met TCF-deelnemers voor hun eigen respectievelijke verwerking van persoonsgegevens, stelt de brancheorganisatie.Het Hof heeft alleen een deel van de beslissing gehandhaafd, namelijk dat IAB Europe een gezamenlijke verwerkingsverantwoordelijke is samen met TCF-deelnemers als het gaat om het creëren en gebruiken van TC Strings door uitgevers en leveranciers, aldus de brancheorganisatie in de reactie. "We hopen dat dit het signaal is om terug te keren naar een betekenisvolle en constructieve dialoog met toezichthouders om de technische en praktische realiteit aan te pakken."
De woorden: "om procedurele redenen" zijn weggelaten door de redactie.
Wat mij vooral opvalt:
De redactie verwijst in haar link naar de vernietiging niet naar het oordeel zelf, maar naar een artikel/bericht van het GBA daarover. Die zelf ook niet doorlinkt naar het oordeel.
Het GBA interpreteert het oordeel dus al, voordat de redactie dat ook nog een keer dunnetjes over doet.
@redactie: Is er ook een link naar het oordeel van het Marktenhof zelf (bv op hun site)?
Je hebt een punt.
Maar het Brusselse Marktenhof voert wel meer dan alleen procedurele gronden aan voor de vernietiging van het besluit van privacy-toezichthouder GBA.
Het is op zich goed dat het Europese Hof van Justitie (HvJ-EU) prejudicieel kennelijk heeft geoordeeld dat, in ieder geval voorzover het gaat om de directe verwerking van de persoonsgegevens van gebruikers, de organisaties die bepalen wat er met die persoonsgegevens gebeurt (de TCF-deelnemers, oftewel advertentiebedrijven, die wel of niet toestemming van gebruikers krijgen om hun persoonsgegevens te verwerken) de verwerkingsverantwoordelijken zijn. Dat is op dat punt dus niet IAB Europe. IAB Europe is op dat punt hooguit een verwerker. Dit is in overeenstemming met de definitie van de term "verwerkingsverantwoordelijke" in de AVG.
Deze definitie beschermt natuurlijke personen (in dit geval: de gebruikers) tegen heen en weer geschuif van de verwerkingsverantwoordelijkheid, wat soms gedaan wordt in een poging om verwarring te scheppen over de doelen waarvoor persoonsgegevens mogen worden verwerkt.
Maar wat de GBA vervolgens zegt, roept bij mij vragen op. De GBA zegt:
Wat me niet duidelijk is, is waarom GBA, het HvJ-EU en nu ook het Brusselse Marktenhof kennelijk van mening zijn dat IAB Europe opeens wèl als verwerkingsverantwoordelijke kan worden beschouwd wanneer het gaat om verwerking van TC-strings "binnen het TCF" (Transparency and Consent Framework, in essentie: regels voor communicatie met gebruikers over hoe hun gegevens worden verwerkt). Immers, het gaat dan nog steeds om dezelfde persoonsgegevens van dezelfde natuurlijke personen, maar dan wel geaggregeerd en verwerkt in TC-strings (die terecht ook als persoonsgegevens worden aangemerkt, maar geen zelfstandig bestaan - mogen - hebben los van de door gebruikers gegeven toestemming). De toestemming voor de verwerking van TC-strings is door de gebruikers nog steeds wel of juist niet gegeven aan de advertentiebedrijven in relatie tot dezelfde verwerkingsdoelen.
Of hebben de gebruikers separaat nog een contract met IAB Europe ondertekend? Dat lijkt me onwaarschijnlijk.
Als je de AVG-systematiek wilt volgen, dan zou je eerder moeten concluderen dat de TCF-deelnemers (advertentiebedrijven) die de persoonsgegevens rechtstreeks van de gebruikers ontvangen, mogelijk misleidend hebben gecommuniceerd met de gebruikers, door ze niet te vertellen wat er met die gegevens allemaal gebeurt in het TCF, en/of met welk doel dat gebeurt.
Natuurlijk heeft IAB Europe als "sector-organisatie" die advertentiebedrijven zowel vertegenwoordigt als kennelijk diensten aan hen levert, in de praktijk een grote (markt- en andere) macht ten aanzien van de "gewone" TCF-deelnemers (advertentiebedrijven). Maar dat heeft Google bijvoorbeeld ook ten opzichte van elke kleine organisatie die er een website op na houdt. De AVG gaat niet over het beperken van marktmacht, maar over wat er wel en niet met persoonsgegevens mag worden gedaan.
Als de (markt)(over)macht van IAB Europe en/of het misbruik van die macht bij gegevensverwerking het werkelijke probleem is, dan kan die macht op dit moment op twee wettige manieren ingetoomd worden:
-- via boetes en sancties ten aanzien van de "gewone" TCF-deelnemers (de verwerkingsverantwoordelijken) - door de GBA als toezichthouder v.w.b. de naleving van de AVG;
-- via marktregulering (daar weet ik weinig van af, ik moet dan denken aan de DMA (Digital Markets Act - Verordening Digitale Markten) als wettelijk instrument. Dit zou dan actie van anderen dan GBA vereisen, want de GBA is geen toezichthouder voor wat betreft de DMA.
Het lijkt er daarom op het eerste gezicht nu op dat zowel het HvJ-EU als het Marktenhof aan GBA een juridisch geitenpaadje willen toestaan om een machtige organisatie zoals IAB Europe te kunnen aanpakken, mogelijk omdat de EU onwillig is om hier regulerend of handhavend op te treden.
Maar het toestaan (d.w.z. creëren) van dat soort juridische geitenpaadjes is een tweesnijdend zwaard. Op de langere termijn doet dit afbreuk aan de logica, en daarmee ook de werkingskracht van de wetstoepassing, als het gaat om de AVG. Het is in het lange-termijn-belang van de gebruikers (de betrokkenen, de data-subjecten) dat de verwerkingsverantwoordelijkheid duidelijk bij die partijen blijft worden gelegd met wie de gebruikers zelf als natuurlijke personen rechtstreeks te maken hebben. Anders wordt het in de toekomst voor gebruikers in veel gevallen nog moeilijker om verwerkingsverantwoordelijken ter verantwoording te roepen, bijvoorbeeld via een handhavingsverzoek (AVG-klacht) bij een toezichthouder.
Ik heb zelf bijvoorbeeld wel eens een klacht bij de Nederlandse toezichthouder AP ingediend over NS als verwerkingsverantwoordelijke. NS liet de betreffende persoonsgegevens verwerken door TransLink (een dochterbedrijf). Vervolgens probeerde NS een rechtbank zover te krijgen dat die TransLink als "mede-verwerkingsverantwoordelijke" zou aanmerken. Ik betoogde dat dat niet correct zou zijn en dat TransLink m.b.t. de betreffende gegevensverwerking niet meer en niet minder was dan opdrachtnemer van NS, en dus een "verwerker" in de zin van de AVG. In die betreffende zaak honoreerde de rechtbank dat - tot chagrijn van NS en TransLink.
NS en TransLink hadden graag gezien dat TransLink was aangemerkt als verwerkingsverantwoordelijke, omdat TransLink dan andere doelen had kunnen aanvoeren om bepaalde gegevensverwerking quasi te "legitimeren" (d.w.z. te voorzien van een wettelijke grondslag zoals bedoeld in artikel 6 AVG).
Dus door nu een juridisch geitenpaadje te creëren voor de toezichthouder, creëren de rechters misschien ook wel een juridisch geitenpaadje voor diegenen die dingen met persoonsgegevens willen doen die niet mogen.
Zie ik hier een risico dat niet bestaat? Of is het een reëel risico? Ik ben benieuwd wie mij hier meer over kan vertellen.
M.J.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?