Een cookie van eigen deeg
De IAB heeft van de Belgische privacy-waakhond (De Gegevensbeschermingsautoriteit, “GBA”) een koekje van eigen deeg gekregen. Het Transparency and Consent Framework (“TCF”) is niet privacy compliant. In de woorden van de GBA zelf: “de GBA herstelt de orde in de online advertentie-industrie”.
© Pixabay
Pixabay
Dus nogal wiedes dat deze pijn doet. En flink ook. Het TCF is een veelgebruikt instrument voor de online advertentiemarkt, met name het Real Time Bidding-proces. De GBA heeft IAB Europe een boete van 250.000 euro opgelegd en geeft het bedrijf twee maanden de tijd (met ingang van 2 februari jl.) om een actieplan voor te leggen om compliant te worden.
Waar gaat het mis? De GBA ziet IAB ten eerste als verwerkingsverantwoordelijke, en ten tweede rammelt de grondslag voor een cruciaal onderdeel van de verwerking van persoonsgegevens door IAB.
Voorkeuren van gebruikers
De GBA legt dit zelf als volgt uit: wanneer gebruikers voor het eerst een website of applicatie bezoeken, verschijnt een interface (een Consent Management platform of CMP) waar ze hun toestemming kunnen geven voor het verzamelen en delen van hun persoonsgegevens, of bezwaar kunnen maken tegen verschillende soorten van verwerking op basis van de gerechtvaardigde belangen van adtech-verkopers.
Hier komt het TCF in beeld: het vergemakkelijkt het vastleggen, via het CMP, van de voorkeuren van de gebruikers. Deze voorkeuren worden dan gecodeerd en opgeslagen in een "TC string". Deze TC string wordt met organisaties gedeeld, zodat duidelijk is waarvoor de gebruiker toestemming heeft gegeven (of waartegen hij bezwaar heeft gemaakt).
Het probleem is vooral de (verdere) verwerking van deze TC string. Volgens de GBA heeft IAB Europe géén rechtsgrond voor de verwerking van de TC string vastgesteld. Ook zijn de geboden rechtsgronden voor de verdere verwerking door adtech-verkopers ontoereikend. Auw.
Kaartenhuis en claims
Nu hoop ik dat u de pijn snapt: het hele TCF valt hiermee als een kaartenhuis in elkaar. En de gevolgen gaan mijns inziens verder dan privacy & compliance. Er liggen ook natuurlijk ook contracten tussen betrokken partijen. U voelt de bui al hangen: ik voorspel een regen aan claims. En je kunt wachten op een stichting die een massaschade zaak gaat optuigen voor gedupeerden.
Ondertussen heeft de Nederlandse privacy-waakhond de twijfelachtige eer om (weer) onduidelijkheid te creëren over waar zij staat. Op 7 februari raadt de Autoriteit Persoonsgegevens (AP) via het FD aan om volledig met dit systeem te stoppen. Ze meldt letterlijk in het FD: "Het is de vraag of andere systemen die gebruikers volgen en data van bezoekers doorverkopen, wel aan de privacywet AVG voldoen. Dat zou onderzoek moeten uitwijzen. Het veiligst is om op zoek te gaan naar een alternatief voor zulke systemen".
Beleid via de media?
Dit is een pittige quote. Maar sindsdien zwijgt de AP in alle toonaarden. Er is tot op heden niets van enige officiële communicatie op de website verschenen. Terecht heb ik herhaaldelijk het verwijt zien voorbij komen dat je geen beleid maakt in de media.
IAB heeft al te kennen gegeven in beroep te gaan. In het FD viel hierover recent het volgende te lezen: volgens IAB kan het "als kleine vakorganisatie" niet verantwoordelijk zijn voor "de dataverwerking van een hele industrie". Ook ziet het een "pervers effect", namelijk dat belangenclubs ontmoedigd worden om standaarden rond privacy te maken.
Het laatste woord over cookies en privacy is dus nog niet gesproken. Dat geldt niet alleen voor het IAB TCF, maar ook voor de voortdurende soap rondom Google Analytics. Ik wens u als ondernemer sterkte: voorlopig moet u het zelf maar uitzoeken. Belachelijk, maar wel realiteit.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee