IAB TCF illegaal? Alle feiten hier in de FAQ

De Belgische gegevensbeschermingsautoriteit APD, in een procedure die al een goed jaar aan de gang is, op 02. februari 2022 een besluit genomen. De verklarende tekst van ongeveer 130 pagina’s toont veel zwakke punten van de IAB TCF, maar ook veel kansen voor hervorming. Is het transparantie- en toestemmingskader nu illegaal? Waar moeten uitgevers rekening mee houden? En hoe gaat het verder? Onze FAQ legt het uit.

Update van april 2022

(april 2022-update) De IAB Europe heeft inmiddels een klacht ingediend bij de bevoegde rechtbank (Market Court) en heeft de procedure en de beslissing als zodanig aangevochten. Tegelijkertijd werd het gevraagde actieplan ingediend door IAB Europe. Het APD gaat nu het plan van aanpak onderzoeken; een beslissing wordt echter niet voor eind juni 2022 verwacht. Als het actieplan door APD wordt geaccepteerd, moet IAB Europe het vervolgens binnen 6 maanden uitvoeren.

Update mei 2022

(update mei 2022) IAB Europe trok een verzochte schorsing van de procedure in nadat APD de tijdlijn voor de herziening van het actieplan had bevestigd. De APD neemt dan ook niet vóór 1 september 2022 een besluit over het plan van aanpak. Tegen die tijd zal ook de Belgische rechtbank (Markthof) beslist hebben over de procedure en kan de uitvoering van het actieplan plaatsvinden in de volgende 6 maanden.

Wat er is gebeurd?

De Belgische gegevensbeschermingsautoriteit APD formuleerde in haar eindrapport verschillende problemen voor de IAB Europe en de IAB TCF. Het belangrijkste knelpunt is dat APD IAB Europe als klant ziet. Bovendien wordt de door de TCF gegenereerde TC-string (de toestemmingsinformatie) beschouwd als persoonsgegevens, waarvoor zelf toestemming vereist is.

Wat heeft België ermee te maken?

Sinds de AVG in 2018 van kracht is geworden, zijn er in verschillende landen verschillende klachten geweest tegen IAB Europe als de instantie achter de IAB TCF-standaard en het bijbehorende beleid en CMP’s. Aangezien de IAB Europe in Brussel is gevestigd, was de Belgische gegevensbeschermingsautoriteit verantwoordelijk voor de procedure (“one-stop-shop”-regelgeving van de AVG).

Geldt de Belgische uitspraak ook in andere landen?

Ja, alle gegevensbeschermingsautoriteiten moeten zich oriënteren op het oordeel en mogen er niet van afwijken.

Wat staat er precies in het arrest?

Het vonnis is meer dan 120 pagina’s lang en is hier als pdf (Engels) te downloaden . Het wordt “interessant” uit sectie 535, waarin de feitelijke overtredingen worden uitgelegd:

  • De TCF vormt geen geldige rechtsgrondslag voor de verwerking van gebruikersbeslissingen. Er is onvoldoende toestemming gegeven (zie volgend punt)
  • De TCF geeft niet op transparante wijze de informatie weer die een gebruiker nodig heeft om een beslissing te nemen.
  • De beveiliging van de TCF als mechanisme is niet voldoende (bijvoorbeeld om wangedrag van CMP’s te voorkomen).
  • Het IAB wordt gezien als de opdrachtgever (verwerkingsverantwoordelijke) en de data. Dit leidt tot bepaalde verplichtingen voor IAB Europe, die tot op heden niet zijn nagekomen; specifiek ontbreekt een lijst met gegevensverwerkingen.
  • De IAB Europe heeft geen DPIA uitgevoerd, hoewel dit wel nodig zou zijn.
  • De IAB Europe heeft geen functionaris voor gegevensbescherming aangesteld, hoewel dit wel nodig zou zijn.
Toestemmingsoplossing voor IAB- en TCF-standaard

Wat zijn de gevolgen?

De sancties tegen de IAB Europe vloeien uiteindelijk voort uit de overtredingen (zie hierboven) en zijn:

  • (Her)ontwerp de TCF zodanig dat er een geldige rechtsgrondslag ontstaat.
  • Gegevens die IAB Europe tot nu toe heeft verzameld, moeten worden verwijderd.
  • De rechtsgrond “gerechtvaardigd belang” mag in de TCF niet meer worden gehanteerd.
  • De TCF gereorganiseerd zodat CMP’s een “geharmoniseerde” manier hebben om toestemming te verkrijgen op een AVG-conforme manier. Informatie moet op een beknopte, concrete maar begrijpelijke manier worden gepresenteerd.
  • Er moeten passende beveiligingsmechanismen worden ontwikkeld om de TCF te beschermen.
  • De IAB Europe moet een register van gegevensverwerkingen aanleggen.
  • De IAB Europe moet een DPIA uitvoeren.
  • De IAB Europe moet een functionaris voor gegevensbescherming aanstellen.

Verder is het IAB Europe verplicht om binnen 2 maanden een “Actieplan” op te stellen. Dit is om de stappen te laten zien die moeten worden genomen om de TCF in de toekomst compliant te maken. Zodra het plan door het APD is geaccepteerd, heeft het IAB nog 6 maanden de tijd om het dienovereenkomstig uit te voeren.

Blijf op de hoogte!

Abonneren op de nieuwsbrief

Zijn alle CMP’s nu illegaal?

nee Een CMP zoals die van consentmanager is hier doorgaans onafhankelijk van – een websitebeheerder kan de CMP immers zo configureren dat deze compliant wordt of de TCF in de CMP volledig uitschakelen.

Is de TCF nu illegaal?

nee De huidige vorm wordt als onvoldoende beschouwd. De IAB Europe heeft nu de taak om passende maatregelen te initiëren en de TCF weer compliant te maken.

Wat is het volgende?

Het IAB Europe heeft nu 2 maanden de tijd om maatregelen te ontwikkelen en/of bezwaar in te dienen. Aangenomen wordt dat beide zullen gebeuren: er zal zeker bezwaar zijn tegen afzonderlijke onderdelen van het besluit – tegelijkertijd zullen we zien hoe de TCF een veilige basis kan krijgen. Met name wordt hier beoogd de TCF om te zetten in een Code of Conduct (CoC). Het IAB is hier al lang mee bezig. Een CoC zou nog meer voordelen en meer rechtszekerheid hebben.

Op wie is het oordeel van invloed?

Ten eerste heeft het alleen directe gevolgen voor IAB Europe. Indirect treft het CMP’s, aanbieders en uitgevers op middellange termijn – uiterlijk wanneer nieuwe doeleinden en rechtsgrondslagen in de toestemmingslaag moeten worden vastgelegd of de technische onderbouw verandert.

Hoe moet ik nu reageren?

Zoals met alles. het is niet verkeerd om goed te kijken en af te wachten hoe de acteurs zich gedragen.

Als algemene aanbeveling kan worden afgeleid dat “gerechtvaardigd belang” niet wordt beschouwd als een voldoende wettelijke basis voor online adverteren – dit was al van tevoren en in andere uitspraken aangekondigd. Als u marketingtools op uw website gebruikt, moet u controleren of hiervoor toestemming nodig is.

Over het algemeen raden we aan om de TCF alleen te gebruiken als het echt nodig is. Dit is bijvoorbeeld niet het geval voor de meeste e-commerce websites. Tegelijkertijd zullen de meeste nieuwssites blijven vertrouwen op de TCF. Hier raden wij aan om de beschrijvingsteksten en aanbiederslijsten zorgvuldig te controleren en, indien nodig, nauwkeurigere beschrijvingen en verdere informatie te verstrekken.

Voldoet uw website aan de eisen? Ontdek het met onze checklist

Checklist downloaden

Moet ik nu al mijn gegevens verwijderen?

nee Vooralsnog treft de uitspraak alleen IAB Europe. Indirect kan echter worden aangenomen dat een “pure TCF CMP” ook onder de voorwaarden van de uitspraak valt en dus geen rechtsgeldige goedkeuring heeft gekregen.

Lopen websites die de TCF gebruiken nu gevaar?

nee Enerzijds zullen actoren in eerste instantie afwachten – dit geldt ook voor de andere gegevensbeschermingsautoriteiten in andere landen. Zolang de procedure nog “in behandeling” is, heeft het geen zin om de procedure te gebruiken als basis voor waarschuwingen of nieuwe procedures.

Anderzijds is het nog onduidelijk of de TCF zelf onder bepaalde voorwaarden compliant kan worden ingezet. Ook hier is het afwachten en zo nodig de ontwikkeling van de TCF in de gaten houden.

Wat doet de consentmanager voor mij? Wat moet ik doen?

Als lid van IAB Europe en diverse nationale verenigingen en andere groepen is consentmanager actief betrokken bij de beraadslagingen en besluiten binnen de IAB. In dit opzicht zal consentmanager in staat zijn om alle noodzakelijke stappen snel te implementeren om zijn klanten juridisch of technisch te kunnen beschermen.

Als consentmanager-klant hoeft u niets specifieks te doen (zie hierboven voor uitzonderingen). Alle technische en procedurele aanpassingen die een “nieuwe” TCF vereist, kunnen intern door ons worden gedaan – het is nu niet nodig om codes uit te wisselen.

Zie je je vraag niet?

Neem gerust direct contact met ons op.