IAB TCF illegaal? Alle feiten hier in de FAQ

De Belgische gegevensbeschermingsautoriteit APD, in een procedure die al een goed jaar aan de gang is, op 02. februari 2022 een besluit genomen. De verklarende tekst van ongeveer 130 pagina’s toont veel zwakke punten van de IAB TCF, maar ook veel kansen voor hervorming. Is het transparantie- en toestemmingskader nu illegaal? Waar moeten uitgevers rekening mee houden? En hoe gaat het verder? Onze FAQ legt het uit.

Update september 2023

( Update van 21 september 2023 ) Op 21 september vond een openbare hoorzitting plaats voor de Vierde Kamer van het Hof van Justitie, waarbij ook de betrokken partijen door de rechters werden ondervraagd. Omdat er geen oordeel van de Advocaat-Generaal komt, wordt verwacht dat het HvJ tussen eind 2023 en begin 2024 uitspraak zal doen. Zodra het vonnis is gepubliceerd, kan de Belgische rechtbank (Marktrechtbank) haar beoordeling van de argumenten in de klacht van IAB Europe afronden.

( Update van september 2023 ) De Belgische rechtbank (Markthof) heeft besloten de uitspraak van het Europese Hof van Justitie (HvJ) af te wachten en de beoordeling van het door de Belgische Gegevensbeschermingsautoriteit (APD) gevalideerde actieplan van IAB Europe op te schorten. In januari 2023 heeft IAB Europe beroep aangetekend tegen de vroegtijdige validatie van het plan door APD. Hieruit blijkt dat de APD overhaast heeft gehandeld en de uitspraak van het Hof van Justitie zal van invloed zijn op de vraag of het oorspronkelijke besluit van de APD rechtmatig was en op de wijze waarop het plan wordt uitgevoerd. Dit is goed nieuws voor IAB Europe- en TCF-deelnemers, omdat het voorkomt dat onnodige wijzigingen worden doorgevoerd zonder zorgvuldige overweging. Townsend Feehan, CEO van IAB Europe, benadrukte dat wijzigingen in de TCF met uiterste voorzichtigheid en in overeenstemming met de procedure van het Europees Hof van Justitie moeten worden doorgevoerd.

Bijgewerkt juni 2023

(bijgewerkt juni 2023) Met het TCF 2.2 heeft het IAB de koers uitgezet om de in het actieplan genoemde stappen te zetten. Er loopt nu een transitiefase tot 30 september 2023, waarin providers en websites kunnen updaten naar de nieuwe Standard . Vanaf oktober 2023 is alleen de IAB TCF in versie 2.2 van toepassing.

Update januari 2023

(Bijgewerkt januari 2023) Het door IAB Europe ingediende actieplan werd door APD geaccepteerd en verdere stappen richting AVG-compliance werden in gang gezet. De IAB Europe heeft nu 6 maanden de tijd om het actieplan uit te voeren.

Update van april 2022

(april 2022-update) De IAB Europe heeft inmiddels een klacht ingediend bij de bevoegde rechtbank (Market Court) en heeft de procedure en de beslissing als zodanig aangevochten. Tegelijkertijd werd het gevraagde actieplan ingediend door IAB Europe. Het APD gaat nu het plan van aanpak onderzoeken; een beslissing wordt echter niet voor eind juni 2022 verwacht. Als het actieplan door APD wordt geaccepteerd, moet IAB Europe het vervolgens binnen 6 maanden uitvoeren.

Update mei 2022

(update mei 2022) IAB Europe trok een verzochte schorsing van de procedure in nadat APD de tijdlijn voor de herziening van het actieplan had bevestigd. De APD neemt dan ook niet vóór 1 september 2022 een besluit over het plan van aanpak. Tegen die tijd zal ook de Belgische rechtbank (Markthof) beslist hebben over de procedure en kan de uitvoering van het actieplan plaatsvinden in de volgende 6 maanden.

Wat er is gebeurd?

De Belgische gegevensbeschermingsautoriteit APD formuleerde in haar eindrapport verschillende problemen voor de IAB Europe en de IAB TCF. Het belangrijkste knelpunt is dat APD IAB Europe als klant ziet. Bovendien wordt de door de TCF gegenereerde TC-string (de toestemmingsinformatie) beschouwd als persoonsgegevens, waarvoor zelf toestemming vereist is.

Wat heeft België ermee te maken?

Sinds de AVG in 2018 van kracht werd, zijn er in verschillende landen verschillende klachten geweest tegen IAB Europe als instantie achter de IAB TCF Standard en het bijbehorende beleid en CMP’s. Aangezien de IAB Europe in Brussel is gevestigd, was de Belgische gegevensbeschermingsautoriteit verantwoordelijk voor de procedure (“one-stop-shop”-regelgeving van de AVG).

Geldt de Belgische uitspraak ook in andere landen?

Ja, alle gegevensbeschermingsautoriteiten moeten zich oriënteren op het oordeel en mogen er niet van afwijken.

Wat staat er precies in het arrest?

Het vonnis is meer dan 120 pagina’s lang en is hier als pdf (Engels) te downloaden . Het wordt “interessant” uit sectie 535, waarin de feitelijke overtredingen worden uitgelegd:

• De TCF vormt geen geldige rechtsgrondslag voor de verwerking van gebruikersbeslissingen. Er is onvoldoende toestemming gegeven (zie volgend punt)
• De TCF geeft niet op transparante wijze de informatie weer die een gebruiker nodig heeft om een beslissing te nemen.
• De beveiliging van de TCF als mechanisme is niet voldoende (bijvoorbeeld om wangedrag van CMP’s te voorkomen).
• Het IAB wordt gezien als de opdrachtgever (verwerkingsverantwoordelijke) en de data. Dit leidt tot bepaalde verplichtingen voor IAB Europe, die tot op heden niet zijn nagekomen; specifiek ontbreekt een lijst met gegevensverwerkingen.
• De IAB Europe heeft geen DPIA uitgevoerd, hoewel dit wel nodig zou zijn.
• De IAB Europe heeft geen functionaris voor gegevensbescherming aangesteld, hoewel dit wel nodig zou zijn.

Wat zijn de gevolgen?

De sancties tegen de IAB Europe vloeien uiteindelijk voort uit de overtredingen (zie hierboven) en zijn:

• (Her)ontwerp de TCF zodanig dat er een geldige rechtsgrondslag ontstaat.
• Gegevens die IAB Europe tot nu toe heeft verzameld, moeten worden verwijderd.
• De rechtsgrond “gerechtvaardigd belang” mag in de TCF niet meer worden gehanteerd.
• De TCF gereorganiseerd zodat CMP’s een “geharmoniseerde” manier hebben om toestemming te verkrijgen op een AVG-conforme manier. Informatie moet op een beknopte, concrete maar begrijpelijke manier worden gepresenteerd.
• Er moeten passende beveiligingsmechanismen worden ontwikkeld om de TCF te beschermen.
• De IAB Europe moet een register van gegevensverwerkingen aanleggen.
• De IAB Europe moet een DPIA uitvoeren.
• De IAB Europe moet een functionaris voor gegevensbescherming aanstellen.

Verder is het IAB Europe verplicht om binnen 2 maanden een “Actieplan” op te stellen. Dit is om de stappen te laten zien die moeten worden genomen om de TCF in de toekomst compliant te maken. Zodra het plan door het APD is geaccepteerd, heeft het IAB nog 6 maanden de tijd om het dienovereenkomstig uit te voeren.

Zijn alle CMP’s nu illegaal?

nee Een CMP zoals dat van consentmanager is daar doorgaans onafhankelijk van; een websitebeheerder kan het CMP immers zo configureren dat deze compliant wordt of de TCF in het CMP geheel uitschakelen.

Is de TCF nu illegaal?

nee De huidige vorm wordt als onvoldoende beschouwd. De IAB Europe heeft nu de taak om passende maatregelen te initiëren en de TCF weer compliant te maken.

Wat is het volgende?

Het IAB Europe heeft nu 2 maanden de tijd om maatregelen te ontwikkelen en/of bezwaar in te dienen. Aangenomen wordt dat beide zullen gebeuren: er zal zeker bezwaar zijn tegen afzonderlijke onderdelen van het besluit – tegelijkertijd zullen we zien hoe de TCF een veilige basis kan krijgen. Met name wordt hier beoogd de TCF om te zetten in een Code of Conduct (CoC). Het IAB is hier al lang mee bezig. Een CoC zou nog meer voordelen en meer rechtszekerheid hebben.

Op wie is het oordeel van invloed?

Ten eerste heeft het alleen directe gevolgen voor IAB Europe. Indirect treft het CMP’s, aanbieders en uitgevers op middellange termijn – uiterlijk wanneer nieuwe doeleinden en rechtsgrondslagen in de toestemmingslaag moeten worden vastgelegd of de technische onderbouw verandert.

Hoe moet ik nu reageren?

Zoals met alles. het is niet verkeerd om goed te kijken en af te wachten hoe de acteurs zich gedragen.

Als algemene aanbeveling kan worden afgeleid dat “gerechtvaardigd belang” niet wordt beschouwd als een voldoende wettelijke basis voor online adverteren – dit was al van tevoren en in andere uitspraken aangekondigd. Als u marketingtools op uw website gebruikt, moet u controleren of hiervoor toestemming nodig is.

Over het algemeen raden we aan om de TCF alleen te gebruiken als het echt nodig is. Dit is bijvoorbeeld niet het geval voor de meeste e-commerce websites. Tegelijkertijd zullen de meeste nieuwssites blijven vertrouwen op de TCF. Hier raden wij aan om de beschrijvingsteksten en aanbiederslijsten zorgvuldig te controleren en, indien nodig, nauwkeurigere beschrijvingen en verdere informatie te verstrekken.

Moet ik nu al mijn gegevens verwijderen?

nee De Belgische uitspraak treft voorlopig enkel IAB Europe. Indirect kan echter worden aangenomen dat een “pure TCF CMP” ook onder de voorwaarden van de uitspraak valt en dus geen rechtsgeldige goedkeuring heeft gekregen.

Lopen websites die de TCF gebruiken nu gevaar?

nee Enerzijds zullen actoren in eerste instantie afwachten – dit geldt ook voor de andere gegevensbeschermingsautoriteiten in andere landen. Zolang de procedure nog “in behandeling” is, heeft het geen zin om de procedure te gebruiken als basis voor waarschuwingen of nieuwe procedures.

Anderzijds is het nog onduidelijk of de TCF zelf onder bepaalde voorwaarden compliant kan worden ingezet. Ook hier is het afwachten en zo nodig de ontwikkeling van de TCF in de gaten houden.

Wat doet consentmanager voor mij? Wat moet ik doen?

Als lid van IAB Europe en in diverse regionale verenigingen en andere groepen is consentmanager actief betrokken bij het overleg en de besluitvorming binnen het IAB. In dit opzicht zal consentmanager in staat zijn om snel alle noodzakelijke stappen te ondernemen om zijn klanten juridisch of technisch te kunnen beschermen.

Als consentmanager klant hoeft u in eerste instantie niets concreets te doen (zie hierboven voor uitzonderingen). Alle technische en procedurele aanpassingen die een “nieuwe” TCF vereist, kunnen intern door ons worden gedaan – het is nu niet nodig om codes uit te wisselen.

Zie je je vraag niet?

Neem gerust direct contact met ons op.