Europees Hof van Justitie: IAB-systeem voor cookiepop-ups in strijd met AVG

Een systeem van brancheorganisatie IAB dat op veel websites gebruikt wordt om via een pop-up toestemming te vragen voor het plaatsen van cookies, is in strijd met de AVG. Dat meldde Tweakers. In iets juridischer taal oordeelde het Hof van Justitie dat het IAB de (mede) verwerkingsverantwoordelijke is voor alle tracking die daar aan hangt.

Zoals Tweakers uitlegt:

IAB is de grootste Europese brancheorganisatie voor adverteerders, marketingbureaus en mediabedrijven. De organisatie bouwde jaren geleden de tool Transparency & Consent Framework, waarmee cookietoestemming in één keer geregeld kan worden volgens de AVG-regels. Veel gebruikers zien dit systeem in de vorm van de cookiepop-up die op veel sites langskomt. Naar schatting gebruikt ongeveer tachtig procent van de Europese websites en apps het systeem.
In dit framework zit iets dat een “transparency and consent string” (TC string) heet, waarmee consent centraal beheerd wordt en door alle leveranciers uitgelezen kan worden:
A TC String’s primary purpose is to encapsulate and encode all the information disclosed to a user and the expression of their preferences for their personal data processing under the GDPR. Using a Consent Management Platform (CMP), the information is captured into an encoded and compact HTTP-transferable string. This string enables communication of transparency and consent information to entities, or “vendors”, that process a user’s personal data. Vendors decode a TC String to determine whether they have the necessary legal bases to process a user’s personal data for their purposes. The concise string data format enables a CMP to persist and retrieve a user’s preferences any time they’re needed as well as transfer that information to any vendors who need it.
Hiermee kun je op één site consent geven voor bijvoorbeeld adverteerders A en B, waarna die consent ook ingezet kan worden op een andere site. De TC string wordt daarom gedeeld met alle sites waar het framework wordt ingezet. Klinkt dit spannend qua AVG? Ja, dat dacht ik ook.

De Belgische toezichthouder stelde een onderzoek in en vond dat het IAB – beheerder van het framework – eigenlijk de verwerkingsverantwoordelijke was voor de TC string, waar immers persoonsgegevens in zitten. IAB ging daartegen in beroep, want die string wás niet eens een persoonsgegeven en bovendien waren het de afnemers van het framework die de gegevens gebruikten, niet zij.

Het Hof van Justitie kreeg dit als prejudiciële vragen voorgelegd, en kwam niet geheel verrassend tot de conclusie dat (a) de TC string persoonsgegevens bevat en (b) het IAB wel degelijk verwerkingsverantwoordelijke daarvoor is.

Allereerst het persoonsgegeven-zijn. Die TC-string is letterlijk alleen een reeks voorkeuren en consents, terwijl een persoonsgegeven tot een identificeerbaar persoon herleidbaar moet zijn. Dat laatste is het geval, aldus het Hof:

45 Aangezien een gebruiker kan worden geïdentificeerd door een letter- en tekenreeks als de TC-string te koppelen aan aanvullende gegevens, zoals met name het IP-adres van het toestel van deze gebruiker of andere identificatoren (…)
Dit is genoeg: het is niet nodig dat je vervolgens met het IP-adres tot een naam en adres of contactgegevens kunt komen. Dit bevestigt dus mijn opvatting dat onder de AVG “127.0.0.1/20240308-08:09” je identiteit is en niet slechts een code waarmee je nog een ‘echte’ identiteit (zoals je naam) moet gaan halen.

Natuurlijk heeft IAB geen toegang tot de logs van haar leden, zodat zij niet aan de string kan zien om welke persoon het gaat. Maar in het dossier was terug te vinden dat die leden “verplicht zijn om [IAB] op haar verzoek alle informatie te verstrekken waarmee zij gebruikers kan identificeren van wie de gegevens zijn opgeslagen in een TC-string.” Nee, ik weet ook niet waarom, maar het staat er, dus kan IAB óók de bezoekers identificeren.

Is het IAB dan verwerkingsverantwoordelijke? Dat ben je als je doel en middelen vaststelt. En dat hebben ze gedaan:

Wat in de eerste plaats het doel van die verwerking van persoonsgegevens betreft, blijkt (…) dat het door IAB Europe opgestelde TCF een standaard is die ertoe strekt te waarborgen dat de AVG wordt nageleefd wanneer de persoonsgegevens van gebruikers van een internetsite of applicatie worden verwerkt door bepaalde ondernemingen die deelnemen aan de online veiling van advertentieruimte.

[Verder blijkt] dat het TCF een standaard is die de leden van IAB Europe worden geacht te aanvaarden wanneer zij zich bij deze vereniging willen aansluiten.

Het IAB stelt dus vast waar het TCF voor gebruikt wordt (doel) en hoe je dit doel moet realiseren als lid (middelen). Dat is genoeg, dat in de praktijk het IAB niet betrokken is bij de dagelijkse werking is niet relevant. Daarmee zijn ze dus verwerkingsverantwoordelijke, zij het gezamenlijk met de leden die immers de gegevens verwerven die ze voor eigen doeleinden (het afstemmen van marketing en reclame) gebruiken.

De kop van het Tweakers-artikel zegt “TCF in strijd met AVG”. Dat gaat wat ver: hooguit kun je zeggen dat IAB als verwerkingsverantwoordelijke haar plichten (zoals informatieverstrekking en faciliteren van rechten) niet is nagekomen. Als ze dat (en de andere AVG eisen) gaat doen, dan zou het TCF kunnen blijven bestaan. Echter, in de Belgische procedure is al een boete (250.000 euro) opgelegd en twee maanden de tijd om een actieplan in te dienen met verbeterpunten. Dat suggereert dat een verbod de volgende stap gaat zijn.

Arnoud

 

 

 

 

 

12 reacties

  1. Zolang er niet daadkrachtig wordt gehandhaafd, zullen er altijd cowboys zijn die iets onzinnigs bedenken en dat als ‘oplossing’ gaan hanteren. Tot er iemand 5 jaar later eindelijk roept dat het niet mag, waarna er weer een update wordt bedacht.

    Wat mij persoonlijk betreft zijn alle cookie-popups waarbij ‘legitiem belang’ diep verstopt zit, of alleen uit te zetten is met 1000 klikjes, ook verboden.

  2. 45 Aangezien een gebruiker kan worden geïdentificeerd door een letter- en tekenreeks als de TC-string te koppelen aan aanvullende gegevens, zoals met name het IP-adres van het toestel van deze gebruiker of andere identificatoren (…) Dit is genoeg: het is niet nodig dat je vervolgens met het IP-adres tot een naam en adres of contactgegevens kunt komen. Dit bevestigt dus mijn opvatting dat onder de AVG “127.0.0.1/20240308-08:09” je identiteit is en niet slechts een code waarmee je nog een ‘echte’ identiteit (zoals je naam) moet gaan halen.

    Hoe verhoud dit zich tot de wifi tracking uitspraak vd gemeente enschede?

    https://www.security.nl/posting/827919/Enschede+hoeft+600_000+euro+boete+wegens+wifi-tracking+niet+te+betalen?channel=rss De rechtbank heeft nu geoordeeld dat de AP onvoldoende heeft onderzocht of de identiteit van de gebruikers daadwerkelijk te achterhalen was. “Dat medewerkers dit zouden kunnen doen, overtuigt de rechtbank niet”, aldus het vonnis.
    1. Mijn gevoel is dat de rechtbank te zeer focuste op het verhaal van de AP, dat dan weer neerkwam op “met de gelogde gegevens kun je mensen identificeren door ze aan te spreken, want op een rustig moment loopt er bv. maar één iemand en dan log je één gegeven en dan heb je hem”. Het correcte antwoord zou moeten zijn: ook als je van dat MAC-adres dingen afknipt, heb je een uniek nummer:

      Interessanter was voor mij geweest als de AP had gesteld dat ook de gehandicapte hash nog een persoonsgegeven was. De kans dat twee mensen in Enschede aldaar passeren met MAC-adressen die hashen tot hetzelfde getal (de laatste drie tekens negerend) lijkt me namelijk minimaal, zodat die handi-hash volgens mij nog steeds een identifier is in die context. En nee, je weet niet het echte MAC-adres laat staan de paspoortnaam van de telefoonhouder, maar dat is dus irrelevant.
  3. Hoe zit dat precies? Ik geef toch de website toestemming (meestal geen toestemming) om cookies te plaatsen op mijn eigen computer? Daarmee geef ik toch geen toestemming aan een derde partij als IAB om gegevens te verzamelen en door te verkopen aan adverteerders?

    1. Het systeem is zo ontworpen dat jij wel degelijk toestemming geeft (of weigert) aan de adverteerders (die 1438 partners in de consent popup) om je overal te mogen volgen. IAB verkoopt niets door, jij zegt tegen 1438 mensen dat die alles van je mogen weten. En dat met één knopje, is technologie niet fantastisch.

      1. Maar waarom vragen ze dan elke keer weer om toestemming, terwijl ik zo mijn twijfels heb of die 1438 partners nou werkelijk “zorgvuldig geselecteerd” zijn en ik het ook niet echt duidelijk vind wat die partners nu werkelijk voor informatie verwerken. Laat ons dan maar niets zeggen over “voor productontwikkeling en kwaliteitsdoeleinden”. Er is wel één cookie waar ik graag toestemming voor wil geven: Ik wil geen 3rd party cookies, en ook niet herhaaldelijk daarover bevraagd worden. En nee, de website die ik bezoek heeft mij betreft geen “redelijk belang” met het delen van mijn gegevens voor onduidelijke doelen met die 1438 “zorgvuldig geselecteerde” partners.

  4. Al dit geneuzel toont voor mij aan dat we gewoon naar een integraal verbod moeten gaan van adverteren op basis van gegevens van de bezoeker / lezer, maar in plaats daarvan terug moeten naar een systeem waarbij advertenties worden getoond op basis van de inhoud van de pagina. Dat is voor iedereen beter, behalve de advertentie-giganten: de advertenties zijn relevant voor de bezoeker (want die kijkt naar inhoud die voor hem/haar relevant is), vanwege die koppeling wordt goede inhoud beter gewaardeerd (immers, goed artikelen zijn schaars, en de ruimte om daar advertenties bij te zetten beperkt). Met de huidige methode ondermijn je die waarde.

    1. Ik vraag me ook serieus af of die gerichte advertenties echt tot zoveel meer verkopen leiden dan content-afhankelijke advertenties. Helemaal in het begin, toen er alleen statische advertenties waren en een enkele partij ging gerichte advertenties tonen zal het waarschijnlijk effect hebben gehad, maar ik denk echt dat dat nu niet langer het geval is. Harde cijfers van onafhankelijke bronnen kan ik alleen niet vinden. Wel partijen die beweren dat het wel 670% procent effectiever is en tot 280% meer omzet genereert, maar die beweringen worden dan gedaan door partijen die dat soort dingen aanbieden. Wij van Gerichte Advertenties B.V. adviseren gerichte advertenties…

      1. Gerichte advertenties werken nog steeds beter dan ongerichte advertenties, en met name voor zeer kleine adverteerders. Voor grote spelers zoals automerken en verzekeringsmaatschappijen met een zeer grote doelgroep en een groot budget, maakt het inderdaad niet zoveel uit of de advertentie gericht is of niet; het werkt nog steeds wel beter, maar iedereen in Nederland is in November op zoek naar een nieuwe zorgverzekering, dus kun je lekker overal je advertentie kwijt. Maar als je een mom-and-pop bedrijf bent dat motoren verhuurt voor vakantietrips langs highway 1 in Californië en is gericht adverteren je enige hoop op met een beperkt advertentiebudget de mensen te benaderen die wellicht in je product of dienst geïnteresseerd zijn.

          1. Dat is inderdaad een verschijnsel dat ik ook ervaar bij die aanbevelingen van Coolblue en bol.com. Dan heb ik een nieuwe rijstkoker gekocht, en dan denkt Coolblue een maand lang dat ik begonnen ben met het aanleggen van een enorme collectie rijstkokers.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.