In mijn blog over de verschillende uitspraken van de Europese toezichthouders over online adverteerders besteedde ik al aandacht aan de boete van de Belgische toezichthouder GBA. In deze blog: Drie opmerkelijke zaken aan de boete van de GBA.
Deze maakte begin februari bekend een boete van 250.000 EURO te hebben opgelegd aan de online reclame organisatie IAB. De toezichthouders vormen een front tegen Google Analytics. De Belgische toezichthouder trekt het verbod dus breder dan alleen Google Analytics. Drie opmerkelijke zaken aan de boete van de GBA.
Achtergrond
Het zogenaamde Transparancy and Consent Framework (TFC) voldoet niet aan de AVG volgens de Belgische toezichthouder. Het TFC is door het IAB ontwikkeld om organisaties die het OpenRTB-protocol gebruiken compliant aan de AVG te laten zijn. Dit is één van de meest gebruikte protocollen voor geautomatiseerde, real time veiling van gebruikersprofielen voor aan- en verkoop van advertentieruimte.
Als een bezoeker een deelnemende website bezoekt wordt met een interface, het zogenaamde Consent Management Platform (CPM). Hier kan toestemming gegeven worden voor het verzamelen en delen van persoonsgegevens. Ook kunnen internetgebruikers bezwaar maken tegen de verwerking van hun persoonsgegevens op basis van een gerechtvaardigd belang van advertentieverkopers. De voorkeuren worden gecodeerd vastgelegd in een zogenaamde TC string. Deze informatie wordt gedeeld met de organisaties die deelnemen aan het RTB-protocol. Deze weten dan waarvoor de gebruikers toestemming heeft gegeven of bezwaar tegen heeft. Daarnaast wordt een cookie op het apparaat van de gebruiker geplaatst. Dit cookie in combinatie met de string kunnen worden gekoppeld aan het IP-adres van de gebruiker.
Samenwerkende toezichthouders
Drie opmerkelijke zaken aan de boete van de GBA. Ten eerste valt op aan de uitspraak dat deze tot stand is gekomen samen met alle Europese toezichthouders. Alle betrokken toezichthouders hebben de zaak onderzocht en hebben de beslissing goedgekeurd. Twee toezichthouders hadden bezwaren op punten uit de ontwerpbeslissing, waarna de beslissing hier op is aangepast.
De beslissing wordt dus breed gedragen in Europa.
IAB Europe is verwerkingsverantwoordelijke
Drie opmerkelijke zaken aan de boete van de GBA. De tweede is dat het GBA het IAB dat het TFC heeft ontwikkeld als verwerkingsverantwoordelijke ziet. IAB Europe is verwerkingsverantwoordelijke voor de registratie van het toestemmingssignaal, de bezwaren en de voorkeuren van de gebruiker door middel van een unieke TC-string.
IAB is van mening dat zij geen verwerkingsverantwoordelijke zijn en gaat op grond hiervan in beroep tegen de beslissing.
Vier inbreuken op de AVG door IAB Europe
Drie opmerkelijke zaken aan de boete van de GBA. De derde is dat de GBA maar liefst 4 inbreuken op de AVG vaststelt.
Zo heeft zij geen Register van Verwerkingsacitviteiten, geen privacy by default toegepast, schiet de informatievoorziening die verstrekt wordt door het CMP-interface tekort en heeft IAB geen rechtsgrond vastgesteld voor de verwerking van de TC-string.
Een behoorlijk lijst kortom.