De Belgische privacywaakhond heeft terecht het systeem Transparency and Consent van IAB Europe afgewezen. Dat vonnist het Hof van Justitie van de Europese Unie vandaag.
IAB Europe voerde een heftige strijd met de Belgische toezichthouder die – gesteund door andere Europese toezichthouders – meende dat websites die TCF toepassen de privacy van gebruikers schendt.
Het TCF-raamwerk is sinds de invoering in 2018 het meest gebruikte systeem voor cookieplaatsing, met de bekende irritante pop- ups in Europa. In Nederland was DPG Media een grote gebruiker.
Boete
In februari 2022 oordeelde de Belgische privacytoezichthouder dat TCF niet aan de Algemene Verordening Gegevensbescherming (AVG) voldoet en aangepast moest worden. IAB Europe kreeg ook een AVG-boete van 250 duizend euro opgelegd.
Ook de Nederlandse Autoriteit Persoonsgegevens verklaarde TCF illegaal. IAB Europe ging in hoger beroep, en stapte na afwijzing daarvan naar de Europese rechter.
IAB Europe kreeg van de Belgische toezichthouder wel twee maanden de tijd om een plan met aanpassingen van TCF voor te leggen en deed dat, met enige vertraging. De waakhond te Brussel keurde de nieuwe variant in januari vorig jaar al goed.
Identificeerbare gebruiker
De uitspraak van het Hof van Justitie van de Europese Unie, de Europese rechter die veelal economische kwesties behandelt, komt nu met een definitieve afwijzing van systemen voor Real Time Bidding van reclamepartijen op grond van een toestemming van gebruikers via het TCF-systeem.
IAB stelde dat voorkeuren van de gebruikers gecodeerd werden opgeslagen in een letter- en tekenreeks, de Transparency and Consent String (TC-string) die werd gedeeld met makelaars in persoonsgegevens en reclameplatformen, opdat deze wisten waarvoor de gebruiker toestemming heeft verleend zonder dat persoonsgegevens zelf werden overgedragen. In combinatie konden de TC-string en de cookie worden gekoppeld aan het IP-adres van de gebruiker.
In zijn arrest bevestigt het Hof van Justitie dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven in de zin van de AVG vormt. De koppeling van TC-string en IP-adres kan identificatie mogelijk maken en tot profilering leiden.
De uitspraak komt later vandaag hier beschikbaar.