Begin 2022 oordeelde de Belgische privacytoezichthouder (GBA) dat het Transparancy and Consent Framework (TCF) van IAB Europe (platform voor digitale marketing en reclame) in strijd is met de AVG. Het gevolg was een boete van 250.000 euro én de verplichting om met een plan te komen om de veel gebruikte cookiebanner weer in lijn te brengen met de AVG. Inmiddels is dit plan goedgekeurd door de GBA.
Lange tijd bleef het onduidelijk welke oplossingen IAB Europe aan zou dragen, maar onlangs publiceerde VIA Nederland de hoofdlijnen van het goedgekeurde plan. Het gaat om de volgende (geparafraseerde) punten:
- De grondslag voor de zogenoemde TC-String gaat een gerechtvaardigd belang Betrokkenen hoeven voor het gebruik van de cookie hier vooraf dus geen toestemming voor te geven.
- Het is niet meer mogelijk om profilering en de daarmee samenhangende personalisatie van advertenties te baseren op een gerechtvaardigd belang. Dit kan alleen nog op grond van toestemming.
- De mogelijkheid wordt ingebouwd om gemakkelijk terug te keren naar het Consent Management Platform (CMP) om de eerder gegeven toestemming weer in te trekken.
- De UI wordt verbeterd waardoor meer duidelijkheid wordt gecreëerdover bijvoorbeeld de persoonsgegevens die worden verzameld, verwerkingsdoeleinden (d.m.v. onder andere illustraties en voorbeelden), gerechtvaardigde belangen, het aantal vendors waarvan gebruik wordt gemaakt per verwerkingsdoel, de bewaartermijnen en of doorgifte van persoonsgegevens plaatsvindt.
- Er komen criteria voor het vaststellen van bewaartermijnen, zodat die binnen het redelijke blijven.
- Er komt een mogelijkheid om de toepassing van het TCF te monitoren/handhaven. Daarnaast wordt het voor gebruikers van het TCF makkelijker om te controleren of zij voldoen aan de vereisten van het framework.
- IAB gaat een verwerkingsregister opstellen, Data Protection Impact Assessment (DPIA) uitvoeren, privacy statement publiceren en een Data Protection Officer (DPO) aanstellen.
IAB Europe heeft tot 11 juli 2023 de tijd gekregen om het plan door te voeren. Daarnaast is het opvallend dat er nadrukkelijk geen verplichting is om een reject all-button in de eerste laag van de cookiebanner te plaatsen.
IAB Europe besloot eerder in beroep te gaan tegen een aantal onderdelen van het Belgische besluit bij de rechter. De Belgische rechter kwam er zelf niet uit en legde de belangrijkste vragen voor aan het Europees Hof. Dat moet nog oordelen.
Bron: ddma.nl