De Gegevensbeschermingsautoriteit van België heeft IAB Europe een boete van 250.000 euro opgelegd voor de manier waarop online advertenties worden aangeboden. De toestemming die door de website-bezoeker moet worden gegeven voor pop-up-advertentie is niet in orde, in ieder geval niet volgens de AVG-richtlijn.
De zaak draait om het door IAB Europe ontwikkelde TCF, Transparency and Consent Framework. Die standaard regelt toestemming rond advertentietrackers, oftewel de acceptatie van cookies. Gegevens worden vastgelegd in zogenaamde TC-strings, die vervolgens door derden gebruikt kunnen worden, hoewel de TC-string herleidbaar is tot een gebruiker.
Weinig transparantie
De Gegevensbeschermingsautoriteit (GBA) stelt dat IAB Europe binnen de AVG-wetgeving de verwerkingsverantwoordelijke is en ze wijst op een aantal overtredingen. Er is volgens de GBA geen rechtsgrond voor de verwerking van de TC-string. Er is te weinig transparantie en informatie voor gebruikers: banners die om toestemming vragen bij bezoek aan een website zijn te vaag, gelet op de omvang van de verwerking. Het huidige systeem van toestemmen in advertentietracking is volgens de GBA onvoldoende in lijn met de wet. En ten slotte beschikt de GBA niet over een data protection officer en doet het niet aan effectbeoordeling.
IAB Europe kan nog in beroep gaan tegen de beslissing (en de boete), maar het moet vooral aan de bak. Binnen twee maanden moet er een plan liggen voor verbetering van de werkwijze. Tegelijk moet IAB Europe ook alle deelnemende organisaties screenen op toepassing van de AVG.