De Belgische privacywaakhond GBA oordeelt dat de cookies op bijna alle Europese websites illegaal zijn en geeft adverteerdersvereniging IAB Europe een boete. De cookies overtreden namelijk de AVG-regels. 

Het systeem van cookie pop-ups die iedereen te zien krijgt op internetsites is illegaal en moet op de schop. Dat heeft de Belgische Gegevensbeschermingsautoriteit (GBA) bepaald in een zaak tegen het Internet Advertising Bureau Europe (IAB Europe), de branchevereniging van online adverteerders die het cookie-systeem heeft ontworpen. Het systeem overtreedt de AVG-regels op meerdere manieren en IAB Europe wordt hiervoor verantwoordelijk gehouden. De vereniging heeft een boete van 250.000 euro opgelegd gekregen en krijgt zes maanden de tijd om het cookie-systeem drastisch aan te passen. Meerdere Europese toezichthouders, waaonder ook de Nederlandse Autoriteit Persoonsgegevens, nemen de uitspraak over. 
De aangesloten bedrijven moeten bovendien alle persoonsgegevens vernietigen die zij met deze methode hebben verzameld. 

David Stevens, voorzitter van de GBA, is trots op de uitspraak: “Het dappere kleine België heeft weer eens laten zien dat het niet bang is om belangrijke zaken aan te pakken, zoals deze, die echt alle Europese burgers aangaat die online winkelen, werken of spelen. Online privacy en de strijd tegen al te opdringerige vormen van adverteren is voor ons een belangrijke prioriteit.”

Tweet David Stevens 2

Transparency & Consent Framework
De bekende cookie-meldingen, officieel het Consent Management Platform (CMP), zijn aanwezig op zo'n driekwart van alle websites in Europa. Ze zijn een gevolg van de cookiewet die bepaalt dat internetgebruikers zelf mogen bepalen welke gegevens websites - en daarmee adverteerders - over ze mogen verzamelen. Grote online adverteerders zoals Amazon, maar ook de techbedrijven Google en Microsoft zelf, gebruiken die data om gericht reclame te kunnen maken. Volgens de adverteerdersbond voldeed ze met dit zogeheten Transparency & Consent Framework (TCF) aan de privacyregels.

Dit systeem is echter zo lek als een mandje, oordeelt de Belgische GBA. Dat komt omdat gebruikersdata als het IP-adres en het surfgedrag zodra gebruikers toestemming geven, direct verhandeld worden op de online advertentiemarkt. Dat gebeurt via het zogenoemde RTB-protocol, wat staat voor Real Time Bidding. Dit protocol herleidt data geautomatiseerd tot gebruikersprofielen waar adverteerders op kunnen bieden. Feitelijk een online veilinghandel in gebruikersgegevens.

AVG-overtredingen
Vanwege zijn TCF-systeem, zo stelt de privacywaakhond, is IAB Europe echter een gegevensverwerker en daarvoor gelden strenge AVG-regels. Die regels heeft de branchevereniging op verschillende manieren overtreden. Zo moet ze een rechtsgrond hebben om de gegevens te mogen verwerken, moet zij daarvoor expliciete toestemming vragen aan de gebruikers, moet ze persoonlijke gegevens veilig en vertrouwelijk behandelen en transparant zijn over het systeem van dataverzameling. Dat alles is niet gebeurd en dat wordt IAB Europe zwaar aangerekend.

IAB Europe

Hielke Heijmans, voorzitter van de Geschillenkamer van de GBA: “Men vraagt mensen om hun toestemming te geven, terwijl de meesten van hen niet weten dat hun profielen dagelijks talloze keren worden verkocht om hen aan gepersonaliseerde advertenties bloot te stellen. Hoewel onze beslissing van vandaag betrekking heeft op het TCF en niet op het hele Real Time Bidding-systeem, zal ze grote gevolgen hebben voor de bescherming van persoonsgegevens van internetgebruikers. De orde in het TCF-systeem moet worden hersteld, zodat gebruikers weer controle over hun gegevens krijgen.”

De zaak bij de Belgische privacywaakhond was in 2019 aangespannen door de Ierse Council for Civil Liberties (ICCL) namens verschillende internationale partijen, waaronder ook het Nederlandse Bits of Freedom. “Dit is een lange strijd geweest”, zegt woordvoerder Johnny Ryan van de ICCL. “De beslissing van vandaag bevrijdt honderden miljoenen Europeanen van toestemmings-spam en het grotere gevaar dat hun meest intieme online activiteiten door duizenden bedrijven worden doorgegeven.” Ook Bits of Freedom reageert blij. Adviseur Rejo Zengers: “Deze uitspraak is winst! Niet voor ons, maar voor alle internetgebruikers in heel Europa.”

IAB Europe bestrijdt het idee dat zij gegevensverwerker voor de AVG zou zijn. De vereniging overweegt in beroep gaan tegen de uitspraak, maar wil wel samenwerken met de GBA om het cookie-systeem te verbeteren.