Achtergrond
Microtransacties in games: de nieuwe EU-richtlijnen uitgelegd
van Florian Bodoky
Toestemming zonder controle: Waarom cookiebanners mislukken
21-5-2025
Vertaling: machinaal vertaald
Na een aantal jaren van juridische geschillen is het nu duidelijk dat het "Transparantie en Toestemmingsraamwerk" in strijd is met de Algemene Verordening Gegevensbescherming van de EU. Op "OK" klikken op een cookiebanner is niet genoeg om de gegevens te verwerken zoals veel bedrijven doen.
Het debat rondom het Transparantie- en Toestemmingskader (TCF) houdt de verschillende Europese activisten, bedrijven en autoriteiten op het gebied van gegevensbescherming al jaren scherp. Al in 2022 diende de Ierse Raad voor Burgerlijke Vrijheden (ICCL) een klacht in bij de Belgische gegevensbeschermingsautoriteit. Het beweert dat het TCF systematische schendingen van de General Data Protection Regulation (GDPR) mogelijk maakt.
Bron: iccl.ie
Nu komt er een richtingsuitspraak uit Brussel: Het Belgische Hof van Beroep heeft de rechtszaak die was aangespannen door gegevensbeschermers op belangrijke punten in het gelijk gesteld. Ze bevestigden met name dat de zogenaamde TC String «persoonsgegevens opslaat in de zin van de General Data Protection Regulation (GDPR)». Daarmee volgt de rechtbank het oordeel van het Europees Hof van Justitie (EHJ), dat zich in 2024 al over deze kwestie had uitgesproken. Het is onwaarschijnlijk dat cookiebanners vandaag of morgen zullen verdwijnen. Toch zou deze uitspraak het digitale advertentiesysteem in Europa op zijn kop kunnen zetten.
Wat is het TCF?
Het Transparantie- en Toestemmingskader is in het leven geroepen door reclamevereniging IAB Europe. Het stelt adverteerders in staat om toestemming van gebruikers te krijgen voor gegevensverwerking en deze in realtime door te geven aan andere adverteerders. De zogenaamde TC-string speelt hierbij een belangrijke rol.
Dit is een tekenreeks waarin alle toestemmingen worden opgeslagen die een gebruiker heeft gegeven (of geweigerd). Deze wordt gegenereerd door toestemmingsbeheerplatforms en samen met de cookies opgeslagen in de browser van de gebruiker. De string wordt vervolgens hergebruikt door andere ad tech bedrijven binnen het advertentienetwerk.
Dit werkt weer met het zogenaamde real-time bieden. Dit is een proces waarbij advertentieruimte op websites binnen milliseconden wordt geveild. De winnaar is meestal de advertentie die het beste past bij het profiel van de gebruiker die op de website is - dus het kan zijn dat jij een andere advertentie ziet op website XY dan ik. Het profiel van een gebruiker bestaat uit de informatie in die TC-string. Hoe meer informatie er is, hoe waardevoller de advertentieruimte is voor adverteerders.
Bron: Florian Bodoky
Wat is nu het probleem?
Dataprotectionisten hebben al lange tijd kritiek op verschillende aspecten. Ten eerste het gebrek aan transparantie van het systeem. Gewone consumenten kunnen over het algemeen niet begrijpen welke gegevens van hen worden verwerkt en met welk doel. Je krijgt geen effectieve controle over toestemming omdat je niet echt begrijpt waar je toestemming voor geeft als je op een cookiebanner klikt «Accepteer alle».
In een ecosysteem waarin gegevens in een fractie van een seconde aan honderden spelers worden doorgegeven, lijkt het principe van «informed consent» meer fictie dan werkelijkheid. De hamvraag was of de gegevens die waren opgeslagen in een TC-string persoonsgegevens waren. De rechtbank beantwoordde deze vraag bevestigend.
Als gevolg hiervan schendt het TCF verschillende artikelen van de GDPR:
Artikel 5, lid 1 lit. a en b
- Het verzamelen en gebruiken van TC Strings is vaak niet begrijpelijk voor gebruikers.
- Je kunt vaak niet herkennen welke gegevens naar wie gaan - dit is in strijd met het transparantiebeginsel.
- De doeleinden van gegevensverwerking zijn vaak te algemeen of onduidelijk geformuleerd.
- Gebruikers kunnen geen gedifferentieerde toestemming geven - bijvoorbeeld wel voor reclame, maar niet voor tracking voor marktonderzoek.
Artikel 6, lid 1, onder a
- Verwerking van persoonsgegevens is alleen toegestaan met daadwerkelijke toestemming.
- TC-strings kunnen ook zijn afgedwongen door niet-transparante cookiebanners of donkere patronen.
Artikel 7, lid 1
- Het louter opslaan van een TC-string is onvoldoende bewijs van geldige toestemming.
- Informatie over wanneer, hoe en door wie toestemming is gegeven ontbreekt vaak.
Wie treft schuld en wat zijn de gevolgen voor de schuldigen?
De initiatiefnemer van het TCF, IAB Europe, werd oorspronkelijk gezien als de verantwoordelijke voor het debacle met de gegevensbescherming. Dit is niet helemaal waar, zoals het Belgische Hof van Beroep nu heeft geoordeeld: Het hof ziet de initiator wel in de rol van «joint controller» - maar alleen voor het verzamelen en beheren van toestemmingen binnen het systeem. De toestemmingsbeheerplatforms en de respectieve adverteerders zijn ook verantwoordelijk voor de verdere verwerking van de gegevens totdat de advertenties worden weergegeven.
De term «joint controllership» betekent volgens de GDPR (artikel 26) dat meerdere partijen gezamenlijk verantwoordelijk zijn voor bepaalde stappen in het verwerkingsproces. Ze beslissen samen welke doeleinden en middelen voor gegevensverwerking worden gebruikt. Het moet duidelijk geregeld zijn wie welke taken vervult, want gebruikers moeten een specifieke contactpersoon hebben om hun rechten te kunnen laten gelden.
Bron: iebeurope.com
De straf die nu is opgelegd draait om een boete tegen IAB Europe. Deze bedraagt 250.000 euro. Deze boete is echter opgeschort omdat IAB Europe al een herziene versie van het TCF heeft ontwikkeld. Deze versie 2.2 is bedoeld om de bekritiseerde punten te corrigeren. De «legitiem belang», die eerder werd genoemd als rechtsgrondslag voor gepersonaliseerde reclame, is verwijderd. Daarnaast moet de transparantie worden vergroot en de begrijpelijkheid worden verbeterd. De gegevensbeschermingsautoriteit heeft dit in principe geaccepteerd.
Deze uitspraak kan echter ook andere gevolgen hebben. De meerderheid van de Europese websites vertrouwt immers op het TCF. Dit betekent dat een zeer groot aantal gebruikers wordt getroffen door onrechtmatige gegevensverwerking - wat de vraag oproept naar mogelijke schadeclaims. Deze zullen echter waarschijnlijk gaan naar de adverteerders die zonder wettelijke basis met deze gegevens hebben gewerkt.
Wat gebeurt er nu?
De beslissing kan worden gezien als een mijlpaal. De vraag is nu hoe het verder moet. De uitdaging is om technische oplossingen te creëren die voldoen aan de eisen van de GDPR. Gegevensbescherming «by design» en «by default» - d.w.z. gegevensbescherming vanaf de ontwerpfase - moet aanwezig zijn om te voldoen aan de GDPR. De nieuwe versie van het TCF is de toetssteen voor IAB Europe.
Bron: DSGVO-Team.de
Wat betekent dit voor Zwitserland?
De uitspraak van de Belgische rechtbank heeft geen direct rechtsgevolg. Voor Zwitserland geldt eigen gegevensbeschermingswet, die onafhankelijk van de GDPR geldt. Zwitserse bedrijven moeten echter bijvoorbeeld hun websites GDPR-conform maken als ze zich richten tot gebruikers in de EU, advertenties plaatsen op EU-websites of de gegevens van EU-burgers verwerken. Anders kunnen EU-autoriteiten sancties opleggen. En natuurlijk kunnen gegevensbeschermingsautoriteiten dit oordeel gebruiken als leidraad bij het controleren van het TCF op naleving van hun eigen gegevensbeschermingswetgeving.
Omslagfoto: Shutterstock
Sinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.
32 opmerkingen
later