Systeem achter pop-ups voor cookies schendt privacywet
Het systeem waarmee veel sites via pop-ups om toestemming vragen voor het plaatsen van cookies is in strijd met de Europese privacywet AVG.
Branchevereniging IAB Europe, dat het systeem genaamd TCF bouwde, moet een boete van 250.000 euro betalen, bepaalde de Belgische Gegevensbeschermingsautoriteit (GBA). IAB Europe moet ook binnen twee maanden met een plan komen om het systeem aan te passen.
Het systeem wordt op ongeveer 80 procent van de websites in Europa gebruikt om bezoekers om toestemming te vragen om gegevens te verzamelen via cookies, en die te kunnen delen met adverteerders. TCF was gemaakt om adverteerders en platforms die real-time bieden op online-advertenties te helpen om aan de AVG te voldoen. 'Real-time bidding' is een geautomatiseerde manier om binnen fracties van seconden advertentieruimte op websites te verkopen aan adverteerders.
Uitspraak geldt voor hele EU
Maar het systeem voldoet volgens de GBA niet aan meerdere bepalingen van de EU-privacyregels, bekend als de AVG. Zo kunnen gebruikers niet of nauwelijks overzien waarvoor ze toestemming geven. Ook kan IAB niet zien informatie in verkeerde handen valt, oordeelt de GBA. Die treedt op namens de Europese toezichthouders omdat IAB in België is gevestigd, maar de uitspraak geldt voor de hele EU.
Centraal bij het vonnis staat een onderdeel van de regels dat 'gerechtvaardigd belang' heet. Dat staat bedrijven toe om gegevens te verwerken op een manier die gebruikers kunnen verwachten. Volgens de GBA voldoet de huidige praktijk daar niet aan. Als internetters toestemming geven voor het plaatsen van cookies worden ze vaak uitgebreid gevolgd en worden hun gegevens verkocht. "De meeste mensen weten dat niet", aldus Hielke Hijmans van de Belgische toezichthouder.
Grote partijen moeten data vernietigen
De zaak kan grote gevolgen hebben voor bedrijven die advertenties verkopen en gegevens verzamelen. Volgens de Ierse organisatie Council for Civil Liberties, een van de partijen die had geklaagd over het systeem, treft de zaak meer dan duizend bedrijven die nu data moeten vernietigen, waaronder grote partijen als Google, Microsoft en Amazon.
Systeem aanpassen
IAB zegt "ernstige bedenkingen" bij het oordeel te hebben, maar wijst erop dat de toezichthouder het TCF niet reddeloos noemt. De organisatie bekijkt zijn juridische opties. IAB Europ gaat komend halfjaar aan het TCF sleutelen zodat het alsnog aan de regels voldoet. In de tussentijd mag het systeem in de lucht blijven.
De Nederlandse burgerrechtenorganisatie Bits of Freedom (BoF) is blij met de uitspraak van de GBA. "Het betekent dat de manier waarop online reclame wordt gemaakt op de schop moet. Wij roepen dat al langer. Dit systeem van 'behavioral advertising' kan alleen bestaan bij de gratie van het bespioneren van het gedrag van internetgebruikers. Wij pleitten voor een verbod op zulke advertenties", aldus BoF. Zo'n verbod heeft overigens onlangs het nieuwe Europese wettenpakket DSA net niet gehaald.