Europees Hof van Justitie: IAB-systeem voor cookiepop-ups in strijd met AVG

Een systeem van brancheorganisatie IAB dat op veel websites gebruikt wordt om via een pop-up toestemming te vragen voor het plaatsen van cookies, is in strijd met de AVG. Dat stelt het Europees Hof van Justitie in een arrest.

IAB is de grootste Europese brancheorganisatie voor adverteerders, marketingbureaus en mediabedrijven. De organisatie bouwde jaren geleden de tool Transparency & Consent Framework, waarmee cookietoestemming in één keer geregeld kan worden volgens de AVG-regels. Veel gebruikers zien dit systeem in de vorm van de cookiepop-up die op veel sites langskomt. Naar schatting gebruikt ongeveer tachtig procent van de Europese websites en apps het systeem, aldus het Financieele Dagblad.

De Belgische toezichthouder besloot in 2022 echter dat het systeem van IAB in strijd is met de AVG. Het IAB-systeem slaat de voorkeuren van gebruikers gecodeerd op in een TC-string, die vervolgens wordt gedeeld met organisaties die meedoen aan het advertentieplatform van IAB. Op die manier weten makelaars in persoonsgegevens en reclameplatformen waar een gebruiker wel of geen toestemming voor heeft verleend. Daarnaast wordt er een cookie op het toestel van de gebruiker geplaatst. Maar de TC-string en cookie kunnen in combinatie met elkaar aan het IP-adres van de gebruiker worden gekoppeld, waardoor de gebruiker te identificeren is. Volgens de privacytoezichthouder is IAB ook verwerkingsverantwoordelijke, waardoor het verantwoordelijk gehouden kan worden voor schendingen van de AVG. IAB kreeg een boete van 250.000 euro en twee maanden de tijd om een actieplan in te dienen met verbeterpunten.

IAB ging in beroep tegen het besluit. De Belgische rechter vroeg het Europees Hof van Justitie weer om nadere toelichting. Het Hof komt nu in zijn arrest tot dezelfde conclusie, namelijk dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven vormt. Ook vindt het Hof dat IAB Europe beschouwd moet worden als een gezamenlijke verwerkingsverantwoordelijke.

Het arrest van het Hof gaat nu terug naar de Belgische rechter die het Hof om uitleg had gevraagd. Pas nadat de Belgische rechter een uitspraak heeft gedaan, wordt het besluit van de Belgische privacyautoriteit definitief. Maar de uitspraak van het Europees Hof betekent dat de advertentiesector zijn huidige systeem fundamenteel moet aanpassen. IAB heeft al een alternatief ontworpen, maar omdat de industrie het juridisch traject wilde afwachten, werd dat nooit in de praktijk gebracht.

Door Eveline Meijer

Nieuwsredacteur

07-03-2024 • 15:12

75

Submitter: Floort

Reacties (75)

Sorteer op:

Weergave:

Geen screenshot erbij van welke dit precies is?

Deze?
Ja of die met 300 leveranciers die allemaal een legitiem belang menen te hebben en die je 1 voor 1 uit muit vinken. :(
Als ik dit zie open ik vaak de site incognito. Gewoon accepteren drukken, lezen en dan tab weer sluiten. Daarmee is je cookie ook weer weg..
Ik gebruik zelf Firefox icm enkele container extensies. Voor websites die ik geregeld gebruik, heb ik eigen containers gemaakt. Alle andere websites worden in tijdelijke containers geopend en wanneer ik de pagina sluit worden deze automatisch verwijderd. Firefox zorgt er automatisch voor dat iedere website in de juiste container wordt geopend.

Extensies: Multi-Account containers (Mozilla), Temporary Containers, Facebook Container (Mozilla), Google Container
Containers zouden eigenlijk niet meer nodig moeten zijn met (dynamic) first party isolation (network.cookie.cookieBehavior = 5):
https://developer.mozilla...rivacy/State_Partitioning

Dat gezegd hebbende is alles dat Google aan het doen is m.b.t. het verbannen van 3rd party cookies verschrikkelijk, want dat was een eenvoudige manier om die tracking buiten de deur te houden.

[Reactie gewijzigd door guillaume op 22 juli 2024 22:56]

Deze containers zijn inderdaad heel handig. Kan ook iedereen aanraden om dit met werk te gebruiken. Zodat je bijv met meerdere accounts eenvoudig in Office kan werken zonder dat je steeds opnieuw hoeft in te loggen met verschillende accounts.
Dat is makkelijk voor wie daar er aan denkt. Maar men speelt juist in op het onnodig moeilijk maken voor wie niet zo handig is. En aangezien men zelfs naar het hof is gegaan lijkt de houding dat die incognito browser niet zo relevant is. Waarschijnlijk omdat juist genoeg gebruikers afhankelijk van de wet zijn, waar men juist te weinig bescherming mee kreeg.
Ja die is heel erg . ben je 10 minuten bezig om al die legitieme belangen manueel af te clicken . je kan niet klikken op alles afwijzen of enkel noodzakelijlk .
Ook in android apps kom je die soms tegen (ik dacht zelfs dat speedtest.net die tegenwoordig ook gebruikt) .

Meestal ga ik gewoon dan weg , of uninstall de app .
Het is de bedoeling dat je moe(deloos) wordt en niet zoals jij weggat of de-installeert, maar alles dan maar toestaat.
Ja of die met 300 leveranciers die allemaal een legitiem belang menen te hebben en die je 1 voor 1 uit muit vinken. :(
Of erger nog degenen die menen dat hun legitiem belang zo groot is dat je het niet eens uit mag zetten. Wat mij betreft is er praktisch geen enkel echt legitiem belang dat de reclameboeren kunnen aandragen dat mijn mensenrecht op privacy zou overstemmen.

Sessie cookie, bijvoorbeeld om in te loggen, prima. Dat is functioneel.
Winkelmandje cookie, ook prima, dat dient een duidelijk nut.
Analytics en perfomance cookies zijn wat mij betreft al onnodig. Dat kan serverside, zonder dat de bezoeker te identificeren hoeft te zijn.

99.9999% van alle overige cookies? Onnodige schending van privacy en zouden gewoon bij wet verboden moeten worden.
Tip: gebruik de browser plugin Consent-o-Matic. Je stelt in de settings van de plugin in welke koekjes je wel en niet lekker vindt en op elke site waar je komt vinkt ie automagisch aan en uit .
Kan die plugin ook ervoor zorgen dat die popups van "Abonneer je op onze nieuwsbrief" en "Zet meldingen van onze site aan!" op dezelfde manier verdwijnen?
Helaas niet, hij werkt niet bij alle banners maar het is relatief makkelijk er aan bij te dragen via GitHub. Ik merk wel dat het een verademing is, vooral bij websites die de banner steeds opnieuw tonen wanneer je niet op alles accepteren klikt.
Op zich is dit reeds in strijd met de cookie wetgeving dacht ik (wanneer onderneemt men hier actie tegen ?)... het standaard gedrag moet een "reject all" zijn en niet zoals het nu op de meeste websites is, de allow het meest voor de hand liggend en de reject waar je soms moet achter zoeken.
Ik ben geen jurist, en kan me vergissen, maar volgens mij is legitiem belang een uitzondering hierop in de AVG. Dat die uitzondering aan alle kanten misbruikt wordt, mag duidelijk zijn, maar het zou wel betekenen dat een "reject all" voor legitiem belang niet hoeft.
Voor zo ver ik weet zitten er aan "legitiem belang" redelijk strikte voorwaarden wanneer dit een argument is (bijvoorbeeld als je het vanwege wetgeving moet bewaren). En dat is niet het geval voor advertentieboer die geld wilt harken. Alhoewel ik mij er al even niet in verdiept heb, dus ik zou zo die voorwaarden niet direct kunnen noemen en mogelijk dat ik het verkeerd onthouden heb. Maar dat komt er in ieder geval op neer dat "legitiem belang" vaak gewoon in strijd is met de AVG, zoals r2504 aangeeft.

[Reactie gewijzigd door Tweekzor op 22 juli 2024 22:56]

Oh, absoluut. Vandaar ook mijn opmerking dat het aan alle kanten misbruikt wordt.
Welkom in de wereld van dark patterns.
Van wat ik er begrijp zijn er verschillende implementaties die dit framework gebruiken, dus zou dit er best onder kunnen vallen.
Ja en nee, (helaas/gelukkig) heb ik recentelijk als ontwikkelaar te maken gehad met het onderzoeken van TCF, er zijn meerdere partijen die een cookie-banner implementatie aanbieden o.b.v de TCF standaard (deze wordt vaak region-based ingeladen, je kan dus afhankelijk van de locatie waar je de website bezoekt (eu, buiten eu) verschil hebben in de implementatie van een cookie-banner op een website). Tegelijkertijd kan je als website bouwer ook kiezen voor een cookie banner zonder TCF implementatie, maar dat is maar net afhankelijk van welke 3rd-party’s een website in wil laden en welke eisen die 3e partijen stellen.

Zo kan het zo ingesteld worden dat er in de US, in de staten waar dit toegestaan wordt, er geen banner getoond wordt en je een opt-out knopje (verstopt natuurlijk) ergens in de footer hebt. Tegelijkertijd heeft de website in de EU de volledige cookie-banner met een TCF implementatie.

Ik ben persoonlijk heel benieuwd naar de ontwikkelingen op dit vlak, omdat ik weet dat bijvoorbeeld Google Ads het poogt verplicht te stellen dat je gebruik maakt van een TCF-implementatie (zelfgebouwd, danwel via een 3e partij) om binnen de EU advertenties weer te geven.

Ik lees net ook over het alternatief en volgens mij komt dat er, heel plat gezegd op neer (als ik het goed onthouden heb) dat de je niet meer website-overstijgend de voorkeuren mag opslaan, maar dat de TC-string domein specifiek is, maar hier kan ik fout zitten.

[Reactie gewijzigd door MrAmos op 22 juli 2024 22:56]

Het gaat om de technische standaard die o.a. de TC String voorschrijft waarmee gestandaardiseerd uitgewisseld kan worden wie waarvoor toestemming heeft gegeven. Er zijn verschillende implementaties met verschillende user interfaces. DPG Media maakt ook gebruik van het IAB TCF bijvoorbeeld.

[Reactie gewijzigd door Floort op 22 juli 2024 22:56]

Ja je moet eerst zelf weer zoeken wat ze precies bedoelen.
Dit is cookiebot, 1 van de vele consent management platforms. Cookiebot ondersteunt TCF, net als Google.

Pain in the ass om die dingen goed te implementeren. En als je het niet doet word je website als malafide gezien.
Het gaat om het framework van het IAB.
Verschillende visuele implementaties maken daar gebruik van dus een screenshot is geheel nutteloos. Dezelfde visuele implementatie kan er bij de ene publisher gebruik van maken terwijl een andere publisher het zonder doet.
Jij leest niet. Het framework is een backend ding. Het deel dat jij ziet als bezoeker, kan wel of niet gebruik maken van het framework. Daar hoef je visueel niets van te merken.
Mooi dat dit soort rechtszaken ook echt plaatsvinden. Mijn hoop voor de toekomst is dat veel bedrijven zullen zeggen, "tja, dan kunnen we net zo goed bezoekers niet tracken. Laat dan ook maar!"

Zo probeer ik het in elk geval wel naar cliënten te communiceren; op lange termijn ben je nu gewoon beter uit door niet je bezoekers te tracken. Er zijn nog wel marketing organisaties die tracking blijven pushen, maar als die nu ook eens goed op hun kop krijgen...
Maar dan willen ze wel Google Analytics want eeh Google beloofd niet te tracken... en het is zo handig...
Dat is ook een hele eigen can of worms inderdaad. Ze hebben wel een 'anonieme' tracking modus, waarbij ze beloven alles te anonimiseren. Dan heb je in theorie geen cookie-banner nodig. Daar staat tegenover dat het AP wel altijd op het punt lijkt te staan om heel Google Analytics te verbannen.

Er valt wel wat voor te zeggen, dat je de verantwoordelijkheid verplaatst naar zo'n partij. Kun je dan zelf nog zeggen dat je je best hebt gedaan om bezoekers niet te tracken? Voor mij voelt anoniem tracken beter dan de neppe 'keuze' die bezoekers met een cookie-melding krijgen.
Inderdaad beloven ze het. Er is alleen niemand die het kan controleren. En ik weet ook niet of je de grootste advertentieverkoper moet vertrouwen...

Ik denk dus dat het een schijnregel is aangezien ze de grote jongens helemaal niet kunnen controleren want uiteindelijk hoef je alleen die aan te pakken ipv al die smurfen websites..
Een ander deel zal wat anders zeggen:
- zonder die informatie hebben we ook niets aan de website. Stoppen maar!
- zonder die informatie krijgen we niet genoeg advertentie inkomsten. Alleen betaalde bezoekers? Stoppen?

Dit zal dan zeker invloed hebben op de vrij beschikbare informatie.
De websites die ik voor mijn cliënten heb gemaakt hebben doorgaans geen advertenties (omdat ze stichtingen zijn, of eerlijk gezegd niets weten over bezoekersaantallen en het verkrijgen daarvan).

Ik denk dat het zeker goed mogelijk is om geen trackers te hebben en nog steeds een prima website te hebben.
Doen wij ook zo. In WordPress hebben we vaak Koko geactiveerd. Geeft voldoende informatie.
Ik ben zelf met een website bezig waarin ik ga proberen het analytics/tracker -loos te houden, hopelijk gaat het werken, moet wel zeggen dat het een hele specifieke niche is dus mensen die dat bezoeken kan ik natuurlijk wel 'ongerichte' advertenties voorschotelen die binnen dat onderwerp vallen.

Tweakers had dat ook gedaan maar die is daar dus niet al te lang geleden op teruggekomen, de ongerichte ads leveren bij lange na niet zoveel op als persoonlijke ads blijkbaar:
.plan: Tweakers stopt met trackingvrije advertenties
Tweakers had dat ook gedaan maar die is daar dus niet al te lang geleden op teruggekomen, de ongerichte ads leveren bij lange na niet zoveel op als persoonlijke ads blijkbaar:
.plan: Tweakers stopt met trackingvrije advertenties
Een reden daarvoor is dat persoonlijke advertenties nog steeds een keuze zijn. Neem die keuze weg (niemand kan effectief meer persoonlijke advertenties aanbieden zonder expliciete, herroepelijke goedkeuring van de gebruiker) en het enige dat overblijft zijn advertenties zonder tracking. Het is niet alsof er daardoor plots minder zal worden uitgegeven aan marketing.
Het is niet alsof er daardoor plots minder zal worden uitgegeven aan marketing.
Als er minder inkomen uit ads komen dan gaat dat budget echt wel omlaag. Ook kan dat geld voor andere manieren van adverteren uitgegeven worden waar websites misschien ook niks aan kunnen verdienen.
Als er minder inkomen uit ads komen dan gaat dat budget echt wel omlaag.
Ook prima. Laat bedrijven maar met nieuwe verdienmodellen komen die niet afhankelijk zijn van privacyschending van hun bezoekers. :)
Dan krijg je dus een paywalled internet
Daar heb ik persoonlijk geen problemen mee. Maar wie ben ik...
Voldoende sites die nu al prima overleven zonder advertenties. Ik zie een nieuwe gouden eeuw. :)
Tweakers had dat ook gedaan maar die is daar dus niet al te lang geleden op teruggekomen, de ongerichte ads leveren bij lange na niet zoveel op als persoonlijke ads blijkbaar:
.plan: Tweakers stopt met trackingvrije advertenties
Misschien is dat gewoon een teken dat het businessmodel van het product 'advertentie' verkopen niet meer levensvatbaar is en dat het langzaam het einde van de ad-industrie op internet aan het worden is.
Ken je deze toevallig? Tracking-free audience statistics

In mijn ervaring is het vrij makkelijk om een site zonder tracking te bouwen, zelfs als je wel basale analytics gebruikt. Je moet het gewoon niet implementeren en dan staat het er niet op. Waar het lastig wordt is als je wel advertenties door advertentieplatformen van derden of door middel van auction op je site wil implementeren. Dat is ook precies waar het bij Tweakers mis ging met hun trackingloze advertenties.
Bij onze web app hebben we ervoor gekozen voor privacy vriendelijke analytics.
Ik wil wel graag weten hoe onze app gebruikt wordt, ik wil niet weten precies wie.
Mag ik vragen welke je gebruikt? Ik heb zelf naar een aantal gekeken, en Matomo lijkt mij wel interessant (met hun 'scan logs en anonimiseer IP-adressen'-oplossing).
Het probleem is dat alle cookies tracking zijn en niet enkel cookies, maar ook localStorage en een reeks variabelen zijn ook tracking, naast IPs die in je logs komen.

Je hebt echt geen cookies nodig om iemand te volgen op het Internet, het enigste dat de wetgeving doet is het pijnlijk maken voor legitieme bedrijven en gebruikers, voor de bedrijven die je data verzamelen kan het worst wezen wat de EU denkt.

Erger nog, zolang je de regeltjes volgt kun je legitiem iemand volgen en doen alsof je de privacy van de gebruiker voorop stelt en dat zorgt dat de gebruiker zich veiliger voelt om meer data af te geven.

Als je wilt dat je privacy hebt op het net, moet je je goed inlichten over VPN, TOR, hoe browsers werken, misschien zelfs een tussenschakel zoals VDI en een reeks andere systemen die de gemiddelde gebruiker te moeilijk vindt.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 22:56]

Ik denk dat de impact van de enkele zin uit het artikel waarin staat dat de IAB een gezamenlijke verwerkingsverantwoordelijke niet moet worden onderschat. Dat de IAB TC String een persoonsgegeven is was al vrij helder. Maar de gezamenlijke verwerkingsverantwoordelijkheid maakt het dat zowel toezichthouder als betrokkenen zowel de IAB als de website-eigenaren kunnen aanspreken. Dat is precies wat de Belgische toezichthouder doet: in plaats van elke website individueel aanpakken op onrechtmatige cookiebanners pakken ze in een keer de maker van een van de meest gebruikte cookiebanners aan. Ook betrokkenen kunnen met deze uitspraak als rugdekking een enkele website aanspreken als er iets (Met betrekking tot die consent-verwerking) onrechtmatig wordt verwerkt , of inzage/verwijdering/etc. gevraagd word en alle gezamenlijke verwerkingsverantwoordelijken moeten dat dan onderling afstemmen.

[Reactie gewijzigd door Floort op 22 juli 2024 22:56]

IAB is voor zover ik weet geen provider van een cookie banner, maar een verzameling van verschillende belanghebbenden die een framework hebben opgezet waar website bouwers, maar ook partijen die een cookie banner als kant en klare oplossing voor je website aanbieden, gebruik van maken.

IAB: faciliteert de standaard
Publisher: de website die vendors implementeert
Vendor: de partij die cookies wil instellen, voor uiteenlopende doeleinden / features
Consent Management Platform: de partij die een cookie-banner aanbiedt.

Waarbij je natuurlijk de situatie kunt hebben dat een bedrijf alle 3 de rollen zelf imlementeert.

Voor de rest sta ik volledig achter hetgeen wat je zegt :)

[Reactie gewijzigd door MrAmos op 22 juli 2024 22:56]

Je hebt helemaal gelijk. De Belgische toezichthouder pakt in één keer de partij aan die de standaard voor de consent uitwisseling heeft gemaakt in plaats van op losse websites de rechtmatigheid van de consent te controleren.
Geen probleem :) elke dag kunnen we van elkaar leren denk ik zelf altijd
Het is iets, maar geen oplossing voor het probleem dat het internet door alle cookiewalls en dark patterns in die cookiewalls heel irritant is geworden om te gebruiken als je nee wilt zeggen tegen tracking.

EU, laat websites alsjeblieft een do not track flag in browsers respecteren. Cookiebanners zijn een waardeloos gevolg van matige wetgeving, fix de wetgeving en dan hoeven we met zijn allen niet meer elke keer een popup te zien in plaats van de content die we zoeken.
het probleem dat het internet door alle cookiewalls en dark patterns in die cookiewalls heel irritant is geworden om te gebruiken als je nee wilt zeggen tegen tracking.

Cookiebanners zijn een waardeloos gevolg van matige wetgeving, fix de wetgeving en dan hoeven we met zijn allen niet meer elke keer een popup te zien in plaats van de content die we zoeken.
Dat is compleet in strijd met de AVG dus illegaal, maar handhaving van die wetgeving is helaas dweilen met de kraan open dus wordt er amper tegen opgetreden. Maar hoe het nu vaak werkt is absoluut niet hoe de EU het heeft opgenomen in de wetgeving.

[Reactie gewijzigd door RuddyMysterious op 22 juli 2024 22:56]

De makkelijkste oplossing is tracking gewoon helemaal te verbieden, dan hoeft er ook niet om toestemming gevraagd te worden.
en dark patterns in die cookiewalls
Dat mag gelukkig ook, dus is wel/ook aan te pakken :+

Zijn ook al verschillende bedrijven voor beboet, maar ik denk dat alle kleinere er voorlopig nog mee weg komen helaas.

[Reactie gewijzigd door watercoolertje op 22 juli 2024 22:56]

maar omdat de industrie het juridisch traject wilde afwachten, werd dat nooit in de praktijk gebracht.
Goed, fijn dit. Een compliant alternatief niet gebruiken omdat de juridische processen nog niet zijn uitgeput.

En dan het maar vreemd vinden dat men zichzelf beschermt dmv blockers. Nobody gives a damn, dus dan moeten we zelf maar de touwtjes in handen nemen. Sorry, not sorry.
De enige cookie die ze van mij mogen plaatsen is een cookie die mijn voorkeuren onthoudt. Maar zelfs dat is blijkbaar al lastig. Te vaak word ik op websites bij herhaald bezoek getrakteerd op wederom alles uitvinken. Om chagrijnig van te worden. Zeker als je dan ook nog dat 'legitieme belang' moet gaan uitvinken.
Logisch dat mensen door dat gedoe maar blijven klikken op 'accepteren'. Maak het mensen zo moeilijk mogelijk om te doen wat de norm zou moeten zijn en men kiest vrijwel altijd voor de makkelijkere weg.
Mooi zo, en nu meteen handhaven.
Het moet maar eens afgelopen zijn met te kijken tot hoever we kunnen gaan met cookies, en barrieres op te werpen om maar cookies geaccepteerd te krijgen.
De eerste conclusie van het vonnis: de TC-string (waarin de voorkeuren van een internetgebruiker met betrekking tot zijn toestemming voor de verwerking van zijn persoonsgegevens door aanbieders van internetsites zijn opgenomen) is een persoonsgegeven
wanneer zij met redelijke middelen kan worden gekoppeld aan een identificator zoals met name het IP-adres van het toestel van die gebruiker
Het lijkt erop dat daarmee wordt aangegeven dat het ook een persoonsgegeven voor IAB is (wat een persoonsgegevens is voor de 1 hoeft dat niet voor de ander te zijn, zie het eerdere Breyer-vonnis). Het Hof haal Breyer aan in dit vonnis maar concludeert niet dat de TC-string geen persoonsgegeven is voor IAB, terwijl IAB zelf geen middelen heeft om de TC-string te koppelen aan een persoon.

De tweede conclusie:
een sectororganisatie [IAB dus] die haar leden een door haar opgestelde standaard aanbiedt die betrekking heeft op de toestemming voor de verwerking van persoonsgegevens en die behalve bindende technische regels ook voorschriften bevat waarbij gedetailleerd is bepaald hoe de persoonsgegevens met betrekking tot die toestemming moeten worden opgeslagen en verspreid, dient te worden aangemerkt als „gezamenlijke verwerkingsverantwoordelijke” in de zin van die bepalingen indien zij (...) voor eigen doeleinden invloed uitoefent op de betreffende verwerking van persoonsgegevens en aldus samen met haar leden het doel van en de middelen voor die verwerking vaststelt.
Het is nu aan de APD om te bepalen of in dit geval aan die voorwaarden (het stuk dat begint met "indien" in conclusie 2 - maar ook het stuk dat begint met "wanneer" in conclusie 1) wordt voldaan. En het is helemaal niet zo evident dat dat het geval is, want IAB levert alleen een framework: het is een standaardiserende organisatie, en heeft zelf geen winstoogmerk en heeft ook geen aanvullende persoonsgegevens. Wat zouden die "eigen doeleinden" dan helemaal kunnen zijn?

[edit - stuk over conclusie 1 herschreven]

[Reactie gewijzigd door berzerker op 22 juli 2024 22:56]

Het Hof haal Breyer aan in dit vonnis maar concludeert niet dat de TC-string geen persoonsgegeven is voor IAB, terwijl IAB zelf geen middelen heeft om de TC-string te koppelen aan een persoon.
Omdat sedert met de AVG/GDPR de definitie van persoonsgegeven bijgesteld is als elk gegeven over een persoon die direct of geidentificeerd kan worden. De definitie heeft formeel laten vallen dat de verwerkingsverantwoordelijke de partij moet zijn die de persoon moet kunnen identificeren, alsmede dat het gegeven zelf bij moet dragen aan deze identificatie.
Zodra er de mogelijkheid bestaat dat enige partij, maakt niet uit welke, adhv enige vastgesteld gerelateerde gegevens redelijkerwijs zou kunnen achterhalen van welke werkelijke persoon er sprake is, zijn alle in bezit zijnde gegevens die iets over deze 'voormalige persoon X' zouden zeggen, persoonsgegevens.

Het Breyer-vonnis ging over een zaak voor de AVG/GDPR van kracht was, cq. toegepast mocht worden.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:56]

Dat heb ik niet eerder gehoord, en lijkt mij ook niet juist.

Ook de Europese rechters zijn het daar niet (althans niet allemaal) mee eens, zie bijvoorbeeld overwegingen 97 - 100 in een zaak die vorig jaar voor de achtste kamer voorkwam, waar het ging over de vraag of gepeudonimiseerde gegevens persoonsgegevens waren voor de verwerker (Deloitte) die die gegevens niet aan een persoon(sgegeven) kon koppelen:
97 Uit het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), blijkt echter ook dat, om te bepalen of de gegevens die waren doorgezonden aan Deloitte persoonsgegevens vormden, het noodzakelijk is om zich in de positie van Deloitte te verplaatsen teneinde te bepalen of de aan haar doorgezonden informatie betrekking heeft op „identificeerbare personen”.
98 Ten eerste zij er immers aan herinnerd dat de door de EDPS in het herziene besluit vastgestelde inbreuk op artikel 15, lid 1, onder d), van verordening 2018/1725 betrekking had op de overdracht door de GAR van bepaalde opmerkingen aan Deloitte en niet louter op het feit dat deze opmerkingen bij de GAR berustten.
99 Ten tweede kan de situatie van Deloitte worden vergeleken met die van de aanbieder van onlinemediadiensten als bedoeld in het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), aangezien hij over informatie beschikte, namelijk de opmerkingen betreffende valorisatie 3, die geen informatie vormde die betrekking had op een „geïdentificeerde natuurlijke persoon”, daar de alfanumerieke code op elk antwoord niet direct de identiteit kon onthullen van de natuurlijke persoon die het formulier had ingevuld. Voorts kan de situatie van de GAR worden vergeleken met die van de internetprovider in die zaak, aangezien vaststaat dat hij als enige in het bezit was van de aanvullende gegevens aan de hand waarvan de getroffen aandeelhouders en crediteuren die het formulier hebben geantwoord konden worden geïdentificeerd, te weten de alfanumerieke code en de databank met identificatiegegevens.
100 Overeenkomstig punt 44 van het arrest van 19 oktober 2016, Breyer (C‑582/14, EU:C:2016:779), aangehaald in punt 91 hierboven, stond het dus aan de EDPS om te onderzoeken of de aan Deloitte doorgezonden opmerkingen voor haar persoonsgegevens vormden.
101 De EDPS stelt dan ook ten onrechte dat niet hoefde te worden onderzocht of de auteurs van de aan Deloitte doorgezonden informatie door haar opnieuw konden worden geïdentificeerd dan wel of deze heridentificatie redelijkerwijs mogelijk was.
De punten uit het Breyer arrest waar dit arrest naar verwijst spreken juist voor mijn interpretatie. Er wordt verwezen naar o.a. punt 43 en 44 uit het Breyer arrest, die op hun beurt weer terugslaan op punt 42 van datzelfde arrest.

En wat staat daar?
42. Bovendien moet volgens overweging 26 van richtlijn 95/46, om te bepalen of een persoon identificeerbaar is, worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is, dan wel door enige andere persoon, kunnen worden ingezet om voornoemde persoon te identificeren.

43. Aangezien deze overweging verwijst naar de middelen die redelijkerwijs kunnen worden ingezet door zowel de persoon die voor de verwerking verantwoordelijk is als een „ander[e] persoon”, kan uit de bewoordingen ervan worden opgemaakt dat het voor de kwalificatie van een gegeven als „persoonsgegeven” in de zin van artikel 2, onder a), van richtlijn 95/46 niet vereist is dat alle informatie aan de hand waarvan de betrokkene kan worden geïdentificeerd, bij een en dezelfde persoon berust.

44. Dat de extra informatie die nodig is om de gebruiker van een website te identificeren, niet berust bij de aanbieder van onlinemediadiensten, maar bij de internetprovider van deze gebruiker, lijkt dan ook niet uit te sluiten dat dynamische IP-adressen die worden geregistreerd door deze aanbieder, voor hem persoonsgegevens vormen in de zin van artikel 2, onder a), van richtlijn 95/46.
Zelfs in de eerdere richtlijn 95/46, nog voor de AVG/GDPR een striktere definitie gingen hanteren, was het hof al van mening dat wil er bij gegevens sprake zijn van persoonsgegevens, de identificeerbaarheid van een persoon niet enkel afhankelijk hoeft te zijn van de middelen die de partij die voor de verwerking van de gegevens verantwoordelijk is, zelf redelijkerwijs daartoe zou kunnen in zetten; maar dat ook gekeken moet worden naar wat enige andere partij zou kunnen en naar wat partijen in samenspraak zouden kunnen als alle gegevens waar zij tezamen over beschikken, gepoeld zouden worden.

[Reactie gewijzigd door R4gnax op 22 juli 2024 22:56]

Niemand betwist dat om te bepalen wat persoonsgegevens zijn voor een bepaalde partij, gekeken moet worden wat die partij aan gegevens heeft *of rechtmatig van anderen kan krijgen*. In Breyer werd het als volgt omschreven hoe aan aanvullende gegevens gekomen zou kunnen worden:
47 Hoewel de verwijzende rechter in zijn verwijzingsbeslissing preciseert dat de internetprovider de extra informatie die noodzakelijk is voor de identificatie van de betrokken persoon, naar Duits recht niet rechtstreeks mag doorgeven aan de aanbieder van onlinemediadiensten, lijken er (...) voor de aanbieder van onlinemediadiensten juridische mogelijkheden te bestaan om zich, met name in geval van cyberaanvallen, te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van de internetprovider te verkrijgen en om strafvervolging in te stellen.

48 De aanbieder van onlinemediadiensten lijkt dan ook te beschikken over middelen waarvan mag worden aangenomen dat zij redelijkerwijs kunnen worden ingezet om de betrokken persoon met behulp van derden, te weten de bevoegde autoriteit en de internetprovider, te identificeren aan de hand van de bewaarde IP-adressen.
En de bovengenoemde uitspraak van de achtste kamer onderschrijft dat toch ook duidelijk? Deloitte kan niet rechtmatig aan de aanvullende gegevens komen, dus de pseudoniemen (dus persoonsgegevens voor de partij die heeft gepseudonimiseerd) zijn voor Deloitte anonieme gegevens (dus geen persoonsgegevens).

IAB heeft volgens mij geen legale weg om aan persoonsgegevens te komen waaraan zij de TC-string kan koppelen.

[Reactie gewijzigd door berzerker op 22 juli 2024 22:56]

Wat mij nou wel mooi had geleken is als Tweakers een wat diepgaandere uitleg zou plaatsen over hoe het dan precies mogelijk is om in combinatie met de cookie en de TC-string het IP-adres te achterhalen.

Dat zou in mijn ogen de meerwaarde van Tweakers meer aanstippen.
Wat mij nou wel mooi had geleken is als Tweakers een wat diepgaandere uitleg zou plaatsen over hoe het dan precies mogelijk is om in combinatie met de cookie en de TC-string het IP-adres te achterhalen.
Dat is niet mogelijk, en dat wordt ook niet door het Hof bedoeld. De TC-string is een persoonsgegeven "aangezien deze tekenreeks het mogelijk maakt om de betrokken gebruiker te identificeren wanneer zij met redelijke middelen kan worden gekoppeld aan een identificator zoals met name het IP-adres van het toestel van die gebruiker". Dus de TC-string is een persoonsgegeven omdat het gekoppeld kan worden aan het IP-adres, maar dat gaat er vanuit dat je die allebei al wel hebt. En dat zal voor het IAB over het algemeen niet het geval zijn (voor de partijen die gebruik maken van het framework van IAB geldt dat natuurlijk wel).
Ik weet niet hoeverre Ghostery the vertrouwen is ;)
https://en.wikipedia.org/wiki/Ghostery#Criticism
Wist ik niet van, thx. Ik gebruik het om cookies snel weg te krijgen.

Op dit item kan niet meer gereageerd worden.