Een systeem van brancheorganisatie IAB dat op veel websites gebruikt wordt om via een pop-up toestemming te vragen voor het plaatsen van cookies, is in strijd met de AVG. Dat stelt het Europees Hof van Justitie in een arrest.
IAB is de grootste Europese brancheorganisatie voor adverteerders, marketingbureaus en mediabedrijven. De organisatie bouwde jaren geleden de tool Transparency & Consent Framework, waarmee cookietoestemming in één keer geregeld kan worden volgens de AVG-regels. Veel gebruikers zien dit systeem in de vorm van de cookiepop-up die op veel sites langskomt. Naar schatting gebruikt ongeveer tachtig procent van de Europese websites en apps het systeem, aldus het Financieele Dagblad.
De Belgische toezichthouder besloot in 2022 echter dat het systeem van IAB in strijd is met de AVG. Het IAB-systeem slaat de voorkeuren van gebruikers gecodeerd op in een TC-string, die vervolgens wordt gedeeld met organisaties die meedoen aan het advertentieplatform van IAB. Op die manier weten makelaars in persoonsgegevens en reclameplatformen waar een gebruiker wel of geen toestemming voor heeft verleend. Daarnaast wordt er een cookie op het toestel van de gebruiker geplaatst. Maar de TC-string en cookie kunnen in combinatie met elkaar aan het IP-adres van de gebruiker worden gekoppeld, waardoor de gebruiker te identificeren is. Volgens de privacytoezichthouder is IAB ook verwerkingsverantwoordelijke, waardoor het verantwoordelijk gehouden kan worden voor schendingen van de AVG. IAB kreeg een boete van 250.000 euro en twee maanden de tijd om een actieplan in te dienen met verbeterpunten.
IAB ging in beroep tegen het besluit. De Belgische rechter vroeg het Europees Hof van Justitie weer om nadere toelichting. Het Hof komt nu in zijn arrest tot dezelfde conclusie, namelijk dat de TC-string informatie over een identificeerbare gebruiker bevat en dus een persoonsgegeven vormt. Ook vindt het Hof dat IAB Europe beschouwd moet worden als een gezamenlijke verwerkingsverantwoordelijke.
Het arrest van het Hof gaat nu terug naar de Belgische rechter die het Hof om uitleg had gevraagd. Pas nadat de Belgische rechter een uitspraak heeft gedaan, wordt het besluit van de Belgische privacyautoriteit definitief. Maar de uitspraak van het Europees Hof betekent dat de advertentiesector zijn huidige systeem fundamenteel moet aanpassen. IAB heeft al een alternatief ontworpen, maar omdat de industrie het juridisch traject wilde afwachten, werd dat nooit in de praktijk gebracht.