Belgische rechtbank: IAB-advertentiesysteem is in strijd met AVG

Een advertentiesysteem van IAB Europe, dat door veel sites gebruikt wordt, is in strijd met de AVG en daarmee illegaal in Europa. Dat heeft het Belgische Marktenhof bepaald in een hoger beroep. In 2022 legde de Belgische Gegevensbeschermingsautoriteit al een boete op aan IAB Europe.

De zaak draait om het zogenaamde Transparency & Consent Framework van IAB Europe, een vereniging van onder meer media-, technologie- en marketingbedrijven. Het framework wordt door websites gebruikt om gebruikers om toestemming te vragen voor het verzamelen en delen van persoonsgegevens voor advertentiedoeleinden. Gebruikers zien dit systeem in de vorm van de cookiepop-up op veel websites. De voorkeuren worden opgeslagen en gedeeld met organisaties die via het advertentieplatform OpenRTB van IAB Europe advertentieruimte inkopen.

De Belgische GBA bepaalde in 2022 dat het TCF in strijd is met de AVG. Volgens de toezichthouder worden gebruikers onvoldoende geanonimiseerd, is IAB Europe een verwerkingsverantwoordelijke en worden gebruikers te vaag en te algemeen geïnformeerd. Daarop werd een boete van 250.000 euro opgelegd en een aantal corrigerende maatregelen opgelegd. IAB Europe ging tegen dat besluit in beroep.

In die zaak heeft het Marktenhof nu uitspraak gedaan. Het Marktenhof is het met de toezichthouder eens dat de gebruikers niet voldoende geanonimiseerd worden, wat betekent dat het framework in strijd is met de AVG. De opgelegde boete wordt dan ook bevestigd. Maar het Marktenhof is het niet eens met de GBA dat IAB ook binnen OpenRTB als (gezamenlijke) verwerkingsverantwoordelijke optreedt.

IAB Europe reageert opgelucht op dat laatste deel van het besluit. Daarnaast benadrukt de organisatie dat zij al in 2023 veranderingen voor TCF heeft voorgesteld aan de GBA. De GBA heeft die plannen goedgekeurd, maar omdat de industrie het juridisch traject wilde afwachten, werd het alternatieve platform nog niet in de praktijk gebracht.

Door Eveline Meijer

Nieuwsredacteur

15-05-2025 • 14:50

33

Submitter: kuurtjes

Reacties (33)

Sorteer op:

Weergave:

Bijzonder dat dit juridisch zo lang moet duren. IAB staat bij mij bekend om een totaal gebrek aan het simpel weigeren van alle cookies. Je moet tientallen, zo niet 100en keren klikken om alles uit te krijgen. Elke keer wéér.
Werkt (zo ver ik weet) zonder DNS manipulatie, juist weer niet op en in apps op de telefoon dankzij het feit dat we juist daarin geen plugins kunnen krijgen :(
Blijft wel irritant zo, zeker op telefoons met hoeveel kliks je iets uit moet zetten
Voor iOS apparaten zijn er gewoon plugins beschikbaar. Wel via de appstore, maar zijn gewoon extensions in Safari. En op iOS kan je ook nog eens DNS manipulatie gebruiken, ook weer via app en/of VPN.

https://apps.apple.com/gb/app/consent-o-matic/id1606897889
Op Android kan dat ook, je moet alleen geen Chrome gebruiken. Browsers zoals Edge en Firefox ondersteunen gewoon extensies.
Ja, ik heb m net in Firefox geinstalleerd...

Als je Tampermonkey part kan je ook Userscripts draaien;)
Klopt manipulatie kan ook via Android, maar blijft wel vervelend dat het in het algemeen nodig is
In mijn ervaring is een Pihole genoeg om de meeste trackers te pakken op Android (je zult wel bepaalde mate van data-uitwisseling met Google moeten accepteren, tenzij je een ROM zonder Google Play installeert). Voor de rest is er uBlock Origin op Firefox.

Verder heb je apps die een software-VPN nabootsen waarmee ze selectief netwerkverkeer doorlaten. Dit is fijnmaziger dan een Pihole, maar ontneemt wel de mogelijkheid om een andere VPN aan te zetten. De datahongerige apps werken niet goed als je zoiets aanzet, maar dat zul je voor lief moeten nemen; die apps overtreden doorgaans toch de wet al door eerst te tracken en dan toestemming te vragen. Tools als AdAway en Blokkada zijn gratis en open source.

Op iOS heb je een aantal adblockers die blokkades uitvoeren op ingebouwde WebKit-componenten. Daarmee kun je ook een heleboel tegenhouden. Lang niet alles (Facebook wiens SDK in zo'n beetje elke app zit, werkt daar voor zover ik weet gewoon omheen), maar je staat ook niet compleet machteloos. Ik geloof dat Apple net als Google de adblock-VPNs uit de store gegooid heeft, alleen heb je op iOS nog niet echt een alternatief voor F-Droid dus zou ik niet weten welke adblock-VPN-simulator je daarop zou kunnen downloaden.
Bijzonder dat dit juridisch zo lang moet duren
Lang? In 2022 is het pas juridisch beginnen lopen, ik denk dat je een heel rooskleurig beeld hebt van dit soort zaken en de rechtsgang in het algemeen hier in België :(
Hanteert Vlaanderen eigenlijk dezelfde afkortingen als Nederland als het om Europese regels gaat? Dus de GDPR heet in Vlaanderen ook AVG maar gaat dat ook op voor andere wetten?
Vlaanderen (en België in het algemeen) hanteert vaak andere afkortingen dan Nederland voor Europese wetgeving, zelfs als het over exact dezelfde regelgeving gaat. Hier zijn de belangrijkste punten:

1. GDPR / AVG
Nederland: AVG = Algemene Verordening Gegevensbescherming
Vlaanderen (België): GDPR wordt meestal gewoon GDPR genoemd, ook in officiële communicatie.
De Nederlandstalige naam ("Algemene Verordening Gegevensbescherming") wordt wel herkend, maar de afkorting AVG wordt nauwelijks gebruikt in België.
2. Andere voorbeelden van verschillen:
Europese regelgeving Nederland (NL) Vlaanderen / België (BE)
GDPR AVG GDPR
MiFID II (financiële sector) MiFID II MiFID II
REACH (chemische stoffen) REACH REACH
CLP (etikettering gevaarlijke stoffen) CLP CLP
DAC7 (belastingrapportage) DAC7 DAC7

Dus:
Technische EU-afkortingen (zoals REACH, CLP, MiFID II, DAC7...) zijn meestal identiek in België en Nederland, omdat ze internationaal ingeburgerd zijn.
Vertaalde termen (zoals AVG) kunnen afwijken, en in België gebruikt men liever de Engelstalige afkorting (GDPR in plaats van AVG).

Conclusie:
Vlaanderen gebruikt niet altijd dezelfde afkortingen als Nederland, vooral als het gaat om vertaalde namen van Europese wetten. Vlaanderen houdt vaker de Engelstalige afkorting aan.

[Reactie gewijzigd door RobVI op 15 mei 2025 18:38]

niet voldoende geanonimiseerd
Ik heb die nooit begrepen, het is wel of niet anoniem, toch niet 'een beetje' of 'erg veel' anoniem?
Als iets te herleiden is tot persoon, is het niet anoniem, zo simpel is het toch?

Maar even uit originele bericht:
IAB Europe heeft nu maximaal een half jaar de tijd om de maatregelen uit het actieplan door te voeren.

Vervolgens dit bericht:
werd het alternatieve platform nog niet in de praktijk gebracht.

Welke logica is daar van toepassing? We praten inmiddels 2 jaar later.
Er zit wel degelijk een gradatie in het anonimiseren van data, in bepaalde gremia noemt men het deels anonimiseren ook wel pseudonimiseren. Even een simpel voorbeeld: als je van de grootste bedrijven van Nederland de omzetcijfers zou nemen, bij elk de bedrijfsnaam/KvK nummer of wat dan ook weghaald, is het dan echt geanonimiseerd? Nou nee, want het gaat over b.v. de top 20 grootste bedrijven, als jij daar omzetcijfer X ziet staan kun je via via best wel weer terugherleiden welk bedrijf dat was, zonder dat het er expliciet bij staat.

Hoe/wat het geval in deze casus is weet ik niet, maar ik kan me voorstellen dat (meta)data van advertenties op personen kunt hebben en je uit geaggregeerde informatie een patroon kunt herkennen wat weer terug te herleiden zou kunnen zijn naar individuele personen (wanneer dit niet goed genoeg geanonimiseerd is). Dit moet je dan in verschillende slagen doen, bepaalde afleidingen/aggregaties kan je dan niet doen enzovoorts. En ook prima dat er organisaties zijn die dit toetsen en in de gaten houden, om de privacy van mensen zo goed mogelijk te waarborgen.
Juridisch gezien klopt dit niet. Voor de toepasselijkheid van de AVG is wel of niet anoniem een hard onderscheid. Zijn de gegevens anoniem, dan zijn het geen persoonsgegevens en is de AVG niet van toepassing. Zijn de gegevens niet anoniem, dan zijn het wel persoonsgegevens en is de AVG wel van toepassing.

De vraag is dan: wanneer zijn gegevens anoniem. Die lat ligt erg hoog: anonimisering moet onomkeerbaar zijn. Als een bepaalde set gegevens nog met een andere set gegevens gecombineerd kan worden en daarmee herleidbaar is, dan is ook die eerste set gegevens niet anoniem. In jouw simpele voorbeeld, los van dat het om bedrijven in plaats van personen gaat, zijn de gegevens dus niet anoniem want gecombineerd met een andere set zijn ze herleidbaar.

Ik snap verder dat vanuit technisch oogpunt pseudonimiseren gezien kan worden als een soort gedeeltelijke anonimisering. Vanuit juridisch oogpunt betekent pseudonimiseren dat de gegevens nog steeds wel persoonsgegevens zijn en dat de AVG van toepassing is. Pseudonimiseren heeft dan ook meer een beveiligingsfunctie.

[Reactie gewijzigd door Noddahead op 15 mei 2025 16:47]

Klopt helemaal wat je zegt, voor wat betreft echt anoniem is, is de lijn bij de AVG vrij duidelijk. Ik kan alleen begrijpen dat bij bepaalde (meta)data het niet direct duidelijk is wat nu precies ervoor kan zorgen dat iets niet meer anoniem is, zeker bij het bundelen van bepaalde bronnen. Of men heeft dit wel in de gaten, maar het is te lastig of het dwarsboomt dan weer andere doeleinden teveel. En daarom is het ook goed dat er organisaties en waar nodig dus ook rechters zijn die dit toetsen.
Precies en
onvoldoende geanonimiseerd
is in deze casus dus herleidbaar bevonden.
als je enkel een IP adres hebt, is dat dan wel of niet anoniem volgens u?
Op mijn werkplaats heeft iedereen hetzelfde IP naar buiten toe, idem voor bij mij thuis... enkel als ik alleen woon en een vast IP zou hebben is het niet meer echt anoniem.
Dat is zo voor IPv4 maar is dat ook zo voor IPv6? Misschien heb ik het mis maar ik dacht dat IPv6 volledig naar het gebruikte apparaat teruggeleid kan worden.
krijg je daar juist niet vaker een nieuw IP adres vanwege meer ruimte?
ja, maar dat is eenvoudig te herleiden naar 1 huishouden iig.

De eerste 3 segmenten ben je in een eind netwerk beland. Alles daar achter zijn devices in dat netwerk.
dat helpt zeker niet nee
Als iets te herleiden is tot persoon, is het niet anoniem, zo simpel is het toch?
Veel data is theoretisch te herleiden tot een persoon, de vraag of het (economisch) redelijk is, en dat is een ander verhaal.
Dat zou je denken, maar juridisch is het dus wel die eerdere uitleg. Anoniem is echt niet terug te leiden. Dus een tellertje met alleen een getalletje hoeveel mensen een pagina hebben bezocht, dat is duidelijk anoniem. Maar alle systemen waar gebruikers een ID krijgen waarmee meerdere hits worden getracked zijn al snel niet meer anoniem.

De realiteit is dat veel van de dingen die ad providers willen doen simpelweg niet mogelijk zijn op een anonieme manier. Dus dan moeten ze daar ook gewoon open over zijn en geinformeerde goedkeuring krijgen van gebruikers.

Link met wat uitleg: https://www.edps.europa.e...ps_anonymisation_en_5.pdf
Anoniem is echt niet terug te leiden
Gaat dit niet in tegen misunderstanding 5 en 6 van de bron waarnaar je verwijst?

Het klopt dat in de GDPR zelf enkel verwezen wordt naar de herleidbaarheid als criterium. In de praktijk is dat niet werkbaar. Ik zie het inderdaad zoals in de bron, nl. anonimiteit bereik je wanneer de waarschijnlijkheid van her-identificatie onder een bepaalde threshold blijft. Deze threshold wordt door vele zaken bepaald: de technische en/of organisatorische maatregelen die je neemt (bv. anonimiseringstechnieken), maar ook ik het risico op schade voor het individu. Bij heel gevoelige gegevens bv leg je de threshold lager.

Een andere interesante bron mbt anonimiseren en anonimiseringstechnieken is deze Opinion 05/2014 on Anonymisation Techniques. Een aanrader.
Heel fijn! Nu nog die zogenaamde 'legitiem belang' duidelijk verbieden, die is er namelijk eigenlijk nooit. En soms mag je ze niet eens uitzetten.

Ik vind het heel vervelend dat de advertentieboeren maar blijven vasthouden aan deze methode van reclame verkopen en niet lijken te willen veranderen maar vooral vechten tegen volgvrije reclame.
Het 'legitiem belang' kan niet verboden worden, omdat het gewoon één van de rechten is binnen de AVG op basis waarvan je persoonsgegevens mag verwerken. Je zegt eigenlijk "ik heb een aannemelijk en redelijk belang om jouw gegevens te verwerken, en de impact op jouw privacy is zo gering dat ik dat ook mag doen."

Voor de verwerkingsgrond 'legitiem belang' hoeft er geen toestemming gevraagd te worden (al moet je wel een belangenafweging maken en documenteren), maar het moet wel mogelijk zijn om daar alsnog bezwaar tegen te maken. Omdat veel bedrijven er niet op zitten te wachten om allerlei mails te moeten afhandelen met "Hoi, ik maak bezwaar tegen jullie verwerking van mijn gegevens op grond van legitiem belang", vind je die optie vaak al naast de toestemmingsvraag in de cookie-popup.
Maar wat wel aangepakt moet worden is of er inderdaad sprake is van echt legitiem belang (en dan niet "het komt mijn bedrijf goed uit"). Eigenlijk is 'functioneel noodzakelijk belang' een betere term. Want voor mij als klant is het simpel: alleen de partij waar ik op dit moment mee interactie heb (dus de uitbater van de website), zou een legitiem belang kunnen hebben. Al die derde partijen die misschien wel een afspraak hebben met die uitbater vand e website, zijn voor mij als klant niet relevant.
Er is dus nooit een legitiem belang voor 3e patijen om mij als klant te tracken.
Beter is keiharde wetgeving zodat het zogenaamde "legitiem belang" op zijn minst met één druk op de "weiger alles" knop uit te schakelen is en je niet voor tientallen of honderden - vrijwel altijd externe sites - een vinkje weg moet halen.

Nog beter is externe cookies volledig verbieden aangezien die helemaal niet nodig zijn.

Er mag best hardere regelgeving om persoonsgegevens te beschermen, maar vooral om dit veel simpeler te maken.
Legitiem belang kan er wel zijn, maar de grap is dat als er effectief een legitiem belang was, je daar niet eens toestemming voor moet vragen. Bijvoorbeeld een cookie neerzetten om je cookievoorkeuren in te bewaren is een legitiem belang en vereist geen enkele toestemming van de gebruiker. Het belang van het verzamelen van data om betere reclame te kunnen tonen als reclamebedrijf heeft dan weer geen voorrang op het recht op privacy en kan dan ook weer nooit een legitiem belang zijn.
Dat snap ik, maar wat ik niet snap is dat alle onderliggende toko's die de pagina gebruikt dit moet vragen. Dat is m.i. niet nodig en laat voor mijn gevoel meer zien dat je het net misschien niet netjes hebt aangepakt. Waarom moet google weten dat ie mijn cookies niet mag gebruiken, dat hoeft alleen de site
Dat weten die clubx natuurlijk óók wel... Maar ooit heeft eens een slimmerik bedacht dat 'legitiem belang' wel een loophole zou kunnen zijn en vanaf dat moment proberen ze dat allemaal onder het het mom 'zolang het niet expliciet verboden is mag het' (en werken wij vrolijk onze databases bij)
Het Transparency & Consent Framework is geen advertentiesysteem, maar een standaard voor het managen van en communiceren over toestemming voor allerlei verwerkingen. Het gaat vaak over toestemming voor advertentie-gerelateerde tracking, maar niet exclusief.
Geachte redactie,

M.b.t. de kop: die is echt volledig onjuist.
Uit het artikel blijkt namelijk dat het Hof de zaak om procedurele redenen niet-ontvankelijk heeft verklaard.
Maar er meteen bij gezegd dat wat het GBA eiste wel correct is.
*knip*

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door AlphaRomeo op 15 mei 2025 19:59]

Op dit item kan niet meer gereageerd worden.