Het leek aanvankelijk een wat non-descript nieuwtje, zeker voor Nederlandse lezers. "Advertentiebrancheorganisatie krijgt 250.000 euro AVG-boete voor cookiepop-up", berichtte Tweakers woensdag. Een AVG-boete is inmiddels niet nieuw, 250.000 euro is geen uitzonderlijk hoog bedrag, maar toch kan de uitspraak verregaande gevolgen hebben voor hoe advertenties je in de toekomst mogen tracken. De manier waarop de gehate cookiemuur op heel veel websites wordt weergegeven is namelijk niet meer toegestaan.
Wat is de uitspraak?
Laten we beginnen bij het begin: de uitspraak zelf. Die werd deze week gedaan door de Gegevensbeschermingsautoriteit, de Belgische tegenhanger van de Autoriteit Persoonsgegevens en de privacytoezichthouder in dat land. De waakhond legt een boete op van 250.000 euro aan IAB Europe. Dat staat voor Interactive Advertising Bureau. IAB is de grootste Europese brancheorganisatie voor adverteerders, marketingbureaus, mediabedrijven, eigenlijk voor iedereen die ergens iets te maken heeft met advertenties. Tweakers' moederbedrijf DPG Media is bijvoorbeeld ook aangesloten bij IAB. De organisatie krijgt de boete voor het overtreden van de Europese privacywet vanwege een tool die het jaren geleden heeft gebouwd en die inmiddels heel veel wordt gebruikt door die tientallen organisaties die erbij betrokken zijn.
Die tool is het Transparency & Consent Framework. De adverteerdersbranche bedacht deze een paar jaar geleden toen de AVG eraan zat te komen. Adverteerders zagen de bui al hangen: de AVG betekent toestemming vragen voor alles waarmee je persoonsgegevens verzamelt, en trackingcookies vallen daar ook onder. De AVG zou dan voor chaos kunnen zorgen. Iedere website, iedere adverteerder, iedereen die een cookie zou willen plaatsen zou dan zijn eigen systeem moeten bedenken om toestemming te vragen, en dan ook nog eens op een privacyvriendelijke manier. Dat zou een hoop gedoe zijn voor zowel internetgebruikers als voor de adverteerders. Daarom bedacht de advertentiebranche een tool waarmee cookietoestemming in één keer kan worden geregeld volgens AVG-regels. Op 25 april 2018, precies een maand voor de AVG actief in werking trad, werd versie 1.1 van de tool beschikbaar.
Tool is eigenlijk het verkeerde woord; zoals de naam al verklapt is TCF een framework. Het is dus geen kant-en-klaar systeem dat je kunt embedden op je site. Brancheorganisatie IAB beschrijft het als volgt: "TCF maakt een omgeving aan waarin website-uitgevers hun bezoekers kunnen vertellen welke data wordt verzameld en hoe hun website en de bedrijven met wie ze samenwerken van plan zijn het te gebruiken." Maar het laat zich heel makkelijk met een praktisch voorbeeld uitdrukken: die cookiepop-ups waarin je handmatig kunt bepalen van welke adverteerder je wel en geen trackingcookies wil zien, zijn in veel gevallen het resultaat van het TCF. Als je een website bouwt en je wil zo'n cookiemuur opzetten, dan kun je het framework gebruiken om een pop-up te maken. Mocht je de vele drieletterafkortingen in dit artikel nog niet verwarrend genoeg vinden dan kan daar nog een vierde bij. Zo'n pop-up heet in jargon een CMP of Consent Management Platform, maar laten we die voor het gemak maar 'de cookiepop-up' noemen.
Privacy
Het framework werd niet alleen gebouwd voor het gemak van adverteerders. Privacy is er minstens zo'n belangrijke pijler in. Dat framework moet immers voldoen aan de eisen van de privacywet, en zo heeft de advertentiebranche het ook opgezet. Technisch werkt dat als volgt: als een gebruiker zijn cookiekeuzes in een pop-up doorgeeft wordt daar een string van gemaakt, een anonieme reeks tekens waarin staat dat de gebruiker bijvoorbeeld wél cookies van Advertentiebedrijf A wil, maar niet van Advertentiebedrijf B. De string wordt vervolgens opgeslagen in een cookie, euconsent-v1
. Die string en cookie zijn vervolgens via het IP-adres van een bezoeker te herleiden naar een individuele gebruiker. Zo kunnen websites X en Y zien of een nieuwe bezoeker getrackt wil worden door Advertentiebedrijven A of B.
/i/2004910102.png?f=imagemedium)
Het idee achter het framework is dat gebruikers anoniem zijn voor de adverteerders en dat ze een duidelijke keus hebben in welke mate ze worden gevolgd. Een nobel plan om aan de AVG te voldoen, maar helaas niet goed genoeg, zegt de Belgische toezichthouder nu. Sterker nog, het TCF anonimiseert advertentiekijkers helemaal niet. "Het idee dat een gebruiker niet identificeerbaar is, terwijl het doel van dit proces juist is om hen te identificeren, is een contradictio in terminis", schrijft de waakhond.
Afstraffing
Er zijn volgens de privacytoezichthouder meerdere problemen met het framework. We lopen ze stap voor stap door.
Rechtmatigheid
Brancheorganisatie IAB gooit de tool over de schutting bij media en adverteerders en zegt dan 'kijk maar wat je ermee doet'. In de ogen van de IAB zijn zij daarmee geen partij in het geheel. Binnen de privacywet geldt voor het verwerken van gegevens dat iemand de gegevensverwerker is. Soms kan dat proces worden uitbesteed. In dat geval is er een verwerker en een verwerkingsverantwoordelijke. Een voorbeeld is dat je als baas je werknemers met kerst een leuk bierpakketje wil sturen, en je daar een extern bezorgbedrijfje voor inhuurt. Zodra je dat bezorgbedrijf een adressenlijst geeft van die medewerkers wordt het bezorgbedrijf de verwerker, maar ben je als baas nog steeds de verwerkingsverantwoordelijke. Dat betekent dat jij ook aansprakelijk kan worden gesteld voor misbruik.
Dat is wat de Belgische toezichthouder nu concludeert. Die zegt dat IAB de verwerkingsverantwoordelijke is, en dus de partij die de boete krijgt én aan allerlei eisen moet voldoen. De IAB heeft namelijk de api ontwikkeld achter het mechanisme, en legt 'bindende voorschriften op' aan deelnemers die het framework willen gebruiken. Dat is flink schrikken voor IAB, die in een reactie zegt zich absoluut niet in die conclusie te kunnen vinden. Daarbij beroept de organisatie zich op versie 2.0 van het TCF, dat in 2019 van start ging. Die versie bracht verbeteringen met zich mee waarvoor IAB vooraf met verschillende nationale privacytoezichthouders om tafel is gaan zitten.
De brancheorganisatie zag zichzelf niet als partij en had daarom geen grondslag voor het verwerken van cookies
Dat brengt het probleem van de grondslag met zich mee. Als iemand gegevens verwerkt, is daar onder de AVG een grondslag voor nodig. Die had IAB niet. Logisch, want de organisatie zag zichzelf niet als verwerkingsverantwoordelijke en vond dus niet dat die nodig was. Wel verwijst de brancheorganisatie naar de grondslag 'gerechtvaardigd belang', maar dat zou dan gelden voor de deelnemende advertentiepartijen die gebruikmaken van het TCF en niet voor zichzelf.
Transparantie
Een tweede probleem is fundamenteler. Dat gaat over de inhoud van cookiepop-ups. In theorie kan een gebruiker via het TCF aangeven waar zijn data wel of niet voor mag worden gebruikt, of wanneer die bijvoorbeeld mag worden doorgestuurd. Maar de praktijk is natuurlijk anders, weet iedereen die wel eens op internet komt. In de praktijk kiezen websitebezoekers door dark patterns en een overdaad aan adverteerdersnamen toch wel voor een alles-of-niets-oplossing.
"De informatie die via de CMP-interface wordt verstrekt, is voor de gebruikers te algemeen en te vaag om de aard en de reikwijdte van de verwerking te kunnen begrijpen", zegt de waakhond. "Daarom is het voor gebruikers moeilijk om controle over hun persoonsgegevens te houden." Met andere woorden: de dark patterns die cookiepop-ups nu vaak hebben zijn veel te vaag. Dat was al wel duidelijk voor, nogmaals, iedereen die wel eens zo'n pop-up heeft gezien, maar de GBA zegt én bestraft dat nu ook.
Verantwoordingsplicht en veiligheid
/i/2004910104.png?f=imagemedium)
De Gegevensbeschermingsautoriteit stelt ook dat er 'een gebrek aan organisatorische en technische maatregelen door ontwerp en door standaardinstellingen' is. Gebruikers kunnen bij het framework bijvoorbeeld geen keuzes intrekken en niet controleren of hun gegevens worden gebruikt op de manier waarmee ze akkoord zijn gegaan.
En dan is er nog een aantal andere kleine problemen die allemaal terug te voeren zijn op het feit dat IAB zichzelf niet als verwerkingsverantwoordelijke ziet. Als verwerkingsverantwoordelijke moet je namelijk een Functionaris Gegevensbescherming hebben, een register van verwerkingsactiviteiten bijhouden, en een DPIA of Data protection impact assessment moet uitvoeren. Alle drie die dingen zijn niet gebeurd.
Boete
De IAB krijgt vanwege die meerdere overtredingen een administratieve boete van 250.000 euro. Maar dat geldbedrag maakt niet de grootste impact. Dat zijn de maatregelen die IAB moet toepassen. IAB krijgt twee maanden de tijd om een actieplan aan de GBA voor te leggen, waarin de brancheorganisatie uitlegt hoe het alsnog aan de AVG wil voldoen. Keurt de GBA dit plan goed, dan krijgt IAB zes maanden de tijd om die veranderingen door te voeren.
Ten eerste moet de organisatie een goede rechtsgrond gaan zoeken voor de manier waarop het trackingcookies mag plaatsen via het TCF. De toezichthouder maakt daarin een belangrijke kanttekening: het 'gerechtvaardigd belang' telt niet. Dat is een beetje een catch-all-term binnen de AVG. Het gerechtvaardigd belang betekent eigenlijk dat je als bedrijf zegt: ''deze verwerking van persoonsgegevens is zó belangrijk dat dat gewoon nodig is." Daar kan veel onder vallen, en het is aan een toezichthouder om te toetsen of een belang daadwerkelijk gerechtvaardigd is. De GBA zegt nu bij voorbaat al dat het belang dat bij het TCF niet is. Dat maakt het straks een stuk moeilijker voor de advertentiebranche om wél een goede reden te vinden om trackingcookies te mogen plaatsen. Ook de aangesloten bedrijven, media en websites mogen zich daar niet op baseren.
Daarnaast moet IAB gaan controleren of die aangesloten bedrijven op zichzelf voldoen aan de AVG. Die bedrijven moeten dus goede processen hebben ingericht waarmee klanten hun AVG-rechten kunnen uitvoeren. Denk daarbij aan een loket waar ze hun gegevens kunnen inzien of laten verwijderen.
IAB Europe kan nog wel in beroep gaan tegen de boete. De organisatie heeft gezegd met de GBA te willen samenwerken om een plan op te stellen dat wel voldoet aan de privacywet. Over de boete zelf zegt IAB niks, maar de organisatie bestrijdt wel dat het verwerkingsverantwoordelijke zou zijn en zegt daar ook juridisch tegenin te willen gaan.
Wat betekent de uitspraak?
De grote vraag blijft staan wat de uitspraak precies betekent, specifiek voor 'de cookiemuur'. Vooropgesteld: nee, die wordt niet per direct verboden. In de eerste plaats slaat de uitspraak niet op iedere cookiemuur en -pop-up in zijn algemeenheid, maar specifiek op cookiemuren die gebruikmaken van het Transparency & Consent Framework.
Het is moeilijk te zeggen hoeveel websites er gebruikmaken van een cookiepop-up op basis van het TCF. Neem alleen Tweakers al als voorbeeld. Moederbedrijf DPG is bij brancheorganisatie IAB aangesloten, maar de cookiemuur van Tweakers heeft een eigen cookie-implementatie waarbij we geen gebruik maken van het TCF.
Sommige organisaties schatten het gebruik van het framework hoog in. De Irish Council for Civil Liberties is een van de vele burgerrechtenorganisaties die een klacht indiende bij de nationale toezichthouder over het TCF. De stichting schreef in die aanklacht dat TCF in Europa door zeker tachtig procent van alle websites zou worden gebruikt, maar dat werd via een steekproef in 2019 uitgezocht en is moeilijk met harde cijfers te onderbouwen.
In Nederland diende Bits of Freedom in 2019 ook een handhavingsverzoek in bij de Autoriteit Persoonsgegevens. De organisatie zegt nu blij te zijn met de uitspraak in België. "Deze uitspraak is winst! Niet voor ons, maar voor alle internetgebruikers in heel Europa", schrijft de digitaleburgerrechtenorganisatie. "Het betekent dat de manier waarop online reclame wordt gemaakt op de schop moet."
Nieuwe implementatie
Maar of dat op stel en sprong gaat gebeuren, is maar de vraag. Het TCF is niet op zichzelf illegaal verklaard. Alleen de huidige implementatie daarvan mag niet. Ondertussen heeft de advertentie-industrie minimaal acht maanden de tijd gekregen om wél aan de wet te voldoen, waar de GBA of een andere nationale toezichthouder vervolgens opnieuw over moet oordelen.
Er zijn verschillende concrete plannen die doorgevoerd kunnen worden als IAB het framework wil kunnen blijven aanbieden. De manier waarop een aangemaakte string in een cookie wordt geplaatst zal waarschijnlijk niet verdwijnen, maar wel veranderen. Hoe, dat is nog onduidelijk. Mogelijk kan een (anti)trackingverzoek nog verder worden geanonimiseerd, maar tussen de regels in het GBA-boetebesluit door lees je dat die denkt dat dat niet mogelijk is. Een andere optie is om op een andere manier toestemming te verkrijgen om zo'n trackingcookie te mogen plaatsen. Dat kan door expliciete toestemming van een bezoeker, wat de meest waarschijnlijke grondslag lijkt te zijn die nog kan worden gebruikt door een adverteerder. De vraag is dan wanneer een gebruiker 'toestemming' geeft - de huidige cookiepop-up pretendeert gebruikers ook een vrije keus te geven, maar daarvan zegt de GBA nu heel duidelijk dat die keus helemaal niet vrij is.
'Onverenigbaar met de AVG'
Bits of Freedom denkt dat het TCF nooit aan de AVG kan voldoen
Bits of Freedom is benieuwd waar de advertentiebranche mee komt, maar heeft er een hard hoofd in dat de veranderingen voldoende zullen zijn. "TCF kan niet voldoen aan bescherming die de AVG biedt", zegt Evelyn Austin van BoF tegen Tweakers. "Het framework maakt het onmogelijk om gebruikers een goed inzicht te geven in wat er met hun gegevens gebeurt." Austin denkt niet dat je dat kunt oplossen met wat tweaks aan het platform.
Net zo min denkt Austin dat de industrie veel interesse heeft om fundamentele veranderingen door te voeren. "Je zag een maand vóór deze uitspraak al dat IAB begon voor te sorteren op een mogelijk verbod. Er is veel technologie beschikbaar waarmee ze precies de randjes van de regels op kunnen zoeken over wat wel en niet mag."
Cruciale twee maanden
Daarom is de uitspraak van de Belgen nu nog niet het einde van trackingcookies. Dat gaat afhangen van de veranderingen die IAB in de komende maanden voorstelt. Austin: "De echte betekenis van de uitspraak is als IAB zijn gedrag aanpast. Dat hangt er heel erg vanaf wat er na die twee maanden gebeurt. Houdt de Gegevensbeschermingsautoriteit een vinger aan de pols? Het is nog niet zo zeker of de GBA dat kan, of ze genoeg spierballen kunnen vertonen."
Een ding is zeker. De uitspraak geldt ook voor Nederland, en alle andere landen in de Europese Unie. Daarvoor is er het eenloketmechanisme, een onderdeel van de AVG dat bepaalt dat een uitspraak binnen één land bindend is voor alle andere landen. In deze uitspraak werd overlegd met andere toezichthouders, die er allemaal mee akkoord gingen dat de Belgische GBA het voortouw nam in het onderzoek en dat die beslissing ook bindend zou worden voor de andere landen. Daar is ook Evelyn Austin tevreden mee. "Het is boeiend om dit proces te zien. Heel vaak komen dit soort grote Europese zaken bij de Ierse toezichthouder terecht. Dat levert veel vertraging op." Toch zal de echte kracht van de Belgen pas over twee maanden blijken als IAB zijn nieuwe plannen voor het framework presenteert.