Recentelijk heeft het Belgische Marktenhof uitspraak gedaan over diverse aspecten binnen het Transparency & Consent Framework (“TCF”). Zo wordt bevestigd dat de Transparency & Consent String (“TC String(s)”), een digitale codereeks die de gebruikersvoorkeuren van websitebezoekers vastlegt, daadwerkelijk als een persoonsgegeven moet worden beschouwd. Over de rol van IAB Europe (Interactive Advertising Bureau Europe) binnen het framework verschaft het Marktenhof nu ook duidelijkheid: IAB Europe fungeert als gezamenlijke verwerkingsverantwoordelijke voor de verwerking van gebruikersvoorkeuren binnen het TCF. De gezamenlijke verantwoordelijkheid van IAB Europe beperkt zich echter enkel tot de TCF-fase zelf, en strekt zich niet uit tot latere gegevensverwerkingen door adtech-partijen buiten het TCF. Deze uitspraak heeft niet alleen juridische, maar ook praktische gevolgen voor verschillende partijen die met het TCF werken.
Achtergrond
Het TCF is een technische standaard die is ontwikkeld door sectororganisatie IAB Europe om de online advertentie-industrie te helpen bij het naleven van Europese privacyregelgeving, met name de AVG. Het TCF stelt diverse partijen (zoals adverteerders, uitgevers of technologieleveranciers) in staat om bepaalde privacyvoorkeuren vast te leggen via een Consent Management Platform (“CMP”). Een CMP is een softwaretool die vaak zichtbaar is in de vorm van een cookiebanner. Denk aan de welbekende pop-up die verschijnt zodra je een website voor de eerste keer bezoekt. Op het moment dat je jouw privacyvoorkeuren doorgeeft in de cookiebanner, wordt er binnen het TCF een TC String aangemaakt: een lange, cryptische code met gebruikersvoorkeuren, die automatisch wordt gedeeld met advertentiepartners op de website. Het TCF heeft echter veel stof doen opwaaien. Zo heeft de Belgische Gegevensbeschermingsautoriteit (“GBA”) een zeer kritische houding ten opzichte van het TCF, en heeft aan IAB Europe een flinke boete opgelegd vanwege de niet-naleving van de AVG.
Context en tijdlijn van de zaak
In februari 2022 legde de GBA een boete op van 250.000 euro aan IAB Europe wegens inbreuken op de AVG. Volgens de GBA kwalificeren de TC Strings als persoonsgegevens, omdat ze te koppelen zijn aan een individuele websitebezoeker. Ook moet IAB Europe worden aangemerkt als (gezamenlijke) verwerkingsverantwoordelijke voor de verwerking van deze gegevens. IAB Europe was het niet eens met dit standpunt, en tekende beroep aan bij het Belgische Marktenhof. Dat vroeg op zijn beurt om uitleg bij het Hof van Justitie van de Europese Unie (“HvJ EU”), dat in maart 2024 het standpunt van de GBA grotendeels bevestigde. Het HvJ EU oordeelde dat een gestructureerde tekenreeks die de voorkeuren van internetgebruikers weerspiegelt, zoals de TC String van IAB Europe, kan worden aangemerkt als een persoonsgegeven. Ook oordeelde het Europese hof dat een branchevereniging zoals IAB Europe kan worden gekwalificeerd als (gezamenlijke) verwerkingsverantwoordelijke voor de verwerking van de gebruikersvoorkeuren binnen het TCF. Het Marktenhof bevestigde op 14 mei 2025 in de nieuwe uitspraak de TCF-aanpak van de GBA.
TC String persoonsgegeven in de zin van de AVG
Het Marktenhof onderschrijft de positie van de GBA dat de zogenoemde TC String kwalificeert als persoonsgegeven onder de AVG. Deze technische tekenreeks, die gebruikersvoorkeuren voor gepersonaliseerde online reclame weergeeft, valt dus volledig onder de werkingssfeer van de privacywetgeving. Door deze kwalificatie als persoonsgegeven ligt de lat voor compliance in de advertentie-industrie aanzienlijk hoger. In de praktijk betekent dit dat voor elke verwerking van TC Strings een geldige verwerkingsgrondslag aanwezig moet zijn, en dat de TC Strings net zo goed beveiligd moeten worden als andere persoonsgegevens. IAB Europe verwerkt de TC Strings in het kader van de grondslag “gerechtvaardigd belang”, waardoor de impact voor gebruikers wel meevalt. Belangrijk is wel dat gebruikers een mogelijkheid tot bezwaar wordt geboden. Verder zullen adverteerders moeten nadenken over bewaartermijnen van de TC Strings en dienen zij doorgaans over te gaan tot documentatie in een verwerkingsregister.
IAB Europe als gezamenlijke verwerkingsverantwoordelijke binnen het TCF
Op de vraag wie er juridisch verantwoordelijk is voor de verwerking van de persoonsgegevens binnen het TCF heeft het Marktenhof vervolgens ook antwoord gegeven. Een verwerkingsverantwoordelijke is volgens de AVG de partij die het doel en de middelen van de verwerking bepaalt. IAB Europe is volgens het Marktenhof deels gezamenlijke verwerkingsverantwoordelijke voor de verwerking van gebruikersvoorkeuren binnen het TCF.
Ten eerste is de branchevereniging zelf verwerkingsverantwoordelijke, omdat zij gaat over het ontwerpen en beheren van het TCF-framework. Via het TCF stelt IAB Europe bindende regels en technische standaarden vast die bepalen hoe deelnemende partijen toestemming en voorkeuren van gebruikers moeten verzamelen en doorgeven.
Daarnaast is er sprake van een gezamenlijke verantwoordelijkheid met andere TCF-deelnemers die het TCF implementeren, omdat zij samen met IAB Europe bepalen hoe het proces verloopt. Uit de gezamenlijke verantwoordelijkheid vloeit voort dat de deelnemende organisaties samen met IAB Europe verantwoordelijk zijn voor naleving van de AVG. De verantwoordelijkheid ziet onder andere op het correct verwerken van de privacyvoorkeuren. Verder ontstaat er op basis van art. 26 AVG een verplichting om onderling schriftelijke afspraken te maken. Op het moment dat jouw organisatie het TCF implementeert (bijvoorbeeld als website die cookiebanners toont via een CMP), moeten contractuele afspraken gemaakt worden met IAB Europe. Dit kan zoal via aangepaste algemene voorwaarden van het TCF, of in een aparte gezamenlijke verwerkingsregeling. De kern van de schriftelijke afspraken met IAB Europe moet bovendien gecommuniceerd worden aan betrokkenen via een privacyverklaring. De branchevereniging onderzoekt momenteel nog hoe de contractuele afspraken het best geregeld kunnen worden.
En buiten het TCF?
De verantwoordelijkheid kent wel een belangrijke beperking: IAB Europe draagt de gezamenlijke verantwoordelijkheid uitsluitend tijdens de TCF-fase zelf, en deze verantwoordelijkheid strekt zich niet uit tot alle daaropvolgende gegevensverwerkingen door externe partijen in de verdere keten. IAB Europe is dus geen (mede)verantwoordelijke voor verwerkingsactiviteiten die plaatsvinden nadat de TC String aan andere partijen is overgedragen. Hoe zit dat precies? Wanneer er een advertentieruimte op een website wordt geveild (via OpenRTB), wordt de TC string, die informatie bevat over de gegeven toestemming voor bijvoorbeeld gepersonaliseerde advertenties, meegestuurd naar alle biedende adverteerders. Die adverteerders kunnen uit die TC String lezen dat zij gepersonaliseerde data mogen gebruiken voor de betreffende websitebezoeker. Wat er dan gebeurt vanaf het moment dat de adverteerder zelf aan de slag gaat onder OpenRTB, valt buiten de verantwoordelijkheid van IAB Europe. Het gaat dus maar om een beperkt kader waarbinnen laatstgenoemde partij optreedt als verantwoordelijke.
Het allereerste besluit van de GBA suggereerde dat het gehele online advertentiesysteem onrechtmatig was. Op de vraag of het online advertentiesysteem in algehele zin onrechtmatig is, geeft de rechter nu geen antwoord, omdat dat niet onder de verantwoordelijkheid van IAB Europe valt. In die zin pakt de uitspraak van het Marktenhof dus zeer positief uit voor IAB Europe.
Meer weten over online adverteren en de AVG? Neem dan gerust contact met ons op!
Voldoen aan de AVG is niet altijd eenvoudig. Organisaties zien soms door de bomen het bos niet meer. Om organisaties op weg te helpen om AVG-compliant te worden, hebben wij een simpele checklist van 5 stappen samengesteld. Download de checklist en check in vijf stappen of jij voldoet aan de AVG.
