GDPR GAZET

01     Het Consent Framework van IAB schendt de GDPR

​

​

Begin februari heeft de GBA een bom laten vallen op het Europese online advertentielandschap door te oordelen dat het Transparency and Consent Framework (TCF) van IAB Europe in strijd is met de GDPR. 

 

Doel TCF: faciliteren GDPR-compliancy bij online behavioural advertising via OpenRTB

 

Het TCF speelt een sleutelrol bij het zogenaamde “real-time-bidding” waarbij adverteerders op basis van gebruikersprofielen kunnen bieden op beschikbare advertentieruimte op websites en applicaties. Deze geautomatiseerde veiling zorgt ervoor dat personen bij het bezoeken van een website of het gebruiken van een applicatie in een fractie van een seconde gepersonaliseerde advertenties te zien krijgen die worden geplaatst door de hoogste bieders op hun profiel.

 

IAB Europe heeft met het TCF een norm ontwikkeld bestaande uit beleidslijnen, technische specificaties en voorwaarden en afspraken die deelnemende bedrijven dienen na te leven met als doel real-time-bidding via het OpenRTB-protocol in overeenstemming met de GDPR te laten verlopen. Zo dienen deelnemende bedrijven onder meer gebruik te maken van een erkend Consent Management Platform (CMP) zodat gebruikers van hun websites en/of applicaties een pop-up te zien krijgen die hen verzoekt om hun advertentievoorkeuren kenbaar te maken, wanneer deze nog niet bekend zijn of verlopen zijn. Op deze manier kan de gebruiker al dan niet toestemming geven om zijn persoonsgegevens te laten verwerken voor marketingdoeleinden en te laten delen met andere actoren in het advertentie-ecosysteem, en bezwaar maken tegen diverse verwerkingen waarop een opt-out regeling van toepassing is.

 

Bijhouden advertentievoorkeuren via TC String persoonsgegevens?

 

Een centrale rol is hierbij weggelegd voor de ‘Transparency and Consent String’ of afgekort ‘TC String’ die bestaat uit een tekenreeks. De advertentievoorkeuren van de gebruiker (met name verleende toestemmingen en opt-outs) worden hieraan gekoppeld samen met beperkte metadata. Naast een eventuele kopie op de server van de aanbieder van het CMP, wordt de TC String bijgehouden op het toestel van iedere gebruiker aan de hand van de cookie “euconsent-v2” geplaatst door het CMP. De deelnemende bedrijven kunnen wanneer relevant de advertentievoorkeuren van gebruikers raadplegen en updaten.  

 

IAB Europe meent wat betreft haar verantwoordelijkheid omtrent het TCF dat zij enkel een raamwerk voorziet en zelf niet optreedt als verwerkingsverantwoordelijke bij het verwerken van de gebruikersvoorkeuren. Het zouden namelijk steeds de CMP’s zelf zijn die de TC String genereren en opslaan, en uitlezen via hun eigen servers. De GBA stelt echter vast dat IAB Europe in haar beleidsregels en technische specificaties nauwkeurig de doeleinden (publishers en adtechbedrijven in staat stellen om digitale reclame weer te geven op transparante wijze en onder geldige rechtsgronden) en middelen (inhoud TC String en bepaling bewaartermijnen, bepalen wijze van toegang door adtech vendors, opslaglocaties, ontvangers, …) van de verwerking heeft vastgesteld. De GBA beschouwt IAB Europe in deze context dan ook als gezamenlijke verwerkingsverantwoordelijke samen met de deelnemende bedrijven.

 

IAB Europe werpt als tweede belangrijk argument op dat de TC String op zichzelf geen persoonsgegeven uitmaakt, zodat ook geen rechtsgrond nodig is voor de verwerking ervan. De GBA oordeelt dat het inderdaad niet onomstotelijk vaststaat dat de TC String op zichzelf een persoonsgegeven betreft wegens de beperkte metadata en waarden die erin vervat zijn. Echter vindt bij het proces van het doorgeven door de gebruiker van diens voorkeuren onvermijdelijk een verwerking van het IP-adres plaats, zodat de voorkeuren gekoppeld worden aan een identificeerbare gebruiker. Bovendien heeft de TC String specifiek tot doel het capteren van de voorkeuren van een welbepaalde gebruiker wat voor de GBA bevestigt dat het om persoonsgegevens dient te gaan.

 

Geen rechtsgrond voor capteren gebruikersvoorkeuren en verdere verwerking binnen OpenRTB

 

Er is geen rechtsgrond bepaald voor bovenvermelde verwerking via de TC String noch verleent IAB Europe hierover informatie aan de betrokkenen. Bovendien ontbreekt het ook aan een geldige rechtsgrond voor de verdere verwerkingen geïnitieerd middels de user interface van de CMP’s. Het gerechtvaardigd belang wordt namelijk op ongeldige wijze ingeroepen en waar toestemming wordt gevraagd, voldoet deze niet aan de vereisten van de GDPR. Betrokkenen zouden door de onvoldoende gedetailleerde informatie in de user interface van de CMP’s en door het grote aantal betrokken actoren namelijk niet in staat zijn om op geïnformeerde wijze hun toestemming te verlenen.

 

TCF schendt de GDPR en IAB Europe is (mede) verantwoordelijk als Managing Organisation

 

De GBA oordeelt op basis van bovenstaande dat IAB Europe bij het beheer van het TCF optreedt als (gezamenlijke) verwerkingsverantwoordelijke voor de bewuste verwerkingen en hierbij verschillende inbreuken pleegt op de GDPR, waaronder:

 

1. het nalaten om een rechtsgrond vast te stellen voor de verwerking van de TC String, en het ontoereikend zijn van de geboden rechtsgronden voor de verdere verwerking door adtech-bedrijven

2. een gebrek aan transparantie en informatie ten aanzien van de gebruikers, door hen te algemene en te vage informatie te verstrekken om de aard en de reikwijdte van de verwerking te kunnen begrijpen, met name via real-time-bidding

3. schendingen van de verantwoordings- en beveiligingsplicht, en een gebrek aan naleving van de beginselen van ‘privacy by design’ en ‘privacy by default’ onder meer door na te laten om de geldigheid en integriteit van de keuzes van gebruikers te controleren en een onvoldoende afschrikkend sanctioneringsmechanisme te hanteren bij inbreuken door deelnemende bedrijven (bv. vervalsing of wijziging van de TC String)

4. het niet bijhouden van een verwerkingsregister, het nalaten om een DPO aan te stellen en het niet uitvoeren van een Data Protection Impact Assessment (DPIA).

 

Sanctie

 

De GBA legt zware sancties op voor de inbreuken omdat het TCF er voor een grote groep burgers toe kan leiden dat zij de controle over hun persoonsgegevens verliezen. Zij legt meer bepaald een geldboete van 250.000 euro op, samen met een reeks corrigerende maatregelen en een bevel om de huidige versie van het TCF in overeenstemming te brengen met de GDPR. Zo zal IAB Europe onder meer geldige rechtsgronden dienen vast te stellen voor de verwerkingen en deelnemende organisaties voortaan grondig dienen door te lichten om er zeker van te zijn dat zij voldoen aan de GDPR. IAB Europe dient hiertoe een concreet actieplan voor te leggen tegen eind maart, waarna zij over 6 maanden zal beschikken om dit concreet te implementeren.

 

Conclusie

 

Bovenstaande beslissing bevestigt dat ook organisaties die in een overkoepelend raamwerk en concrete richtlijnen voorzien voor gegevensverwerking die hoofdzakelijk wordt verricht door andere organisaties, hierbij niet kunnen ontkomen aan hun verplichtingen onder de GDPR. Dit met inbegrip van het doorlichten van organisaties die zich wensen aan te sluiten bij een dergelijke norm. Een belangrijke vraag stelt zich nu voor bedrijven die het TCF onderschrijven, zij het als publisher, advertiser, vendor, of in een andere rol. Het lijkt ons te verregaand om uit de beslissing te concluderen dat een beroep op het TCF per direct gestaakt dient te worden, wat ook moeilijk zal liggen voor bestaande samenwerkingen waarbij dit een contractuele vereiste is. IAB Europe krijgt immers 2 maanden de tijd om concrete aanpassingen voor te stellen en nadien 6 maanden om deze te implementeren. De GBA houdt dus de deur open voor het behouden van de werkwijze rond het capteren van gebruikersvoorkeuren middels de TC String, bij het verlenen van uitgebreidere informatie en onder andere bijkomende waarborgen. Voor de verdere verwerking zal het toestemmingsproces herbekeken dienen te worden en transparanter gemaakt. Dit alles kan resulteren in een sterkere, GDPR-conforme norm. In de tussentijd kan het als organisatie die het TCF onderschrijft evenwel aan te raden zijn om alvast aan de slag te gaan met de aanbevelingen van de GBA en onder meer het eigen verwerkingsbeleid en de eigen informatiebanners en privacyverklaring hierop af te stemmen. De beslissing is overigens nog vatbaar voor beroep.

​

​

​

02     Aanbevelingen, adviezen en richtsnoeren

 

​

EDPB: Nieuwe richtsnoeren inzake recht op inzage 

 

Het European Data Protection Board (EDPB) heeft inmiddels haar nieuwe richtsnoeren gepubliceerd betreffende het recht van betrokkenen op inzage van hun persoonsgegevens. Momenteel is rond de richtsnoeren nog een publieke consultatie lopende tot en met 11 maart zodat opmerkingen hierop tot die datum ingediend kunnen worden, waarna de EDPB met een finale versie zal komen.

 

De richtsnoeren ondersteunen organisaties en hun DPO’s en/of verantwoordelijken voor gegevensbescherming door een antwoord te bieden op vragen die kunnen rijzen wanneer een verzoek tot inzage in persoonsgegevens binnenkomt van bijvoorbeeld een medewerker, klant of zakenpartner. Het betreft hier onder meer:

 

• om welke persoonsgegevens het gaat en hoe zij bezorgd dienen te worden (vanaf welk tijdsmoment, met betrekking tot welke verwerkingsactiviteiten, in welke vorm, …)

• te nemen beveiligingsmaatregelen bij het verschaffen van inzage

• de verificatie van de identiteit van de persoon die om inzage verzoekt

• de weigering van verzoeken wegens kennelijke ongegrondheid of buitensporigheid

• rechten, vrijheden en wettelijke bepalingen die kunnen leiden tot de beperking of weigering van een verzoek tot inzage.

De richtsnoeren bevatten diverse praktische voorbeelden over de concrete toepassing van het recht op inzage in uiteenlopende sectoren en omstandigheden. Bovendien bevatten zij flowcharts over de denkpiste die organisaties dienen te volgen wanneer zij gevolg geven aan dergelijke verzoeken. Het is dan ook raadzaam om de richtsnoeren op te slaan, de interne procedures waarover uw organisatie reeds beschikt erop af te stemmen, en ze te consulteren bij twijfel over de afhandeling van een verzoek tot inzage. 

​

​

​

VTC: nieuwe richtlijnen over gebruik kantoortoepassingen in de cloud door lokale besturen

​

De Vlaamse Toezichtcommissie (VTC), die toeziet op de toepassing van de GDPR door de Vlaamse bestuursinstanties, heeft nieuwe richtlijnen gepubliceerd inzake het gebruik van kantoortoepassingen in de cloud bij lokale besturen.

 

Hierin neemt de VTC het standpunt in dat het gebruik van algemene kantoortoepassingen in de publieke cloud niet aanvaardbaar is voor structureel dossierbeheer, noch voor het uitwisselen van gevoelige persoonsgegevens zoals vaccinatiestatussen of als platform voor burgerparticipatie. In die zin wijst zij er ook op dat cloudgebruik niet de standaard mag zijn en steeds het voorwerp moet uitmaken van een concrete afweging met oog voor alternatieve oplossingen.

 

De VTC wijst ook op te treffen maatregelen door Vlaamse bestuursinstanties wanneer zij gebruik wensen te maken van publieke cloudtoepassingen, waaronder:

 

• het steeds sluiten van een verwerkersovereenkomst en niet zomaar inschrijven op een dienst op basis van standaardvoorwaarden met mogelijke niet-conformiteit onder de GDPR tot gevolg, en met oog voor de verschillende licentiemogelijkheden en hun beveiligingsniveau

• uitsluitend gebruik van datacenters/servers in Europa

• 2- of meerfactorauthenticatie voor toegang tot accounts

• een adequaat rollenbeheer

• gebruik van een erkend encryptiealgoritme

• het privacyvriendelijk instellen van de gebruikte toepassingen.

​

​

​

03     Privacy Newsflash

​

Ook Franse toezichthouder CNIL acht gebruik Google Analytics strijdig met GDPR

​

In navolging van de Oostenrijkse privacytoezichthouder, neemt ook de Franse CNIL formeel het standpunt indat het gebruik van Google Analytics in haar huidige opzet strijdig is met de GDPR. Meer bepaald zijn de doorgiftes van persoonsgegevens die in dit verband plaatsvinden naar de VS onrechtmatig door het ontbreken van passende waarborgen. 

 

De CNIL bevestigt uitdrukkelijk dat de tot op heden door Google genomen aanvullende maatregelen immers niet volstaan om het risico van overheidstoegang in de VS tot persoonsgegevens van Europese betrokkenen te neutraliseren. Zij verzoekt websitebezoekers dan ook het gebruik van Google Analytics in overeenstemming te brengen met de GDPR of zo nodig te staken, dan wel een beroep te doen op een tool waarbij geen persoonsgegevens buiten de EER verwerkt worden. 

 

De CNIL geeft aan dat deze redenering ook geldt voor andere tools waarbij persoonsgegevens van websitebezoekers worden geëxporteerd naar de VS en waarschuwt alvast voor mogelijke corrigerende maatregelen in de nabije toekomst.

 

 

Federale overheid lanceert informatiewebsite verwerking persoonsgegevens door overheid

 

De federale overheid heeft de website MyData.Belgium.be opgericht als eerste stap in een transparantieproject gericht naar de Belgische burger. De insteek is de burger op een toegankelijke manier duidelijke informatie verstrekken over het gebruik van diens persoonsgegevens door de federale overheid. Het doel is het versterken van het vertrouwen tussen overheid en burger en de burger meer controle bieden over diens persoonsgegevens. De website biedt een globaal overzicht van de persoonsgegevens waarover iedere federale overheidsinstelling beschikt van burgers, de bron hiervan, de doeleinden waarvoor ze worden verwerkt, en wie deze gegevens kan ontvangen. In die zin is het te beschouwen als een soort van publiek verwerkingsregister uitgaande van de federale overheid. Er kan gezocht worden op basis van federale overheidsinstelling, en op basis van de verwerkte categorie van persoonsgegevens. Het is via de website dus niet mogelijk om inzage te verkrijgen in de concrete persoonsgegevens waarover de federale overheid beschikt van de gebruiker.

 

​

EDPB start gecoördineerde Europese actie naar gebruik cloud door overheden

​

Het EDPB heeft een gecoördineerde handhavingsactie opgestart naar het gebruik van de cloud door de overheden van de EU-lidstaten (en door de EU-instellingen). Onder meer door de COVID-pandemie blijken overheidsorganisaties steeds vaker hun toevlucht te nemen tot cloudtechnologie. Echter ondervinden zij hierbij mogelijk moeilijkheden bij het verkrijgen van GDPR-conforme ICT-producten (verschafte waarborgen, verplichtingen tussen verwerkingsverantwoordelijke en verwerker, internationale doorgiftes, …).  

 

Het EDPB tracht deze uitdagingen in kaart te brengen om beste praktijken te bevorderen en de passende bescherming van persoonsgegevens te verzekeren. Een resultaat van de analyse op EU-niveau is voor het einde van dit jaar te verwachten. 

 

Op nationaal niveau neemt de GBA deel aan de actie door in eerste instantie een feitenonderzoek te voeren naar 2 belangrijke ICT-dienstverleners voor overheidsinstanties, en naar 5 overheidsinstanties die grote hoeveelheden gezondheidsgegevens verwerken en die een cruciale rol hebben gespeeld in de context van de COVID-pandemie. 

 

 

Europese Commissie ziet af van inbreukprocedure tegen België wegens mogelijk gebrek aan onafhankelijkheid GBA

​

De Europese Commissie zal België voorlopig dan toch niet voor het Hof van Justitie van de Europese Unie dagen wegens een vermeend gebrek aan onafhankelijkheid van de GBA. Dat heeft een woordvoerder van de Europese Commissie bevestigd na het ontslag van Frank Robben als lid van de GBA. Frank Robben was extern lid van het Kenniscentrum van de GBA maar was tegelijkertijd de drijvende kracht achter diverse overheidsprojecten die de GBA dient te controleren op conformiteit met de regels inzake gegevensbescherming, waardoor vragen rezen over de onafhankelijkheid van de Belgische privacytoezichthouder. Ondanks dit potentieel belangenconflict niet langer een issue is, heeft de Europese Commissie haar dossier nog niet volledig afgesloten. Zij blijft de situatie opvolgen en houdt contact met de Belgische overheid, meer bepaald wat betreft het voorontwerp van wet dat onder meer bijkomende garanties moet bieden tegen onverenigbaarheden en belangenconflicten bij de GBA in de toekomst. Het voorontwerp werd reeds goedgekeurd door de ministerraad en wordt ook nog voorgelegd aan de GBA zelf, het Rekenhof en de Raad van State.

 

​

EDPB vaardigt eerste advies uit over nationaal certificeringsmechanisme

​

De EDPB heeft haar eerste advies uitgevaardigd over een algemeen nationaal certificeringsmechanismeonder de GDPR aan de Luxemburgse privacytoezichthouder CNPD. Het betreft de GDPR-CARPA certificering, waarmee Luxemburgse organisaties in de toekomst mogelijk zullen kunnen aantonen dat zij persoonsgegevens verwerken in overeenstemming met de GDPR. Het betreft een algemeen toepasselijk mechanisme dat niet gebonden is aan een specifieke sector of verwerkingsactiviteit. In haar advies wijst het EDPB erop dat de certificatiecriteria in hun huidige ontwerpversie kunnen leiden tot een inconsistente toepassing van de GDPR en stuurt zij aan op diverse wijzigingen met betrekking tot onder meer het toepassingsgebied van het certificeringsmechanisme, de certificatiecriteria en de basisbeginselen van de verwerking. 

​