Daar is ie dan, de uitspraak van de GBA over het IAB TCF, oftewel de ontelbare Legitimate Interest vinkjes in cookie popups.
Leuk leesvoer voor de liefhebber, grote lijnen zijn wat je mag verwachten: ontbreken gepaste wettelijke basis voor verwerking en doorgifte naar ad tech partners, onvoldoende informatie aan gebruikers, algemene non-compliance rond data protection by design en verantwoordingsplicht.
Betekent concreet:
- Verbod op gebruik gerechtvaardigd belang
- Verplichting om partijen die aansluiten op het ad network te beoordelen op compliance met GDPR
- Boete van 250.000,-
- Verplichting om binnen 2 maanden met actieplan te komen om de zaken aan te pakken.
Vooral dat verbod op gerechtvaardigd belang is een mooie, benieuwd wat IAB hier mee gaat doen. Behalve in beroep gaan, want uiteraard doen ze dat, maar dat is tijdrekken.
De beslissing is genomen door de GBA als Lead Supervisory Authority aangezien IAB in Brussel gevestigd is. Dat betekent dat de uitspraak ook van toepassing is in andere Europese landen en dat eventuele aanpassingen aan het IAB framework (lees, eindelijk van die lange vinklijstjes af zijn in cookie popups) Europees zullen worden doorgevoerd. Betekent ook dat dit een robuuste beslissing moet zijn die niet zomaar bij het Marktenhof vernietigd wordt.
Update: reactie van IAB zelf. Ze zijn het uiteraard niet eens met de GBA dat ze controller zijn en dus verantwoordelijk, en zien deze beslissing als een mooie stap naar een GDPR gedragscode. Nee, hoe een boete van 250k en geen wettelijke basis voor je verwerking naar een gedragscode gaat leiden snappen wij ook niet.