[Column] IAB | Tim Geenen: Twee maanden na de GDPR; is iedereen wakker?
30-07-2018 09:08:00 | Hits: 4127 | columnist: IAB | Tags:

Het is alweer twee maanden geleden dat de General Data Protection Regulation (GDPR) live ging. Is het internet inmiddels omgevallen? Nee. De advertentie-industrie? Nee. Hebben mensen massaal hun recht uitgeoefend om hun persoonlijke data op te vragen, aan te passen of te verwijderen? Zo’n 600 personen deden dat. Is er dan echt maar zo weinig gebeurd? Nee hoor.

Door: Tim Geenen

Google wordt beschuldigd van machtsmisbruik. Er wordt artificial intelligence gebruikt om aan te tonen dat bedrijven niet voldoen aan de GDPR. In Engeland lijkt maar 20 procent van de bedrijven te voldoen aan de nieuwe wet en ook in Nederland ging de Consumentenbond meteen op jacht en vond dat ⅔ van de Nederlandse websites niet voldoet aan de AVG. En om het helemaal compleet te maken praat de Nederlandse politiek erover om cookiemuren door Brussel te laten verbieden. Daarnaast lazen we natuurlijk de pittige online discussies over GDPR die overal gevoerd werden door allerlei specialisten. 

Wat heeft het IAB gedaan?

Regelmatig krijg ik de vraag gesteld wat de rol van IAB Nederland in dit traject is geweest. Een vraag die ik graag beantwoord. Wij richtten een Werkgroep Privacy op en gingen de samenwerking aan met de Bond van Adverteerders (BVA) en DLA Piper. We voerden pittige discussies met onze leden en elkaar. We lanceerden een ketenoverzicht van de advertentie-industrie om aan te geven wie er potentieel data met wie deelt. Was dat het? Nee, we gaan natuurlijk door. Zo staat er voor het einde van deze zomer een gesprek gepland met de Autoriteit Persoonsgegevens en breiden we binnenkort het ketenoverzicht uit met de rolverdelingen van verantwoordelijke (controller) en verwerker (processor).

Transparency & Consent Framework

Maar de grootste effort kwam toch van IAB Europe. Zij waren het die het Transparency & Consent Framework (TCF) lanceerden. Een technische standaard die de industrie in staat stelt om te voldoen aan de GDPR en straks aan de aankomende ePrivacy-wetgeving. Het op 28 november 2017 aangekondigde TCF is een initiatief van het IAB Tech Lab in de VS en IAB Europe. Het zorgt ervoor dat alle partijen in de industrie die persoonlijke data verwerken, op een eenduidige manier met elkaar toestemming (consent) kunnen communiceren en transparantie naar de gebruiker kunnen bieden. Het is een standaard, net als de bijzonder succesvolle OpenRTB- en Ads.txt-initiatieven. Het is geen legal framework en zegt ook niets over de rollen die er kunnen zijn, zoals (co- of joint-)controller en (sub-)processor - maar anders dan bij OpenRTB zijn er wel degelijk policies en regels waar de deelnemers zich aan moeten houden.

Toen het TCF eind vorig jaar werd aangekondigd, is aan de gehele industrie om input gevraagd. Er zijn werkgroepen, webinars, town hall’s en events geweest. Helaas kwam er vanuit de markt maar minimale input en dan met name van de advertentietechnologiepartijen. Deze partijen hadden in het begin wel de schijn tegen. Zo werd vaak geroepen dat het TCF vooral goed voor henzelf was, maar dit bleek erg mee te vallen. Het framework biedt juist heel veel controlemogelijkheden voor de uitgevers en adverteerders.

Registreren voor het framework was vervolgens mogelijk vanaf 19 maart jongstleden en inmiddels telt de lijst meer dan 500 participanten. Bedrijven kunnen zich aanmelden als ze lid zijn van het IAB, of associaties zoals NAI, DAA en WFA. Alle bedrijven zijn bij aanmelding akkoord gegaan met de voorwaarden en policies van het TCF. Harde cijfers ontbreken helaas nog, maar zo’n 20.000 websites supporten inmiddels het framework.

Het is goed om te zien dat de toegevoegde waarde van het framework steeds meer de erkenning krijgt die het verdient. De drie verschillende onderdelen van het framework leveren een enorme bijdrage aan het vergroten van de vereiste transparantie in het digitale landschap en vergroten het vertrouwen onderling.

  1. Global Vendor List (GVL)

Alle aangesloten bedrijven hebben bij IAB Europe aangegeven op register.consensu.org hoe ze persoonlijke data gebruiken, wat hun serving-domein is, een link naar de privacy policy, voor welke purposes ze toestemming nodig hebben (toegang tot device, reclame, content, meting en personalisatie) en welke legal ground ze nodig hebben. Over legal ground wordt nog regelmatig gediscussieerd, want dit kan zijn: consent of legitimate interest. Vervolgens gaat de discussie verder over legitimate interest, want heb je als bedrijf echt een groter belang dan de gebruiker? De feedback uit Brussel is in ieder geval niet mals en ook de verschillende Europese autoriteiten zijn geen voorstander van legitimate interest.

Een volledig overzicht van de Global Vendor List, de purposes en legal grounds kun je hier vinden.

  1. Consent Management Platform (CMP)

Het tweede onderdeel uit het framework is het Consent Management Platform (CMP). Met het CMP kan de consent oftewel de toestemming van de gebruiker worden gevraagd, gemanaged, gedistribueerd, verwerkt, gecodeerd (via een speciaal ontwikkelde daisybit string) en opgeslagen. Dit kan een externe leverancier, de uitgever of een adverteerder zelf doen. Er moet ook een audit trail worden bijgehouden met de toestemmingen (hoe, wat, waar) per gebruiker. Consent kan op het niveau van global, group of site gegeven worden. De website (uitgever, e-commerce, applicatie of adverteerder) kiest zelf voor welke purposes en vendors consent wordt gevraagd.

De flow is als volgt: de website vraagt via het CMP de vereiste toestemming op het moment dat de bezoeker voorbij komt. De bezoeker geeft zelf zijn voorkeuren aan. De derde partijen die vervolgens op de pagina aanwezig zijn, moeten nu een functie aanroepen (_getConsentData) en krijgen dan de benodigde informatie. Er mag dus geen persoonlijke data verzameld worden, voordat de consent string uitgelezen is.

  1. Consensu.org

Het domein van IAB Europe waaronder de consent cookies kunnen worden opgeslagen in het geval van global of group consent.

What’s next?

Net als IAB Nederland zit ook IAB Europe niet stil. Zo wordt er op dit moment gekeken naar certificeringen voor de deelnemers. En in-app support is sinds juli 2018 ook een feit. Het wachten is nu nog op Google. Hoewel Google vanaf het begin betrokken was bij de totstandkoming van het framework, ondersteunen ze het zelf nog niet. Zowel IAB Europe als Google heeft aangegeven dat het TCF vanaf augustus 2018 alsnog door hen ondersteund zal worden. Ook aan de adverteerders kant zien we een toenemende interesse voor de ondersteuning van het TCF. En ja.. dan komt ook (volgend jaar?) de ePrivacy eraan. Ik verwacht dat de discussie over de browser als gatekeeper zal afzwakken en dat conditionele toegang tot websites mogelijk lijkt te blijven. De politiek zich meer zal gaan roeren en ik verwacht dat de juridische rolverdelingen in dat complexe digitale landschap steeds duidelijker zullen worden.

Alle informatie over het TCF kan altijd teruggevonden worden op de speciale website: advertisingconsent.eu. Op de website van IAB Nederland (of hier) kun je je aanmelden voor de nieuwsbrief. Wil je meer informatie of de discussie aangaan: ik ben te vinden onder @timgeenen.

---

Tim Geenen is oprichter en CEO van Faktor en board member van IAB Nederland.

www.iab.nl 
@IABnl

@TimGeenen

 

Lees ook:

22-05-2018 | [Column] IAB | Jeroen Verkroost: Premium posities bestaan niet. Context wordt overschat
21-12-2017 | [Column] IAB | Justus Wever: Sharing is caring in de onlinemarketingindustrie

 

Volg het Nederlands MediaNetwerk op Twitter

Volg het Nederlands MediaNetwerk op Facebook

Word lid van de Nederlands MediaNetwerk Groep op LinkedIn

Vacatures in media- en marketingcommunicatie