De grootste mythes rond het Transparency & Consent Framework 2.0 ontrafeld

5 minuten leestijd (914 woorden)

Op 15 augustus 2020 is de langverwachte update van het IAB Transparency & Consent Framework (TCF) gepubliceerd. Deze 2.0 versie biedt meer keuzemogelijkheden aan de consument en daarnaast meer duidelijkheid over hoe adverteerders, uitgevers, bureaus en technologiebedrijven omgaan met toestemming voor dataverwerking van mediaconsumenten. In dit artikel worden de grootse misverstanden en mythes rondom TCF ontkrachten.

TCF geeft inzicht en controle
Het TCF is een initiatief van het IAB Tech Lab in de VS en IAB Europe en bijna drie jaar geleden ontwikkeld om het digitale advertentie-ecosysteem in staat te stellen te voldoen aan bepaalde verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG) en de e-privacy verordening (ePV). Het is de grootste industriële samenwerking in haar soort en de enige compliance oplossing die door en voor de industrie is gebouwd.

Na feedback van de markt en discussies met gegevensbeschermingsautoriteiten (Data Protection Authorities, DPA's) van de EU-lidstaten, is het TCF in de afgelopen maanden bijgewerkt om meer keuzemogelijkheden aan de consument te bieden, meer controle te geven aan uitgevers en de accommodatie van 'legitieme belangen' van de AVG, waaronder een recht om bezwaar te maken via het TCF.

Duidelijkheid verschaffen

Helaas moeten we constateren dat alle inspanningen van de markt ten spijt het nog steeds niet voor iedereen duidelijk is wat de positieve impact van het TCF is. Zo stelde bijvoorbeeld Bits of Freedom vorig jaar nog publiekelijk vraagtekens bij het doel van het industriekader. Om toekomstige verwarring over de nieuwe publicatie te voorkomen geven we verdere uitleg bij de vier grootste misverstanden die in de markt leven.

Mythe 1: Het TCF is strenger dan de AVG – Niet waar
De regels die in het TCF zijn opgenomen zijn zorgvuldig samengesteld door verschillende TCF-werkgroepen en zijn niet restrictiever dan de vereisten van de AVG en de ePV. De geformuleerde richtlijnen vormen een stabiele basis voor de standaard en nemen daarbij de laatste inzichten rondom de vereisten van AVG en ePV in acht. Zo zijn de voorbeelden die in het TCF worden gebruikt gebaseerd op richtlijnen van verschillende nationale DPA's. Hierbij is gekeken naar waar de synergie en de gemeenschappelijke interpretaties zitten en waar deze van elkaar afwijken; alle landen hebben immers enige ruimte bij de toepassing van de AVG. Op deze wijze is een 'EU-wijde kleinste gemene deler' ontstaan waardoor organisaties over landsgrenzen heen kunnen blijven samenwerken, terwijl er genoeg flexibiliteit in het TCF zit om aan de interpretatie van een lokale toezichthouder te blijven voldoen.

Mythe 2: De TCF schrijft voor dat een 'reject all'-knop in de eerste laag van de user interface - moet worden aangebracht – Niet waar
De TCF-richtlijnen vereisen beslist niet dat een CMP in de eerste laag een keuze voor een volledige opt-out biedt. Uiteraard biedt de TCF de ruimte om dit wel te doen als de uitgever hierom vraagt of als lokale interpretatie van de AVG en/of ePV dit vereist. Volgens de TCF 2.0-richtlijnen moet er aan een bezoeker op zijn minst:

A) Een mogelijkheid worden geboden om actief toestemming te verlenen (bijvoorbeeld 'accepteer', 'oké', 'ik geef toestemming'), en
B) Een mogelijkheid worden geboden om een keuze te personaliseren (bijvoorbeeld 'geavanceerde instellingen', 'personaliseer mijn keuze' etc.).

Mythe 3: De TCF-richtlijnen schrijven voor dat er al in de eerste laag van de user interface een gedetailleerde toestemmingskeuze moeten worden opgenomen – Niet waar
De TCF-richtlijnen schrijven weliswaar voor dat een lijst van standaard gebruikte doelstellingen en standaard technologieën waarbij persoonsgegevens worden verwerkt is opgenomen in de eerste laag van de user interface, maar dat betekent niet dat hier al gedetailleerde toestemming hoeft te worden gevraagd. Uiteraard biedt de TCF ook hier de ruimte om dit wel te doen als de uitgever hierom vraagt of als lokale interpretatie van de AVG en/of ePV dit vereist.

Mythe 4: Het TCF staat 'scrolling consent' niet toe – Niet waar
In de AVG wordt 'toestemming' gedefinieerd als 'elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt'. Deze termen worden in het TCF niet gedefinieerd in relatie tot het verkrijgen van geldige toestemming en kennen dus ook geen richtlijn die een organisatie weerhoudt van het implementeren van 'scrolling consent' (het geven van toestemming door na het kennisnemen van vereiste informatie door te scrollen op een site), mocht dat gewenst zijn.

Overigens is er rondom 'scrolling consent' wel het een en ander te doen op dit moment. Sommige nationale DPA's vinden deze manier van toestemming geven acceptabel, terwijl andere het juist verbieden. De hierdoor ontstane interpretatieverschillen worden door het Europees Comité voor gegevensbescherming (de European Data Protection Board, EDPB) als onwenselijk beschouwd, te meer omdat deze organisatie zelf in mei 2020 'scrolling content' als onwettig heeft benoemd. We kunnen hierover dus binnenkort meer verwachten.

Vraag of opmerking over het Transparency & Consent Framework 2.0?
Heb je een vraag of opmerking over het IAB Europe Transparency & Consent Framework? Of heb je een vraag over de AVG en/of ePV? Voor meer informatie over TCF v. 2.0-richtlijnen, technische specificaties, implementatie van de richtlijnen, FAQ en meer kun je terecht op de website van IAB Europe. Je kunt natuurlijk ook altijd contact opnemen met de werkgroep Privacy via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..