De Autoriteit Persoonsgegevens (AP) adviseert Nederlandse websites direct te stoppen met het gebruik van het advertentiesysteem van IAB Europe. Dit systeem gebruikt persoonsgegevens voor het veilen van advertenties en zou niet beantwoorden aan de GDPR-wetgeving.

Voor het verzamelen van data door het IAB-systeem moeten gebruikers bij een bezoek aan een website via een pop-up toestemming geven, voor het volgen van hun surfgedrag. De data die websites hiermee verzamelen, wordt gebruikt voor het veilen van op de bezoeker toegespitste advertenties. Ongeveer 80 procent van de Europese websites en applicaties gebruikt dit systeem, schrijft het FD.

In strijd met GDPR

Volgens de privacytoezichthouder is de wijze waarop het IAB-advertentiesysteem de persoonlijke informatie verzamelt in strijd met de GDPR. De toezichthouder adviseert daarom per direct te stoppen met het gebruik van dit systeem en hiervoor alternatieven te gebruiken of te ontwikkelen. Als alternatief noemt de toezichthouder het plaatsen van advertenties op basis van de doelgroep van een site.

Belgische privacytoezichthouder neemt initiatief

Het advies van het AP is een gevolg van een recent besluit van de Belgische privacytoezichthouder Gegevensbeschermingsautoriteit (GBA). Deze besloot als eerste Europese toezichthouder dat het IAB-advertentiesysteem in strijd is met de GDPR. Volgens de toezichthouder gaat IAB Europe in de fout bij het verwerken van de data die via het systeem wordt verzameld. Verzamelde informatie blijkt door een koppeling met een eigen cookie van IAB Europe tot personen te herleiden.

IAB Europe kreeg hiervoor een boete van 250.000 euro door de GBA opgelegd. Wel krijgt de belangenorganisatie twee maanden de tijd dit systeem op orde te krijgen en aan de GDPR te laten voldoen.

De Nederlandse AP gaat hierin nu een stap verder en roept bedrijven op het gebruik van het advertentiesysteem helemaal te staken.

Reactie IAB Europe

In een reactie geeft IAB Europe aan het niet eens te zijn met het oordeel van de Belgische toezichthouder. Een verklaring over de oproep van het Nederlandse AP ontbreekt nog. Wel geeft de belangenorganisatie voor de advertentiemarkt aan binnen een half jaar met aanpassingen te komen die het systeem helemaal aan de GDPR laten voldoen. Volgens IAB Europe is er helemaal geen alternatief systeem en zouden vooral kleinere uitgevers of websites de dupe van de regelgeving worden.

Grote adverteerders bereidden zich inmiddels voor op grote boetes van de privacytoezichouders en andere schadeclaims, zo schrijft het FD verder. Volgens juridische experts zouden zich vooral partijen die aan dit systeem hebben verdiend zich zorgen moeten maken over eventuele privacyclaims.