In de complexe estafette van online advertising is de grote vraag: wie houdt op welk moment de stok van de GDPR-verantwoordelijkheid vast?
Als je marketing voert via online advertenties, werk je vrijwel zeker met een systeem dat via cookies of andere trackers persoonsgegevens verzamelt. Gebruik je daarbij een consent tool die het zogenaamde “Transparency & Consent Framework” (TCF) van IAB Europe toepast? Dan is deze recente uitspraak van het Marktenhof cruciaal voor jouw juridische positie.
De Belgische Gegevensbeschermingsautoriteit (GBA) oordeelde eerder dat IAB Europe als organisatie verantwoordelijk was voor nagenoeg alle privacy-inbreuken binnen het digitale advertentie-ecosysteem. IAB Europe vocht dit aan en kreeg op 7 januari 2026 gelijk van de rechter: de GBA is te ver gegaan in haar eisen en moet opnieuw oordelen binnen de beperktere rol die IAB Europe effectief speelt.
Het volledige arrest is nog niet gepubliceerd, dus we gaan even voort op de persberichten en analyses van IAB Europe zelf, maar we willen toch alvast een eerste analyse maken en antwoorden op de vraag waarom dit alles relevant is voor jou. Deze uitspraak bevestigt immers voor zover we kunnen inschatten dat de juridische verantwoordelijkheid voor wat er met gebruikersdata gebeurt voor advertentiedoeleinden, niet bij IAB Europe ligt, maar bij de individuele deelnemers (zoals adverteerders en uitgevers). Als je dacht dat je door het louter gebruiken van een “TCF-compliant” tool automatisch gevrijwaard was van verantwoordelijkheid, dan is dit hét moment om je eigen rol opnieuw tegen het licht te houden.
De juridische strijd tussen IAB Europe en de GBA over de TC String
In februari 2022 legde de GBA een boete op aan IAB Europe en oordeelde dat het TCF in strijd was met de GDPR. De kern van de discussie was de TC String: de digitale code waarin de toestemming van een gebruiker wordt vastgelegd. Volgens de GBA was de TC String een persoonsgegeven en was IAB Europe (mede)verantwoordelijk voor de verwerking ervan én voor alle daaropvolgende verwerkingen in de advertentieketen.
Na een jarenlange procedure, inclusief vragen aan het Europees Hof van Justitie, zijn de krijtlijnen nu definitief getrokken:
- TC Strings zijn inderdaad persoonsgegevens, omdat ze gekoppeld kunnen worden aan identifiers zoals een IP-adres.
- IAB Europe is gezamenlijk verwerkingsverantwoordelijke, maar enkel voor de creatie en het gebruik van de TC String zelf.
- IAB Europe is géén verantwoordelijke voor wat er daarna gebeurt, zoals het tonen van gepersonaliseerde advertenties of het maken van profielen.
Is IAB Europe (mede)verantwoordelijk voor jouw GDPR-compliance?
Op basis van deze beperktere scope heeft het Belgische Marktenhof de eerdere validatie van het “actieplan” door de GBA vernietigd. De rechter oordeelde dat de GBA haar boekje te buiten ging door acties op te leggen die gebaseerd waren op een te brede verantwoordelijkheid van IAB Europe. Bovendien werd het recht van IAB Europe om gehoord te worden geschonden.
De GBA moet nu een nieuwe beslissing nemen die rekening houdt met het feit dat IAB Europe enkel invloed heeft op het framework zelf, en niet op de verdere dataverwerking door bedrijven.
5 gevolgen van de uitspraak voor organisaties die het IAB TCF gebruiken
Werk je met het TCF-framework om toestemming te verzamelen? Dan dwingt deze uitspraak je om je eigen verantwoordelijkheid ernstig te nemen. Hier zijn de vijf belangrijkste gevolgen:
- Je kan je niet verschuilen achter het label “TCF-compliant”. Het gebruik van het TCF is geen “get out of jail free card”. Je moet als organisatie zelf kunnen aantonen dat jouw specifieke verwerking van data (inclusief de TC String en IP-adressen) voldoet aan de GDPR.
- Je bent zelf verantwoordelijk voor je eigen verwerkingen. De rechter bevestigt dat IAB Europe niet verantwoordelijk is voor targeting, profilering of audience measurement. Doe je aan retargeting of analyse? Dan ben jij de (enige) verwerkingsverantwoordelijke voor die handelingen.
- Hou rekening met de nieuwe TCF-standaarden (v2.2 en hoger). Hoewel de juridische strijd nog liep, heeft IAB Europe al veel verbeteringen vrijwillig doorgevoerd. Denk aan het verbod op ‘gerechtvaardigd belang’ voor advertentiedoeleinden (enkel toestemming telt nog) en strengere eisen voor transparantie over het aantal vendors. Check of jouw instellingen hieraan voldoen.
- Contracten en privacyverklaringen moeten de werkelijkheid weerspiegelen. Omdat de rol van IAB Europe beperkter is dan de GBA aanvankelijk dacht, moet de rolverdeling in jouw keten (tussen jou, je CMP en je advertentiepartners) juridisch waterdicht zijn vastgelegd in je verwerkingsregister en privacy policy.
- Faciliteer een makkelijke intrekking van toestemming. Een van de punten uit de recente ontwikkelingen is dat gebruikers hun privacykeuzes eenvoudig moeten kunnen herzien. Zorg dat jouw Consent Management Platform (CMP) dit technisch en juridisch correct ondersteunt.
Kort gezegd: de rechter heeft bevestigd wat IAB Europe wél is, maar vooral wat het niet is. De juridische eindverantwoordelijkheid voor de marketingdata ligt bij jou als gebruiker van het systeem.
Wat moet je nu doen?
Gebruik je het TCF? Maak een realistische inschatting van je gegevensverwerking, je rechtsgrondslagen en de werking van je CMP. Documenteer je keuzes en vertaal deze naar transparante communicatie richting je gebruikers.
Sirius Legal helpt je daarbij. Niet met holle compliance-richtlijnen, maar met pragmatisch juridisch advies dat werkt in de marketingrealiteit.
Vragen over GDPR, TCF of gegevensverwerking binnen digitale marketing?
Boek gerust een vrijblijvende videocall met een van onze experten via de link hiernaast. We helpen je graag verder.
