Wat gebeurde er met IAB Europe? (uitgelegd voor iedereen)

Stel je voor dat er op internet een groot bord is waar reclamebedrijven elkaar vertellen wie welke reclame mag laten zien. Dat bord heet het Transparency & Consent Framework — of kortweg TCF.

Als jij op een website komt en je klikt op “ik ga akkoord met cookies”, dan wordt er een soort geheime code gemaakt, de TC String. In die code staat wat jij hebt toegestaan — bijvoorbeeld dat reclames jouw gedrag mogen volgen of niet.

Wat was het probleem?

De Gegevensbeschermingsautoriteit (GBA) in België zei in 2022: “Die geheime code lijkt misschien niets, maar eigenlijk bevat die persoonlijke informatie over jou. En wie die code maakt of gebruikt, moet zich houden aan de privacywet (GDPR).”

De GBA vond dat IAB Europe, de organisatie die dat systeem had gemaakt, meer verantwoordelijkheid moest nemen. Ze kregen een boete van € 250.000 en moesten hun systeem verbeteren.

Wat zei de rechter later?

In 2025 ging IAB Europe naar de rechter (het Marktenhof in Brussel). De rechter zei toen iets als:

“De GBA had een klein foutje gemaakt in hoe ze haar beslissing uitlegde. Maar ze had wel gelijk over de inhoud!”
  • Ja, de TC String is persoonlijke informatie.
  • Ja, IAB Europe is gedeeltelijk verantwoordelijk — maar alleen voor het deel dat zij zelf beheren.
  • Ze zijn niet verantwoordelijk voor alles wat andere bedrijven met die informatie doen.
  • De boete van € 250.000 blijft bestaan.

Wat kunnen we hiervan leren?

Ook als iets technisch lijkt, zoals een reeks cijfers of een code, kan het nog steeds over mensen gaan. En dan moet het beschermd worden.

Bedrijven die met data werken moeten dus goed nadenken: Wie is verantwoordelijk? Wie bewaart wat? En hoe zorgen we dat mensen echt begrijpen waar ze mee instemmen?

Zo blijft het internet eerlijker en veiliger voor iedereen — niet alleen voor bedrijven, maar ook voor gewone mensen zoals jij en ik.

Bron: Gegevensbeschermingsautoriteit – uitspraak Marktenhof, 14 mei 2025

De IAB Europe-zaak bekeken van alle kanten: wat betekent dit nu echt?

1. Veiligheid en vertrouwen voor gewone mensen

De uitspraak van het Marktenhof lijkt op het eerste gezicht ingewikkeld, maar eigenlijk gaat het over iets eenvoudigs: vertrouwen. Als jij op een website “akkoord” klikt, wil je dat je gegevens veilig blijven en niet overal belanden zonder dat je het weet. De beslissing zorgt ervoor dat bedrijven duidelijker moeten uitleggen wat ze met jouw gegevens doen, en dat ze die gegevens zorgvuldiger moeten beschermen.

Dat betekent dus: minder verborgen datastromen, meer transparantie, en uiteindelijk een internet waar gebruikers meer controle hebben over hun eigen digitale voetafdruk. Dat is echte digitale veiligheid – niet door meer regels, maar door meer duidelijkheid.

2. Economische gevolgen voor de digitale markt

Voor bedrijven is dit geen kleine zaak. Minder makkelijk data verzamelen betekent ook dat marketing duurder wordt en minder gericht kan zijn. Sommige adverteerders zullen meer moeten betalen om dezelfde resultaten te behalen, en kleinere bedrijven kunnen moeite krijgen om met grote spelers te concurreren.

Toch brengt dit ook iets goeds: het dwingt bedrijven om creatiever en ethischer te denken. In plaats van blind op data te jagen, moeten ze nadenken over kwaliteit, vertrouwen en een echte relatie met hun klanten. Wie dat goed doet, bouwt een sterker merk op lange termijn.

3. Juridische en maatschappelijke balans

De uitspraak van het Hof laat zien hoe moeilijk het is om balans te vinden tussen innovatie en privacybescherming. Enerzijds wil men een bloeiende digitale economie met slimme AI, realtime advertenties en gepersonaliseerde ervaringen. Anderzijds moet de samenleving burgers beschermen tegen onzichtbare datastromen en misbruik.

Het Hof koos een middenweg: IAB Europe is verantwoordelijk voor het framework dat zij zelf maakt, maar niet voor wat andere partijen ermee doen. Dat schept een juridisch precedent: organisaties die standaarden ontwikkelen moeten ethische verantwoordelijkheid opnemen, ook al zijn ze niet de uitvoerders.

4. Wat betekent dit op lange termijn?

Op de lange termijn kan deze zaak leiden tot een eerlijker digitaal ecosysteem. Gebruikers krijgen meer zeggenschap, bedrijven moeten transparanter zijn, en toezichthouders hebben een sterker voorbeeld om op verder te bouwen.

Maar het blijft een delicaat evenwicht: te veel regels kunnen innovatie verstikken, te weinig regels kunnen privacy ondermijnen. De toekomst ligt ergens tussenin — waar technologie en vertrouwen elkaar ontmoeten.

5. Samenvatting

  • Voor de gebruiker: meer privacy en controle.
  • Voor bedrijven: hogere kosten, maar ook meer nood aan transparantie en kwaliteit.
  • Voor de overheid: een voorbeeld van hoe regels en innovatie kunnen samengaan.

De IAB Europe-zaak is dus niet alleen een juridisch verhaal, maar ook een signaal over hoe we met data, vertrouwen en technologie omgaan in een tijdperk waarin digitale veiligheid even belangrijk is als winst.

De werkelijkheid na de IAB Europe-zaak: meer klikken, niet per se meer privacy

1. Wat iedereen dacht

Toen de privacywet (GDPR) in Europa werd ingevoerd, en later ook de zaak tegen IAB Europe begon, dachten veel mensen dat dit zou leiden tot minder dataverzameling. Men verwachtte dat bedrijven voorzichtiger zouden worden, en dat gebruikers meer controle zouden krijgen over hun gegevens.

2. Wat er in werkelijkheid gebeurde

In de praktijk zien we iets heel anders: het internet is overspoeld door cookiebanners en consent pop-ups. Gebruikers krijgen soms wel 200 keer per dag de vraag om hun toestemming te geven — op bijna elke website die ze bezoeken.

Slechts een klein deel van de sites (minder dan 1%) heeft besloten om helemaal geen trackingcookies meer te gebruiken. De overgrote meerderheid vraagt nog steeds toestemming — vaak op een manier die niets verandert aan hun gedrag. De meeste mensen klikken gewoon op “akkoord”, zonder te lezen wat er staat.

3. Waarom dit gebeurt

  • Bedrijven willen hun advertentie-inkomsten behouden, dus zoeken ze manieren om “toestemming” te krijgen, zelfs als dat in werkelijkheid weinig betekenis heeft.
  • De regels zijn complex, en veel websites kiezen de veiligste route op papier: gewoon vragen, zodat ze juridisch gedekt zijn.
  • Gebruikers zijn moe van het klikken — er is sprake van consent-moeheid.

4. Wat dit ons vertelt

De uitspraak van het Marktenhof en de GDPR-regels hebben wel geleid tot meer formele bescherming, maar niet noodzakelijk tot meer echte veiligheid of bewustzijn. In feite is het nu vaak moeilijker geworden om te begrijpen wat er echt met data gebeurt.

We hebben dus meer schermen, meer meldingen en meer klikken, maar niet per se meer controle. De regelgeving heeft de vorm verbeterd — maar niet altijd de inhoud.

5. Wat voorspelbaar is voor de toekomst

  • Consent-moeheid zal toenemen — gebruikers gaan steeds minder lezen en meer blind akkoord geven.
  • AI en automatisering zullen meer beslissingen over privacy overnemen, bijvoorbeeld via browserinstellingen of slimme assistenten.
  • Nieuwe regelgeving zal zich meer richten op praktische bescherming dan op formulieren en pop-ups.
  • Bedrijven die oprecht inzetten op transparantie en eenvoud zullen een concurrentievoordeel krijgen — omdat gebruikers ze vertrouwen.

De IAB Europe-zaak was bedoeld om digitale privacy te versterken. Maar in de praktijk laat ze zien dat regels alleen niet genoeg zijn. Echte veiligheid komt pas als technologie, wetgeving en menselijk gedrag samen evolueren — met minder klikken en meer duidelijkheid.

Analyse gebaseerd op actuele observaties en de uitspraak van het Marktenhof, 14 mei 2025

Waarom bedrijven nog steeds cookies en consent gebruiken — en waarom verandering zo moeilijk is

1. Niet (alleen) onwil, maar technische realiteit

Het lijkt vaak alsof bedrijven gewoon niet wíllen stoppen met het vragen van toestemming of met het gebruik van cookies. In werkelijkheid ligt het ingewikkelder. Veel websites en advertentiesystemen zijn gebouwd op een oude digitale infrastructuur die draait op tracking en datadeling. Die infrastructuur is verweven in miljoenen websites, ad-servers en analytics-platformen.

Simpel gezegd: het internet is technisch ontworpen rond het volgen van gebruikers — en niet rond hun privacy. Als je dat wil veranderen, moet je niet één bedrijf aanpassen, maar een volledig ecosysteem van advertentieprotocollen, browsers en platformen.

2. Waarom bedrijven niet zomaar stoppen

  • Technische afhankelijkheid: systemen zoals OpenRTB (real-time bidding) werken alleen goed als er data beschikbaar is om advertenties te personaliseren.
  • Economische druk: als één partij stopt met tracking, verliezen ze meetbare inkomsten, terwijl concurrenten dat niet doen.
  • Gebrek aan alternatieven: er bestaan nog maar weinig volwassen protocollen die privacyvriendelijke advertenties mogelijk maken zonder verlies van rendement.
  • Juridische onzekerheid: bedrijven vrezen dat ze zelfs met goede bedoelingen later toch aansprakelijk worden gesteld — net zoals in de IAB Europe-zaak.

3. Waarom innovatie nu stokt

De uitspraak tegen IAB Europe heeft een dubbel effect. Enerzijds dwingt het organisaties om beter na te denken over ethiek en privacy. Anderzijds zorgt het voor angst bij technologische pioniers. Want wie durft nog een nieuw digitaal protocol te ontwikkelen, als je achteraf persoonlijk of juridisch verantwoordelijk kunt worden gesteld voor hoe anderen dat protocol gebruiken?

Hierdoor ontstaat een paradox: de wet vraagt om veiliger technologie, maar door het risico op aansprakelijkheid durven steeds minder partijen zulke technologie te bouwen. De innovatie schuift daardoor naar grotere, machtigere spelers die genoeg juridische middelen hebben om fouten op te vangen.

4. Juridische kwetsbaarheid van protocollen

In de digitale wereld is een protocol — zoals OpenRTB of TCF — niets meer dan een afspraak over hoe systemen met elkaar praten. Maar zodra die communicatie persoonsgegevens raakt, kan de bedenker ervan juridisch gezien een verwerkingsverantwoordelijke worden. Dat maakt elke nieuwe standaard een potentieel risico.

Juridisch gezien kan men elk framework “aanvallen” door te zeggen: “Jullie bepalen mee hoe data wordt verwerkt, dus jullie zijn medeverantwoordelijk.” Daardoor ontstaat een klimaat waarin compliance belangrijker wordt dan innovatie.

5. Wat dit in feite betekent

  • Het probleem is niet alleen juridisch of ethisch, maar ook structureel technisch.
  • Zolang de internetarchitectuur gebaseerd blijft op tracking, blijven bedrijven kiezen voor toestemming in plaats van verandering.
  • Nieuwe, privacyvriendelijke protocollen zullen er pas komen als er duidelijke juridische bescherming is voor wie ze ontwikkelt.
  • Anders blijft iedereen liever “veilig binnen het oude systeem” dan risico te nemen met iets nieuws.

Bedrijven vragen niet honderd keer per dag om toestemming omdat ze dat leuk vinden, maar omdat het de enige manier is om technisch en juridisch overeind te blijven in het huidige systeem. De IAB Europe-zaak laat zien dat het evenwicht tussen technologie, wetgeving en verantwoordelijkheid nog niet gevonden is.

Als we écht vooruit willen, moet Europa niet alleen regels opleggen, maar ook veiligheid voor innovatie bieden — zodat bedrijven nieuwe protocollen durven bouwen zonder dat ze er later juridisch op worden afgestraft.

Analyse: de structurele impact van het Marktenhof-arrest op innovatie en digitale economie, mei 2025

Marktenhof bevestigt kern van GBA-beslissing tegen IAB Europe: TC String blijft persoonsgegevens

Op 14 mei 2025 heeft het Marktenhof (Brussels Hof van Beroep) een belangrijke uitspraak gedaan in de zaak tussen IAB Europe en de Gegevensbeschermingsautoriteit (GBA). De uitspraak werd door velen in de digitale sector met spanning gevolgd, omdat ze richtinggevend is voor hoe toestemmingsmechanismen en advertentietechnologie onder de GDPR worden beoordeeld.

Wat besliste het Hof?

  • De beslissing van de GBA uit 2022 werd vernietigd op procedurele gronden, omdat bepaalde motiveringen onvoldoende waren onderbouwd.
  • Toch bevestigde het Hof de kern van de inhoudelijke redenering van de GBA:
    • De TC String — de gecodeerde toestemmingsinformatie binnen het Transparency & Consent Framework (TCF)is een persoonsgegeven.
    • IAB Europe is een gezamenlijk verwerkingsverantwoordelijke, maar alleen voor de verwerking van de TC String binnen haar eigen systeem.
    • IAB Europe is niet verantwoordelijk voor de verdere verwerking in het bredere OpenRTB-advertentie-ecosysteem.
  • De eerder opgelegde boete van € 250.000 en de verplichting tot een verbeterplan blijven behouden.

Waarom is dit belangrijk?

Deze uitspraak heeft grote gevolgen voor organisaties die werken met digitale marketing, dataverzameling, toestemmingsbeheer en advertentie-automatisering. Ze bevestigt dat ook geautomatiseerde consent-signalen (zoals de TC String) als persoonsgegevens moeten worden behandeld, en dat de verantwoordelijkheid voor naleving niet automatisch wordt doorgegeven aan alle betrokken partijen.

Voor ontwikkelaars van AI-gestuurde marketingplatformen of automatische biedsystemen (RTB) betekent dit dat:

  • De juridische rolverdeling tussen controller en processor duidelijk moet worden vastgelegd.
  • Frameworkaanbieders enkel verantwoordelijk zijn voor hun eigen systemen, niet voor de volledige keten.
  • Transparantie en gegevensminimalisatie cruciaal blijven voor naleving van de GDPR.

Onze visie

De uitspraak van het Marktenhof markeert een nieuwe balans tussen innovatie en gegevensbescherming. Ze biedt duidelijkheid aan de sector, maar benadrukt ook dat naleving niet stopt bij techniek — het vraagt een doordacht ontwerp van dataflows, accountability en gebruikersrechten. Voor organisaties die actief zijn in digitale optimalisatie, CRO of service design is dit hét moment om hun consent-architectuur te herzien.

Bron: Gegevensbeschermingsautoriteit – “The Market Court rules in the IAB Europe case” (14 mei 2025)