IAB TCF v2.3: Den komplette guide til Transparency and Consent Framework
IAB Transparency and Consent Framework (TCF) er en branchestandard skabt af IAB Europe, som fastlægger, hvordan samtykke indsamles, opbevares og kommunikeres mellem udgivere, annoncører og ad-tech-leverandører. Hvis dit website bruger programmatisk annoncering i Det Europæiske Økonomiske Samarbejdsområde, er TCF-overholdelse ikke valgfrit.
Siden januar 2024 kræver Google, at alle udgivere, der viser annoncer til brugere i EØS, benytter en samtykkeadministrationsplatform (CMP), der er registreret hos IAB TCF. Uden det deaktiveres personaliseret annoncering, og annonceindtægterne falder markant.
Hvad er TCF?
TCF løser et koordineringsproblem. Når en bruger besøger et website, kan dusinvis af ad-tech-leverandører behandle deres data gennem real-time bidding, retargeting, analyser og indholdspersonalisering. Hver leverandør har brug for at vide, om brugeren har givet samtykke til netop deres type af databehandling. Før TCF fandtes der ingen standardiseret måde at kommunikere denne information gennem ad-tech-forsyningskæden.
Frameworket definerer et fælles sprog for samtykke. En TCF-registreret CMP indsamler samtykke fra brugeren og koder det ind i en TC String (Transparency and Consent String). Denne streng er en kompakt, standardiseret repræsentation af brugerens samtykkevalg, som enhver deltagende leverandør kan læse og fortolke.
TCF's versionshistorik
| Version | Udgivet | Vigtigste ændringer |
|---|---|---|
| TCF v1.0 | 2018 | Det oprindelige framework. Grundlæggende samtykkeindsamling og TC String-format. |
| TCF v2.0 | 2019 | Tilføjede legitim interesse, særlige formål, funktioner og udgiverbegrænsninger. En omfattende revision af samtykkestrengens format. |
| TCF v2.2 | 2023 | Fjernede legitim interesse for målrettet annoncering (formål 3, 4, 5, 6). En reaktion på reguleringsmæssigt pres fra EU's databeskyttelsesmyndigheder. |
| TCF v2.3 | 2024 | Den aktuelle version. Tekniske forbedringer, skærpede krav til leverandøroplysninger og tilpasning til den seneste vejledning fra databeskyttelsesmyndighederne. |
De 11 TCF-formål
TCF definerer 11 formål med databehandling. Hvert formål beskriver en bestemt type aktivitet, som en leverandør må udføre med brugerdata. Brugere kan give eller afvise samtykke til hvert enkelt formål individuelt.
| Formål | Beskrivelse | Samtykke påkrævet |
|---|---|---|
| 1 | Opbevare og/eller tilgå information på en enhed | Ja (altid) |
| 2 | Udvælge grundlæggende annoncer | Ja |
| 3 | Oprette en personaliseret annonceprofil | Ja |
| 4 | Udvælge personaliserede annoncer | Ja |
| 5 | Oprette en personaliseret indholdsprofil | Ja |
| 6 | Udvælge personaliseret indhold | Ja |
| 7 | Måle annoncers effektivitet | Ja |
| 8 | Måle indholds effektivitet | Ja |
| 9 | Anvende markedsundersøgelser til at generere målgruppeindsigter | Ja |
| 10 | Udvikle og forbedre produkter | Ja |
| 11 | Bruge begrænsede data til at udvælge indhold | Ja |
Bemærk: I TCF v2.2 og senere er legitim interesse ikke længere tilgængelig som retsgrundlag for formål 3, 4, 5 og 6. Disse formål kræver udtrykkeligt samtykke.
Global Vendor List (GVL)
Global Vendor List er et centralt register, der vedligeholdes af IAB Europe, og som lister alle leverandører, der deltager i TCF. Hver leverandør angiver, hvilke formål og funktioner den bruger, og om den støtter sig på samtykke eller legitim interesse for hvert enkelt.
Når en CMP viser en samtykkegrænseflade, henter den leverandøroplysninger fra GVL, så brugerne præcist kan se, hvilke virksomheder der vil behandle deres data og til hvilke formål. Brugere kan give eller afvise samtykke til individuelle leverandører — ikke kun til formål.
Fra og med 2026 indeholder GVL over 1.200 registrerede leverandører, herunder Google, Meta, Amazon og de fleste store ad-tech-virksomheder.
TC String
TC String er frameworkets tekniske kerne. Det er en Base64-kodet streng, der indeholder brugerens komplette samtykkestatus: hvilke formål de har givet samtykke til, hvilke leverandører de har godkendt, om legitim interesse gælder, og eventuelle udgiverbegrænsninger.
Hver leverandør i ad-tech-kæden læser denne streng for at afgøre, hvilken behandling den har tilladelse til at udføre for netop denne bruger. Strengen opbevares i brugerens browser (typisk i en cookie kaldet euconsent-v2) og videregives gennem bidding-kæden via JavaScript-API'et __tcfapi().
JavaScript-API'et __tcfapi()
__tcfapi() er en standardiseret JavaScript-funktion, som CMP'er skal implementere. Den gør det muligt for ethvert script på siden at forespørge den aktuelle samtykkestatus. Annoncetags, analysescripts og header bidding-wrappere bruger alle dette API til at tjekke, om de har tilladelse til at behandle data.
Vigtige kommandoer omfatter:
getTCData: Returnerer den aktuelle TC String og de parsede samtykkedata.addEventListener: Registrerer et callback ved ændringer i samtykkestatus.ping: Tjekker, om CMP'en er indlæst og klar.
Prebid.js, Google Publisher Tags (GPT) og de fleste store ad-tech-SDK'er kalder automatisk __tcfapi() for at hente samtykke, før de foretager budanmodninger eller udløser pixels.
Cross-frame-meddelelser
Annonceenheder kører ofte i iframes på et andet domæne end udgiverens side. Disse iframes kan ikke tilgå __tcfapi()-funktionen på modersiden direkte på grund af browserens same-origin-politik.
TCF løser dette med en protokol for cross-frame-meddelelser. CMP'en opretter en særligt navngivet iframe (__tcfapiLocator), der fungerer som meddelelsesrelæ. Leverandørscripts inde i annonce-iframes sender postMessage-anmodninger til denne locator-frame, som videresender dem til CMP'en og returnerer samtykkedataene.
Denne mekanisme er afgørende for, at programmatisk annoncering fungerer korrekt sammen med samtykke. Uden den ville annonceenheder i iframes ikke have nogen måde at tjekke samtykkestatus på.
TCF og Google
Siden januar 2024 kræver Google, at udgivere, der viser annoncer til brugere i EØS, benytter en Google-certificeret CMP, der implementerer IAB TCF v2.3. Dette krav gælder Google Ads, AdSense, Ad Manager, AdMob og DV360.
Google kræver desuden Consent Mode v2 ved siden af TCF. Consent Mode håndterer Googles egne tags (Analytics, Ads), mens TCF håndterer det bredere ad-tech-økosystem. Begge er nødvendige for fuld overholdelse.
Uden en TCF-kompatibel CMP viser Google ikke personaliserede annoncer til brugere i EØS, hvilket resulterer i markant lavere annonceindtægter.
TCF og Passiro
Passiro er registreret hos IAB Europe som CMP ID 499, med fuld understøttelse af IAB TCF v2.3 inkluderet i den gratis samtykke-widget. Dette omfatter generering af TC String, JavaScript-API'et __tcfapi(), cross-frame-meddelelser via __tcfapiLocator-iframen, integration med Global Vendor List v3, samtykke pr. leverandør, indsigelse mod legitim interesse og udgiverbegrænsninger.
De fleste konkurrerende CMP'er tager 30-40 EUR pr. website pr. måned for TCF-understøttelse. Passiro inkluderer det uden beregning — uden sidebegrænsninger, uden trafikbegrænsninger og uden funktionsbegrænsninger på samtykkefunktionaliteten.
Overholder din website cookiereglerne?
Scan din website gratis og find alle cookies på få minutter.
Scan dine cookies gratis