Skip to main content

IAB TCF v2.3: De complete gids voor het Transparency and Consent Framework

Het IAB Transparency and Consent Framework (TCF) is een branchestandaard van IAB Europe die vastlegt hoe toestemming wordt verzameld, opgeslagen en gecommuniceerd tussen uitgevers, adverteerders en ad-tech-leveranciers. Als uw website programmatic advertising binnen de Europese Economische Ruimte gebruikt, is naleving van het TCF geen keuze maar een must.

Sinds januari 2024 vereist Google dat alle uitgevers die advertenties aan EER-gebruikers tonen een consentmanagementplatform (CMP) gebruiken dat is geregistreerd bij het IAB TCF. Zonder deze registratie wordt gepersonaliseerde advertising uitgeschakeld en dalen de advertentie-inkomsten aanzienlijk.

Wat is het TCF?

Het TCF lost een coördinatieprobleem op. Wanneer een gebruiker een website bezoekt, kunnen tientallen ad-tech-leveranciers zijn gegevens verwerken via real-time bidding, retargeting, analytics en contentpersonalisatie. Elke leverancier moet weten of de gebruiker toestemming heeft gegeven voor zijn specifieke soort gegevensverwerking. Vóór het TCF bestond er geen standaardmanier om deze informatie door de hele ad-tech-toeleveringsketen te communiceren.

Het framework definieert een gemeenschappelijke taal voor toestemming. Een bij het TCF geregistreerde CMP verzamelt toestemming van de gebruiker en codeert deze in een TC-string (Transparency and Consent String). Deze string is een compacte, gestandaardiseerde weergave van de toestemmingskeuzes van de gebruiker, die elke deelnemende leverancier kan lezen en interpreteren.

Versiegeschiedenis van het TCF

Versie Uitgebracht Belangrijkste wijzigingen
TCF v1.0 2018 Eerste framework. Basisverzameling van toestemming en TC-stringformaat.
TCF v2.0 2019 Toevoeging van gerechtvaardigd belang, speciale doeleinden, functies en beperkingen voor uitgevers. Grondige herziening van het toestemmingsstringformaat.
TCF v2.2 2023 Gerechtvaardigd belang verwijderd voor gerichte advertising (doeleinden 3, 4, 5, 6). Reactie op regeldruk van EU-gegevensbeschermingsautoriteiten.
TCF v2.3 2024 Huidige versie. Technische verfijningen, verbeterde vereisten voor leveranciersinformatie en afstemming op de recentste richtlijnen van gegevensbeschermingsautoriteiten.

De 11 TCF-doeleinden

Het TCF definieert 11 doeleinden voor gegevensverwerking. Elk doeleinde beschrijft een specifiek type activiteit dat een leverancier met gebruikersgegevens kan uitvoeren. Gebruikers kunnen elk doeleinde afzonderlijk goedkeuren of weigeren.

Doeleinde Omschrijving Toestemming vereist
1Informatie op een apparaat opslaan en/of raadplegenJa (altijd)
2Basisadvertenties selecterenJa
3Een profiel voor gepersonaliseerde advertenties aanmakenJa
4Gepersonaliseerde advertenties selecterenJa
5Een profiel voor gepersonaliseerde content aanmakenJa
6Gepersonaliseerde content selecterenJa
7Advertentieprestaties metenJa
8Contentprestaties metenJa
9Marktonderzoek toepassen om doelgroepinzichten te genererenJa
10Producten ontwikkelen en verbeterenJa
11Beperkte gegevens gebruiken om content te selecterenJa

Let op: in TCF v2.2 en later is gerechtvaardigd belang niet langer beschikbaar als rechtsgrond voor doeleinden 3, 4, 5 en 6. Deze doeleinden vereisen expliciete toestemming.

De Global Vendor List (GVL)

De Global Vendor List is een centraal register dat door IAB Europe wordt beheerd en waarin elke leverancier staat vermeld die aan het TCF deelneemt. Elke leverancier geeft aan welke doeleinden en functies hij gebruikt en of hij zich voor elk daarvan baseert op toestemming of gerechtvaardigd belang.

Wanneer een CMP een toestemmingsinterface toont, haalt het de leveranciersinformatie uit de GVL, zodat gebruikers precies kunnen zien welke bedrijven hun gegevens verwerken en voor welke doeleinden. Gebruikers kunnen afzonderlijke leveranciers goedkeuren of weigeren, niet alleen doeleinden.

Sinds 2026 bevat de GVL meer dan 1.200 geregistreerde leveranciers, waaronder Google, Meta, Amazon en de meeste grote ad-tech-bedrijven.

De TC-string

De TC-string is de technische kern van het framework. Het is een Base64-gecodeerde string die de volledige toestemmingsstatus van de gebruiker bevat: voor welke doeleinden hij toestemming heeft gegeven, welke leveranciers hij heeft goedgekeurd, of gerechtvaardigd belang van toepassing is en eventuele beperkingen van de uitgever.

Elke leverancier in de ad-tech-keten leest deze string om te bepalen welke verwerking hij voor deze specifieke gebruiker mag uitvoeren. De string wordt opgeslagen in de browser van de gebruiker (meestal in een cookie met de naam euconsent-v2) en via de __tcfapi()-JavaScript-API door de biedketen doorgegeven.

De __tcfapi()-JavaScript-API

De __tcfapi() is een gestandaardiseerde JavaScript-functie die CMP's moeten implementeren. Hiermee kan elk script op de pagina de huidige toestemmingsstatus opvragen. Advertentietags, analyticsscripts en header-bidding-wrappers gebruiken deze API allemaal om te controleren of ze toestemming hebben om gegevens te verwerken.

Belangrijke commando's zijn onder meer:

  • getTCData: geeft de huidige TC-string en de verwerkte toestemmingsgegevens terug.
  • addEventListener: registreert een callback voor wijzigingen in de toestemmingsstatus.
  • ping: controleert of de CMP is geladen en gereed is.

Prebid.js, Google Publisher Tags (GPT) en de meeste grote ad-tech-SDK's roepen __tcfapi() automatisch aan om toestemming op te halen voordat ze biedaanvragen doen of pixels afvuren.

Cross-frame-messaging

Advertentie-eenheden draaien vaak in iframes op een ander domein dan de pagina van de uitgever. Deze iframes kunnen door de same-origin-restricties van de browser niet rechtstreeks toegang krijgen tot de __tcfapi()-functie op de bovenliggende pagina.

Het TCF lost dit op met een cross-frame-messagingprotocol. De CMP maakt een speciaal benoemd iframe (__tcfapiLocator) dat als berichtenrelais fungeert. Leveranciersscripts binnen advertentie-iframes sturen postMessage-verzoeken naar dit locatorframe, dat ze doorstuurt naar de CMP en de toestemmingsgegevens teruggeeft.

Dit mechanisme is essentieel om programmatic advertising correct met toestemming te laten werken. Zonder dit zouden advertentie-eenheden in iframes de toestemmingsstatus niet kunnen controleren.

Het TCF en Google

Sinds januari 2024 vereist Google dat uitgevers die advertenties aan EER-gebruikers tonen een door Google gecertificeerde CMP gebruiken die IAB TCF v2.3 implementeert. Deze vereiste geldt voor Google Ads, AdSense, Ad Manager, AdMob en DV360.

Google vereist ook Consent Mode v2 naast het TCF. Consent Mode beheert de eigen tags van Google (Analytics, Ads), terwijl het TCF het bredere ad-tech-ecosysteem afhandelt. Beide zijn nodig voor volledige naleving.

Zonder een TCF-conforme CMP toont Google geen gepersonaliseerde advertenties aan EER-gebruikers, wat resulteert in aanzienlijk lagere advertentie-inkomsten.

Het TCF en Passiro

Passiro is bij IAB Europe geregistreerd als CMP ID 499, met volledige IAB TCF v2.3-ondersteuning inbegrepen in de gratis consentwidget. Dit omvat TC-stringgeneratie, de __tcfapi()-JavaScript-API, cross-frame-messaging via het __tcfapiLocator-iframe, integratie met Global Vendor List v3, toestemming per leverancier, bezwaar tegen gerechtvaardigd belang en beperkingen voor uitgevers.

De meeste concurrerende CMP's rekenen 30 tot 40 euro per site per maand voor TCF-ondersteuning. Passiro biedt dit kosteloos aan, zonder paginalimieten, zonder verkeerslimieten en zonder functiebeperkingen op de toestemmingsfunctionaliteit.

Voldoet uw website aan de cookieregels?

Scan uw website gratis en vind alle cookies binnen enkele minuten.

Scan uw cookies gratis