TCF 2.2 Launches! All You Need To Know

TCF 2.2 Launches! All You Need To Know

Om te voldoen aan de eisen van zowel de ePrivacy-richtlijn als de AVG, heeft de Transparency & Consent Framework (TCF) Steering Group van IAB Europa aanpassingen aan het Framework goedgekeurd. De TCF-werkgroepen hebben intensief gewerkt aan het standaardiseren van de informatie en keuzes die aan gebruikers moeten worden geboden met betrekking tot de verwerking van hun persoonlijke gegevens. Evenals de manier waarop deze keuzes moeten worden vastgelegd, gecommuniceerd en gerespecteerd.

Met de ontwikkelingen in de jurisprudentie en richtlijnen van de Data Protection Authorities (DPAs) worden er steeds hogere eisen gesteld aan partijen op het gebied van gegevensbescherming. De nieuwste versie van het Transparency & Consent Framework, TCF v2.2, brengt belangrijke veranderingen met zich mee en om beter te voldoen aan de verwachtingen van regelgevers en de behoeften van eindgebruikers.

Op 16 mei 2023 werd TCF 2.2 van IAB Europa officieel gelanceerd. Het onderstaande artikel biedt een overzicht van de belangrijkste beleids- en technische wijzigingen die zijn doorgevoerd. Tevens een gedetailleerde tijdlijn om alle belanghebbenden te ondersteunen bij de implementatie van TCF 2.2.

ARTICLE IAB EUROPE

TCF v2.2 Main Policy Amendments

Removal of the legitimate interest legal basis for advertising & content personalisation: within the scope of the TCF, Vendors will only be able to select consent as an acceptable legal basis for purposes 3, 4, 5 and 6 at registration level; Improvements to the information provided to end-users: the purposes and features’ names and descriptions have changed. The legal text has been removed and replaced by user-friendly descriptions – supplemented by examples of real-use cases (illustrations); Standardisation of additional information about Vendors: Vendors will be required to provide additional information about their data processing operations – so that this information can in turn be disclosed to end-users; Categories of data collected Retention periods on a per-purpose basis Legitimate interest(s) at stake – where applicable Transparency over the number of Vendors: CMPs will be required to disclose the total number of Vendors seeking to establish a legal basis on the first layer of their UIs; Specific requirements to facilitate users’ withdrawal of consent: Publishers and CMPs will need to ensure that users can resurface the CMP UIs and withdraw consent easily. 

Please consult the relevant sections of the updated Policies for further details and IAB Europe’s blogpost here.

TCF v2.2 Technical Specifications Updates

With a view to implementing these policy changes, IAB Tech Lab has updated the technical specifications for the Transparency & Consent Framework. These changes include:

Deprecation of the getTCData and requirement for Vendors to use eventListeners, where applicable Updates to the GVL: the version will be incremented to 3 and the GVL will include additional data: new fields for taxonomy of categories of data inclusion of data retention periods per purpose support for multiple languages URL declaration

Please consult the updated Technical Specifications for further details and IAB Tech Lab’s blogpost here.

The Javascript Library that supports TCF participants’ implementation is also being updated to accommodate TCF v2.2 here.

Implementation Timeline

Please note the following deadlines:

30 June 2023

Deadline for Vendors to update their GVL registration with the new required information (as well as any other required information they failed to update previously). They can do so by logging-in to the GVL registration portal here that has been updated with new registration fields for TCF v2.2. If you don’t see your existing data in the portal, clear your cache or log-in using a different browser.

Only Vendors that update their GVL registration according to the requirements will be published in the new version of the GVL (v3).

Vendors updating their registration will also continue to be published in the current version of the GVL (v2) that will continue to run until the end of the implementation period.

The GVL v3 will start being published weekly as Vendors update their registrations at https://vendor-list.consensu.org/v3/vendor-list.json, to enable CMPs to test the new format, and to start building new user-facing disclosures in line with the requirements of the Policies. Translation will be made available progressively here.

10 July 2023 (Reminder)

Deadline for CMPs to host their scripts on a domain other than consensu.org subdomains as per the notification here.

31 July 2023

Deadline for Vendors to complete a TCF Compliance Assessment form and submit it through the GVL registration portal as part of the updated TCF Compliance programmes described here

30 September 2023 – end of implementation period

CMPs are required to implement the new policies and specifications by 30 September 2023. CMP Framework UIs will not need to apply for re-validation. Compliance with the new requirements will, however, be verified as part of IAB Europe’s regular monitoring of CMPs’ live installations as of the implementation deadline. To support CMPs in their developments, IAB Europe has released a new CMP Validator Chrome Extension available here that includes all requirements of TCF v2.2. 

Vendors are required to implement the new policies and specifications by 30 September 2023. Similar to CMPs, compliance with the new requirements will be verified as part of IAB Europe’s regular monitoring of Vendors’ live installations as of the implementation deadline.

Please visit the TCF section of IAB Europe’s website for more information or read the FAQs document here. Dedicated webinars will be organised at the beginning of June for each category of participants – Publishers, CMPs and Vendors. 

Gerelateerde artikelen

ArtikelData, Tech & Legal

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder

WhitepaperData, Tech & LegalData & Techniek

Whitepaper Data-Cleanrooms: Wat zijn het en hoe zet je ze effectief in?

Het landschap van digitale marketing is flink veranderd. Firefox en Safari ondersteunen geen cookies van derden meer, Chrome is ze aan het uitfaseren en de ePrivacy Richtlijn en GDPR vereisen dat uitgevers en adverteerders toestemming van consumenten krijgen om hun data te verzamelen en te gebruiken. En dat zorgt voor de nodige uitdagingen op het gebied van data en privacy. Gelukkig bieden data-cleanrooms een oplossing. Cleanrooms maken het voor bedrijven mogelijk om samen te werken en data te analyseren met behoud van privacy en naleving van regelgeving. Ze zijn vooral nuttig in situaties waarin meerdere partijen de collectieve kracht van hun gegevens willen benutten zonder de individuele privacy of gegevensbeveiliging in gevaar te brengen. Klantgegevens worden zorgvuldig geanonimiseerd en ontdaan van alle persoonlijke of identificeerbare informatie. Deze gegevens kunnen vervolgens worden geanalyseerd en gebruikt om nieuwe inzichten te krijgen over gebruikers op een geaggregeerd niveau. Dit whitepaper geeft marketeers die nog geen of weinig ervaring hebben met data-cleanrooms inzicht in alle mogelijkheden. Van het definiëren van doelstellingen tot juridische zaken, uploaden van data en verbinding met andere bronnen tot het uitvoeren van data-analyses. De theorie wordt aangevuld met cases uit de Nederlandse reclame-industrie en aanbevelingen die betrekking hebben op de beperkingen en kosten van data-cleanrooms. Bijdragen van: Birgit Boing, Emmelijn Hermens, Weiwei Liu-Schröder, Bastiaan Spaans, Bernard de Vreede, Mark Wilmont.

Lees verder