IAB GPP: de nieuwe IAB TCF-vervanging

In september presenteerde het IAB zijn nieuwste standaard: IAB GPP. Hier leggen we uit wat erachter zit, hoe het wordt gebruikt en waarom GPP de vervanger wordt voor IAB TCF v3.

IAB TCF v2 als basis

In Europa is sinds 2018 de IAB TCF v1-standaard de maatstaf voor het doorgeven van toestemming van websites aan andere marktpartijen (meestal adverteerders). In 2020 is er een nieuwe versie uitgebracht met IAB TCF v2, die verschillende verbeteringen heeft gebracht. Sindsdien is er echter veel gebeurd en zijn er veel nieuwe eisen toegevoegd die niet zijn geïmplementeerd in de TCF v2. Dit bevat:

  • De TCF staat in België onder kritiek in verband met verschillende factoren. Technisch is er dus een update nodig om aan de nieuwe eisen van de overheid te kunnen voldoen
  • Sinds TCF v2 is enerzijds het gebruik van de TCF veranderd (we zien veel meer gevallen van uitgeversbeperkingen), anderzijds zijn er veel nieuwe leveranciers opgenomen in de IAB’s GVL (“Global Vendor List”). Beide zorgen ervoor dat de consent string groeit en dus steeds meer een probleem wordt.

Naast Europa is een aantal andere regio’s inmiddels zo ver dat er behoefte is aan een uniforme toestemmingsnorm. Na Europa en Californië is het vanaf 1 januari 2023 ook nodig om overeenkomstige signalen uit te zenden voor Canada, Virginia, Colorado, Utah en Connecticut. Ook kan worden aangenomen dat in de nabije toekomst andere regio’s zullen volgen. De TCF is echter alleen ontworpen voor Europa (AVG) en elke keer kopiëren is op de lange termijn niet houdbaar voor providers. Daarom is er een nieuwe oplossing nodig die enerzijds de problemen van het TCF aanpakt en anderzijds flexibel en breed genoeg is om voor veel nieuwe regio’s toepasbaar te zijn.

Wereldwijd privacyplatform

Het antwoord op bovenstaande problemen is nu GPP of Global Privacy Platform. GPP is in de eerste plaats een technische specificatie en uitdrukkelijk geen “beleid”. Het regelt met name hoe de “Consent String” is gestructureerd, welke API’s beschikbaar zijn en hoe CMP’s, uitgevers en leveranciers met elkaar omgaan. In plaats van een vaste volgorde te specificeren zoals bij de TCF, definieert GPP echter alleen een “bouwpakket” van elementen waarvan de regionale specificaties vervolgens kunnen gebruiken. Dus als een regio morgen een nieuwe technische oplossing wil aanbieden, kan dat heel eenvoudig op basis van GPP – zonder zelf enorme en uitgebreide technische specificaties te hoeven schrijven. Het Gewest hoeft alleen maar een beleid te maken (de “Regels”) en een Manfist te schrijven. Deze regelt de technische structuur van de informatie en dient automatisch als basis voor alle GPP-functies.

Fibonacci naar compressie

Een van de belangrijkste problemen van de IAB TCF v2 (Europa) is de groeiende omvang van de consentstrings, ook wel TCString genoemd. Terwijl een ‘alles afgewezen’-toestemmingsreeks meestal slechts ongeveer 60 tekens lang is, kan een ‘alles geaccepteerd’-toestemmingsreeks 300 of 500 tekens lang zijn. Als de lijst met providers van de website erg lang is of als er uitgeversbeperkingen zijn, kan een TCSring ook enkele kilobytes (d.w.z. duizenden tekens) lang zijn. Dergelijke lange reeksen vertragen de laadsnelheid van webpagina’s, veroorzaken geheugenproblemen en kunnen er in sommige gevallen zelfs toe leiden dat webpagina’s ontoegankelijk worden.

De oplossing voor het probleem heet Fibonacci. Rond het jaar 1202 bedacht de Italiaanse wiskundige een wiskundige reeks die kon worden gebruikt om eenvoudig getallen te beschrijven. Overgezet naar de huidige computersystemen, worden de nummerreeksen uiteindelijk gebruikt voor compressie: in plaats van veel lange bitketens met de IAB TCF v2, comprimeert de GPP eenvoudig nummerreeksen met Fibonacci-getallen tot zeer korte bitreeksen. En het resultaat is indrukwekkend: hoewel de lengte van de tekenreeksen voor het weigeren van toestemming min of meer hetzelfde blijft, krimpt deze in sommige gevallen met 70%, vooral in het geval van lange tekenreeksen voor toestemming. Een IAB TCF-toestemmingsreeks die voorheen 1000 tekens lang was, kon met GPP worden weergegeven met slechts ongeveer 300 tekens.

IAB TCF Canada en VS stellen als eerste test

Canada zal de eerste regio zijn die de nieuwe GPP-standaard gebruikt. De IAB TCF Canada wordt uitsluitend via GPP bediend: Als een uitgever of leverancier de signalen voor de Canadese markt wil gebruiken, hoeft hij (alleen) GPP te implementeren. Hoewel de TCF Canada grotendeels een 1:1-kopie is van de IAB TCF v2 (Europa), verschilt deze technisch in termen van de toegangsroute en de codering.

Naast Canada zullen op 1 januari 2023 ook nieuwe gegevensbeschermingswetten van kracht worden of worden geïmplementeerd door de autoriteiten in verschillende Amerikaanse staten. Naast de IAB TCF Canada zal de IAB deze maand waarschijnlijk nog meer GPP-specificaties voor Colorado, Utah of Virginia publiceren.

toestemmingsmanager en GPP

Het consentmanager-team speelde een sleutelrol bij de ontwikkeling van GPP. Zo is de consentmanager CEO, Jan Winkler, de hoofdontwikkelaar achter de technische specificatie van GPP bij het IAB en daarmee verantwoordelijk voor het ontwerp en de implementatie van de nieuwe standaard bij het IAB. Geen enkele andere CMP heeft zo’n sterke invloed gehad op de nieuwe standaard. Dit is met name een voordeel voor klanten van consentmanager: aangezien alle technische specificaties van de IAB vooraf moesten worden getest, beschikt consentmanager al over alle componenten die in de toekomst de GPP zullen vormen. consentmanager zal daarom de eerste CMP zijn die de nieuwe standaard volledig ondersteunt. Klanten die GPP willen gebruiken voor Canada, Colorado, Utah, Virginia, Connecticut of Europa kunnen dat sinds onze update van oktober. Consentmanager klanten lopen (wederom) maanden voor op alle andere aanbieders en kunnen zo een betere marktpositie innemen.