IAB TCF 2.2 forklaret — den komplette guide til Transparency and Consent Framework
Har du nogensinde undret dig over, hvad der sker, når en bruger klikker “Accepter alle” eller “Afvis ikke-essentielle” i en cookie-banner? Bag den enkle knap gemmer der sig et teknisk og juridisk fundament, som holder det europæiske digitale annoncemarked kørende. Det fundament hedder IAB TCF — Transparency and Consent Framework.
For publishers, adtech-leverandører og compliance-ansvarlige er TCF ikke valgfrit. Det er infrastrukturen, der binder consent-signaler, programmatisk annoncering og GDPR-krav sammen i en fælles standard. Denne guide forklarer, hvad TCF 2.2 er, hvad der er ændret siden TCF 2.0, hvad den belgiske APD-sag betød, og hvad TCF 2.3 — der er trådt i kraft 1. marts 2026 — bringer med sig.
1. Hvad er IAB TCF, og hvorfor er det vigtigt?
IAB Europe lancerede Transparency and Consent Framework (TCF) i 2017 som et frivilligt, men industri-anerkendt standardiseringsværktøj. Formålet var at give alle parter i den digitale annoncekæde — publishers, annoncører, DSP’er, SSP’er og datamæglere — et fælles sprog til at kommunikere brugerens consent-valg.
Uden TCF ville hver enkelt teknologileverandør i real-time bidding (RTB)-kæden skulle håndtere consent individuelt. Med TCF kan en brugers valg på en publishers hjemmeside kodificeres i en enkelt streng — kaldet en TC String — som overføres til hundredvis af parter på millisekunder.
TCF er fundamentalt for:
- Programmatisk annoncering i EU: Google Ad Manager, Index Exchange, OpenX og de fleste store SSP’er kræver TCF-compliance for at servere personaliserede annoncer til europæiske brugere.
- GDPR-compliance: TCF er det eneste standardiserede framework, der formelt adresserer kravene i GDPR og ePrivacy-direktivet for adtech.
- Google Consent Mode v2: Google kræver en certificeret CMP med TCF-integration for at anvende Consent Mode korrekt og bibeholde adgang til personaliserede annoncer.
I dag bruger over 190 lande TCF, med mere end 1.000 registrerede vendors på IAB Europes Global Vendor List (GVL) og hundredvis af certificerede Consent Management Platforms (CMPs).
2. TCF’s grundprincipper
Purposes (formål 1-10)
TCF definerer 10 standardiserede formål, som vendors kan erklære juridisk grundlag for. Hvert formål beskriver en bestemt databehandlingsaktivitet:
| Formål | Beskrivelse | Lovlig basis (TCF 2.2) |
|---|---|---|
| 1 | Gem og/eller tilgå information på en enhed (cookies, device storage) | Kun samtykke |
| 2 | Vælg enkle annoncer | Samtykke eller legitim interesse |
| 3 | Opret en personlig annonceprofil | Kun samtykke |
| 4 | Vælg personaliserede annoncer | Kun samtykke |
| 5 | Opret en personlig indholdsprofil | Kun samtykke |
| 6 | Vælg personaliseret indhold | Kun samtykke |
| 7 | Mål annonceperformance | Samtykke eller legitim interesse |
| 8 | Mål indholdsperformance | Samtykke eller legitim interesse |
| 9 | Anvend markedsundersøgelser til at generere målgruppeindsigt | Samtykke eller legitim interesse |
| 10 | Udvikl og forbedre produkter | Samtykke eller legitim interesse |
En af de vigtigste ændringer i TCF 2.2 var, at formål 3, 4, 5 og 6 — alle relateret til personalisering — ikke længere kan baseres på legitim interesse. De kræver nu eksplicit samtykke. Det betyder i praksis, at ingen vendor kan kæmpe sig til retten til at profilere brugere til personaliserede annoncer uden aktivt samtykke.
Special Purposes
Ud over de 10 standardformål definerer TCF tre Special Purposes, som ikke kan slås fra af brugerne. De anses for at være nødvendige for at drive den tekniske infrastruktur:
- Special Purpose 1: Sikre sikkerhed, forebygge svindel og fejlsøge
- Special Purpose 2: Teknisk levering af annoncer eller indhold
- Special Purpose 3 (tilføjet i TCF 2.2): Identificere enheder baseret på signaler sendt som del af en normal serviceydelse (f.eks. IP-adresse, user agent)
Disse formål er baseret på legitim interesse, men brugerne kan ikke modsætte sig dem via CMP-brugerfladen — de er transparente, men ikke valgbare.
Features og Special Features
Features beskriver tekniske metoder, der kan bruges på tværs af flere formål. Eksempler:
- Feature 1: Match og kombinér data fra offline-kilder
- Feature 2: Kobl og kombinér data fra andre datakilder
- Feature 3: Identificer enheder baseret på automatisk afsendelse af enhedskarakteristika
Special Features kræver eksplicit samtykke og inkluderer:
- Special Feature 1: Brug præcis geolokationsdata
- Special Feature 2: Scan aktivt enhedsegenskaber til identifikation (fingerprinting)
Disse to special features er ofte skjult i det fine print i cookie-bannere, men de dækker over invasive trackingmetoder, som brugerne bør have reel mulighed for at afvise.
3. TCF 2.2 — hvad ændrede sig fra TCF 2.0?
TCF 2.2 blev lanceret den 16. maj 2023 og repræsenterede den hidtil mest grundlæggende revision af frameworket. Ændringerne var primært drevet af den belgiske APD’s afgørelse mod IAB Europe (se sektion 4) og bredere pres fra europæiske tilsynsmyndigheder.
De vigtigste ændringer i TCF 2.2
1. Forbud mod legitim interesse for personalisering Vendors kan ikke længere registrere legitim interesse som juridisk grundlag for formål 3, 4, 5 og 6. Dette lukker et hul, der tidligere tillod profilering til personaliserede annoncer uden eksplicit samtykke.
2. Brugervenlige beskrivelser De juridiske, tekniske tekster i CMP-brugerfladen er erstattet med klart, forståeligt sprog suppleret af konkrete eksempler på reelle brugsscenarier. Formålet er, at en gennemsnitlig bruger faktisk forstår, hvad de giver samtykke til.
3. Standardiserede oplysninger om vendors Vendors skal nu oplyse yderligere information om deres databehandling, herunder:
- Kategorier af indsamlede data
- Opbevaringsperioder per formål
- Legitime interesser, hvor relevant
4. Transparens over antal vendors CMP’er skal på første lag i brugerfladen oplyse det samlede antal vendors, der søger at etablere et juridisk grundlag. Brugeren skal vide, at det ikke kun er publishers hjemmeside, men potentielt hundredvis af parter, der behandler deres data.
5. Krav til tilbagekaldelse af samtykke Publishers og CMPs skal sikre, at brugere let kan fremdrage CMP-brugerfladen igen og trække samtykke tilbage. Vanskeligt tilgængeligt fravalg er ikke tilladt.
6. Special Purpose 3 tilføjet Et nyt Special Purpose 3 introduceredes for at give TCF-deltagere et legitimt grundlag for at behandle brugernes privacy-valg som registreret i TC String.
7. Afskaffelse af Global Scope Den globale samtykke-funktion via consensu.org-subdomæner blev afviklet. Samtykke er nu altid sitet-specifikt.
8. Opdaterede compliance-programmer IAB Europe lancerede nye auditering- og certificeringsmekanismer for CMPs og vendors.
Hvad TCF 2.2 IKKE ændrede
TCF 2.2 ændrede ikke den grundlæggende arkitektur: TC Strings, Global Vendor List og det overordnede hierarki af publishers, CMPs og vendors forblev intakt. Det var en politisk og transparensmæssig opdatering, ikke en teknisk omskrivning.
disclosedVendors-segment, der er obligatorisk fra TCF 2.3 (1. marts 2026).4. Den belgiske APD-sag mod IAB Europe
Hvad skete der?
Den 2. februar 2022 udstedte den belgiske databeskyttelsesmyndighed (Autorité de protection des données — APD) en afgørelse mod IAB Europe med:
- En bøde på 250.000 euro
- Krav om grundlæggende ændringer i TCF-arkitekturen
- En erklæring om, at TC Strings udgør persondata
- En erklæring om, at IAB Europe er fælles dataansvarlig (joint controller) for databehandlingen
APD’s centrale argument var, at TC Strings — da de koder brugerens samtykkevalg kombineret med tekniske identifikatorer — er persondata i GDPR’s forstand. Og fordi IAB Europe etablerer reglerne og infrastrukturen for, hvordan disse strenge skabes og bruges, er organisationen medansvarlig for den efterfølgende databehandling i hele RTB-kæden.
Konsekvenserne af den fulde APD-afgørelse ville have været ødelæggende: IAB Europe som dataansvarlig for al programmatisk annoncering i EU er juridisk og praktisk uholdbart.
IAB Europes svar og handlingsplan
IAB Europe appellerede afgørelsen og fremlagde en handlingsplan med forbedringer. APD validerede handlingsplanen i januar 2023, men satte herefter en seks-måneders implementeringsfrist. IAB Europe appellerede denne validering separat, og APD suspenderede frivilligt implementeringsperioden.
I mellemtiden — i september 2022 — stillede den belgiske markedsdomstol præjudicielle spørgsmål til EU-Domstolen (CJEU) om TC Strings’ status som persondata og IAB Europes rolle. CJEU afsagde dom 7. marts 2024 og bekræftede:
- TC Strings er persondata, når de kan kombineres med andre oplysninger
- IAB Europe kan betragtes som fælles dataansvarlig, men kun for sin specifikke behandling af TC Strings — ikke for al efterfølgende RTB-behandling
Den endelige afgørelse: maj 2025 og januar 2026
Den belgiske markedsdomstol afsagde den 14. maj 2025 sin endelige dom i appelsagen mod APD’s februar 2022-afgørelse:
- APD’s afgørelse blev annulleret af proceduremæssige årsager (APD havde ikke givet IAB Europe tilstrækkelig mulighed for at fremsætte bemærkninger)
- Retten bekræftede at TC Strings er persondata
- Retten bekræftede IAB Europes status som fælles dataansvarlig, men kun for dets egen behandling af TC Strings — ikke for vendors’ efterfølgende annonceringsbehandling
- APD skal nu træffe en ny afgørelse med den korrekte snævrere afgrænsning af IAB Europes ansvar
Den 7. januar 2026 afsagde markedsdomstolen yderligere en dom i den separate appel mod APD’s validering af handlingsplanen: APD’s valideringsafgørelse fra januar 2023 blev annulleret, da APD ikke havde givet IAB Europe ret til at fremsætte sine synspunkter.
Hvad ændrede TCF 2.2 som følge af APD-sagen?
TCF 2.2 var i vid udstrækning IAB Europes proaktive svar på APD-sagen og de bredere bekymringer fra europæiske tilsynsmyndigheder. De centrale ændringer — forbud mod legitim interesse for personalisering, strengere vendor-transparens og bedre brugerkontrol — adresserer direkte de anliggender, APD rejste.
5. Implementering af TCF 2.2
CMP-krav (Consent Management Platforms)
En CMP er det tekniske mellemled, der:
- Viser cookie-banneret for brugeren
- Registrerer brugerens valg
- Genererer TC String
- Gør TC String tilgængeligt via TCF API’et for vendors og publishers
For at være godkendt under TCF 2.2 skal CMPs:
- Være registreret og certificeret hos IAB Europe
- Implementere TCF JavaScript API korrekt
- Vise det samlede antal vendors på første lag
- Bruge de standardiserede, brugervenlige formålsbeskrivelser
- Gøre det lige så let at afvise som at acceptere
- Understøtte genindkaldelse af samtykke-UI
- Korrekt populere
disclosedVendors-segmentet (obligatorisk fra TCF 2.3)
Publisher-krav
Publishers, der monetariserer via programmatisk annoncering, skal:
- Deploye en godkendt, certificeret CMP
- Konfigurere CMP med den korrekte vendor-liste (undgå unødvendige vendors)
- Sikre, at annonceservering stopper eller skifter til “Limited Ads” uden samtykke
- Integrere med Google’s Additional Consent Mode (AC Mode) for Google-produkter
- Regelmæssigt auditere, at faktisk implementerede cookies og trackers stemmer overens med CMP-konfigurationen
Vendor-krav
Vendors (DSP’er, SSP’er, datamæglere, analyseværktøjer m.fl.) skal:
- Registrere sig i Global Vendor List (GVL) via IAB Europe
- Erklære nøjagtige formål og juridiske grundlag
- Oplyse datakategorier, opbevaringsperioder og legitime interesser
- Respektere TC Strings korrekt — herunder
disclosedVendors-segmentet fra TCF 2.3 - Kun behandle data til de formål, brugeren har givet samtykke til
6. TCF og Google Consent Mode v2
Google Consent Mode v2, der blev obligatorisk for EEA-brugere fra marts 2024, arbejder tæt sammen med TCF 2.2, men er ikke identisk med det.
Hvad er forskellen?
| TCF 2.2 | Google Consent Mode v2 | |
|---|---|---|
| Formål | Standardiseret consent-signal til hele adtech-kæden | Specifikt til Googles produkter (GA4, Ads, DV360) |
| Signal | TC String via JavaScript API | gtag consent state: ad_storage, analytics_storage, ad_personalization m.fl. |
| Krav | Certificeret CMP + IAB-registrering | Certificeret CMP (Google-godkendt liste) |
| Adfærd uden samtykke | Annonce-request stoppes eller “Limited Ads” | Google bruger “modelled conversions” / cookieless pings |
For publishers med Google Ad Manager, AdSense eller Google Analytics er begge nødvendige. En IAB-certificeret CMP, der også er Google-certificeret, kan sende begge signaltyper korrekt.
Praktisk implikation: Hvis en publisher ikke har korrekt TCF 2.2 + Consent Mode v2-integration, risikerer de at miste op til 50% eller mere af deres programmatiske annonceindtægt fra europæiske brugere — enten fordi Google defaulter til Limited Ads, eller fordi DSP’er ikke kan modtage gyldige consent-signaler.
7. Er TCF 2.2 lovlig under GDPR?
Det korte svar er: Ja, TCF 2.2 er i princippet lovlig, men implementeringen er afgørende.
Den belgiske APD-sag og den efterfølgende CJEU-dom bekræftede, at TCF som framework ikke er ulovligt i sig selv. Det centrale punkt er, at:
- TC Strings er persondata og skal behandles i overensstemmelse med GDPR
- IAB Europe er fælles dataansvarlig for sin specifikke behandling af TC Strings — ikke for al RTB-behandling
- Det er op til individuelle publishers, CMPs og vendors at sikre, at deres implementering af TCF er GDPR-compliant
Hvad gør en TCF-implementering ikke-compliant?
- Forudafkrydset samtykke (pre-ticked boxes)
- Ubalanceret UI med “Accepter alle” som eneste prominente knap
- Manglende mulighed for nem tilbagekaldelse
- Vendors i GVL der behandler data til formål uden samtykke
- TC Strings der ikke afspejler brugerens faktiske valg
- Manglende
disclosedVendors-segment efter 28. februar 2026
Mange eksperter og databeskyttelsesmyndigheder har fremhævet, at TCF i praksis ikke garanterer reelt informeret samtykke — fordi den gennemsnitlige bruger ikke realistisk kan gennemgå og tage stilling til hundredvis af vendors. Dette er en strukturel kritik, som TCF 2.3 adresserer delvist, men ikke fuldt ud løser.
8. TCF 2.3 — den aktuelle version
Mens denne guide primært handler om TCF 2.2, er det vigtigt at forstå, at TCF 2.3 er den gældende version fra 1. marts 2026.
TCF 2.3 blev frigivet den 19. juni 2025 med en migreringsdeadline den 28. februar 2026. Alle TC Strings genereret efter denne dato uden disclosedVendors-segmentet er ugyldige.
Hvad er nyt i TCF 2.3?
TCF 2.3 er en teknisk opdatering, ikke en politisk revision. Mens TCF 2.2 handlede om at fjerne legitim interesse for personalisering (politik), handler TCF 2.3 om at bevise, at vendors faktisk blev vist til brugerne (teknisk verifikation).
Kerneproblemet TCF 2.3 løser — “ghost vendors”
I TCF 2.2 kunne en vendor modtage en TC String, men ikke verificere, om de rent faktisk var blevet vist til brugeren i CMP-brugerfladen. Dette skabte en “ghost vendor”-situation: En vendor behandler data under legitim interesse for Special Purposes, men kan ikke bevise, at brugeren var bevidst om dem.
Løsningen: disclosedVendors som obligatorisk segment
TCF 2.3 gør det tidligere valgfrie disclosedVendors-segment obligatorisk. Dette segment er en binær bitmaske, der registrerer præcis hvilke vendors der faktisk blev vist i CMP-interfacet. Det fungerer som matematisk bevis for disclosure.
Konsekvenser for migrering
- CMPs skal opdatere deres TC String-generering til at populere
disclosedVendorskorrekt - Vendors skal verificere
disclosedVendors-feltet, inden de behandler data under Special Purposes - TC Strings genereret under TCF 2.2 efter 28. februar 2026 er ugyldige
- TC Strings genereret under TCF 2.2 før 28. februar 2026 forbliver gyldige, indtil de naturligt udløber eller erstattes
For publishers med Google Ad Manager er migreringen kritisk: Ugyldige TC Strings fører til, at ad requests defaulter til “Limited Ads” og kan halvere programmatiske annonceindtægter.
Er TCF 3.0 på vej?
Per marts 2026 er der ingen officiel annoncering af TCF 3.0. TCF 2.3 er den aktuelle roadmap, og IAB Europe fokuserer på implementering af 2.3 samt opfølgning på den belgiske APD-sag. En eventuel 3.0 vil sandsynligvis adressere de strukturelle kritikker om consent-byrderne ved hundredvis af vendors og potentielt integrere med fremvoksende standarder for privacy-bevaring som Privacy Sandbox-initiativets arvtagere.
9. Privaci.io by bon.do og TCF compliance check
At implementere TCF 2.2 eller 2.3 på papiret er ét. At verificere, at implementeringen faktisk fungerer korrekt i praksis, er noget helt andet.
Privaci.io by bon.do’s cookie scanner udfører en dyb teknisk analyse af din hjemmeside og identificerer:
TCF-specifikke checks:
- Er der installeret en IAB-certificeret CMP?
- Genererer CMP’en gyldige TC Strings?
- Er
disclosedVendors-segmentet korrekt populeret (TCF 2.3-krav)? - Svarer de faktisk fundne trackers til dem, der er deklareret i CMP-konfigurationen?
- Er der vendors, der placerer cookies eller fyrer tags inden samtykke er givet?
- Anvender vendors legitim interesse for formål 3, 4, 5 eller 6 i strid med TCF 2.2?
Hvad Privaci.io finder som en manuel audit overser:
- Cookies sat via HTTP-headers (usynlige for JavaScript-baserede scannere)
- CNAME-cloaking trackers, der maskerer sig som first-party
- Dynamiske cookies der kun sættes under specifikke brugerinteraktioner
- Pre-consent trackers der fyrer i millisekunder inden CMP-popup’en vises
Med Privaci.io’s aktive browser-scanning fanges samtlige af disse mønstre i en enkelt scan.
10. FAQ
Skal min hjemmeside bruge TCF 2.2/2.3? Kun hvis du bruger programmatisk annoncering via Google Ad Manager, AdSense, eller partnere der kræver TCF. Ikke-kommercielle hjemmesider eller sider uden programmatisk annoncering behøver ikke TCF, men skal stadig overholde GDPR’s generelle samtykkekrav.
Kan jeg bruge en ikke-certificeret CMP med TCF? Nej. Kun IAB-certificerede CMPs kan generere gyldige TC Strings. En ikke-certificeret CMP risikerer at gøre dine annonceindtægter ugyldige og sætter dig i GDPR-konflikt.
Hvad sker der, hvis jeg ikke migrerer til TCF 2.3 inden 28. februar 2026?
TC Strings genereret efter fristen uden disclosedVendors-segmentet betragtes som ugyldige af compliant vendors. Google Ad Manager vil defaulte til Limited Ads, og mange DSP’er vil afvise bid requests med ugyldige consent-signaler.
Hvad er forskellen på TCF og GDPR-samtykke generelt? TCF er et industrielt standardiseringsværktøj, der forsøger at operationalisere GDPR’s samtykkekrav i konteksten af programmatisk annoncering. GDPR-samtykke er det juridiske krav. Du kan overholde TCF uden at overholde GDPR (hvis implementeringen er mangelfuld), og du kan overholde GDPR uden TCF (hvis du ikke bruger programmatisk annoncering).
Hvad er TC String præcis? En TC String er en base64-kodet streng, der indeholder brugerens samtykkebeslutninger: hvilke formål der er givet samtykke til, hvilke vendors der er godkendt, og (fra TCF 2.3) hvilke vendors der faktisk blev vist til brugeren. Strengen genereres af CMP’en og videregives til alle involverede ad-tech-parter via JavaScript API’et.
Betyder APD-afgørelsen, at TCF er ulovligt? Nej. APD-afgørelsen og CJEU-dommen bekræfter, at TCF som framework kan fungere inden for GDPR, men sætter klare rammer for IAB Europes ansvar. Den egentlige compliance-byrde ligger hos individuelle publishers, CMPs og vendors.
Hvornår forventes der nyt fra APD? Efter markedsdomstolens annullering af APD’s afgørelser er sagen sendt tilbage til APD, der skal træffe ny afgørelse med den korrekte afgrænsning af IAB Europes ansvar. Timing er ukendt per marts 2026.
Vil du vide, om din hjemmeside overholder TCF 2.3? Kør en gratis scan med Privaci.io by bon.do og få en komplet rapport over dine cookies, trackers og consent-status.
FAQ
Hvad er IAB TCF, og hvem er det relevant for?
IAB Transparency & Consent Framework (TCF) er en industristandardprotokol der standardiserer, hvordan samtykke kommunikeres mellem hjemmesider, CMP’er og annonceteknologi-leverandører. Det er primært relevant for hjemmesider der bruger programmatisk annoncering eller arbejder med IAB-registrerede leverandører.
Er det obligatorisk at bruge IAB TCF?
Nej, IAB TCF er ikke et lovkrav. Men mange AdTech-leverandører kræver TCF-signaler for at fungere korrekt. Bruger du Google Ad Manager eller programmatiske annoncer, er TCF i praksis nødvendigt.
Hvad er forskellen på TCF 2.1 og TCF 2.2?
TCF 2.2 introducerede “legitimate interests” begrænsninger og skærpede kravene til, hvad leverandører må bruge som retsgrundlag. Det reducerede antallet af legitime interesseformål og øgede kravene til brugerkontrol og transparens.
Hvad er en CMP Vendor List, og skal jeg vedligeholde den?
IAB’s Global Vendor List (GVL) indeholder godkendte leverandører der understøtter TCF. Din CMP bruger listen til at vise samtykkevalg. Du behøver ikke vedligeholde listen selv, men du bør regelmæssigt gennemgå, hvilke leverandører din CMP inkluderer.
Kan en aktiv browser-scanner verificere TCF-implementering?
Ja. En aktiv browser-scanner kan verificere, at TCF-signaler (TC-strenge) sættes korrekt i localStorage, at de matcher brugerens samtykkevalg, og at leverandører ikke behandler data inden korrekt samtykke er registreret.
Er IAB TCF i strid med GDPR?
Belgiske DPA erklærede i 2022, at TCF 2.0’s implementering var i strid med GDPR på flere punkter. IAB Europe lancerede TCF 2.2 som svar herpå. Den aktuelle version anses generelt som GDPR-kompatibel, men implementeringen hos den enkelte CMP er afgørende.