Wat is Global Privacy Control?

Global Privacy Control (GPC) is een signaal op browserniveau waarmee mensen elke website die ze bezoeken automatisch kunnen vertellen hun persoonlijke gegevens niet te verkopen of te delen. In plaats van site voor site op "weigeren" te klikken op een cookiebanner, schakelt een gebruiker GPC één keer in — in zijn browser of een extensie — en die voorkeur reist met hem mee over het hele web.

Zie het als een universele afmeldschakelaar. Wanneer GPC aanstaat, voegt de browser een signaal toe aan elk verzoek en stelt het beschikbaar aan JavaScript. Van uw website wordt verwacht dat deze dat signaal leest en het behandelt als een geldige, juridisch bindende privacykeuze, zonder dat interactie met een banner nodig is.

Waarom GPC juridisch van belang is

GPC is niet zomaar een beleefdheid. In een groeiend aantal rechtsgebieden is het respecteren ervan een wettelijke verplichting, en toezichthouders hebben al handhavingsmaatregelen genomen tegen bedrijven die het negeerden.

Californië (CCPA/CPRA)

Onder de CCPA, zoals gewijzigd door de CPRA, moeten bedrijven een afmeldvoorkeurssignaal behandelen als een verzoek om af te zien van de verkoop of het delen van persoonlijke informatie. De procureur-generaal van Californië en het California Privacy Protection Agency hebben bevestigd dat GPC een geldig afmeldsignaal is dat moet worden gerespecteerd, en het niet respecteren ervan heeft al geleid tot openbare handhaving.

Andere Amerikaanse staten

Colorado, Connecticut, Texas, Oregon, Montana en verschillende andere staten vereisen nu erkenning van universele afmeldmechanismen. De lijst groeit elk jaar, en GPC is de feitelijke standaard waarnaar deze wetten verwijzen — door ondersteuning eenmaal in te bouwen, voldoet u aan ze allemaal.

Europa en de GDPR

De GDPR noemt GPC niet expliciet, maar vereist wel dat toestemming vrijelijk wordt gegeven en dat het intrekken ervan net zo eenvoudig is als het geven ervan. Een duidelijk, geautomatiseerd afmeldsignaal past precies binnen dat principe, en EU-toezichthouders tonen een groeiende belangstelling voor machineleesbare voorkeurssignalen.

Hoe GPC technisch werkt

GPC is bewust eenvoudig. Wanneer een gebruiker het inschakelt, communiceert de browser de voorkeur op drie aanvullende manieren.

• Een HTTP-header — elk verzoek bevat Sec-GPC: 1, zodat uw server het signaal kan detecteren voordat ook maar één regel pagina-JavaScript wordt uitgevoerd.
• Een JavaScript-eigenschap — navigator.globalPrivacyControl retourneert true, waardoor scripts aan de clientzijde en toestemmingstools in de browser kunnen reageren.
• Een vindbaar beleid — sites kunnen een /.well-known/gpc.json-bestand publiceren dat beschrijft hoe ze het signaal interpreteren.

Omdat het signaal zowel aan de serverzijde als aan de clientzijde beschikbaar is, kunt u het afdwingen op de laag die het beste bij uw stack past.

Hoe u GPC op uw site detecteert en respecteert

GPC respecteren betekent de afmelding van de gebruiker automatisch toepassen zonder dat hij uw banner hoeft aan te raken. Een robuuste implementatie ziet er zo uit.

• Detecteer vroeg. Lees de Sec-GPC-header op de server, of controleer navigator.globalPrivacyControl zodra uw toestemmingsscript laadt.
• Pas de afmelding toe. Onderdruk standaard niet-essentiële cookies, advertentie- en analysetags, en elke verkoop of deling van gegevens voor die bezoeker.
• Geef de status weer. Toon de banner in een afgemelde staat zodat de gebruiker kan zien dat zijn keuze is begrepen, en alsnog toestemming kan geven als hij dat echt wil.
• Leg het vast. Registreer dat de beslissing werd aangestuurd door een GPC-signaal, met een tijdstempel, zodat u controleerbaar bewijs van naleving heeft.

GPC versus cookiebanners: heeft u nog beide nodig?

Ja. GPC en toestemmingsbanners lossen overlappende maar verschillende problemen op. GPC is een afmeldsignaal dat voornamelijk de Amerikaanse "niet verkopen of delen"-regels aanpakt, terwijl de EU werkt volgens een opt-inmodel waarbij u uitdrukkelijke toestemming moet verzamelen voordat u niet-essentiële cookies plaatst. Een conforme site gebruikt GPC om de wereldwijde voorkeur van de gebruiker vooraf toe te passen en een banner om expliciete toestemming vast te leggen waar de wet dat vereist. De twee moeten elkaar versterken en nooit tegenspreken.

Veelgemaakte fouten om te vermijden

• De header volledig negeren en alleen aan de clientzijde controleren, zodat gegevens vertrekken voordat GPC ooit wordt geëvalueerd.
• GPC detecteren maar er niets mee doen — herkenning zonder handhaving is geen naleving.
• De gebruiker overrulen door GPC-bezoekers opnieuw te benaderen met een banner die hen terug naar tracking duwt.
• Documentatie vergeten — zonder logboeken kunt u een toezichthouder niet bewijzen dat het signaal is gerespecteerd.

Hoe FlexyConsent GPC afhandelt

FlexyConsent detecteert het GPC-signaal automatisch op zowel de server als de client, past de bijbehorende afmelding toe voordat een niet-essentieel script wordt uitgevoerd, en registreert een controleerbaar toestemmingslogboek voor elke bezoeker. U krijgt universele afmeldondersteuning, dekking voor meerdere rechtsgebieden en bewijs van naleving meteen uit de doos — zonder dat u de detectielogica zelf schrijft. Het respecteren van Global Privacy Control wordt snel een basisvereiste, en de sites die het goed doen, bouwen duurzaam vertrouwen op bij hun gebruikers.