Wat het Global Privacy Platform eigenlijk is

GPP is een transportprotocol, geen nieuw toestemmingsraamwerk. Het is een container die meerdere regio-specifieke toestemmingssignalen codeert in één Base64-string, beschikbaar via een standaard JavaScript-API (__gpp()) die SSP's, DSP's en meetleveranciers kunnen bevragen. Elke regio heeft zijn eigen sectie binnen de GPP-string: Sectie 2 bevat TCF EU v2, Sectie 6 bevat US Privacy (verouderd), Sectie 7 dekt USNat, en Secties 8 tot en met 12 dekken respectievelijk Californië, Virginia, Colorado, Utah en Connecticut. Extra secties voor Texas, Oregon, Montana en andere staten worden toegevoegd naarmate hun wetten van kracht worden.

De belangrijkste ontwerpkeuze is dat één GPP-string meerdere secties tegelijk kan bevatten. Een Europese bezoeker krijgt TCF EU-data; een Californische bezoeker krijgt US-CA-data; een gebruiker wiens IP geografisch in beide jurisdicties valt (zeldzaam maar mogelijk via VPN) kan beide secties ingevuld hebben. Ad-tech-leveranciers lezen alleen de secties die voor hen relevant zijn en negeren de rest.

Waarom GPP bestaat en waarom het nu belangrijk is

Vóór GPP dwong elke nieuwe privacywet van een Amerikaanse staat uitgevers om weer een nieuw signaal te implementeren. Californië had USP. De VCDPA van Virginia vereiste andere opt-outsemantiek. De CPA van Colorado erkende het Global Privacy Control-browsersignaal. Utah en Connecticut voegden elk meer nuance toe. Ad-tech-leveranciers moesten een half dozijn formaten verwerken, vaak inconsistent, en het risico van het signaleren dat een gebruiker toestemming had gegeven in één kanaal terwijl de gebruiker in een ander had geweigerd, werd een echte compliance-blootstelling.

GPP standaardiseert het transport. Zodra een CMP de GPP-string instelt, leest elke downstreamleverancier dezelfde codering. Voor uitgevers is dit om drie redenen belangrijk: het Google-beleid van 2024 vereist nu GPP-ondersteuning voor Amerikaanse staatssignalen op Google Ad Manager-inventaris; Prebid.js 8.x en de meeste grote SSP-adapters verwachten GPP; en regelgevers verwijzen steeds vaker naar GPP-compliance als bewijs van bona fide signaalpropagatie.

GPP-secties en wat ze betekenen

Elke GPP-sectie heeft zijn eigen coderingsregels, die het onderliggende raamwerk weerspiegelen:

Sectie 2: TCF EU v2

Identiek aan de standalone TCF v2.2-string die u al genereert voor Europees verkeer. Als uw CMP TCF-gecertificeerd is, produceert u deze sectie al — GPP verpakt deze simpelweg.

Sectie 7: US National (USNat)

De nieuwste sectie, ontworpen als één enkel signaal dat alle Amerikaanse federale en staatsprivacywetten dekt. Het codeert gegeven kennisgeving, opt-out van verkoop, opt-out van delen, opt-out van gerichte reclame, opt-out van gevoelige gegevens en verwerking van bekende kindergegevens. Leveranciers die in meerdere Amerikaanse staten actief zijn, moeten de voorkeur geven aan USNat boven de per-staat-secties waar mogelijk.

Secties 8-12: Per-staat Amerikaanse signalen

Californië (US-CA), Virginia (US-VA), Colorado (US-CO), Utah (US-UT) en Connecticut (US-CT). Elke sectie bevat velden die specifiek zijn voor de wet van die staat — US-CA behoudt bijvoorbeeld de oudere CCPA/CPRA-opt-outs voor verkoop en delen, terwijl US-CO de vlag voor toestemming voor gevoelige gegevens toevoegt die vereist is door de Colorado Privacy Act. Texas (US-TX onder CPA-sectie 13) en Oregon (US-OR onder CPA-sectie 14) werden toegevoegd nadat hun wetten in juli 2024 van kracht werden.

Hoe uitgevers moeten migreren

De meeste uitgevers hebben al een CMP die TCF-strings genereert voor EU-verkeer en USP-strings voor Californië. Het migratiepad naar GPP ziet er als volgt uit:

Stap 1: Upgrade uw CMP

Bevestig dat uw CMP-leverancier vermeld staat op de IAB GPP-gecertificeerde CMP-lijst. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics en de meeste Google-gecertificeerde CMP's produceren nu geldige GPP-strings. Als uw CMP nog alleen TCF of USP uitvoert, vraag dan om een routekaart voor GPP-ondersteuning — elke leverancier zonder een plan zal in 2026 achterblijven.

Stap 2: Configureer GPP-secties per geografie

Uw CMP moet automatisch beslissen welke GPP-secties te vullen op basis van IP-geolocatie. Europese bezoekers krijgen Sectie 2 (TCF EU); Amerikaanse bezoekers krijgen Sectie 7 (USNat) of per-staat-secties, afhankelijk van hoe uw leveranciersstack het signaal leest. Vul niet elke sectie voor elke bezoeker — dat is een veelvoorkomende misconfiguratie die jurisdictie-irrelevante gegevens lekt.

Stap 3: Verifieer downstream propagatie

De GPP-string is alleen nuttig als SSP's, DSP's, analytics en pixelleveranciers deze lezen. Auditeer uw advertentiestack: bevestig in Prebid.js dat de gppControl-module is ingeschakeld; bevestig in Google Ad Manager dat de GPP-string wordt doorgegeven via de GAM-toestemmings-API; bevestig in Google Analytics 4 dat Consent Mode v2 GPP naast TCF leest. Elke leverancier die GPP stilzwijgend negeert, is een compliance-hiaat.

GPP, Consent Mode v2 en de vereisten van Google

De beleidsupdate van Google in december 2024 maakte GPP-ondersteuning verplicht voor uitgevers die Amerikaanse inventaris monetariseren via Google Ad Manager. Deze verandering is subtiel maar belangrijk: Consent Mode v2 gebruikt nog steeds zijn eigen ad_storage- en analytics_storage-signalen, maar GAM verwacht nu dat de GPP-string aanwezig is in het advertentieverzoek voor elk verkeer onder Amerikaanse staatswetten. Ontbrekende of misvormde GPP-strings kunnen resulteren in advertenties die worden weergegeven in beperkte modus — met aanzienlijke impact op fill en omzet — of, voor herhaaldelijke overtreders, in inventaris die wordt uitgesloten van veiling.

De praktische implicatie: zelfs uitgevers die Amerikaanse staatswetten historisch negeerden omdat hun inkomsten alleen uit Californië kwamen, hebben nu GPP nodig. Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana en Iowa hebben allemaal wetten van kracht in 2026, en Google leest de GPP-string om te bepalen of uw advertentieverzoek aan elk hiervan voldoet.

Veelvoorkomende migratieproblemen

Vier fouten die we herhaaldelijk zien wanneer uitgevers GPP toevoegen:

Dubbele signalen. Sommige uitgevers bewaren standalone TCF- en USP-strings naast GPP, waardoor drie waarheidsbronnen ontstaan die het met elkaar oneens kunnen zijn. Zodra GPP live is, zet de standalone strings buiten werking.

Verkeerde sectiebevolking. US-CA invullen voor elke Amerikaanse bezoeker ongeacht de werkelijke staat lekt geografie en kan ten onrechte CCPA-opt-outrechten claimen voor niet-Californische inwoners. Gebruik IP-geolocatie om de juiste sectie te kiezen.

GPC negeren. Het Global Privacy Control-browsersignaal is geen GPP-sectie — het is een aparte HTTP-header en JS-eigenschap. Uw CMP moet GPC bij het laden van de pagina lezen en het weerspiegelen als een opt-out in de relevante GPP-secties, anders schendt u de wetten van Colorado, Connecticut en Californië.

Verouderde leveranciersadapters. Oudere Prebid-adapters en SSP-integraties kunnen de GPP-string weghalen voordat deze de bieder bereikt. Test elke leverancier in uw advertentiestack met de IAB GPP-validator voordat u de migratie voltooid verklaart.

De lange termijn: GPP voorbij de VS

GPP is ontworpen om verder te reiken dan TCF EU en Amerikaanse staatswetten. Nieuwe secties voor Canada (PIPEDA plus de Wet 25 van Quebec), Brazilië (LGPD), Zuid-Korea (PIPA) en andere jurisdicties zijn in actieve ontwikkeling bij de IAB-werkgroep. Voor uitgevers die wereldwijd inventaris aanbieden, wordt GPP het enige toestemmingstransport dat elk regionaal protocol vervangt. Vandaag investeren in GPP positioneert uw stack om de volgende golf van regionale privacywetten op te vangen zonder een nieuwe integratiesprint.