EU-US Data Privacy Framework (DPF) – Veiledning for cookie-samtykke for utgivere i 2026
EU-US Data Privacy Framework (DPF) er det juridiske stillaset som lar europeiske personopplysninger — inkludert cookie-identifikatorer, IP-adresser, hashed-e-poster og annonseforesørsler — flyte til amerikanske leverandører uten at hver utgiver forhandler sine egne Standard Contractual Clauses. Vedtatt av EU-kommisjonen i juli 2023 og nå flere år inn i reell bruk, er DPF det tredje forsøket på å erstatte det ugyldige Privacy Shield, og det er igjen under juridisk angrep i EU-domstolen. For utgivere som kjører EU-trafikk gjennom amerikanske SSP-er, DSP-er, analyseverktøy og CMP-er, er det ikke lenger valgfritt å forstå DPF — og samtykkelaget som sitter på toppen. Denne veiledningen forklarer hva DPF faktisk autoriserer, hvordan cookie-samtykke passer inn, og de operative trinnene som holder overføringene dine forsvarbare hvis rammeverket igjen slås ned.
Hva DPF Faktisk Gjør
DPF er en adekvansavgjørelse utstedt av EU-kommisjonen i henhold til artikkel 45 i GDPR. En adekvansavgjørelse sier at et tredjeland — i dette tilfellet USA — gir et nivå av personopplysningsvern som i det vesentlige tilsvarer EUs, men bare for organisasjoner som melder seg inn i et spesifikt rammeverk. DPF er opt-in-mekanismen. Amerikanske selskaper selvsertifiserer seg med Handelsdepartementet, forplikter seg til et sett med personvernprinsipper og blir underlagt FTC- eller DOT-håndhevelse av disse forpliktelsene.
For en EU-utgiver er den praktiske effekten at personopplysninger kan overføres til en DPF-sertifisert amerikansk leverandør uten separate Standard Contractual Clauses (SCCs), overføringskonsekvensanalyser tilpasset den leverandøren, eller supplerende tiltak av det slaget som krevdes etter Schrems II-avgjørelsen. DPF gjør det tunge arbeidet på det juridiske grunnlagsnivået.
Tre ting DPF ikke gjør, og som utgivere konsekvent misforstår:
- Det erstatter ikke samtykke. Å sette en ikke-essensiell cookie hos en EU-besøkende krever fortsatt GDPR/ePersonvern-nivå samtykke uavhengig av hvor dataene ender opp.
- Det dekker ikke overføringer til ikke-sertifiserte amerikanske leverandører. Hvis din SSP eller analyseleverandør ikke er på den aktive DPF-listen, trenger du fortsatt SCCs og en TIA.
- Det dekker ikke overføringer til amerikanske datterselskaper som opererer utenfor det sertifiserte omfanget. Mange store leverandører sertifiserer bare spesifikke forretningslinjer.
Cookie-Samtykke Er Fortsatt Hoveddøren
DPF løser overføringsdelen av reisen. Det gjør ingenting med øyeblikket en cookie droppes, en annonse-ID leses, eller en hendelse sendes til en tag. Det øyeblikket styres av ePersonverndirektivet (artikkel 5(3)) og GDPR (artikkel 6 og 7). Begge krever forutgående, informert, spesifikt og fritt gitt samtykke for enhver ikke-strengt-nødvendig tilgang til lagring av terminalutstyr.
Med andre ord: selv om alle leverandører i stabelen din er DPF-sertifisert, trenger du fortsatt en Consent Management Platform som:
- Blokkerer ikke-essensielle cookies og tags før samtykke er innhentet.
- Presenterer et klart valg med avvis-alle paritet til godta-alle (EDPB har vært eksplisitt om dette siden 2022).
- Registrerer samtykkehendelsen med et manipulasjonssikkert tidsstempel og en kopi av varselet brukeren faktisk så.
- Videresender samtykketilstanden til hvert nedstrømsverktøy gjennom TCF v2.3, Google Consent Mode v2 eller leverandørens native API-er.
DPF erstatter det juridiske grunnlaget for overføringen; CMP-en leverer det juridiske grunnlaget for innsamlingen. Å hoppe over en av sidene etterlater deg eksponert.
Slik Verifiserer du en Leverandørs DPF-Status
USAs handelsdepartement vedlikeholder den offisielle DPF-listen på dataprivacyframework.gov. Før du stoler på en leverandørs DPF-påstand, sjekk tre ting i oppføringen deres.
Aktiv Sertifiseringsstatus
Sertifiseringer må fornyes årlig. En leverandør hvis status viser Inaktiv, Trukket tilbake eller Utløpt kan ikke stoles på som overføringsmekanisme, selv om markedsføringssidene deres fortsatt viser en DPF-badge. Legg oppføringen inn i leverandørinventaret ditt og sjekk på nytt hvert kvartal.
Dekkede Enheter og Tilknyttede Selskaper
Mange holdingselskaper sertifiserer noen tilknyttede selskaper men ikke andre. Kontraktsenheten i din DPA må samsvare med den sertifiserte enheten. En vanlig feil er å signere med Acme Marketing UK Ltd når DPF-sertifiseringen holdes av Acme Inc. i Delaware — dataflyten unnslipper da det sertifiserte omfanget.
Kategorier av Data som Dekkes
DPF tillater sertifiseringer avgrenset til kun HR-data, kun ikke-HR-data, eller begge. En ikke-HR-sertifisering dekker annonse- og analysedataene dine; en HR-only sertifisering gjør ikke det. Les oppføringen nøye.
Hva du Gjør når en Leverandør Ikke er DPF-Sertifisert
Mange nyttige amerikanske leverandører — spesielt mindre ad-tech-aktører og niche-analyseverktøy — har aldri sertifisert eller latt sertifiseringen gå ut. For disse er DPF irrelevant og du faller tilbake til verktøysettet fra før 2023:
- Standard Contractual Clauses (SCCs) — versjonene fra 2021, modul 2 eller modul 3, signert av begge parter og innlemmet i DPA-en.
- Transfer Impact Assessment (TIA) — en leverandørspesifikk analyse av amerikansk overvåkingslovgivning, datakategoriene som er i faresonen, og de tekniske og organisatoriske tiltakene som begrenser eksponeringen.
- Supplerende tiltak — kryptering under transport og i ro, pseudonymisering, kontraktsmessige åpenhetforpliktelser og en dokumentert responsplan for amerikanske myndigheters tilgangsforespørsler.
Vedlikehold et register som lister opp alle amerikanske leverandører i stabelen din, det juridiske grunnlaget brukt for hver (DPF, SCCs, unntak) og datoen for den siste gjennomgangen. Regulatorer og revisorer vil be om dette registeret; å ikke ha det er i seg selv et funn.
Schrems III-Risikoen og Fremtidssikring
Personvernforkjemper Max Schrems og hans organisasjon NOYB reiste sak mot DPF kort tid etter at det ble vedtatt, med argument om at amerikansk overvåkingsreform under Executive Order 14086 fortsatt ikke oppfyller EUs grunnleggende rettigheter-standarder. En CJEU-henvisning er bredt forventet, og rammeverket har en ikke-triviell sannsynlighet for å bli slått ned — det tredje på tjue år.
Utgivere som behandlet Privacy Shield som den eneste overføringsmekanismen i 2020, måtte haste over natten da Schrems II ugyldiggjorde det. Den samme hastingen er unngåelig denne gangen ved å behandle DPF som en primærmekanisme med en backup klar til å engasjere.
Behold SCCs i Alle DPA-er
Insister på at dine DPA-er inkluderer 2021 SCCs som en tilbakefallsklausul som aktiveres automatisk hvis DPF-adekvansavgjørelsen ugyldiggjøres eller leverandørens sertifisering utløper. Dette er nå standardspråk; hvis en leverandør nekter, er det et gult flagg.
Kjør en TIA Uansett
DPF fjerner det juridiske kravet om en TIA, men å kjøre en lett TIA — særlig for leverandører som håndterer sensitive annonse-signaler eller store EU-befolkninger — gir deg forsvarbar dokumentasjon hvis rammeverket kollapser. Gjenbruk samme mal på tvers av leverandører for å holde kostnadene lave.
Lokaliser der Regnestykkene Fungerer
For noen brukstilfeller — first-party analytics, atferdsdata om innloggede brukere, eller nettsteder med sensitivt innhold — eliminerer det å flytte til en EU-hostet, EU-kontrollert leverandør overføringsspørsmålet helt. Kostnadsnytten er bare lønnsom for høy-risiko eller høy-volum strømmer, men det bør være på veikart som et alternativ.
Koble DPF Til Din CMP
En moderne CMP håndhever ikke DPF direkte — det finnes ingen GPP- eller TCF-felt som sier "denne overføringen er DPF-dekket." Det CMP-en må gjøre, er å samle samtykke for hver leverandør på en måte som støtter dokumentasjonen en regulator til slutt vil be om.
Granularitet Per Leverandør
Å samle alle amerikanske ad-tech-leverandører i én enkelt "Markedsføring"-bryter er ikke lenger forsvarbart. TCF v2.3-leverandørlisten, som de fleste sertifiserte CMP-er synkroniserer til, gir per-leverandørformål og juridiske grunnlag. Bruk den. Når en regulator spør "på hvilket grunnlag fløt personopplysninger til Leverandør X på dato Y," bør du kunne peke på en TCF-streng, en DPF-sertifiseringspost og en DPA.
Speiler Personvernerklæringen i Banneret
Listen over mottakere i personvernerklæringen din bør samsvare nøyaktig med listen over leverandører som lastes etter samtykke. Avvik er det enkleste håndhevingsmålet — den spanske AEPD og den franske CNIL har begge bøtelagt utgivere i 2024 for leverandørlister som utelot aktive partnere.
Logg Leverandørstatus ved Samtykkeinngangen
Lagre for hver samtykkehendelse et øyeblikksbilde av hvilke leverandører som var på TCF GVL, hvilke som var DPF-sertifisert, og hvilket juridisk grunnlag hver enkelt støttet seg på. Dette er revisjonssporet som gjør et stressende regulatorbrev til et rutinesvar. FlexyConsent og andre Google-sertifiserte CMP-er tilbyr denne loggingen ut av esken; mange eldre bannere gjør ikke det.
Praktisk Migrasjonssjekkliste
Hvis du flytter et eksisterende nettsted fra en pre-DPF eller delvis DPF-oppsett til en ren 2026-konfigurasjon, gå gjennom denne listen:
- Inventariser alle amerikanske leverandører i tag-manageren, annonsestabelen og server-side-containeren din.
- Kryssreferer hver mot den aktive DPF-listen. Kategoriser som DPF-dekket, SCC-dekket eller handling nødvendig.
- Oppdater DPA-er for å inkludere 2021 SCCs som automatisk tilbakefall.
- Kjør en TIA for høy-risikoleverandører uavhengig av DPF-status.
- Bekreft at CMP-en din eksponerer et per-leverandør samtykke-grensesnitt og støtter TCF v2.3.
- Verifiser at Google Consent Mode v2 er koblet gjennom til GA4, Ads og eventuelle signaltapsverktøy.
- Sett en kvartalsvis gjennomgang i kalenderen for å re-sjekke sertifiseringer, GVL-medlemskap og DPA-versjoner.
- Brierf juridisk og ad ops sammen om hva som endres hvis DPF ugyldiggjøres, slik at responsplanen ikke er oppfunnet under press.
Vanlige Misforståelser
Noen feil gjentas i utgiverrevisjoner og trenger eksplisitt korreksjon.
"DPF-sertifisert betyr at vi ikke trenger samtykke." Nei. DPF er en overføringsmekanisme. Samtykke er et innsamlingskrav. De befinner seg på forskjellige juridiske lag.
"CDN-en vår er amerikanskbasert, så DPF dekker det." Bare hvis CDN-en i seg selv er DPF-sertifisert for de relevante datakategoriene. Mange infrastrukturleverandører tilbyr EU-regioner som unngår spørsmålet helt.
"Leverandør X sier de er DPF-klare." Markedsføringsspråk. Sjekk den offisielle listen, den sertifiserte enhetsnavnet og datakategoriene.
"DPF erstatter cookie-banneret." Nei. ePersonverndirektivets forutgående samtykkeregel er uavhengig av GDPRs overføringsregler. Begge gjelder.
Konklusjonen
DPF gjør transatlantisk ad-tech i 2026 operasjonelt enklere enn 2021 var, men det frikjenner ikke utgivere fra cookie-samtykke, leverandørdue diligence eller overføringsdokumentasjon. Behandle DPF som én gyldig overføringsmekanisme blant flere, behold SCCs som et kontraktuelt tilbakefall, kjør en CMP som logger per-leverandør samtykke mot et vedlikeholdt leverandørinventar, og anta at rammeverkets juridiske stabilitet er betinget. Utgivere som bygger denne motstandsdyktigheten nå, vil ikke måtte re-arkitektere over natten hvis en Schrems III-avgjørelse lander slik de to forrige gjorde. De som behandler DPF som et permanent svar, setter seg opp for den samme hasten som fulgte Privacy Shields ugyldiggjøring — bare denne gangen er regulatorer mindre tålmodige og bøtene er større.