Hvorfor Google nu kræver en certificeret CMP

Siden januar 2024 har Google håndhævet en streng politik: enhver hjemmeside, der viser annoncer til brugere i Det Europæiske Økonomiske Samarbejdsområde (EEA) eller Storbritannien, skal indhente samtykke gennem en Google-certificeret Consent Management Platform. Dette er ikke vejledende anbefalinger. Uden certificering risikerer udgivere konkrete konsekvenser, som direkte påvirker indtægter og datakvalitet.

Kravet udspringer af EU’s udviklende reguleringslandskab. Digital Markets Act udpegede Google som gatekeeper, hvilket igen krævede, at Google kan bevise, at samtykkesignaler, der flyder gennem deres annoncemotor, er legitime, reviderbare og i overensstemmelse med Transparency and Consent Framework (TCF). Googles løsning var at skabe et certificeringsprogram, der vurderer CMP’er ud fra et defineret sæt tekniske og operationelle kriterier.

For udgivere betyder det, at den CMP, du vælger, ikke længere blot er et spørgsmål om præference eller bekvemmelighed. Den er en adgangsbillet til, om dit EEA-annonceinventar genererer fuld indtjening eller bliver begrænset til en brøkdel af sit potentiale.

Hvad Google CMP-certificering faktisk betyder

Certificering er ikke blot en formalitet. Google vurderer CMP’er ud fra flere dimensioner, før de tildeler og opretholder certificeret status:

• TCF 2.2+ integration: CMP’en skal være registreret medlem af IAB Europe Transparency and Consent Framework, som aktuelt er på version 2.2, med overgangen til TCF 2.3 i gang. Det betyder, at CMP’en genererer TC Strings, som nedstrømsleverandører kan fortolke for at afgøre samtykkestatus for specifikke behandlingsformål.
• Consent Mode V2-understøttelse: CMP’en skal sende de korrekte Google-samtykkesignaler — ad_storage, analytics_storage, ad_user_data og ad_personalization — via Google Consent Mode API. V2-opdateringen tilføjede de to sidstnævnte parametre, som nu er obligatoriske for al EEA-annoncevisning.
• Korrekt standardadfærd: Før en bruger interagerer med banneret, skal CMP’en sætte standard-samtykkestatus (typisk afvist for EEA-brugere). Google kontrollerer, at ingen tags affyres med givet samtykke, før brugeren har truffet et valg.
• Brugergrænsefladestandarder: Samtykkebanneret skal præsentere et reelt valg. Google vurderer, at CMP’en giver brugere mulighed for at acceptere, afvise eller tilpasse deres samtykke uden vildledende designmønstre, der skubber brugerne mod accept.
• Løbende compliance-audits: Certificering er ikke permanent. Google revurderer løbende CMP’er og kan tilbagekalde certificeringen, hvis standarderne falder, eller hvis CMP’en ikke følger med rammeopdateringer.

Den aktuelle liste over certificerede CMP’er

Google vedligeholder en offentlig liste over certificerede CMP’er på sine supportsider. I begyndelsen af 2026 har cirka 30 til 40 platforme opnået certificering. Listen omfatter store enterprise-platforme, løsninger til mellemsegmentet og specialiserede værktøjer. Bemærkelsesværdige navne inkluderer Cookiebot, OneTrust, Usercentrics, Didomi og FlexyConsent.

Listen er ikke statisk. CMP’er kan blive tilføjet, når de gennemfører certificeringsprocessen, og de kan blive fjernet, hvis de ikke længere er i overensstemmelse. Udgivere bør mindst hvert kvartal verificere deres CMP op mod den officielle liste på Googles CMP Partner Program-side. Hvis din CMP ikke står på listen, er din annoncevisning i EEA i fare, uanset hvad CMP-leverandøren påstår om sin compliance-status.

Det er også værd at bemærke, at det at stå på listen ikke betyder, at alle certificerede CMP’er er lige gode. Certificering fastlægger et minimumsniveau for compliance, men kvaliteten af implementering, tilpasningsmuligheder, performancepåvirkning og support varierer betydeligt mellem udbydere. Udgivere bør vurdere certificerede CMP’er på deres faktiske meritter ud over selve certificeringen.

Hvad der sker uden en certificeret CMP

Konsekvenserne af at køre uden en certificeret CMP i EEA er betydelige og mærkbare med det samme:

• Begrænset annoncevisning: Google Ad Manager, AdSense og AdMob vil begrænse de annoncer, der vises til EEA-brugere. I mange tilfælde betyder det kun ikke-personaliserede annoncer eller slet ingen annoncer, afhængigt af din konfiguration. Ikke-personaliserede annoncer genererer typisk 50 til 70 procent mindre indtjening end personaliserede.
• Ingen konverteringsmodellering: Googles avancerede konverteringsmodellering er afhængig af samtykkesignaler. Uden korrekte Consent Mode V2-signaler mister du adgang til modellerede konverteringer i Google Ads og GA4, hvilket skaber huller i din attribueringsdata og gør kampagneoptimering usikker.
• Reduceret programmatisk efterspørgsel: Mange SSP’er og DSP’er i Googles økosystem kontrollerer for gyldige TC Strings. Uden dem bliver budanmodninger enten filtreret fra eller modtager lavere CPM’er, fordi købere ikke kan verificere samtykkestatus.
• Compliance-risiko: Ud over Googles håndhævelse udsætter drift uden korrekt samtykke i EEA dig for GDPR-bøder fra nationale databeskyttelsesmyndigheder. Disse bøder kan nå op til 4 % af den årlige globale omsætning eller 20 millioner EUR, alt efter hvad der er højest.
• Erosion af annoncørernes tillid: Direkte annoncører og bureauer gennemfører i stigende grad audits af udgiveres compliance. Drift uden en certificeret CMP signalerer til premium-annoncører, at dit inventar kan indebære juridisk risiko, hvilket potentielt koster dig direkte aftaler.

TCF 2.3 og Consent Mode V2: Det dobbelte krav

En udbredt misforståelse er, at TCF-compliance alene er tilstrækkelig. Det er den ikke. Google kræver både en gyldig TC String fra en TCF-registreret CMP og Consent Mode V2-signaler. Disse tjener forskellige formål i adtech-økosystemet:

TC String kommunikerer granulært leverandørniveau-samtykke til det programmatiske annoncemarked. Den fortæller hver leverandør i forsyningskæden præcist, hvilke behandlingsformål brugeren har givet samtykke til. Consent Mode V2 kommunikerer derimod samtykkestatus specifikt til Googles egne tags (Analytics, Ads, Floodlight). En certificeret CMP skal håndtere begge dele samtidigt og sikre, at de forbliver synkroniserede.

TCF 2.3, den seneste version af rammeværket, introducerer forbedringer omkring håndtering af legitim interesse og krav til leverandørgennemsigtighed. Den strammer reglerne for, hvordan leverandører kan påberåbe sig legitim interesse som retsgrundlag, og kræver tydeligere oplysning til brugerne om, hvilke leverandører der vil behandle deres data. CMP’er, der forfølger eller opretholder Google-certificering, forventes at understøtte TCF 2.3, efterhånden som det bliver standarden i løbet af 2026.

Hvordan FlexyConsent opnåede Google-certificering

FlexyConsent er bygget fra bunden med Google-certificering som et centralt designmål, ikke som en eftertanke. Platformen implementerer alle fire Consent Mode V2-parametre med korrekt standard-afviste tilstande for EEA-trafik. Den genererer standardkompatible TC Strings som en registreret IAB Europe CMP.

Centrale tekniske beslutninger, der understøttede certificeringen, omfatter:

• Script-indlæsning før andre tags: FlexyConsents letvægts asynkrone script indlæses og sætter standard-samtykkestatus, før Google Tag Manager eller gtag.js kan affyres, hvilket sikrer, at der ikke sker samtykkelækage i de kritiske millisekunder efter sidelast.
• Geo-bevidste standarder: Platformen registrerer brugerens placering og anvender regionsspecifikke standarder for samtykke — afvist for EEA og UK, givet for regioner uden eksplicitte samtykkekrav, medmindre udgiveren konfigurerer andet.
• Gennemsigtig samtykkelagring: Samtykkevalg lagres i førstepartscookies med klare navngivningskonventioner, så de kan revideres af Google under certificeringsgennemgange og af udgivere under deres egne compliance-tjek.
• Løbende understøttelse af TCF-versioner: Efterhånden som rammeværket udvikler sig fra 2.2 til 2.3, opdaterer FlexyConsent automatisk sin TC String-generering uden at kræve ændringer eller scriptopdateringer hos udgiveren.
• Minimal performancepåvirkning: Scriptet er optimeret til at indlæse på under 50 millisekunder på typiske forbindelser, så det ikke bidrager til forringet sidehastighed, der kan påvirke Core Web Vitals-scorer.

Hvad udgivere bør verificere lige nu

Hvis du viser annoncer i EEA, er her en konkret tjekliste, der sikrer, at du er compliant:

• Tjek den certificerede liste: Bekræft, at din CMP fremgår af Googles officielle liste over certificerede CMP-partnere. Gør dette hvert kvartal, da listen ændrer sig.
• Verificér Consent Mode V2-signaler: Brug Google Tag Assistant eller browserkonsollen til at bekræfte, at consent default- og consent update-kommandoer affyres med alle fire parametre (ad_storage, analytics_storage, ad_user_data, ad_personalization).
• Test TC String: Brug IAB’s TC String-decoder til at verificere, at din CMP genererer gyldige, læsbare TC Strings med korrekte leverandørsamtykker og formålsangivelser.
• Auditér rækkefølgen for tag-affyring: Sørg for, at dit CMP-script indlæses før Google-tags. Hvis tags affyres, før samtykke er sat, har du et compliance-gap, som Googles systemer vil opdage.
• Gennemgå samtykkerater: Hvis din EEA-samtykkerate er mistænkeligt høj (over 90 %), bør du undersøge, om dit bannerdesign reelt tilbyder et frit valg eller skubber brugerne på en måde, som tilsynsmyndigheder kan anfægte.
• Test på tværs af enheder: Verificér, at samtykkeflowet fungerer korrekt på mobil, tablet og desktop. Problemer med samtykke på mobil er almindelige og opdages ofte ikke ved test kun på desktop.

Vigtig pointe: Google CMP-certificering er ikke et marketingmærke — det er en teknisk adgangsbetingelse, der afgør, om din EEA-annonceindtjening flyder normalt eller bliver begrænset. Verificér din CMP’s status, test din implementering, og sørg for, at både TCF- og Consent Mode V2-signaler affyres korrekt.

FlexyConsent tilbyder en gratis plan, der inkluderer fuld Google-certificeret CMP-funktionalitet, Consent Mode V2 og TCF 2.3-understøttelse. For udgivere, der hurtigt skal være compliant, er det en af de hurtigste veje fra installation til samtykkeindsamling på certificeringsniveau.