Brevo (Sendinblue) Cookietoestemming Integratiegids: GDPR-naleving voor E-mail en SMS Marketing in 2026

Brevo, het platform dat vroeger bekendstond als Sendinblue, is het meest breed ingezette e-mail- en SMS-marketingplatform met hoofdkantoor op het Europese vasteland. De rebranding in 2023 viel samen met een aanzienlijke uitbreiding van het productoppervlak: naast de oorspronkelijke e-mailautomatiseringsmotor omvat Brevo nu transactionele e-mail, SMS-marketing, WhatsApp-berichten, een verkoop-CRM, een vergaderscheduler, pushnotificaties en een websiteconversatiewidget. Elk onderdeel installeert zijn eigen script, stelt zijn eigen cookies in en stuurt gegevens door naar de Europese datacenters van Brevo. Het Franse erfgoed van het platform is op twee manieren van belang voor toestemmingsnaleving. Ten eerste zijn de datacenters van Brevo gevestigd in de EU, wat de grensoverschrijdende overdrachtsanalyse aanzienlijk vereenvoudigt in vergelijking met in de VS gevestigde concurrenten. Ten tweede is de CNIL — de thuistoezichthouder van Brevo — de meest agressieve handhaver van cookietoestemmingsregels in Europa geweest, wat betekent dat de standaard integratiedocumentatie van Brevo historisch gezien achterliep op wat de toezichthouder feitelijk verwacht. Deze gids legt uit wat elk Brevo-onderdeel verzamelt, waar de toestemmingsgrens in 2026 ligt en hoe u de volledige Brevo-stack netjes aansluit op een CMP van een derde partij.

De Trackingoppervlakken van Brevo

Een volledige Brevo-implementatie raakt vier afzonderlijke trackingoppervlakken, elk met zijn eigen toestemmingsvraag.

Brevo Tracker (sib-tracker.js)

De Brevo Tracker is de gedragsanalyselaag, geladen van cdn.brevo.com/js/sib-tracker.js. Hij identificeert bezoekers met het sib-tracker-id-cookie en rapporteert paginaweergave-, klik- en aangepaste eventpayloads aan Brevo. Zodra een bezoeker via e-mail wordt geïdentificeerd (doorgaans via een formulierinstelling of inloggen), koppelt de Tracker de anonieme browsergeschiedenis aan het bekende contactprofiel. Vanuit regelgevingsperspectief is de Tracker een gedragstracker voor marketingdoeleinden waarvoor in de EU opt-in toestemming vereist is.

Brevo-aanmeldingsformulieren

Brevo-formulieren zijn er in twee smaken: ingesloten HTML-formulieren (lichtgewicht, geen extern script nodig) en pop-upformulieren (een afzonderlijk script dat bezoekersgedrag in de gaten houdt om te beslissen wanneer het te tonen). Het ingesloten formulier is vanuit privacyperspectief ruwweg gelijkwaardig aan een contactformulier; het pop-upformulier is dichter bij een gedragstracker en vereist dezelfde beperking als de Tracker.

Brevo Conversations-widget

Het Conversations-product (Brevo's live chat) laadt zijn eigen script van conversations-widget.brevo.com, stelt sessiecookies in en start een realtime aanwezigheidsverbinding. Functioneel vergelijkbaar met Intercom's Messenger; de toestemmingsbehandeling is identiek.

Transactionele en programmatische API's

Brevo exploiteert ook server-side oppervlakken: de Transactionele E-mail API voor door het systeem gegenereerde berichten, de SMS API voor uitgaande teksten en de Marketing Automation API voor getriggerde campagnes. Deze draaien niet op het apparaat van de gebruiker, maar de e-mailtrackingpixels die in berichten zijn ingesloten, doen dat wel — en die pixels zijn een afzonderlijk toestemmingsoppervlak dat dezelfde beperkingen erft als webpixels onder Apple Mail Privacy Protection en vergelijkbare e-mailzijdige beschermingen.

Inheemse Privacycontroles van Brevo

Brevo heeft zijn inheemse privacyprimitieven de afgelopen twee jaar versterkt, met name als reactie op CNIL-richtlijnen over cookiebanners en toestemmingsregistraties.

doubleOptinRedirect en de bevestigingsstroom

De standaard abonneeacquisitiestroom van Brevo maakt gebruik van dubbele opt-in — een abonnee meldt zich aan, ontvangt een bevestigingsmail en moet klikken om te bevestigen. Onder de GDPR creëert dit een gedocumenteerde toestemmingsregistratie die aanzienlijk sterker is dan alternatieven met enkelvoudige opt-in. Configureer dubbele opt-in standaard, tenzij er een specifieke reden is om dit niet te doen.

De trackEvent-toestemmingsparameter

De trackEvent-functie van de Tracker accepteert een optionele toestemmingspayload. Dit doorgeven stelt u in staat de beslissing van de CMP in de eventstream van Brevo te propageren, die de segmentatie-engine van Brevo vervolgens respecteert. Koppel dit vanuit de toestemmingscallback van de CMP.

Toestemmingsvelden op contactniveau

Brevo-abonneeprofielen hebben ingebouwde velden voor e-mailtoestemming, SMS-toestemming, WhatsApp-toestemming en toestemmingsbron. Updates via de Contacts API worden in realtime doorgegeven aan de segmentatielogica, zodat campagnes automatisch de geregistreerde staat respecteren.

EU-gegevensverblijf

Brevo exploiteert datacenters in Paris en Munich. Voor accounts waarbij EU-verblijf van belang is, is het gegevensverblijf automatisch — geen opt-in configuratie nodig. Dit is een betekenisvolle operationele vereenvoudiging in vergelijking met in de VS gevestigde concurrenten waar EU-verblijf een betaalde configuratieoptie is.

Stapsgewijze CMP-integratie

Het betrouwbare integratiepatroon is om elk Brevo-trackingoppervlak achter de CMP uit te stellen en de toestemmingsbeslissing via de API te synchroniseren met de velden op contactniveau van Brevo.

1. Verwijder het standaard Tracker-fragment uit de documentkop

Het Brevo Tracker-installatiesfragment is een scriptag van één regel. Vervang dit door een tijdelijk scriptonderdeel met type="text/plain" en data-category="marketing". De CMP herschrijft het type terug naar text/javascript wanneer de bezoeker marketing accepteert.

2. Stel pop-upformulieren afzonderlijk van ingesloten formulieren uit

Ingesloten HTML-aanmeldingsformulieren kunnen bij het eerste laden van de pagina worden weergegeven zonder beperking — ze stellen geen cookies in en laden geen externe scripts. Pop-upformulieren moeten worden beperkt onder marketingtoestemming, net als de Tracker. De meeste Brevo-installaties vermengen de twee; controleer uw formulierinventaris en behandel ze anders.

3. Beperk Conversations expliciet

De Conversations-widget laadt van conversations-widget.brevo.com en initialiseert een sessieverbinding bij het laden van de pagina. Beperk dit achter marketingtoestemming. Voor gebruikers die marketing weigeren, biedt u een alternatief ondersteuningscontactpad — een formulier, een e-maillink of een expliciete knop «Chat starten» die de widget alleen laadt wanneer erop wordt geklikt.

4. Schrijf de CMP-beslissing naar het contactprofiel

Wanneer een bekende abonnee zijn toestemming bijwerkt via de CMP-banner, roep dan de Brevo Contacts API aan om de e-mail-, SMS- en WhatsApp-toestemmingsvelden van de abonnee bij te werken. Dit houdt de segmentatie van Brevo in lijn met de geregistreerde staat. De meeste moderne CMP's hebben een Brevo-connector die dit van begin tot eind afhandelt.

5. Honoreer intrekking in realtime

Bij intrekking van toestemming moet de CMP zowel de afsluitfunctie van de on-page Tracker als het Contacts API-eindpunt aanroepen om het profiel bij te werken. Zonder beide registreert de banner een intrekking maar gaat de onderliggende tracking door op contactniveau.

Veelvoorkomende valkuilen

Vier integratiefouten zijn verantwoordelijk voor de meeste auditbevindingen bij Brevo-implementaties.

Enkelvoudige opt-in voor Europese acquisities

Brevo ondersteunt zowel enkelvoudige als dubbele opt-in. Enkelvoudige opt-in creëert een zwakkere toestemmingsregistratie en is door de CNIL geciteerd in handhavingsacties tegen verschillende Franse en Belgische exploitanten. Configureer voor elk Europees publiek standaard dubbele opt-in.

Ingesloten en pop-upformulieren samenvoegen

Ingesloten formulieren zijn laagrisico; pop-upformulieren zijn tracking in de marketingcategorie. Beperk ze anders. Beide behandelen als «formulieren» en ze allebei beperken of geen van beide is het meest voorkomende configuratiedefect.

Server-side API-aanroepen zonder toestemmingscontext

De Transactionele E-mail API en de SMS API kunnen worden aangeroepen vanuit uw backend zonder de on-page toestemmingsstatus in scope. De backend moet de toestemmingsstatus van de contactpersoon op het moment van verzending opzoeken en respecteren; anders wordt de CMP-beslissing niet afgedwongen voor server-geïnitieerde berichten.

De e-mailpixel vergeten

Brevo-e-mailtrackingpixels zijn onderhevig aan dezelfde Apple Mail Privacy Protection-degradatie als die van elke andere leverancier. De pixel vereist nog steeds een afzonderlijke toestemmingsbeslissing die verschilt van de cookietoestemming op uw website. Veel exploitanten registreren cookietoestemming maar registreren nooit expliciet e-mailpixeltoestemming.

Auditchecklist

Zes concrete vragen om te beantwoorden voor elke Brevo-implementatie die EU-, VK- of Californisch verkeer raakt.

Waar Brevo Past in een Toestemming-Eerst Stack

Brevo bevindt zich in een bevoorrechte positie ten opzichte van zijn Amerikaanse concurrenten: in de EU gevestigde gegevens, standaard dubbele opt-in en sterke inheemse toestemmingsprimitieven. Het Franse erfgoed van het platform betekent dat het vanaf het begin is ontworpen op basis van de verwachtingen van de CNIL, wat een betekenisvolle operationele voordeel is nu die verwachtingen de de facto Europese standaard zijn geworden. Het integratiewerk is grotendeels hetzelfde als voor elk ander marketingplatform — beperk de trackingoppervlakken, synchroniseer de toestemmingsbeslissing via de API, documenteer de architectuur — maar de regelgevingsfrictie is lager dan voor in de VS gevestigde alternatieven. Voor Europese exploitanten of voor elk klein bedrijf dat zijn marketingstack binnen de EU-regelgevingsperimeter wil houden, is Brevo gecombineerd met een correct geïntegreerde CMP een van de meest verdedigbare posities die in 2026 beschikbaar zijn.

← Blog Alles lezen →