Waarom Google nu een gecertificeerde CMP vereist

Sinds januari 2024 hanteert Google een strikt beleid: elke website die advertenties toont aan gebruikers in de Europese Economische Ruimte (EER) of het Verenigd Koninkrijk moet toestemming verzamelen via een door Google gecertificeerd Consent Management Platform. Dit is geen vrijblijvende richtlijn. Zonder certificering worden uitgevers geconfronteerd met concrete gevolgen die direct impact hebben op omzet en datakwaliteit.

De vereiste vloeit voort uit het zich ontwikkelende regelgevingslandschap in de EU. De Digital Markets Act heeft Google aangewezen als poortwachter, wat er op zijn beurt toe leidde dat Google moet aantonen dat toestemmingssignalen die door zijn advertentiestack stromen legitiem, controleerbaar en in overeenstemming met het Transparency and Consent Framework (TCF) zijn. De oplossing van Google was het opzetten van een certificeringsprogramma dat CMP’s toetst aan een vastgestelde set technische en operationele criteria.

Voor uitgevers betekent dit dat de CMP die je kiest niet langer slechts een voorkeur of gemaksoverweging is. Het is een beslissende factor voor de vraag of je advertentievoorraad in de EER volledige opbrengst genereert of wordt teruggeschroefd tot een fractie van het potentieel.

Wat Google CMP-certificering daadwerkelijk betekent

Certificering is geen formaliteit. Google beoordeelt CMP’s op meerdere dimensies voordat de status van gecertificeerde partner wordt toegekend en behouden:

• TCF 2.2+ integratie: De CMP moet een geregistreerd lid zijn van het IAB Europe Transparency and Consent Framework, momenteel versie 2.2, met de overgang naar TCF 2.3 in gang. Dit betekent dat de CMP TC Strings genereert die downstream-leveranciers kunnen uitlezen om de toestemmingsstatus voor specifieke verwerkingsdoeleinden te bepalen.
• Consent Mode V2-ondersteuning: De CMP moet de juiste Google-toestemmingssignalen afvuren — ad_storage, analytics_storage, ad_user_data en ad_personalization — via de Google Consent Mode API. De V2-update voegde de laatste twee parameters toe, die nu verplicht zijn voor alle advertentieweergave in de EER.
• Correct standaardgedrag: Voordat een gebruiker met de banner interageert, moet de CMP standaard toestemmingsstatussen instellen (meestal geweigerd voor EER-gebruikers). Google controleert dat er geen tags worden afgevuurd met verleende toestemming voordat de gebruiker een keuze heeft gemaakt.
• Gebruikersinterface-standaarden: De toestemmingsbanner moet een echte keuze bieden. Google beoordeelt of de CMP gebruikers in staat stelt om toestemming te accepteren, te weigeren of aan te passen zonder misleidende ontwerpkeuzes die gebruikers richting acceptatie duwen.
• Doorlopende compliance-audits: Certificering is niet permanent. Google evalueert CMP’s periodiek opnieuw en kan certificering intrekken als de standaarden verslechteren of als de CMP niet in de pas blijft lopen met framework-updates.

De huidige lijst met gecertificeerde CMP’s

Google onderhoudt een openbare lijst met gecertificeerde CMP’s op zijn ondersteuningspagina’s. Vanaf begin 2026 hebben grofweg 30 tot 40 platforms een certificering. De lijst omvat grote enterpriseplatforms, mid-market tools en gespecialiseerde oplossingen. Opvallende namen zijn onder andere Cookiebot, OneTrust, Usercentrics, Didomi en FlexyConsent.

De lijst is niet statisch. CMP’s kunnen worden toegevoegd zodra ze het certificeringsproces hebben doorlopen, en ze kunnen worden verwijderd als ze niet langer voldoen. Uitgevers moeten hun CMP ten minste elk kwartaal verifiëren aan de hand van de officiële lijst op de Google CMP Partner Program-pagina. Als je CMP niet wordt vermeld, loopt je advertentieweergave in de EER risico, ongeacht wat de CMP-leverancier beweert over zijn compliance-status.

Het is ook belangrijk om te benadrukken dat een vermelding op de lijst niet betekent dat alle gecertificeerde CMP’s gelijkwaardig zijn in kwaliteit. Certificering legt een basisniveau van compliance vast, maar de kwaliteit van implementatie, aanpassingsmogelijkheden, performance-impact en ondersteuning verschilt aanzienlijk per aanbieder. Uitgevers moeten gecertificeerde CMP’s beoordelen op hun merites, los van de certificering zelf.

Wat er gebeurt zonder een gecertificeerde CMP

De gevolgen van het draaien zonder een gecertificeerde CMP in de EER zijn aanzienlijk en direct merkbaar:

• Beperkte advertentieweergave: Google Ad Manager, AdSense en AdMob zullen de advertenties die aan EER-gebruikers worden getoond beperken. In veel gevallen betekent dit alleen niet-gepersonaliseerde advertenties of helemaal geen advertenties, afhankelijk van je configuratie. Niet-gepersonaliseerde advertenties genereren doorgaans 50 tot 70 procent minder omzet dan gepersonaliseerde advertenties.
• Geen conversiemodellering: De geavanceerde conversiemodellering van Google is afhankelijk van toestemmingssignalen. Zonder correcte Consent Mode V2-signalen verlies je toegang tot gemodelleerde conversies in Google Ads en GA4, waardoor er gaten ontstaan in je attributiedata en campagne-optimalisatie onbetrouwbaar wordt.
• Lagere programmatic vraag: Veel SSP’s en DSP’s in het Google-ecosysteem controleren op geldige TC Strings. Zonder deze worden biedverzoeken gefilterd of krijgen ze lagere CPM’s omdat kopers de toestemmingsstatus niet kunnen verifiëren.
• Compliance-risico: Los van de handhaving door Google stelt het opereren zonder correcte toestemming in de EER je bloot aan GDPR-boetes van nationale gegevensbeschermingsautoriteiten. Deze boetes kunnen oplopen tot 4% van de jaarlijkse wereldwijde omzet of 20 miljoen euro, afhankelijk van welk bedrag hoger is.
• Erosie van vertrouwen bij adverteerders: Directe adverteerders en bureaus controleren in toenemende mate de compliance van uitgevers. Opereren zonder een gecertificeerde CMP geeft premium adverteerders het signaal dat je inventory mogelijk juridisch risico met zich meebrengt, wat je directe deals kan kosten.

TCF 2.3 en Consent Mode V2: de dubbele vereiste

Een veelvoorkomend misverstand is dat TCF-compliance op zichzelf voldoende is. Dat is niet zo. Google vereist zowel een geldige TC String van een TCF-geregistreerde CMP als Consent Mode V2-signalen. Deze vervullen verschillende rollen in het adtech-ecosysteem:

De TC String communiceert gedetailleerde vendor-specifieke toestemming naar het programmatic advertising-ecosysteem. Ze vertelt elke partij in de keten precies voor welke verwerkingsdoeleinden de gebruiker toestemming heeft gegeven. Consent Mode V2 daarentegen communiceert de toestemmingsstatus specifiek naar de eigen tags van Google (Analytics, Ads, Floodlight). Een gecertificeerde CMP moet beide gelijktijdig afhandelen en ervoor zorgen dat ze gesynchroniseerd blijven.

TCF 2.3, de nieuwste frameworkversie, introduceert verfijningen rond de behandeling van gerechtvaardigd belang en vereisten voor vendordisclosure. Het scherpt de regels aan voor hoe leveranciers gerechtvaardigd belang als rechtsgrond kunnen claimen en vereist duidelijkere informatie voor gebruikers over welke leveranciers hun gegevens zullen verwerken. CMP’s die Google-certificering nastreven of behouden, worden geacht TCF 2.3 te ondersteunen naarmate dit in de loop van 2026 de standaard wordt.

Hoe FlexyConsent Google-certificering behaalde

FlexyConsent is vanaf de basis ontworpen met Google-certificering als kern-doelstelling, niet als bijzaak. Het platform implementeert alle vier Consent Mode V2-parameters met correct standaard-geweigerde statussen voor EER-verkeer. Het genereert standaardconforme TC Strings als een geregistreerde IAB Europe CMP.

Belangrijke technische keuzes die de certificering ondersteunden, zijn onder meer:

• Scriptloading vóór andere tags: Het lichte, asynchrone script van FlexyConsent laadt en stelt standaard toestemmingsstatussen in voordat Google Tag Manager of gtag.js kan afvuren, zodat er geen toestemmingslek optreedt in de cruciale milliseconden na het laden van de pagina.
• Geo-bewuste standaardinstellingen: Het platform detecteert de locatie van de gebruiker en past regio-specifieke toestemmingsstandaarden toe — geweigerd voor EER en VK, verleend voor regio’s zonder expliciete toestemmingsvereisten, tenzij de uitgever anders configureert.
• Transparante opslag van toestemming: Toestemmingskeuzes worden opgeslagen in first-party cookies met duidelijke naamgevingsconventies, zodat ze controleerbaar zijn door Google tijdens certificeringsreviews en door uitgevers tijdens hun eigen compliance-controles.
• Continue TCF-versieondersteuning: Naarmate het framework evolueert van 2.2 naar 2.3, werkt FlexyConsent de generatie van TC Strings automatisch bij zonder dat wijzigingen aan de kant van de uitgever of scriptupdates nodig zijn.
• Minimale performance-footprint: Het script is geoptimaliseerd om in minder dan 50 milliseconden te laden op typische verbindingen, zodat het niet bijdraagt aan vertragingen in laadtijd die Core Web Vitals-scores kunnen beïnvloeden.

Wat uitgevers nu direct moeten controleren

Als je advertenties serveert in de EER, is hier een concrete checklist om te zorgen dat je compliant bent:

• Controleer de gecertificeerde lijst: Bevestig dat je CMP voorkomt op de officiële lijst met door Google gecertificeerde CMP-partners. Doe dit elk kwartaal, omdat de lijst verandert.
• Verifieer Consent Mode V2-signalen: Gebruik Google Tag Assistant of de browserconsole om te controleren dat consent default- en consent update-commando’s worden afgevuurd met alle vier de parameters (ad_storage, analytics_storage, ad_user_data, ad_personalization).
• Test de TC String: Gebruik de TC String-decoder van de IAB om te verifiëren dat je CMP geldige, uitleesbare TC Strings genereert met correcte vendor-toestemmingen en doelomschrijvingen.
• Audit de volgorde van tag-firing: Zorg dat je CMP-script laadt vóór Google-tags. Als tags afvuren voordat toestemming is ingesteld, heb je een compliance-lek dat door de systemen van Google zal worden gedetecteerd.
• Beoordeel toestemmingspercentages: Als je toestemmingspercentage in de EER verdacht hoog is (boven 90%), onderzoek dan of je bannerontwerp daadwerkelijk een vrije keuze biedt of gebruikers op een manier stuurt die toezichthouders kunnen aanvechten.
• Test op alle apparaten: Controleer of de toestemmingsflow correct werkt op mobiel, tablet en desktop. Problemen met toestemming op mobiel komen vaak voor en blijven vaak onopgemerkt als alleen op desktop wordt getest.

Belangrijkste inzicht: Google CMP-certificering is geen marketingbadge — het is een technische toegangspoort die bepaalt of je advertentie-inkomsten in de EER normaal doorstromen of worden afgeremd. Verifieer de status van je CMP, test je implementatie en zorg dat zowel TCF- als Consent Mode V2-signalen correct worden afgevuurd.

FlexyConsent biedt een gratis tier die volledige door Google gecertificeerde CMP-functionaliteit, Consent Mode V2 en TCF 2.3-ondersteuning omvat. Voor uitgevers die snel compliant moeten worden, is het een van de snelste routes van installatie naar consentverzameling op certificeringsniveau.