Waarom HubSpot-tracking een echt toestemmingssignaal nodig heeft

HubSpot plaatst een aantal first-party cookies op het apparaat van een bezoeker zodra het trackingscript (het HubSpot JavaScript-fragment, doorgaans hs-scripts.com/{hub_id}.js) wordt uitgevoerd. De meest ingrijpende zijn __hstc, hubspotutk en __hssc, die samen de bezoeker over sessies heen identificeren, formulierinzendingen koppelen aan anonieme browsegeschiedenis en lead-scoringsmodellen in de CRM voeden. Op grond van de AVG en de ePrivacy-richtlijn zijn alle drie niet-essentiële cookies die vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige voorafgaande toestemming vereisen. Het fragment in de documentkop laden — wat het standaard integratiepatroon van HubSpot is — plaatst die cookies voordat de bezoeker überhaupt iets is gevraagd.

De gevolgen zijn niet theoretisch. Gegevensbeschermingsautoriteiten in Frankrijk, Italië en Spanje hebben de afgelopen twee jaar allemaal handhavingsmaatregelen genomen tegen organisaties waarvan de marketingstacks trackingcookies instelden vóór toestemming. De boetes varieerden van vijfcijferige boetes voor kleine uitgevers tot boetes van meerdere miljoenen euro's voor grote ondernemingen. HubSpot's native cookiebanner bestaat, maar is opzettelijk lichtgewicht en blokkeert op zichzelf het fragment niet. De meeste nalevingsbeoordelaars behandelen het als een kennisgevingslaag in plaats van een controlelaag.

Wat HubSpot werkelijk bijhoudt

Voordat u beslist hoe u HubSpot kunt afschermen, is het nuttig om precies te zijn over welke verwerkingscategorieën er spelen. Het trackingoppervlak van HubSpot verdeelt zich in vier overlappende categorieën, elk met zijn eigen toestemmingsimplicaties.

Gedragsanalyse

Paginaweergave-, klik-, scroll- en sessieduurgebeurtenissen worden automatisch verzameld zodra de trackingcode laadt. Deze gebeurtenissen bouwen de bezoekerslijn op die u ziet in de contactrecords van HubSpot en vormen de basis voor elke lead-scorings- of workflowregel. Vanuit het perspectief van een toezichthouder is dit eenvoudige analysetracking en vereist het opt-intoestemming in de EU en de EER. In het VK behandelt de ICO-richtlijn van 2023 dit identiek.

Formulieren en chat

HubSpot-formulieren en de HubSpot-chatwidget (voorheen Drift-integratie) kunnen worden geconfigureerd om onafhankelijk van het hoofdtrackingscript te laden. Formulierinzendingen worden in de meeste juridische analyses beschouwd als een afzonderlijke verwerkingsactiviteit met een eigen rechtsgrondslag — doorgaans contractuele uitvoering of gerechtvaardigde belangen. Chat die transcripten opneemt op een server van derden vereist echter over het algemeen toestemming voor de opname zelf.

Identiteitsverbinding over domeinen heen

Als u hetzelfde HubSpot-portaal over meerdere domeinen gebruikt, zal het fragment proberen cookies in te stellen en te lezen op een manier die bezoekers koppelt aan die eigenschappen. Dit valt onder wat de EDPB "tracking" in strikte zin noemt en is de categorie met het hoogste risico. Het is ook de categorie die het meest waarschijnlijk wordt gemarkeerd tijdens een DPIA.

Marketingintegraties

HubSpot kan via zijn integraties gebeurtenissen doorsturen naar Google Ads, Meta, LinkedIn en andere advertentienetwerken. Elk van die doorgifte draagt zijn eigen toestemmingsvereiste en, in de EU, zijn eigen gegevensoverdrachtsbeoordering.

Native HubSpot-banner versus CMP van derden

HubSpot wordt geleverd met een ingebouwde cookietoestemmingsbanner die u kunt inschakelen via Instellingen > Privacy & Toestemming. Het toont een configureerbare kennisgeving, registreert een toestemmingsrecord voor de contactpersoon en respecteert een enkele opt-out voor analyses. Voor zeer kleine organisaties die in jurisdicties met laag risico opereren, kan het voldoende zijn. Voor iedereen die serieus is over naleving — of voor iedereen die reclame maakt met bewustzijn van toestemmingsmodus — is het dat niet.

De redenen om over te stappen naar een CMP van derden zijn praktisch:

• Gedetailleerde categorieën. De native banner scheidt strikt noodzakelijke, functionele, analytische en marketingcookies niet in afzonderlijke schakelaars, wat de structuur is die toezichthouders verwachten.
• IAB TCF- en GPP-ondersteuning. Als u deelneemt aan programmatische advertenties, hebt u een Google-gecertificeerde CMP nodig die een geldige TC-string uitzendt. De native HubSpot-banner doet dit niet.
• Consent Mode v2. Google vereist nu toestemmingssignalen in v2-formaat voor EER-verkeer. Een toegewijde CMP verbindt dit van begin tot eind, inclusief de standaard-weiger-configuratie.
• Meertaligheid en toegankelijkheid. De meeste CMP's worden geleverd met 30+ taalpakketten en WCAG-conforme standaardwaarden. HubSpot's ingebouwde banner is beperkter.
• Auditkwaliteitslogging. Een toegewijde CMP registreert elke toestemmingsbeslissing met tijdstempel, bannerversie en keuze — het bewijs dat toezichthouders vragen bij onderzoeken.

Stapsgewijze integratie met een CMP van derden

Het integratiepatroon dat betrouwbaar werkt, is om het HubSpot-fragment op de pagina te houden maar te voorkomen dat het wordt uitgevoerd totdat een toestemmingsbeslissing is vastgelegd. Hieronder staat de canonieke aanpak, generiek geschreven zodat het van toepassing is op elke moderne CMP, inclusief FlexyConsent.

1. Verwijder het standaardfragment uit de documentkop

In your site template, delete the inline <script> tag that loads hs-scripts.com/{hub_id}.js. Replace it with a placeholder that your CMP can activate later, typically by setting the type attribute to text/plain and adding a category data attribute such as data-category="marketing".

2. Koppel HubSpot aan de juiste toestemmingscategorie

De meeste CMP's gebruiken het IAB TCF of een model met vier categorieën: noodzakelijk, functioneel, analytisch, marketing. Het trackingscript van HubSpot raakt zowel de analytische als de marketingcategorieën vanwege de CRM-integratie. De conservatieve mapping is om het volledige fragment achter de marketingcategorie te plaatsen, wat de meest restrictieve categorie is. Als uw CMP gedetailleerde mapping toestaat, kunt u splitsen: formulieren onder functioneel laden, analysegebeurtenissen onder analytisch laden en CRM-identiteitsverbinding onder marketing laden.

3. Configureer de activatiecallback

Uw CMP stelt een gebeurtenis of callback beschikbaar die wordt geactiveerd wanneer een gebruiker toestemming verleent voor een categorie. In die callback herschrijft u het type-attribuut van de tijdelijke scripttag terug naar text/javascript en voegt u het toe aan het document. Het script laadt en voert dan normaal uit. Voor een SPA registreert u de callback bij elke routewijziging zodat nieuw gemounte pagina's ook de activering ontvangen.

4. Koppel Consent Mode v2

Als u Google Ads of GA4 naast HubSpot gebruikt, moet uw CMP de v2-toestemmingssignalen — ad_storage, analytics_storage, ad_user_data, ad_personalization — in de dataLayer pushen voordat een Google-tag wordt geactiveerd. HubSpot zelf verbruikt deze signalen niet, maar de rest van uw stack doet dat wel, en inconsistentie tussen HubSpot en Google zal in uw rapportage verschijnen als een meetbaar inkomstenverschil.

5. Synchroniseer de toestemmingsstatus in de HubSpot CRM

Wanneer een bekende contactpersoon zijn toestemming bijwerkt (bijvoorbeeld door de banner opnieuw te bezoeken en marketingtoestemming in te trekken), moet u dat weergeven in het HubSpot-record zodat de workflowlogica stopt met het verzenden van marketing-e-mails. De HubSpot API stelt een communication-preferences-eindpunt beschikbaar dat updates op abonnementsniveau accepteert. De meeste CMP's kunnen worden geconfigureerd om dit eindpunt te roepen vanuit een serverzijdige hook.

Veelvoorkomende valkuilen en hoe u ze vermijdt

Drie integratiefou ten zijn verantwoordelijk voor het merendeel van de auditbevindingen die we zien op HubSpot-zware stacks.

Het fragment te vroeg laden

Sommige teams plaatsen de HubSpot-tag in een tagbeheerder en gaan ervan uit dat de tagbeheerder de toestemming afhandelt. Google Tag Manager respecteert de toestemmingsmodus, maar alleen voor tags die expliciet een verleende status vereisen. Als de HubSpot-tag zonder die vereiste is geconfigureerd, activeert GTM het tag ongeacht. Stel altijd het veld Aanvullende toestemming in op de tag om marketingtoestemming te vereisen voordat u activeert.

De formulierscripts vergeten

HubSpot-formulieren worden geserveerd vanuit een apart domein (forms.hsforms.com) en kunnen worden ingesloten met hun eigen script. Als u het hoofdtrackingfragment afschermt maar het formulierscript laat laden bij de eerste render, heeft u het probleem niet echt opgelost — de formulierbibliotheek stelt zelf identificatiecookies in. Schermt beide af en laat de CMP ze samen laden.

Opt-out behandelen als opt-in

De native instellingen van HubSpot bevatten een Do Not Track-optie en een opt-out met één klik. Sommige teams interpreteren deze als een voldoende mechanisme om aan de AVG te voldoen. Dat is niet zo — de AVG vereist bevestigende opt-in voor niet-essentiële cookies, en een opt-out-selectievakje dat begraven ligt in een privacypagina voldoet niet aan die norm. Maak de CMP de gezaghebbende bron van toestemmingsstatus en configureer HubSpot om dit te volgen.

Auditklare documentatie

Nadat de technische integratie is opgezet, is de laatste stap ervoor zorgen dat uw bewijsspoor een verzoek van een toezichthouder kan weerstaan. Houd minimaal een record bij van: de categorieën waaraan uw CMP HubSpot koppelt, de versie van de toestemmingsbanner die op een bepaalde datum actief is, voorbeeld-TC-strings die geldige toestemming tonen en de API-logs die bewijzen dat HubSpot geen trackingaanroep heeft gedaan voordat toestemming werd verleend. De meeste handhavingsacties stagneren niet op de technologie maar op de documentatie — organisaties die een duidelijk papieren spoor kunnen produceren lossen onderzoeken doorgaans veel sneller op dan degenen die dat niet kunnen. Een toestemmingsbeheerplatform dat deze artefacten op verzoek exporteert, verandert de audit van een chaos van meerdere weken in een reactie van één middag.