Klaviyo Cookie-toestemmingsintegratiegids: AVG-conforme e-mail en sms voor e-commerce in 2026
Klaviyo is het dominante e-mail- en sms-marketingplatform voor directe consumentgerichte e-commerce. Het is geïnstalleerd op een groot deel van alle Shopify-, BigCommerce- en Magento-winkels wereldwijd, en de on-site trackinglaag — het script dat browsegedrag monitort, paginaweergaven aan bekende profielen toewijst en flows voor verlaten winkelwagens en browse-abandonment activeert — is wat het platform commercieel waardevol maakt. Het is ook een van de meest verkeerd geconfigureerde onderdelen van een e-commercestack vanuit privacyperspectief. Het Klaviyo Onsite-trackingscript, de Klaviyo Forms-bibliotheek en de sms-opt-inflowsen verzamelen allemaal persoonlijke gegevens zodra ze laden, voordat een toestemmingsbanner is getoond. Voor elke winkel die EU-, VK-, Braziliaans of Californisch verkeer aanraakt, is dat standaardgedrag niet langer conform, en de meest actieve handhavers in e-commercehandhaving — de CNIL in Frankrijk, de AEPD in Spanje, de Italiaanse Garante en het California Privacy Protection Agency — hebben duidelijk gemaakt dat ze marketingscripts identiek behandelen, ongeacht of de leverancier groot of klein is. Deze gids beschrijft wat Klaviyo verzamelt, hoe u het integreert met een externe CMP en waar de eigen privacyprimitieven van het platform passen.
Wat Klaviyo Onsite Tracking verzamelt
Het Klaviyo Onsite-fragment (geladen van static.klaviyo.com/onsite/js/klaviyo.js) initialiseert een globale _learnq-wachtrij en identificeert bezoekers met een Klaviyo-cookie genaamd __kla_id. Eenmaal geïnstalleerd rapporteert het automatisch paginaweergave-events, legt het formulierinteracties vast, activeert het de Active On Site-event die de Browse Abandonment-flow van Klaviyo aandrijft, en koppelt het anoniem browsegedrag aan een bekend aboneeprofiel zodra de bezoeker inlogt of een formulier indient met een e-mailadres. Vervolggebeurtenissen — Viewed Product, Added to Cart, Started Checkout, Placed Order — verlopen via dezelfde identiteitsinfrastructuur en erven dezelfde op cookies gebaseerde attributie.
Voor de AVG-analyse is de cookie niet-essentieel, zijn de gegevens die de pagina verlaten persoonsgegevens omdat ze gekoppeld zijn aan een persistente identifier, en is Klaviyo gevestigd in de Verenigde Staten, waardoor de overdracht valt onder het EU-VS Data Privacy Framework. Al drie voorwaarden duwen Klaviyo Onsite-tracking stevig in het territorium van 'vereist voorafgaande toestemming' in de EU, het VK, de EEA en Brazilië onder de LGPD. In Californië valt dezelfde verwerking onder het opt-outrecht van de CPRA met betrekking tot delen voor cross-context gedragsadvertenties, dat wordt geactiveerd door Klaviyo's delen met downstream betaalde mediadoelen.
De drie trackingoppervlakken die u moet afschermen
Een Klaviyo-installatie is niet één trackingoppervlak, het zijn er drie, en ze moeten afzonderlijk worden behandeld in een CMP-integratie.
Het Onsite-trackingscript
Dit is de belangrijkste gedragstracker — het script dat __kla_id instelt en de actieve-op-site-eventstroom aandrijft. Dit is het oppervlak dat de meeste teams onthouden te blokkeren en dat het meest zichtbaar is voor toezichthouders bij audits. Blokkeer het standaard en laad het alleen wanneer de bezoeker de marketingcategorie accepteert.
Klaviyo Forms en aanmeldpopups
Klaviyo Forms is een aparte bibliotheek die e-mail- en sms-aanmeldpopups, ingesloten formulieren en ontgrendeling van afgesloten inhoud aandrijft. Het wordt gehost op hetzelfde domein maar geladen als een apart script. Formulieren kunnen impressie- en indieningsgebeurtenissen onafhankelijk van de hoofd-Onsite-tracker activeren, dus alleen Onsite blokkeren terwijl Forms laadt, is een veelvoorkomend patroon van gedeeltelijke naleving dat nog steeds identificerende gegevens lekt.
Sms-opt-inverzameling
Sms-aanmeldingen hebben hun eigen toestemmingsvereiste onder de TCPA in de VS en sectorspecifieke regels in de EU, en de sms-formulieren van Klaviyo verzamelen telefoonnummers samen met bevestigde toestemming via een selectievakje. De hier verzamelde toestemming is voor de sms-berichten zelf, los van cookietoestemming. Een correct geconfigureerde stack legt beide vast: cookietoestemming in de CMP, sms-toestemming in het Klaviyo-abonneeprofiel.
Ingebouwde privacycontroles van Klaviyo
Klaviyo biedt verschillende ingebouwde privacyprimitieven. Net als bij de meeste marketingplatforms gaan ze ervan uit dat er een toestemmingsbeslissing bestaat en wordt doorgegeven. Ze verzamelen zelf geen toestemming.
De toestemmingseigenschap bij identify-aanroepen
Wanneer u klaviyo.identify() of klaviyo.track() aanroept, kunt u een toestemmingspayload meesturen die de rechtsgrond voor marketingcommunicatie vastlegt. Dit is de juiste primitief voor het doorgeven van de CMP-beslissing aan het Klaviyo-abonneeprofiel.
Toestemmingsvelden op profielniveau
Het abonneeprofiel heeft speciale velden voor e-mailtoestemming, sms-toestemming en de bron van toestemming. Updates van deze velden worden doorgegeven aan de segmentatieengine van Klaviyo zodat flows de geregistreerde toestand respecteren.
Het paneel Privacy en toestemming
De beheerders-UI van Klaviyo heeft een sectie Privacy en toestemming die bepaald standaardgedrag beheert — bijvoorbeeld of de Active On Site-event activeert voor bezoekers zonder geregistreerde toestemming. De standaardinstelling is permissief; het aanscherpen van deze instellingen is een nuttige extra laag bovenop de CMP-blokkering.
Stapsgewijze CMP-integratie
De betrouwbare architectuur is om alle drie Klaviyo-trackingoppervlakken achter de CMP te blokkeren en de toestemmingseigenschappen bij Klaviyo identify- en track-aanroepen te gebruiken om de abonneerecords van het platform gesynchroniseerd te houden met de geregistreerde toestemmingstoestand.
1. Verwijder het standaard Onsite-fragment uit de header
Klaviyo biedt een eenregelig fragment dat installateurs doorgaans in de documentheader plakken. Verwijder het. Vervang het door een tijdelijk scriptelement waarvan het attribuut type text/plain is en het attribuut data-category het als marketing identificeert. Uw CMP herschrijft het type terug naar text/javascript wanneer de bezoeker de marketingcategorie accepteert.
2. Stel het laden van Klaviyo Forms uit
De Forms-bibliotheek laadt onafhankelijk van Onsite. Pas hetzelfde tijdelijke patroon toe op het scriptelement zodat het niet initialiseert vóór toestemming. Nadat toestemming is verleend, kunnen zowel Onsite als Forms samen initialiseren; in de wachtrij geplaatste events worden automatisch verwerkt.
3. Scheid sms-toestemming van cookietoestemming
Sms-opt-inverzameling loopt via Klaviyo Forms, maar de verzamelde toestemming — het expliciete selectievakje voor sms-marketing — is een apart juridisch artefact van cookietoestemming. De CMP-banner legt de cookiebeslissing vast; het formulierselectievakje legt de sms-beslissing vast. Combineer ze niet — gecombineerde toestemming is ongeldig onder zowel de AVG als de TCPA.
4. Geef toestemming door aan het Klaviyo-profiel
Wanneer een bekende abonnee toestemming accepteert of intrekt op uw site, moet de CMP de Klaviyo API aanroepen om de toestemmingsvelden van het profiel bij te werken. De Klaviyo Profiles API ondersteunt een gedeeltelijke updateaanroep die e-mailtoestemming, sms-toestemming en het toestemmingstijdstempel schrijft zonder de rest van het profiel te overschrijven. De meeste moderne CMP's hebben een Klaviyo-connector die dit van begin tot eind afhandelt.
5. Koppel Consent Mode v2 als u Google-tags tegelijk gebruikt
De meeste winkels die Klaviyo gebruiken, gebruiken ook Google Ads en GA4. Uw CMP moet de v2-toestemmingssignalen — ad_storage, analytics_storage, ad_user_data, ad_personalization — in de dataLayer publiceren vóórdat een Google-tag activeert. Klaviyo verbruikt deze signalen niet zelf, maar Google wel, en een inconsistentie tussen Klaviyo en Google zal verschijnen als een meetbare omzetkloof in attributierapportage.
Veelvoorkomende valkuilen
Vier integratiefouten komen steeds terug in audits van Klaviyo-implementaties.
Forms behandelen als 'slechts een popup'
Sommige teams blokkeren Onsite onder marketing maar laten Forms laden bij de initiële render, met als redenering dat 'een popup slechts een UI-element is'. De Forms-bibliotheek activeert impressie-events naar Klaviyo voor elke popup die wordt weergegeven, wat identificerende gedragsgegevens zijn die worden doorgestuurd naar een Amerikaanse advertentietechnologieleverancier — precies het patroon dat een CMP moet voorkomen.
Cookie- en sms-toestemming samenvoegen
Eén selectievakje met de tekst 'Ik ga akkoord met cookies en het ontvangen van marketing-sms' is voor beide ongeldig. Cookietoestemming moet specifiek zijn voor cookies; sms-toestemming moet specifiek zijn voor sms. Gebruik afzonderlijke bedieningselementen.
Derden-betaalmediaconnectoren laten activeren op ingetrokken profielen
Klaviyo kan doelgroepen pushen naar Google Ads, Meta, TikTok en andere advertentienetwerken via de integraties. Als een abonnee toestemming intrekt, moet de doelgroeppush ze verwijderen — niet alleen stoppen met toevoegen. Configureer de doelgroepsynchronisatie-instellingen van Klaviyo om toestemmingsstatuswijzigingen in realtime te respecteren, niet alleen bij de initiële synchronisatie.
De historische datavraag vergeten
Wanneer een bezoeker voor het eerst toestemming accepteert, moet uw stack het anonieme gedrag vóór toestemming niet met terugwerkende kracht koppelen aan het nieuwe profiel. De CMP en Klaviyo moeten overeenkomen dat browsegegevens vóór toestemming geen persoonsgegevens zijn die zijn gekoppeld aan het nu-geïdentificeerde profiel. Sommige Klaviyo-flows nemen deze koppeling standaard aan — bekijk de relevante flowtriggers.
Auditchecklist
Zes concrete vragen voor elke Klaviyo-implementatie die EU-, VK-, Braziliaans of Californisch verkeer aanraakt.
- Wacht Onsite op toestemming? Open de winkel in een privévenster met strenge trackingbeveiliging en bevestig dat er geen verzoeken van static.klaviyo.com plaatsvinden vóór banneracceptatie.
- Wacht Forms op toestemming? Bevestig dat popupimpressie-events niet activeren vóór de marketingcategorie is geaccepteerd.
- Zijn cookie- en sms-toestemming gescheiden? Bevestig dat de cookiebanner geen sms-toestemming verzamelt en dat sms-opt-informulieren hun eigen expliciete selectievakje registreren.
- Weerspiegelt het Klaviyo-profiel de CMP-status? Bevestig dat de CMP toestemmingsbeslissingen schrijft naar de toestemmingsvelden van het profiel via de Klaviyo API.
- Respecteren doelgroepsynchronisaties intrekkingen? Bevestig dat het intrekken van toestemming de abonnee verwijdert uit downstream betaalde mediadoelgroepen, niet alleen uit toekomstige synchronisaties.
- Blijft browsen vóór toestemming anoniem? Bevestig dat flowtriggers gedrag vóór toestemming niet met terugwerkende kracht koppelen aan nieuw-geïdentificeerde profielen.
Waar Klaviyo past in een toestemming-eerste stack
Klaviyo bevindt zich op het snijpunt van e-commerceattributie en directe marketingcommunicatie, wat betekent dat het zowel het cookietoestemmingsregime (AVG/ePrivacy, CCPA/CPRA) als het marketingcommunicatieregime (CAN-SPAM, TCPA, AVG Artikel 6/7 voor berichten) raakt. De juiste architectuur behandelt deze als twee afzonderlijke toestemmingsoppervlakken — beide gerouteerd via een enkele CMP die de bron van waarheid bezit, met de ingebouwde toestemmingsvelden van Klaviyo via API gesynchroniseerd gehouden. Winkels die dit goed doen, behouden het verlaten-winkelwagen-, browse-abandonment- en segmentatiegedrag dat Klaviyo commercieel waardevol maakt, terwijl ze de auditblootstelling terugbrengen tot een fractie van wat een standaardinstallatie met zich meebrengt. Het technische werk is eenvoudig; de discipline zit in het niet toestaan dat het marketingteam Forms als vrijgesteld van dezelfde regels als de Onsite-tracker beschouwt.