Hvorfor Google nå krever en sertifisert CMP

Siden januar 2024 har Google håndhevet en streng policy: ethvert nettsted som viser annonser til brukere i Det europeiske økonomiske samarbeidsområdet (EØS) eller Storbritannia må innhente samtykke gjennom en Google-sertifisert Consent Management Platform. Dette er ikke veiledende anbefalinger. Uten sertifisering risikerer utgivere konkrete konsekvenser som direkte påvirker inntekter og datakvalitet.

Kravet springer ut av EUs stadig utviklende regulatoriske landskap. Digital Markets Act utpekte Google som en «gatekeeper», noe som igjen krevde at Google kan bevise at samtykkesignaler som går gjennom deres annonseøkosystem er legitime, reviderbare og i samsvar med Transparency and Consent Framework (TCF). Googles løsning var å opprette et sertifiseringsprogram som vurderer CMP-er opp mot et definert sett med tekniske og operasjonelle kriterier.

For utgivere betyr dette at CMP-en du velger ikke lenger bare er et spørsmål om preferanse eller bekvemmelighet. Den er en terskelfaktor for om EØS-annonselageret ditt genererer full inntekt eller blir strupet ned til en brøkdel av sitt potensial.

Hva Google CMP-sertifisering faktisk betyr

Sertifisering er ikke en gummistempel-ordning. Google vurderer CMP-er langs flere dimensjoner før de gir og opprettholder sertifisert status:

• TCF 2.2+-integrasjon: CMP-en må være registrert medlem av IAB Europe Transparency and Consent Framework, som per nå er på versjon 2.2, med overgang til TCF 2.3 underveis. Dette betyr at CMP-en genererer TC Strings som nedstrøms leverandører kan tolke for å avgjøre samtykkestatus for spesifikke behandlingsformål.
• Støtte for Consent Mode V2: CMP-en må sende de riktige Google-samtykkesignalene — ad_storage, analytics_storage, ad_user_data og ad_personalization — ved bruk av Google Consent Mode API. V2-oppdateringen la til de to sistnevnte parameterne, som nå er obligatoriske for all annonsevisning i EØS.
• Korrekt standardatferd: Før en bruker interagerer med banneret, må CMP-en sette standard samtykkestatus (typisk avslått for brukere i EØS). Google kontrollerer at ingen tagger utløses med gitt samtykke før brukeren har tatt et valg.
• Brukergrensesnitt-standarder: Samtykkebanneret må presentere et reelt valg. Google vurderer at CMP-en lar brukere akseptere, avslå eller tilpasse samtykket sitt uten villedende designmønstre som dytter brukere mot å akseptere.
• Løpende samsvarsrevisjoner: Sertifisering er ikke permanent. Google revurderer jevnlig CMP-er og kan trekke tilbake sertifisering dersom standardene svekkes eller hvis CMP-en ikke holder tritt med rammeverksoppdateringer.

Dagens liste over sertifiserte CMP-er

Google vedlikeholder en offentlig liste over sertifiserte CMP-er på sine hjelpesider. Per tidlig 2026 har omtrent 30 til 40 plattformer sertifisering. Listen inkluderer store enterprise-plattformer, verktøy for mellommarkedet og spesialiserte løsninger. Blant kjente navn finner vi Cookiebot, OneTrust, Usercentrics, Didomi og FlexyConsent.

Listen er ikke statisk. CMP-er kan legges til når de fullfører sertifiseringsprosessen, og de kan fjernes hvis de faller ut av samsvar. Utgivere bør kontrollere CMP-en sin opp mot den offisielle listen på Googles CMP Partner Program-side minst hvert kvartal. Hvis CMP-en din ikke står på listen, er annonsevisningen din i EØS i fare uansett hva CMP-leverandøren hevder om sin samsvarsstatus.

Det er også verdt å merke seg at det å stå på listen ikke betyr at alle sertifiserte CMP-er er like gode. Sertifisering etablerer et minimumsnivå for samsvar, men kvaliteten på implementering, tilpasningsmuligheter, ytelsespåvirkning og støtte varierer betydelig mellom leverandører. Utgivere bør vurdere sertifiserte CMP-er på mer enn bare selve sertifiseringen.

Hva som skjer uten en sertifisert CMP

Konsekvensene av å kjøre uten en sertifisert CMP i EØS er betydelige og umiddelbare:

• Begrenset annonsevisning: Google Ad Manager, AdSense og AdMob vil begrense annonsene som vises til brukere i EØS. I mange tilfeller betyr dette kun ikke-personaliserte annonser eller ingen annonser i det hele tatt, avhengig av konfigurasjonen din. Ikke-personaliserte annonser genererer typisk 50 til 70 prosent lavere inntekter enn personaliserte.
• Ingen konverteringsmodellering: Googles avanserte konverteringsmodellering er avhengig av samtykkesignaler. Uten korrekte Consent Mode V2-signaler mister du tilgang til modellerte konverteringer i Google Ads og GA4, noe som skaper hull i attribusjonsdataene dine og gjør kampanjeoptimalisering upålitelig.
• Redusert programmatisk etterspørsel: Mange SSP-er og DSP-er i Googles økosystem sjekker etter gyldige TC Strings. Uten dem blir budforespørsler enten filtrert bort eller får lavere CPM fordi kjøpere ikke kan verifisere samtykkestatus.
• Eksponering for manglende etterlevelse: Utover Googles håndheving utsetter drift uten korrekt samtykke i EØS deg for GDPR-bøter fra nasjonale datatilsyn. Disse bøtene kan nå opptil 4 % av årlig global omsetning eller 20 millioner euro, avhengig av hva som er høyest.
• Svekket annonsørtilit: Direkte annonsører og byråer reviderer i økende grad utgiveres etterlevelse. Å kjøre uten en sertifisert CMP signaliserer til premiumannonsører at beholdningen din kan innebære juridisk risiko, noe som potensielt kan koste deg direkteavtaler.

TCF 2.3 og Consent Mode V2: Dobbeltkravet

En vanlig misforståelse er at TCF-etterlevelse alene er tilstrekkelig. Det er den ikke. Google krever både en gyldig TC String fra en TCF-registrert CMP og Consent Mode V2-signaler. Disse tjener ulike formål i adtech-økosystemet:

TC String kommuniserer granulært leverandørnivå-samtykke til det programmatiske annonseøkosystemet. Den forteller hver leverandør i leverandørkjeden nøyaktig hvilke behandlingsformål brukeren har samtykket til. Consent Mode V2, på den annen side, kommuniserer samtykkestatus spesifikt til Googles egne tagger (Analytics, Ads, Floodlight). En sertifisert CMP må håndtere begge samtidig og sørge for at de forblir synkroniserte.

TCF 2.3, den nyeste rammeverksversjonen, introduserer forbedringer rundt håndtering av «legitimate interest» og krav til leverandørinformasjon. Den strammer inn reglene for hvordan leverandører kan påberope seg «legitimate interest» som rettslig grunnlag, og krever tydeligere informasjon til brukere om hvilke leverandører som vil behandle dataene deres. CMP-er som søker eller opprettholder Google-sertifisering, forventes å støtte TCF 2.3 etter hvert som dette blir standard gjennom 2026.

Hvordan FlexyConsent oppnådde Google-sertifisering

FlexyConsent ble bygget fra grunnen av med Google-sertifisering som et kjerneformål, ikke som en ettertanke. Plattformen implementerer alle fire Consent Mode V2-parametrene med korrekt standard-avslått status for trafikk fra EØS. Den genererer standardkompatible TC Strings som en registrert IAB Europe CMP.

Viktige tekniske valg som støttet sertifiseringen inkluderer:

• Skriptlasting før andre tagger: FlexyConsents lette asynkrone skript lastes inn og setter standard samtykkestatus før Google Tag Manager eller gtag.js kan utløses, slik at det ikke oppstår samtykkeslipp i de kritiske millisekundene etter sidelast.
• Geo-bevisste standarder: Plattformen oppdager brukerens plassering og bruker regionsspesifikke standarder for samtykke — avslått for EØS og Storbritannia, gitt for regioner uten eksplisitte samtykkekrav, med mindre utgiveren konfigurerer noe annet.
• Transparent lagring av samtykke: Samtykkevalg lagres i førsteparts informasjonskapsler med klare navnekonvensjoner, noe som gjør dem reviderbare av Google under sertifiseringsgjennomganger og av utgivere under egne samsvarskontroller.
• Løpende støtte for TCF-versjoner: Etter hvert som rammeverket utvikles fra 2.2 til 2.3, oppdaterer FlexyConsent genereringen av TC Strings automatisk uten at det kreves endringer eller skriptoppdateringer på utgiversiden.
• Minimal ytelsespåvirkning: Skriptet er optimalisert til å lastes inn på under 50 millisekunder på typiske tilkoblinger, slik at det ikke bidrar til redusert sidehastighet som kan påvirke Core Web Vitals-score.

Hva utgivere bør kontrollere nå

Hvis du viser annonser i EØS, er dette en konkret sjekkliste for å sikre at du er i samsvar:

• Sjekk den sertifiserte listen: Bekreft at CMP-en din står på Googles offisielle liste over sertifiserte CMP-partnere. Gjør dette hvert kvartal, siden listen endres.
• Verifiser Consent Mode V2-signaler: Bruk Google Tag Assistant eller nettleserkonsollen for å bekrefte at consent default- og consent update-kommandoer utløses med alle fire parametrene (ad_storage, analytics_storage, ad_user_data, ad_personalization).
• Test TC String: Bruk IABs TC String-dekoder for å verifisere at CMP-en din genererer gyldige, lesbare TC Strings med korrekte leverandørsamtykker og formålsangivelser.
• Revider rekkefølgen på tagger: Sørg for at CMP-skriptet ditt lastes inn før Google-tagger. Hvis tagger utløses før samtykke er satt, har du et samsvarshull som Googles systemer vil oppdage.
• Gå gjennom samtykkerater: Hvis samtykkeraten din i EØS er mistenkelig høy (over 90 %), undersøk om bannerdesignet ditt faktisk tilbyr et fritt valg eller dytter brukere på en måte som tilsynsmyndigheter kan utfordre.
• Test på tvers av enheter: Kontroller at samtykkeflyten fungerer korrekt på mobil, nettbrett og desktop. Problemer med samtykke på mobil er vanlige og blir ofte ikke oppdaget ved testing kun på desktop.

Viktig poeng: Google CMP-sertifisering er ikke en markedsføringsmerkelapp — det er en teknisk portvokter som avgjør om annonseinntektene dine i EØS flyter normalt eller blir strupet. Kontroller CMP-statusen din, test implementeringen, og sørg for at både TCF- og Consent Mode V2-signaler utløses korrekt.

FlexyConsent tilbyr en gratisplan som inkluderer full Google-sertifisert CMP-funksjonalitet, Consent Mode V2 og støtte for TCF 2.3. For utgivere som raskt må bli kompatible, er det en av de raskeste veiene fra installasjon til samtykkeinnhenting på sertifiseringsnivå.