Varför Google nu kräver en certifierad CMP

Sedan januari 2024 har Google infört en strikt policy: alla webbplatser som visar annonser för användare inom Europeiska ekonomiska samarbetsområdet (EES) eller Storbritannien måste inhämta samtycke via en Google-certifierad Consent Management Platform. Detta är inte valfri vägledning. Utan certifiering riskerar publicister konkreta konsekvenser som direkt påverkar intäkter och datakvalitet.

Kravet har sin grund i EU:s föränderliga regleringslandskap. Digital Markets Act utsåg Google till en "gatekeeper", vilket i sin tur krävde att Google kan visa att samtyckessignalerna som flödar genom dess annonsstack är legitima, möjliga att granska och förenliga med Transparency and Consent Framework (TCF). Googles lösning var att skapa ett certifieringsprogram som granskar CMP:er mot en definierad uppsättning tekniska och operativa kriterier.

För publicister innebär detta att den CMP du väljer inte längre bara är en preferens- eller bekvämlighetsfråga. Den är en tröskelfaktor för om ditt annonsutrymme i EES genererar fulla intäkter eller stryps till en bråkdel av sin potential.

Vad Google CMP-certifiering faktiskt innebär

Certifiering är ingen formsak. Google utvärderar CMP:er utifrån flera dimensioner innan certifierad status beviljas och behålls:

• TCF 2.2+-integration: CMP:n måste vara registrerad medlem i IAB Europe Transparency and Consent Framework, som för närvarande är på version 2.2 med övergång till TCF 2.3 på gång. Detta innebär att CMP:n genererar TC Strings som nedströmsleverantörer kan tolka för att avgöra samtyckesstatus för specifika behandlingsändamål.
• Stöd för Consent Mode V2: CMP:n måste skicka rätt Google-samtyckessignaler — ad_storage, analytics_storage, ad_user_data och ad_personalization — via Google Consent Mode API. V2-uppdateringen lade till de två senare parametrarna, som nu är obligatoriska för all annonsvisning i EES.
• Korrekt standardbeteende: Innan en användare interagerar med bannern måste CMP:n sätta standardtillstånd för samtycke (vanligtvis nekat för användare i EES). Google kontrollerar att inga taggar triggas med beviljat samtycke innan användaren har gjort ett val.
• Standarder för användargränssnitt: Samtyckesbannern måste erbjuda ett genuint val. Google granskar att CMP:n låter användare acceptera, avvisa eller anpassa sitt samtycke utan vilseledande designmönster som styr användare mot att acceptera.
• Löpande regelefterlevnadsrevisioner: Certifiering är inte permanent. Google omprövar regelbundet CMP:er och kan återkalla certifiering om standarderna sjunker eller om CMP:n inte håller jämna steg med ramverksuppdateringar.

Den aktuella listan över certifierade CMP:er

Google upprätthåller en offentlig lista över certifierade CMP:er på sina supportsidor. I början av 2026 har ungefär 30 till 40 plattformar certifiering. Listan omfattar stora företagsplattformar, verktyg för mellanstora aktörer och specialiserade lösningar. Framträdande namn inkluderar Cookiebot, OneTrust, Usercentrics, Didomi och FlexyConsent.

Listan är inte statisk. CMP:er kan läggas till när de slutför certifieringsprocessen, och de kan tas bort om de inte längre uppfyller kraven. Publicister bör verifiera sin CMP mot den officiella listan på Googles CMP Partner Program-sida minst en gång per kvartal. Om din CMP inte finns med på listan är din annonsvisning i EES i fara, oavsett vad CMP-leverantören påstår om sin regelefterlevnadsstatus.

Det är också värt att notera att det faktum att en CMP finns på listan inte innebär att alla certifierade CMP:er är likvärdiga i kvalitet. Certifiering fastställer en miniminivå av efterlevnad, men kvaliteten på implementation, anpassningsmöjligheter, prestandapåverkan och support varierar avsevärt mellan leverantörer. Publicister bör utvärdera certifierade CMP:er utifrån meriter bortom själva certifieringen.

Vad som händer utan en certifierad CMP

Konsekvenserna av att köra utan en certifierad CMP i EES är betydande och omedelbara:

• Begränsad annonsvisning: Google Ad Manager, AdSense och AdMob kommer att begränsa annonserna som visas för användare i EES. I många fall innebär detta endast icke-personaliserade annonser eller inga annonser alls, beroende på din konfiguration. Icke-personaliserade annonser genererar vanligtvis 50 till 70 procent lägre intäkter än personaliserade.
• Ingen konverteringsmodellering: Googles avancerade konverteringsmodellering är beroende av samtyckessignaler. Utan korrekta Consent Mode V2-signaler förlorar du tillgång till modellerade konverteringar i Google Ads och GA4, vilket skapar luckor i din attribueringsdata som gör kampanjoptimering opålitlig.
• Minskad programmatisk efterfrågan: Många SSP:er och DSP:er i Googles ekosystem kontrollerar giltiga TC Strings. Utan dem filtreras budförfrågningar antingen bort eller får lägre CPM eftersom köpare inte kan verifiera samtyckesstatus.
• Exponering för regelefterlevnadsrisk: Utöver Googles tillsyn utsätter du dig för GDPR-sanktioner från nationella dataskyddsmyndigheter om du verkar utan korrekt samtycke i EES. Dessa böter kan uppgå till 4 % av den globala årsomsättningen eller 20 miljoner euro, beroende på vilket belopp som är högst.
• Erosion av annonsörers förtroende: Direktannonsörer och byråer granskar i allt högre grad publicisters efterlevnad. Att köra utan en certifierad CMP signalerar för premiumannonsörer att ditt annonsutrymme kan innebära juridisk risk, vilket potentiellt kostar dig direkta affärer.

TCF 2.3 och Consent Mode V2: Det dubbla kravet

Ett vanligt missförstånd är att TCF-efterlevnad i sig är tillräckligt. Det är den inte. Google kräver både en giltig TC String från en TCF-registrerad CMP och Consent Mode V2-signaler. Dessa fyller olika funktioner i adtech-ekosystemet:

TC String kommunicerar granulärt leverantörsspecifikt samtycke till det programmatiska annonsekosystemet. Den talar om för varje leverantör i leveranskedjan exakt vilka behandlingsändamål användaren har samtyckt till. Consent Mode V2 å andra sidan kommunicerar samtyckesstatus specifikt till Googles egna taggar (Analytics, Ads, Floodlight). En certifierad CMP måste hantera båda samtidigt och säkerställa att de förblir synkroniserade.

TCF 2.3, den senaste versionen av ramverket, introducerar förfiningar kring hantering av berättigat intresse och krav på leverantörsredovisning. Den skärper reglerna för hur leverantörer kan åberopa berättigat intresse som rättslig grund och kräver tydligare information till användare om vilka leverantörer som kommer att behandla deras data. CMP:er som strävar efter eller upprätthåller Google-certifiering förväntas stödja TCF 2.3 i takt med att det blir standard under 2026.

Hur FlexyConsent uppnådde Google-certifiering

FlexyConsent byggdes från grunden med Google-certifiering som ett centralt designmål, inte som en eftertanke. Plattformen implementerar alla fyra Consent Mode V2-parametrarna med korrekt standardläge "nekat" för trafik från EES. Den genererar standardkompatibla TC Strings som en registrerad IAB Europe CMP.

Viktiga tekniska beslut som stödde certifieringen inkluderar:

• Scriptinladdning före alla andra taggar: FlexyConsents lätta asynkrona script laddas och sätter standardtillstånd för samtycke innan Google Tag Manager eller gtag.js kan triggas, vilket säkerställer att inget samtycke läcker under de kritiska millisekunderna efter sidladdning.
• Geo-medvetna standardinställningar: Plattformen upptäcker användarens plats och tillämpar regionsanpassade standardinställningar för samtycke — nekat för EES och Storbritannien, beviljat för regioner utan uttryckliga samtyckeskrav, om inte publicisten konfigurerar annat.
• Transparent lagring av samtycke: Samtyckesval lagras i förstapartscookies med tydliga namnkonventioner, vilket gör dem möjliga att granska av Google under certifieringsgranskningar och av publicister vid egna efterlevnadskontroller.
• Löpande stöd för TCF-versioner: I takt med att ramverket utvecklas från 2.2 till 2.3 uppdaterar FlexyConsent automatiskt sin generering av TC Strings utan att publicisten behöver göra ändringar eller uppdatera script.
• Minimal prestandapåverkan: Scriptet är optimerat för att laddas på under 50 millisekunder på typiska uppkopplingar, vilket säkerställer att det inte bidrar till försämrad sidladdningshastighet som kan påverka Core Web Vitals-poäng.

Vad publicister bör verifiera just nu

Om du visar annonser i EES följer här en konkret checklista för att säkerställa att du är compliant:

• Kontrollera den certifierade listan: Bekräfta att din CMP finns med på Googles officiella lista över certifierade CMP-partners. Gör detta kvartalsvis, eftersom listan förändras.
• Verifiera Consent Mode V2-signaler: Använd Google Tag Assistant eller webbläsarkonsolen för att bekräfta att kommandona consent default och consent update triggas med alla fyra parametrarna (ad_storage, analytics_storage, ad_user_data, ad_personalization).
• Testa TC String: Använd IAB:s TC String-avkodare för att verifiera att din CMP genererar giltiga, tolkbara TC Strings med korrekta leverantörssamtycken och ändamålsdeklarationer.
• Granska ordningen för taggtriggning: Säkerställ att ditt CMP-script laddas före Google-taggar. Om taggar triggas innan samtycke har satts har du en efterlevnadslucka som Googles system kommer att upptäcka.
• Granska samtyckesgrader: Om din samtyckesgrad i EES är misstänkt hög (över 90 %) bör du undersöka om din bannerdesign verkligen erbjuder ett fritt val eller om den styr användare på ett sätt som tillsynsmyndigheter kan ifrågasätta.
• Testa på olika enheter: Verifiera att samtyckesflödet fungerar korrekt på mobil, surfplatta och dator. Problem med samtycke på mobila enheter är vanliga och upptäcks ofta inte vid tester enbart på dator.

Viktig slutsats: Google CMP-certifiering är ingen marknadsföringssymbol — det är en teknisk tröskel som avgör om dina annonsintäkter i EES flödar normalt eller stryps. Verifiera din CMP:s status, testa din implementation och säkerställ att både TCF- och Consent Mode V2-signaler triggas korrekt.

FlexyConsent erbjuder en gratisnivå som inkluderar full Google-certifierad CMP-funktionalitet, Consent Mode V2 och stöd för TCF 2.3. För publicister som snabbt behöver bli compliant är det en av de snabbaste vägarna från installation till samtyckesinsamling i certifieringsklass.