Privacy-engineering:meetzondercookies,converteerzonderboetes

De AVG-boetes overschreden de 7.100 M EUR cumulatief. Ad blockers treffen 30-40 % van uw verkeer. Client-side tracking is kapot. Wij implementeren server-side tracking, CMP's en privacy-first analytics zodat u blijft meten zonder afhankelijk te zijn van third-party cookies.

7.100 M EUR Cumulatieve AVG-boetes
30-40 % Verkeer met ad blockers
Compliance auditen Diensten bekijken
Scroll

Privacy engineering diensten

Technische implementatie, geen juridisch advies.

CMP-configuratie: implementatie en parametrisering van CookieBot, Didomi of OneTrust. Consent Mode v2 geintegreerd met GTM.
Server-side GTM: servercontainer op Stape of Google Cloud. First-party cookies vanaf uw eigen domein. Bypass van ad blockers zonder de privacy te schenden.
Privacy-first analytics: implementatie van Matomo, Plausible of Piwik Pro als alternatief of aanvulling op GA4.
First-party data-architectuur: ontwerp van een eigen data layer, directe capture op uw server, minder afhankelijkheid van derden.
Conversion APIs: Meta CAPI, TikTok Events API, Google Ads Enhanced Conversions. Server-to-server verzending zonder client-side pixels.
Technische privacy-audits: scan van cookies, scripts van derden, grensoverschrijdende datastromen en AVG-lekken.

Deliverables van de dienst

Wat u ontvangt bij elk privacy engineering project.

  • Technische privacy-audit (rapport van 20+ pagina's)
  • CMP-implementatie met Consent Mode v2
  • GTM Server-Side container op eigen subdomein
  • Configuratie van Conversion APIs (Meta CAPI, TikTok, Google)
  • Compliance-dashboard in Looker Studio
  • Technische documentatie voor DPO
  • Training voor uw marketing- en datateam
  • Maandelijkse monitoring van cookies en scripts (optioneel)

Client-side vs server-side tracking

Waarom klassieke tracking kapot is in 2026.

Client-side tracking vertrouwt op JavaScript in de browser: ad blockers verwijderen het, Safari ITP beperkt cookies tot 7 dagen en gebruikers weigeren toestemming. Server-side tracking stuurt data vanaf uw server: het is niet afhankelijk van de browser, gebruikt first-party cookies en u bepaalt precies wat er met derden wordt gedeeld. Het is de basis van elke serieuze meetstrategie na cookies.

gtm-server/privacy-config.yaml
# Server-side GTM — Stape
container:
type: server
domain: track.uwdomein.nl
consent_mode: v2
cookies: first_party_only
endpoints:
- ga4_measurement_protocol
- meta_capi
- tiktok_events_api
First-party Cookies
Bypass Ad blockers
Conform AVG

Voor de CEO

De werkelijke kosten van non-compliance.

AVG-boetes bereikten 1.200 M EUR in 2025, waarmee het totaal op 7.100 M EUR komt sinds 2018. Maar de boete is niet het grootste risico: het verlies van data is dat. Als 30-40 % van uw verkeer ad blockers gebruikt en uw tracking client-side is, neemt u investeringsbeslissingen op basis van onvolledige gegevens.

De markt voor privacydiensten groeit 12,2 % per jaar (van 4.500 M USD in 2024 naar 12.200 M USD in 2033). Bedrijven die privacy-first implementeren vermijden niet alleen sancties: ze winnen data terug die ze verloren en bouwen vertrouwen op bij hun klanten.

Reeel voorbeeld uit de sector: een bureau van 12 personen voegde privacy-retainers toe van 300 USD/maand bij 85 klanten = 306.000 USD aan jaarlijks terugkerende omzet. Privacy is geen kostenpost, het is een waardevol dienstenaanbod.

1.200 M EUR AVG-boetes in 2025
12,2 % CAGR privacymarkt
+35 % Data teruggewonnen met server-side

Voor de CTO

Technische privacy-architectuur.

Server-side GTM via Stape of Google Cloud Run: de container draait op uw infrastructuur, data raakt nooit servers van derden voordat u die filtert. First-party cookies geserveerd vanaf een eigen subdomein (track.uwdomein.nl), immuun voor ITP en ad blockers.

Consent Mode v2 geintegreerd: wanneer de gebruiker cookies weigert, activeert GA4 statistisch modelleren om conversies te schatten zonder individuele gegevens. De Conversion APIs (Meta CAPI, TikTok Events API) verzenden events server-to-server, waardoor de afhankelijkheid van JavaScript-pixels verdwijnt.

Voor omgevingen waar GA4 niet haalbaar is vanwege VS-transfers implementeren wij Matomo (self-hosted, data in de EU), Plausible (SaaS, lichtgewicht, zonder cookies) of Piwik Pro (enterprise, DPA inbegrepen). Allemaal met bidirectionele integratie met uw marketingstack.

Is het voor u?

Privacy engineering is zinvol als u paid media inzet in de EU of afhankelijk bent van data voor marketingbeslissingen.

Voor wie

  • Bedrijven met actieve paid media (Google Ads, Meta, TikTok) die data verliezen door ad blockers.
  • E-commerce of SaaS die nauwkeurige conversieattributie nodig hebben met AVG-compliance.
  • Organisaties met strenge compliance-eisen (DPO, audits, gereguleerde sector).
  • Teams die willen migreren van GA4 naar analytics gehost in de EU.
  • Bedrijven die al waarschuwingen van DPA's hebben ontvangen of zich willen voorbereiden.

Voor wie niet

  • Websites met zeer weinig verkeer waar basis GA4 met Consent Mode volstaat.
  • Bedrijven die geen paid media inzetten en niet afhankelijk zijn van tracking voor beslissingen.
  • Organisaties die juridisch advies zoeken (wij zijn ingenieurs, geen juristen).
  • Bedrijven zonder budget voor server-side infrastructuur (minimaal 20-100 EUR/maand).
  • Als uw enige vereiste een cookie-banner is, heeft u geen privacy engineering nodig.

Implementatiediensten

Vijf gebieden waarop wij actief zijn.

01

CMP-implementatie

Volledige configuratie van CookieBot, Didomi of OneTrust. Categorisering van cookies, aangepaste juridische teksten, integratie met GTM en Consent Mode v2. A/B-tests van acceptatiepercentages om data te maximaliseren zonder de norm te schenden.

02

Migratie naar server-side tracking

GTM Server-Side container op Stape of Google Cloud. Configuratie van eigen subdomeinen, server-side tags voor GA4, Google Ads en Meta. First-party cookies met gecontroleerde levensduur. Terugwinning van 30-40 % verloren data.

03

Cookieloze analytics

Implementatie van Matomo, Plausible of Piwik Pro als alternatief of aanvulling op GA4. Self-hosted op EU-servers. Vergelijkbare dashboards. Migratie van doelen en segmenten. Geen internationale datatransfers.

04

Conversion APIs

Implementatie van Meta CAPI, TikTok Events API en Enhanced Conversions van Google. Server-to-server verzending van aankoop-, lead- en registratie-events. Deduplicatie met client-side events. Verbetering van match rate.

05

Audit en doorlopende monitoring

Geautomatiseerde scan van cookies en scripts van derden. Maandelijks compliance-rapport. Vroegtijdige waarschuwing bij regelgevende wijzigingen. Beoordeling van grensoverschrijdende datastromen. Documentatie voor DPO.

Implementatieproces

Van audit tot compliance in 4-8 weken.

01

Technische privacy-audit

Scan van cookies, scripts van derden, datastromen en huidige toestemmingsconfiguratie. Rapport met AVG-lekken en correctieprioriteiten.

02

Server-side migratie en CMP

Implementatie van de server-side container, CMP-configuratie, Consent Mode v2 en first-party cookies. Periode van dubbele tracking voor datavalidatie.

03

Conversion APIs en alternatieve analytics

Configuratie van Meta CAPI, TikTok Events API, Enhanced Conversions. Indien van toepassing, implementatie van Matomo of Plausible. Transitiedashboards.

04

Validatie, documentatie en monitoring

Validatie van data-integriteit. Technische documentatie voor DPO. Configuratie van alerts en geautomatiseerde cookiescan.

Risicobeperking

Transparantie over wat mis kan gaan.

Dataverlies tijdens migratie naar server-side

Oplossing:

Verplichte periode van dubbele tracking (client + server) gedurende 2-4 weken. Kruisvalidatie van events voordat client-side wordt uitgeschakeld.

Laag toestemmingspercentage dat beschikbare data vermindert

Oplossing:

A/B-tests van toestemmingsbanners om acceptatie te maximaliseren. Consent Mode v2 activeert statistisch modelleren voor gebruikers die weigeren.

Regelgevende wijziging die de configuratie ongeldig maakt

Oplossing:

Doorlopende monitoring van Europese DPA's. Modulaire architectuur die aanpassing mogelijk maakt zonder herbouw. Alerts bij normatieve wijzigingen.

Incompatibiliteit met paid media platformen

Oplossing:

De Conversion APIs zijn de officiele standaard van Meta, TikTok en Google. Server-side verbetert de match rate, het verslechtert deze niet.

Onverwachte kosten voor server-side infrastructuur

Oplossing:

Gedetailleerde kostenschatting vooraf. Typisch 20-100 EUR/maand op Stape of Cloud Run. Automatisch schalen op basis van verkeer.

Privacy die data genereert, niet vernietigt

Wij implementeren server-side tracking en CMP's al langer dan de trend bestaat. Elk project begint met een technische audit, niet met een generieke checklist. Wij integreren privacy in de data-architectuur, niet als een lapmiddel op het laatste moment.

Data teruggewonnen met server-side 35 %
Gemiddeld toestemmingspercentage 82 %
AVG-compliance 100 %

Waarom investeren in privacy engineering

Data die de beslissing rechtvaardigen.

Boetes vermeden: 1.200 M EUR opgelegd alleen al in 2025. Preventie kost een fractie.
Data teruggewonnen: server-side wint 30-40 % van de conversies terug die ad blockers blokkeren.
Geen lock-in: de infrastructuur is van u, de dashboards zijn van u.
Groeiende markt: van 4.500 M USD (2024) naar 12.200 M USD (2033). CAGR 12,2 %.

Veelgestelde vragen

Wat onze klanten vragen voordat ze starten.

Is het legaal om GA4 te gebruiken in de Europese Unie?

Dat hangt af van de implementatie. Meerdere Europese DPA's (Oostenrijk, Frankrijk, Italie) oordeelden dat GA4 met standaardconfiguratie de AVG schendt door datatransfers naar de VS. Met server-side tracking en IP-anonimisatie voordat data naar Google wordt gestuurd, kunt u compliant zijn. Alternatief: Matomo of Piwik Pro self-hosted in de EU.

Wat is server-side tracking precies?

In plaats van dat de browser van de gebruiker data rechtstreeks naar GA4, Meta, enz. stuurt, worden de data eerst naar uw eigen server (GTM Server-Side container) gestuurd. Vanaf daar stuurt uw server alleen de data door die u bepaalt naar elk platform. Voordelen: bypass van ad blockers, first-party cookies, volledige controle over data.

Hoeveel kost het implementeren en onderhouden van een CMP?

CMP-licenties varieren van 0 EUR (CookieBot gratis, tot 100 pagina's) tot 300-600 EUR/maand (OneTrust, Didomi enterprise). De technische implementatie (integratie met GTM, Consent Mode v2, cookiecategorisering) is een eenmalig project van 2-3 weken. Het onderhoud is minimaal als de scan geautomatiseerd is.

Matomo vs GA4: wat past het beste?

GA4: gratis, krachtig in attributiemodellering, native integratie met Google Ads. Risico: VS-transfers. Matomo: self-hosted in de EU, geen risico op transfers, 100 % van u. Nadeel: minder native integraties, vereist een eigen server. Wij raden Matomo aan als de DPA van uw land GA4 al heeft gesanctioneerd, of als uw sector bijzonder gereguleerd is.

Beinvloedt server-side tracking de prestaties van mijn website?

Het verbetert ze. Met server-side reduceert u JavaScript-scripts in de browser (minder client-side tags). De servercontainer verwerkt de data buiten de browser van de gebruiker. Doorgaans zien wij verbeteringen van 200-500 ms in Time to Interactive bij migratie van zware tags naar server-side.

Welke AVG-boetes gelden voor mijn sector?

De boetes zijn proportioneel: tot 4 % van de jaarlijkse wereldwijde omzet of 20 M EUR, afhankelijk van wat hoger is. In 2025 werden de hoogste sancties opgelegd in technologie, telecom en financiele dienstverlening. Maar elk bedrijf dat persoonsgegevens van EU-inwoners verwerkt, valt onder de AVG, ongeacht omvang of sector.

Hoe meet ik conversies zonder third-party cookies?

Drie gecombineerde strategieen: Consent Mode v2 (statistisch modelleren van conversies voor gebruikers zonder toestemming), Conversion APIs (server-to-server verzending van events naar Meta/Google/TikTok), en first-party data (directe capture van e-mails, gebruikers-ID's). Het resultaat is volledige meting zonder afhankelijkheid van third-party cookies.

Hoe lang duurt de volledige implementatie?

CMP + Consent Mode v2: 2-3 weken. Server-side GTM toevoegen: 4-6 weken. Volledige implementatie met Conversion APIs, alternatieve analytics en documentatie: 6-8 weken. Elke fase is onafhankelijk functioneel, zodat u vanaf week 2 waarde ontvangt.

Voldoet uw tracking aan de AVG?

Gratis technische privacy-audit. Wij scannen cookies, scripts van derden en datastromen. Rapport met lekken en prioriteiten binnen 48 uur. Zonder verplichting.

Privacy-audit aanvragen
Vrijblijvend Antwoord binnen 24u Voorstel op maat
Laatst bijgewerkt: februari 2026

Technische
initiële audit.

AI, beveiliging en prestaties. Diagnose met gefaseerd voorstel.

NDA beschikbaar
Antwoord <24u
Gefaseerd voorstel

Je eerste gesprek is met een Solutions Architect, niet met een verkoper.

Diagnose aanvragen