Tracking pixels (ook wel conversion pixels of tags genoemd) zijn kleine codefragmenten die diensten zoals Facebook, LinkedIn, TikTok, Pinterest en Twitter op uw site insluiten om bezoekersgedrag te volgen. Onder GDPR is het laden van deze pixels zonder expliciete toestemming van de gebruiker een overtreding, zelfs als de gebruiker er nooit mee interacteert. Deze gids behandelt hoe u tracking pixels op uw WordPress-site vindt, de juridische risico's begrijpt en ze ofwel volledig verwijdert ofwel achter een correcte toestemmingsmuur plaatst.
Hoe tracking pixels werken op WordPress-sites
Elke tracking pixel is een klein stukje JavaScript of een onzichtbare 1x1-afbeelding die een HTTP-verzoek naar een externe server stuurt op het moment dat een pagina laadt. Hier is wat de grote platforms achter de schermen doen:
- Facebook Pixel (Meta Pixel): Laadt de
fbevents.js-bibliotheek vanafconnect.facebook.net. Het volgt paginaweergaven, knopkliks, formulierinzendingen en aankoopgebeurtenissen. Facebook gebruikt deze gegevens om advertentiegehoren op te bouwen en advertentieconversies te meten. De pixel plaatst ook de cookie_fbpmet een unieke browser-identifier. - LinkedIn Insight Tag: Laadt JavaScript vanaf
snap.licdn.com. Het verzamelt de pagina-URL, referrer, IP-adres, apparaat- en browserkenmerken en een tijdstempel. LinkedIn gebruikt dit om conversiestatistieken te rapporteren en website-retargeting voor LinkedIn Ads mogelijk te maken. Het plaatst de cookiesli_sugrenUserMatchHistory. - TikTok Pixel: Laadt vanaf
analytics.tiktok.com. Het registreert paginaweergavegebeurtenissen, klikgebeurtenissen en aangepaste conversiegebeurtenissen. TikTok gebruikt de gegevens voor advertentieoptimalisatie en doelgroepopbouw. De pixel plaatst de cookie_ttp. - Twitter/X Pixel: Laadt vanaf
static.ads-twitter.com. Het volgt conversies van Twitter-advertenties, inclusief paginaweergaven en specifieke door u gedefinieerde gebeurtenissen. Het plaatst cookies zoalsmuc_adsenpersonalization_id. - Pinterest Tag: Laadt vanaf
ct.pinterest.com. Het meet acties die bezoekers ondernemen na het zien van een Pinterest Pin, zoals paginabezoeken, aanmeldingen en aankopen. Het plaatst de cookie_pinterest_sess. - Snapchat Pixel: Laadt vanaf
sc-static.net. Net als andere pixels volgt het paginaweergaven en aangepaste gebeurtenissen voor Snap Ads-optimalisatie. - Google Ads Remarketing Tag: Hoewel niet altijd een "pixel" genoemd, werkt deze tag van
googleads.g.doubleclick.netidentiek. Het volgt bezoekers voor Google Ads-remarketingdoelgroepen.
Al deze pixels delen een gemeenschappelijk patroon: ze laden externe JavaScript, plaatsen cookies en verzenden persoonlijke gegevens (IP-adres, browser-fingerprint, surfgedrag) naar servers buiten de EU. Vanuit GDPR-perspectief vereist elk van deze expliciete, geïnformeerde toestemming voordat het wordt geladen.
Waarom tracking pixels GDPR schenden zonder toestemming
De GDPR en de ePrivacy-richtlijn creëren verschillende juridische problemen met tracking pixels die zonder toestemming worden geladen:
- Cookies plaatsen zonder toestemming: Artikel 5(3) van de ePrivacy-richtlijn vereist toestemming voordat informatie op het apparaat van een gebruiker wordt opgeslagen of geopend. Tracking pixels plaatsen onmiddellijk cookies bij het laden van de pagina, voordat de gebruiker enige kans heeft gehad om toestemming te geven.
- Gegevensoverdracht naar derde landen: De meeste aanbieders van tracking pixels zijn Amerikaanse bedrijven. Sinds de Schrems II-uitspraak het EU-VS Privacy Shield ongeldig verklaarde, vereisen gegevensoverdrachten naar de VS aanvullende waarborgen. Het simpele laden van een pixel die gegevens naar Facebook- of Google-servers in de VS stuurt, kan al een overdrachtsschending zijn.
- Geen gerechtvaardigd belang voor advertentietracking: Rechtbanken en gegevensbeschermingsautoriteiten in de EU hebben consistent geoordeeld dat advertentie- en retargeting niet kwalificeren als "gerechtvaardigd belang" onder Artikel 6(1)(f) GDPR. U heeft expliciete toestemming nodig (Artikel 6(1)(a)).
- Gebrek aan transparantie: Veel site-eigenaren weten niet eens dat tracking pixels op hun site aanwezig zijn. Plug-ins, thema's en widgets van derden injecteren ze vaak stilzwijgend. Dit maakt het onmogelijk om de transparantie te bieden die wordt vereist door Artikelen 13 en 14 GDPR.
De boetes voor deze overtredingen zijn reëel. Europese gegevensbeschermingsautoriteiten hebben aanzienlijke boetes opgelegd voor websites die tracking pixels zonder toestemming laden, met de Franse CNIL en de Oostenrijkse DSB die de leiding nemen in handhavingsacties.
Waar tracking pixels zich verbergen in WordPress
Een van de grootste uitdagingen is simpelweg het vinden van alle tracking pixels op uw site. Ze kunnen vanuit veel verschillende plekken worden geïnjecteerd:
- Speciale pixel-plug-ins: Plug-ins zoals "PixelYourSite", "Facebook for WooCommerce", "Insert Headers and Footers" of "Head, Footer and Post Injections" zijn ontworpen om trackingcodes te injecteren. Controleer uw lijst met geïnstalleerde plug-ins op alles wat met tracking, analytics of advertenties te maken heeft.
- Thema-instellingen: Veel premium thema's bevatten velden voor tracking pixel-ID's rechtstreeks in hun thema-optiespaneel. Kijk onder de instellingen van uw thema naar velden met de naam "Facebook Pixel ID", "Analytics" of "Tracking Code".
- WooCommerce-extensies: Als u een WooCommerce-winkel runt, injecteren extensies voor Facebook Shop, Pinterest Catalog of TikTok Shopping vaak hun eigen pixels om conversies te volgen. Deze pixels laden op elke pagina, niet alleen op productpagina's.
- Pagebuilder-modules: Sommige pagebuilders (Elementor, Divi, WPBakery) hebben ingebouwde tracking of add-ons van derden die pixels injecteren.
- Google Tag Manager: Als iemand GTM op uw site heeft ingesteld, kunnen er talloze tracking pixels via de container worden geladen zonder enige zichtbare WordPress-plug-in.
- Handmatige code in functions.php: Ontwikkelaars voegen soms tracking pixel-code rechtstreeks toe aan het
functions.php-bestand van het thema of een child-thema. Zoek naarwp_head- ofwp_footer-actiehooks die script-tags uitvoeren. - Plug-ins voor sociale deelfuncties en reacties: Plug-ins die social-sharing-knoppen, reactiesystemen (zoals Disqus) of social-loginfuncties toevoegen, laden vaak trackingscripts van Facebook, Twitter en andere platforms.
- Hardgecodeerd in template-bestanden: In oudere installaties kunnen tracking pixels rechtstreeks in
header.php- offooter.php-templatebestanden zijn geplakt.
Gebruik InspectWP om uw site automatisch te scannen. Het detecteert Facebook Pixel, LinkedIn Insight Tag, TikTok Pixel, Twitter Pixel, Pinterest Tag en vele andere trackingscripts van derden, zelfs wanneer ze diep verstopt zitten in plug-in- of themacode.
Methode 1: Volledige verwijdering van tracking pixels
Als u geen betaalde advertentiecampagnes draait of geen conversietracking nodig heeft, is de eenvoudigste aanpak om alle tracking pixels volledig te verwijderen. Hier is een systematisch proces:
- Audit uw plug-ins: Ga naar Plug-ins > Geïnstalleerde plug-ins in uw WordPress-beheerderspaneel. Zoek naar alles met "pixel", "tracking", "analytics", "tag manager", "facebook", "linkedin", "tiktok" of "pinterest". Deactiveer en verwijder plug-ins die u niet meer nodig heeft.
- Controleer thema-instellingen: Ga naar het optiespaneel van uw thema (meestal onder Weergave > Thema-opties of Aanpassen). Zoek naar velden met pixel-ID's of trackingcodes. Wis die velden en sla op.
- Inspecteer functions.php: Open het
functions.php-bestand van uw child-thema. Zoek naar strings zoalsfbq(,_linkedin_partner_id,ttq.load,twq(ofpintrk(. Verwijder alle tracking-gerelateerde codeblokken. - Controleer header- en footer-injecties: Als u een header/footer-injectie-plug-in gebruikt, ga dan naar de instellingen en verwijder eventuele tracking pixel-scripts.
- Bekijk Google Tag Manager: Als GTM actief is op uw site, log dan in op uw GTM-account en bekijk alle tags in de container. Verwijder tags voor Facebook, LinkedIn, TikTok, Twitter, Pinterest of andere trackingplatforms. Als u GTM alleen voor tracking pixels gebruikte en het niet meer nodig heeft, verwijder dan ook de GTM-plug-in uit WordPress.
- Wis alle caches: Wis na het verwijderen van pixels uw paginacache, CDN-cache en browsercache, om er zeker van te zijn dat de oude in cache opgeslagen pagina's met trackingscripts worden gewist.
Methode 2: Conditioneel laden met een toestemmingsbeheer-plug-in
Als u tracking pixels nodig heeft voor uw advertentiecampagnes, is de juiste aanpak om ze te blokkeren totdat de gebruiker expliciete toestemming geeft. Een Consent Management Platform (CMP) regelt dit voor u:
- Kies een CMP: De populairste WordPress-compatibele CMP's zijn Real Cookie Banner, Complianz, Cookiebot en Borlabs Cookie. Real Cookie Banner en Complianz zijn de populairste keuzes in de Duitstalige markt, terwijl Cookiebot internationaal veel wordt gebruikt.
- Installeer en configureer de CMP: Na installatie scant de plug-in uw site op cookies en trackingscripts. De meeste CMP's detecteren veelvoorkomende pixels automatisch.
- Categoriseer tracking pixels: Wijs alle tracking pixels toe aan de cookiecategorie "Marketing" of "Advertentie". Dit zorgt ervoor dat ze pas worden geladen nadat de gebruiker expliciet voor marketingcookies heeft gekozen. Plaats tracking pixels nooit in de categorie "Essentieel" of "Functioneel", omdat deze zonder toestemming worden geladen.
- Schakel scriptblokkering in: De meeste CMP's bieden twee blokkeringsmethoden. De eerste is automatische scriptblokkering, waarbij de plug-in bekende trackingscripts detecteert en blokkeert. De tweede is handmatige blokkering met behulp van
type="text/plain"-attributen op script-tags, die de CMP na toestemming weer omzet in uitvoerbare JavaScript. - Test de implementatie: Open uw site in een incognitovenster, weiger alle cookies en controleer het tabblad Netwerk in de developer tools van de browser. Er mogen geen verzoeken naar trackingdomeinen zoals
connect.facebook.net,snap.licdn.comofanalytics.tiktok.comgaan. Accepteer vervolgens marketingcookies en verifieer dat de pixels correct laden.
Hier is een voorbeeld van hoe handmatige scriptblokkering werkt met de type-attribuutbenadering:
<!-- Before: pixel loads immediately (GDPR violation) -->
<script>
!function(f,b,e,v,n,t,s){...}(window,document,'script','https://connect.facebook.net/en_US/fbevents.js');
fbq('init', 'YOUR_PIXEL_ID');
fbq('track', 'PageView');
</script>
<!-- After: pixel blocked until consent is given -->
<script type="text/plain" data-cookie-consent="marketing">
!function(f,b,e,v,n,t,s){...}(window,document,'script','https://connect.facebook.net/en_US/fbevents.js');
fbq('init', 'YOUR_PIXEL_ID');
fbq('track', 'PageView');
</script>Methode 3: Google Tag Manager met Consent Mode v2
Als u uw tracking pixels beheert via Google Tag Manager, kunt u Google Consent Mode v2 gebruiken om het laden van pixels af te schermen op basis van gebruikerstoestemming. Dit is de opzet die Google nu vereist voor EU-verkeer:
- Stel de standaard-toestemmingsstatus in: Voeg in uw GTM-container een Consent Initialization-tag toe die de standaard-toestemmingsstatus instelt. Voor EU-bezoekers moeten alle toestemmingsparameters standaard op "denied" staan:
gtag('consent', 'default', {
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'analytics_storage': 'denied',
'region': ['EU']
});- Verbind uw CMP met GTM: De meeste CMP's (Cookiebot, Complianz, Real Cookie Banner) hebben ingebouwde GTM-integraties die de toestemmingssignalen automatisch bijwerken wanneer de gebruiker een keuze maakt.
- Configureer toestemmingsinstellingen voor tags: Ga voor elke tracking pixel-tag in GTM naar de instellingen van de tag en configureer "Consent Settings". Vereist onder "Additional Consent Checks" toestemming voor
ad_storageenad_user_data. Dit voorkomt dat de tag wordt afgevuurd totdat de gebruiker zich aanmeldt. - Schakel Consent Mode in elke tag in: Zorg ervoor dat de Facebook-, LinkedIn-, TikTok- en andere pixel-tags de toestemmingssignalen respecteren. Google's eigen tags doen dit automatisch. Voor tags van derden moet u mogelijk toestemmingsgebaseerde triggers toevoegen.
- Verifieer met GTM Preview Mode: Gebruik de Preview-modus van GTM om uw site te laden. U zou moeten zien dat trackingtags de status "Not Fired" tonen wanneer toestemming wordt geweigerd, en de status "Fired" nadat toestemming is verleend.
Methode 4: Server-side tracking als een GDPR-vriendelijker alternatief
Server-side tracking is een steeds populairder alternatief dat u meer controle geeft over welke gegevens naar derden worden gestuurd. In plaats van een pixel in de browser van de bezoeker te laden, stuurt uw server conversiegegevens rechtstreeks naar de API van het platform:
- Facebook Conversions API: Stuurt gebeurtenissen vanaf uw server naar Facebook in plaats van de browserpixel te gebruiken. U bepaalt precies welke gegevenspunten worden opgenomen. Dit elimineert cookies en JavaScript van derden volledig.
- Google Tag Manager Server-Side: Een server-side GTM-container verwerkt trackinggebeurtenissen op uw eigen server voordat ze worden doorgestuurd. U kunt persoonlijke gegevens verwijderen, IP's anonimiseren en de gegevensstroom beheren.
- LinkedIn Conversions API: Vergelijkbaar met de aanpak van Facebook, stuurt het conversiegebeurtenissen vanaf uw server.
Server-side tracking maakt u niet automatisch GDPR-conform. U heeft nog steeds een rechtsgrondslag nodig voor het verwerken van gegevens, en u moet gebruikers nog steeds informeren. Het vermindert echter de hoeveelheid gegevens die met derden wordt gedeeld en elimineert het probleem dat cookies in de browser worden geplaatst zonder toestemming. Het werkt goed in combinatie met een CMP: de browserpixel laadt alleen na toestemming, terwijl de server-side API de basisconversiemeting afhandelt met geanonimiseerde gegevens.
Veelvoorkomende tracking pixel-domeinen om op te letten
Controleer bij het auditen van uw site op uitgaande verzoeken naar deze domeinen in het tabblad Netwerk van uw browser:
- Facebook/Meta:
connect.facebook.net,www.facebook.com/tr/ - LinkedIn:
snap.licdn.com,px.ads.linkedin.com - TikTok:
analytics.tiktok.com,business-api.tiktok.com - Twitter/X:
static.ads-twitter.com,analytics.twitter.com,t.co - Pinterest:
ct.pinterest.com,s.pinimg.com - Snapchat:
sc-static.net,tr.snapchat.com - Google Ads:
googleads.g.doubleclick.net,www.googleadservices.com
Als een van deze domeinen voorkomt in netwerkverzoeken voordat de gebruiker toestemming heeft gegeven, heeft u een GDPR-probleem dat moet worden opgelost.
Na het verwijderen van tracking pixels: verificatiechecklist
- Voer InspectWP uit: Scan uw site opnieuw om te bevestigen dat alle tracking pixels zijn verwijderd of correct zijn afgeschermd door toestemming. Het GDPR-rapportgedeelte van InspectWP signaleert eventuele resterende trackingscripts van derden.
- Test in incognitomodus: Open uw site in een privé-browservenster. Open de developer tools van de browser voordat u interactie heeft met een toestemmingsbanner en controleer het tabblad Netwerk. Filter op verzoeken naar trackingdomeinen. Er mogen er geen zijn.
- Controleer de cookies: Ga in de developer tools naar Application > Cookies. Er mogen vóór toestemming geen trackingcookies van platforms van derden aanwezig zijn.
- Test toestemmingsstroom: Accepteer de toestemmingsbanner en verifieer dat tracking pixels nu correct laden. Controleer of de pixels in het tabblad Netwerk verschijnen en dat de juiste cookies zijn geplaatst.
- Verifieer op meerdere pagina's: Test niet alleen de homepage. Controleer productpagina's, blogberichten, landingspagina's en elke pagina waar tracking pixels mogelijk specifiek zijn toegevoegd.
- Test met browser-extensies: Tools zoals "Facebook Pixel Helper" (Chrome-extensie) of "Tag Assistant Legacy" kunnen verifiëren dat pixels na toestemming correct laden en niet vóór toestemming.
- Werk uw privacybeleid bij: Als u tracking pixels volledig heeft verwijderd, werk dan uw privacybeleid bij om dit te weerspiegelen. Als u toestemmingsgekoppelde tracking gebruikt, zorg er dan voor dat uw privacybeleid alle trackingdiensten, hun doel, de gegevens die ze verzamelen en de cookielevensduur vermeldt.