Skip to main content
Blog
Blog Attacks

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

Jun 20, 2026 12 min read
Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

De meest voorkomende reactie die ik van functionarissen voor gegevensbescherming hoor wanneer het onderwerp van niet-geautoriseerde pixels ter sprake komt, is: "We hebben een CMP, dus we zijn gedekt." In de praktijk dekt een toestemmingsbeheerplatform alleen de hulpmiddelen die eraan zijn gedeclareerd. Wanneer we cside inzetten bij een gelicentieerde operator, vinden we routinematig pixel-activaties waarvan de CMP geen record heeft, vaak omdat ze zijn aangekomen via een affiliate-script of een GTM-containerconfiguratie die dateert van vóór de huidige nalevingsstack. De functionaris voor gegevensbescherming ontdekt dit doorgaans wanneer we hen een live sessietrace laten zien, niet daarvoor.

Gelicentieerde gokoperators kunnen niet adverteren op Facebook, TikTok, Instagram of LinkedIn. Het advertentiebeleid van alle vier platforms verbiedt gokpromoties zonder expliciete toestemming van het platform, en die toestemming wordt zelden verleend. Wat de meeste operators nog niet volledig hebben doorberekend, is wat er gebeurt wanneer een pixel van een van deze platforms zonder hun medeweten op hun site verschijnt. Het gebeurt vaker dan nalevingsteams zich realiseren: in Q1 2025 detecteerde cside meer dan 300.000 aanvalssignalen op gemonitorde gok- en e-commercesites (elk vertegenwoordigt een afzonderlijk afwijkend gedrag geobserveerd in een echte spelersessie), waarbij niet-geautoriseerde pixel-activaties tot de meest voorkomende bevindingen behoorden. Wanneer dit gebeurt, staat de operator voor twee gelijktijdige problemen die op moeilijk snel op te lossen manieren samenkomen.

Hoe niet-geautoriseerde pixels zonder medeweten van de operator op goksites terechtkomen

Kort antwoord: Niet-geautoriseerde tracking pixels bereiken gokplatformen via vier primaire vectoren: gecompromitteerde affiliate-scripts die code injecteren zonder medeweten van de operator, shadow Google Tag Manager-containers geconfigureerd door marketingteams zonder beveiligingsbeoordeling, verkeerd geconfigureerde toestemmingsbeheerplatformen die tags buiten hun beoogde reikwijdte laden, en supply chain-compromissen die upstream JavaScript-bibliotheken treffen die tegelijkertijd door duizenden sites worden gebruikt.

De aanname die de meeste operators doen, is dat pixels dingen zijn die ze bewust installeren. In de praktijk is het meer voorkomende scenario dat een pixel via een indirecte route aankomt en ongedetecteerd blijft omdat de operator geen runtime-zichtbaarheid heeft in wat er in browsers van spelers wordt uitgevoerd.

De vier hoofdvectoren zijn:

  • Affiliate-scripts: affiliatepartners krijgen een trackingcode die operators op hun sites laden. Wanneer het script van een affiliate wordt gecompromitteerd of een affiliate opzettelijk extra pixels injecteert, draagt het platform van de operator de pixel zonder deze te hebben geïnstalleerd
  • Shadow GTM-containers: marketingteams maken frequent aanvullende Google Tag Manager-containers aan of voegen tags toe aan bestaande containers zonder een beveiligingsbeoordeling. Een pixel die zes maanden geleden door een aannemer is geïnstalleerd, kan nog steeds actief zijn in productie
  • Misconfiguratie van toestemmingsbeheer: CMP's beheren toestemming voor hulpmiddelen die zijn gedeclareerd binnen de toestemmingsstroom. Tags die worden toegevoegd aan een GTM-container nadat de CMP was geconfigureerd, of die volledig buiten de toestemmingslaag worden geladen, worden niet gedekt door het toestemmingsmechanisme
  • Supply chain-compromis: de Polyfill.js supply chain-aanval in juni 2024 trof gelijktijdig meer dan 100.000 sites via een enkele bibliotheekoverneming. Een soortgelijke aanval gericht op een veelgebruikte analyse- of affiliatebibliotheek zou pixels kunnen injecteren in een hele sector zonder dat enige operator een bewuste actie onderneemt

De gemeenschappelijke factor in alle vier vectoren is dat de pixel activeert zonder dat de operator het weet. Gegevens van spelers worden verzonden naar Facebook, TikTok of LinkedIn. De operator is aansprakelijk.

De GDPR-aansprakelijkheid: wat artikelen 5, 28 en 33 betekenen voor pixel-activaties

Kort antwoord: Op grond van GDPR-artikel 5 moeten spelersgegevens worden verwerkt op een rechtmatige, eerlijke en transparante wijze met een geldige wettelijke basis. Een niet-geautoriseerde pixel die spelersgegevens doorgeeft aan een social-mediaplatform heeft geen wettelijke basis. Op grond van artikel 28 is de operator de voor de verwerking verantwoordelijke die aansprakelijk is voor die verwerking. Op grond van artikel 33, als de pixel-activatie een datalek vormt, heeft de operator 72 uur om de toezichthoudende autoriteit te informeren, ongeacht of ze de pixel hebben geïnstalleerd.

GDPR biedt geen "ik wist er niets van"-verdediging voor verwerkingsverantwoordelijken. De verordening stelt verantwoording als fundamenteel principe: operators zijn verantwoordelijk voor het aantonen dat alle verwerking van persoonsgegevens op hun platformen rechtmatig, gedocumenteerd en gecontroleerd is.

Dit toepassen op een scenario met een niet-geautoriseerde pixel:

Artikel 5 vereist dat persoonsgegevens rechtmatig worden verwerkt en voor gespecificeerde, expliciete en legitieme doeleinden. Een pixel die spelersgegevens doorgeeft aan Facebook dient de advertentieoptimalisatiedoeleinden van Facebook, niet de legitieme belangen van de operator als gelicentieerde gokoperator. Er is geen plausibele wettelijke basis voor die overdracht. Op toestemming kan geen beroep worden gedaan omdat de pixel niet in de toestemmingsstroom staat. Op gerechtvaardigde belangen kan geen beroep worden gedaan omdat de operator niet wist dat de pixel er was en de proportionaliteit ervan niet kan hebben beoordeeld.

Artikel 28 maakt de operator tot verwerkingsverantwoordelijke die ervoor moet zorgen dat elke derde partij die gegevens op zijn platform verwerkt, een gedocumenteerde Gegevensverwerkingsovereenkomst heeft. Er is geen GVO die een niet-geautoriseerde pixel dekt. De structurele schending bestaat onafhankelijk van de veroorzaakte schade.

Artikel 33 vereist melding aan de toezichthoudende autoriteit binnen 72 uur nadat de operator zich bewust wordt van een inbreuk op persoonsgegevens. Of een niet-geautoriseerde pixel een inbreuk vormt, hangt ervan af of deze heeft geresulteerd in het zonder toestemming verzenden van persoonsgegevens, en het antwoord is in de meeste gevallen ja. De £20 miljoen boete van de UK ICO aan British Airways biedt het duidelijkste precedent: scripts van derden die klantgegevens van de website van een bedrijf oogsten, werden beschouwd als de aansprakelijkheid van het bedrijf, en het niet detecteren en voorkomen van het oogsten was zelf de regelgevingsfout.

De aansprakelijkheid voor advertentiebeleid: waarom platformboetes het probleem verergeren

Kort antwoord: Facebook, TikTok, Instagram en LinkedIn verbieden gokadvertising onder hun platformbeleid. Wanneer een pixel van een van deze platforms activeert op een goksite, creëert dit een activiteitenrecord dat het gokdomein koppelt aan het platformaccount. Zelfs als de operator nooit opzettelijk op deze platforms heeft geadverteerd, kan de pixel-activiteit worden gedetecteerd en gebruikt als grond voor het opschorten van de advertentieaccounts van de operator, het op een zwarte lijst plaatsen van hun domein, of het triggeren van een beleidscontrole.

Dit is de tweede, vaak over het hoofd geziene dimensie van het dubbele aansprakelijkheidsprobleem. GDPR-handhaving is het meer besproken risico. Het risico voor advertentiebeleid is directer en kan directe commerciële gevolgen hebben.

De mechanica van het risico zijn als volgt. Wanneer een pixel activeert op een goksite, stuurt deze een gebeurtenis naar het geassocieerde advertentieaccount. Als dat account toebehoort aan de gokoperator, zelfs als het nooit is gebruikt voor gokadvertising, kan het platform de pixelplaatsing op een gokdomein detecteren. Dit kan resulteren in:

  • Opschorting van het advertentieaccount dat is geassocieerd met de pixel
  • Domein-niveau zwarte lijst die toekomstig gebruik van het platform door de operator of hun affiliates verhindert
  • Beleidscontrole die andere producten of accounts beïnvloedt die zijn gekoppeld aan dezelfde bedrijfsentiteit
  • Gebruik van de pixel-activiteit als bewijs in handhavingsprocedures voor platformbeleid

Als de pixel niet toebehoort aan de operator, verschuift het risicoprofiel: de pixel behoort toe aan een affiliate, een gecompromitteerde leverancier of een onbekende derde partij. In dit scenario is de GDPR-aansprakelijkheid van de operator hetzelfde (ze zijn verantwoordelijk voor alle verwerking op hun domein), maar het risico voor advertentiebeleid kan elders worden gericht. Het domein van de operator is nu echter geassocieerd met pixel-activiteit van een account dat ze niet kunnen controleren, wat zijn eigen complicaties creëert.

Het samengestelde probleem is dat beide aansprakelijkheden gelijktijdig aan de oppervlakte komen. Terwijl het nalevingsteam de GDPR-inbreukmelding en de betrokkenheid van de ICO beheert, ontdekt het marketingteam dat advertentieaccounts zijn opgeschort of domeinen zijn gemarkeerd. Het oplossen van het ene lost het andere niet automatisch op, en de processen daarvoor omvatten verschillende toezichthouders, verschillende tijdlijnen en verschillende interne belanghebbenden.

Waarom toestemmingsbeheerplatformen dit niet onderscheppen

Kort antwoord: Toestemmingsbeheerplatformen beheren toestemming voor de hulpmiddelen die zijn gedeclareerd binnen de toestemmingslaag. Ze detecteren of blokkeren geen scripts die buiten de toestemmingsstroom worden geïnjecteerd, worden toegevoegd aan tagbeheersystemen na CMP-configuratie, of worden geladen via gecompromitteerde leveranciersscripts. Een pixel die aankomt via een supply chain-compromis of een niet-gedeclareerde GTM-tag, activeert ongeacht of de speler toestemming heeft gegeven voor iets.

Dit is een kritische misvatting in de manier waarop veel nalevingsteams denken over hun gegevensverwerkingsverplichtingen. Een CMP is een toestemmingsinterface, geen scriptinventarisatie of runtime-monitor. Het kan alleen beheren wat eraan is gedeclareerd.

Een CMP onderschept niet:

  • Pixels die worden geïnjecteerd door een gecompromitteerd affiliate-script dat onafhankelijk van de toestemmingslaag wordt geladen
  • Tags die aan een GTM-container worden toegevoegd door een teamlid dat de CMP-configuratie niet heeft bijgewerkt
  • Scripts die conditioneel activeren, bijvoorbeeld voor spelers in bepaalde geografische regio's, op bepaalde tijdstippen van de dag, of na specifieke acties
  • Supply chain-compromissen in upstream bibliotheken die pixelcode tijdens runtime injecteren zonder de URL of bestandshash van het hostscript te wijzigen

De Polyfill.js-compromis is hier instructief. De aanval wijzigde het gedrag van een JavaScript-bibliotheek die al was geladen, toegestaan en in sommige gevallen gedeclareerd in de toestemmingslaag. Geen CMP zou het hebben gemarkeerd omdat de oorsprong en gedeclareerde functie van het script niet waren veranderd. Het kwaadaardige gedrag werd tijdens runtime toegevoegd door de gecompromitteerde versie van de bibliotheek.

Voor gokoperators, waarbij enige niet-geautoriseerde gegevensverwerking zowel GDPR- als advertentiebeleidrisico's creëert, is een CMP alleen niet voldoende. De vraag is niet alleen "heeft de speler toestemming gegeven voor dit hulpmiddel?" maar "doet dit hulpmiddel alleen wat het is gedeclareerd te doen, en is het het enige hulpmiddel dat in deze sessie actief is?"

Hoe cside elke pixel-activatie detecteert en koppelt aan de gegevensbestemming

Kort antwoord: cside instrumenteert 100% van echte spelersessies in de browser en observeert elk netwerkaanzoek van elk script dat op de pagina wordt uitgevoerd. Het detecteert pixel-activaties, inclusief die van Facebook, TikTok, LinkedIn en andere platforms, ongeacht of ze verschijnen in de toestemmingsstroom, het tagbeheersysteem of de scriptinventarisatie van de operator. Elke pixel-activatie wordt gekoppeld aan de bestemming, voorzien van een tijdstempel en geregistreerd als nalevingsbewijs.

De uitdaging met niet-geautoriseerde pixels is dat ze zijn ontworpen om niet te worden opgemerkt. Het zijn een paar regels JavaScript die een uitgaand netwerkaanzoek doen. Zonder runtime-monitoring zijn ze onzichtbaar.

cside pakt dit aan door de uitvoeringslaag te instrumenteren:

  • Elk script dat wordt geladen op spelergerichte pagina's wordt geïdentificeerd in echte sessies, inclusief scripts die dynamisch, conditioneel of via geneste scriptaanroepen worden geladen
  • Elk uitgaand netwerkaanzoek wordt vastgelegd en gekoppeld aan de bestemming, inclusief pixel-eindpunten voor Facebook (facebook.com/tr), TikTok (analytics.tiktok.com), LinkedIn (px.ads.linkedin.com) en andere
  • Pixel-activaties worden kruislings gecontroleerd aan de hand van de gedeclareerde toestemmingsconfiguratie van de operator om activaties te identificeren die plaatsvinden buiten de toestemmingsstroom of van bronnen die niet in de scriptinventarisatie staan
  • Waarschuwingen worden geactiveerd voor elke niet-gedeclareerde pixel-activatie met sessiecontext, tijdstempel en bestemmingskoppeling
  • Per-leverancier machtigingsprofielen stellen operators in staat de Payment Request API en cookie-schrijftoegang voor pixel- en analyseleveranciers op browserniveau te blokkeren; deze handhaving blijft van kracht zelfs als de code van de leverancier later wordt gecompromitteerd, zodat een gekaapt analysescript geen toegang kan krijgen tot betalingsvelden of tracking cookies kan instellen, ongeacht wat zijn code probeert te doen

Dit biedt FG's en nalevingsteams het bewijs dat ze nodig hebben om aan te tonen dat monitoring aanwezig is, om incidenten te onderzoeken wanneer ze zich voordoen, en om documentatie te produceren voor ICO-onderzoeken of meldingen aan toezichthoudende autoriteiten over inbreuken.

In tegenstelling tot netwerklaaghulpmiddelen, die verkeer aan de perimeter monitoren maar de context waarin een pixel is geactiveerd niet kunnen zien, of CMP's, die gedeclareerde hulpmiddelen beheren maar niet-gedeclareerde hulpmiddelen niet kunnen detecteren, werkt cside waar de gegevens daadwerkelijk worden verwerkt: in de browser, in de sessie van de speler.

Bij één implementatie bij een EU-gelicentieerde iGaming-operator (operatorgegevens geanonimiseerd) detecteerde cside een TikTok-pixel die activeerde op de registratie- en stortingsbevestigingspagina's van de operator. De pixel was geïnjecteerd door een affiliatepartnerscript dat conditioneel werd geladen voor spelers die via een specifieke verkeersbron werden doorverwezen. De CMP van de operator had er geen record van. De pixel had gedurende een onbekende periode geactiveerd. Eenmaal geïdentificeerd, kon de operator het affiliate-script isoleren, de omvang van de verzonden gegevens berekenen en een voorlopige meldingsbeoordeling voor hun toezichthoudende autoriteit produceren binnen 24 uur. Die snelle doorlooptijd was alleen haalbaar omdat de cside-sessielogboeken een nauwkeurig record gaven van wanneer de pixel voor het eerst verscheen en hoeveel sessies deze had beïnvloed.

Voor operators die het dubbele aansprakelijkheidsrisico van GDPR-handhaving en advertentieplatformboetes beheren, is realtime pixeldetectie het mechanisme dat zowel de kans op ongedetecteerde blootstelling als de tijd-tot-bewustwording vermindert wanneer een incident zich voordoet.

DetectiemethodeDetecteert gedeclareerde pixelsDetecteert niet-gedeclareerde pixelsBewijsspoor voor ICO
ToestemmingsbeheerplatformJaNeeGedeeltelijk: alleen toestemmingsrecords
Audit van tagbeheerJa (op audittijdstip)NeeNee: alleen momentopname
NetwerklaaghulpmiddelGedeeltelijkGedeeltelijk: geen contextNee: geen sessiekoppeling
cside runtime-monitoringJaJaJa: tijdgestempelde sessielogboeken

Wat u nu kunt doen

Als uw organisatie een goklicentie heeft en u momenteel geen runtime-monitoring heeft van pixel-activiteit in spelersessies, is het startpunt het begrijpen van wat er daadwerkelijk activeert. De Privacy Watch-oplossing van cside biedt een volledige pixelinventarisatie vanuit echte spelersessies, kruislings gecontroleerd aan de hand van uw toestemmingsconfiguratie, met waarschuwingen voor elke niet-gedeclareerde bestemming. Voor FG's die inbreukmeldings-verplichtingen beheren onder GDPR-artikel 33, zijn de sessielogboeken die cside genereert de basis voor een geloofwaardige indiening bij de toezichthoudende autoriteit. De client-side beveiligingsmogelijkheid pakt de upstream-compromisvectoren aan die CMP's en netwerkhulpmiddelen niet kunnen bereiken.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Ja. Op grond van GDPR-artikelen 5 en 28 zijn operators verantwoordelijk voor alle gegevensverwerking die plaatsvindt op hun domein, inclusief verwerking door scripts van derden die ze niet opzettelijk hebben geïnstalleerd. De £20 miljoen boete van de ICO aan British Airways stelde vast dat het oogsten van gegevens op browserniveau door aanvallers de aansprakelijkheid is van de websiteoperator, niet uitsluitend van de aanvaller.

Een gedeclareerde pixel is er een die de operator heeft beoordeeld, gedocumenteerd en opgenomen in hun toestemmingsbeheerframework met een passende wettelijke basis. Een niet-geautoriseerde pixel is er een die activeert zonder te zijn gedeclareerd, zonder een gedocumenteerde wettelijke basis, en zonder een Gegevensverwerkingsovereenkomst met het ontvangende platform. De GDPR-schending bestaat ongeacht of de pixel kwaadwillig is geïnjecteerd of via een configuratiefout is aangekomen.

Nee. CMP's beheren het laden van hulpmiddelen die zijn gedeclareerd binnen de toestemmingsconfiguratie. Scripts die worden geïnjecteerd via gecompromitteerde affiliate-code, niet-gedeclareerde GTM-tags of supply chain-compromissen worden onafhankelijk van de CMP geladen en activeren ongeacht de toestemmingskeuzes van de speler. Het detecteren van niet-gedeclareerde pixels vereist runtime-monitoring van daadwerkelijke scriptuitvoering.

De onmiddellijke stappen zijn: de pixel uitschakelen of het script dat de pixel injecteert isoleren; beoordelen welke spelersgegevens zijn verzonden en naar welke bestemming; bepalen of de overdracht een inbreuk op persoonsgegevens vormt onder GDPR-artikel 33; indien dat zo is, de relevante toezichthoudende autoriteit binnen 72 uur op de hoogte stellen; de tijdlijn, omvang en herstelstappen documenteren; en de scriptinventarisatie en toestemmingsconfiguratie beoordelen om herhaling te voorkomen.

GDPR-aansprakelijkheid is regelgevend: de ICO of relevante toezichthoudende autoriteit kan onderzoeken, boetes opleggen en herstelmaatregelen vereisen. Aansprakelijkheid voor advertentieplatforms is contractueel en commercieel: het platform kan advertentieaccounts opschorten, domeinen op een zwarte lijst plaatsen en toekomstige toegang beperken. Beide aansprakelijkheden manifesteren zich gelijktijdig wanneer een niet-geautoriseerde pixel wordt ontdekt, en het oplossen van de ene lost de andere niet automatisch op. Juridische, nalevings- en marketingteams moeten er allemaal bij betrokken zijn vanaf het moment van ontdekking.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Boek een demo
Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics
Related Articles
Boek een demo