Skip to main content
Blog
Blog Attacks

Shadow tracking pixels op goksites: het GDPR- en advertentiecomplianceprobleem dat operators niet kunnen zien

Niet-geautoriseerde Facebook-, TikTok- of LinkedIn-pixels op goksites veroorzaken gelijktijdige GDPR- en advertentieplatformaansprakelijkheid.

Jun 26, 2026 12 min read
Donkere cside-blogcover met een blauwe pixelgolf en een checklist over verborgen trackingpixels en advertentierisico op goksites
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

Gelicentieerde gokoperators weten dat ze niet mogen adverteren op Facebook, TikTok of LinkedIn. Platformbeleid verbiedt gokadvertenties in de meeste jurisdicties zonder specifieke vrijstellingen, en zelfs waar vrijstellingen bestaan, is targeting van toestemmende volwassenen streng gereguleerd. Wat veel operators niet weten is dat pixels van diezelfde platformen al op hun websites kunnen worden gevuurd, geplaatst door affiliate scripts, shadow tag manager-containers of gecompromitteerde marketingtools, zonder hun medeweten of toestemming. In Q1 2025 detecteerde cside meer dan 300.000 aanvalssignalen op gemonitorde sites, waarbij niet-first-party pixel-vuren consequent bij de topkategorieën behoorde. Het IBM Cost of a Data Breach 2024-rapport stelt de wereldwijde gemiddelde kosten van een datalek op $4,88 miljoen, een cijfer dat geen rekening houdt met de schorsingen van advertentieaccounts en regulatoire handhavingsacties die shadow pixels specifiek kunnen activeren voor gokoperators. Dit is niet alleen een beveiligingsprobleem. Het is tegelijkertijd een GDPR-handhavingsrisico en een advertentieplatformcompliancerisico. In mijn samenwerking met gelicentieerde gokoperators heb ik geconstateerd dat shadow pixels vrijwel altijd de compliance-blootstelling zijn waarvoor niemand heeft gepland, geplaatst door scripts waarvan niemand in het beveiligingsteam wist dat ze draaiden.

Hoe shadow pixels goksites bereiken

Kort antwoord: Shadow pixels arriveren op goksites via drie primaire routes: JavaScript van affiliates dat een pixel insluit als onderdeel van zijn trackingstack, shadow GTM-containers toegevoegd door marketing- of bureauteams die social platform pixel-tags bevatten, en supply chain-compromittering van bibliotheken van derden die pixelcode injecteren zonder medeweten van de operator. In elk geval wordt de pixel gevuurd op spelers zonder dat hun toestemming voor dat doel is verzameld.

Het begrijpen van de mechanismen is de eerste stap naar het aanpakken van de aansprakelijkheid. Een shadow pixel wordt niet geplaatst door een geavanceerde aanvaller zoals een Magecart-skimmer. Vaker arriveert hij via routinematige operationele processen die geen beveiligingstoezicht hebben.

De drie meest voorkomende routes voor iGaming-platformen:

  • Affiliate tracking scripts: een affiliate-netwerk levert een JavaScript-snippet die een postback vuurt bij spelersregistratie of -storting. Binnen dat snippet, hetzij expliciet of via een afhankelijkheid die de affiliate insluit, bevindt zich een Facebook Pixel- of TikTok Pixel-aanroep. De pixel vuurt met een niet-first-party pixel-ID, wat betekent dat de gegevens naar een advertentieaccount gaan dat niet van u is. De browsergegevens van de speler, inclusief IP-adres en gedragssignalen, worden naar het platform verzonden.

  • Shadow GTM-containers: zoals elders uitvoerig beschreven, kan een niet-geautoriseerde GTM-container elke tag publiceren, inclusief social platform pixels. Een marketingmanager of bureaumedewerker voegt een container toe aan een of meer casinodomeinen, publiceert een TikTok Pixel-tag erin, en de pixel begint te vuren op alle spelersessies op die domeinen. Beveiliging is buiten de lus.

  • Supply chain-compromittering: een JavaScript-bibliotheek die wordt gebruikt voor sessie-analytics, chat-widgets of A/B-testen wordt gecompromitteerd door een derde partij die pixel-laadcode toevoegt aan een kleine versie-update. De Sansec Polyfill.js-onthulling in juni 2024 toonde aan dat meer dan 490.000 sites gelijktijdig konden worden getroffen door één gecompromitteerd CDN-gehost script. Dezelfde vector kan pixel-payloads leveren.

In alle drie de scenario's vuurt de pixel op apparaten van spelers en stuurt gegevens naar een sociaal advertentieplatform. De operator heeft dit niet geautoriseerd. De speler heeft hier niet mee ingestemd voor dit doel. En noch de operator noch de speler weet dat het gebeurt.

Waarom shadow pixels onzichtbaar zijn voor netwerklaagtools

Kort antwoord: Pixelaanroepen zijn standaard HTTPS-verzoeken naar domeinen zoals facebook.com, tiktok.com of linkedin.com, allemaal legitieme, breed vertrouwde bestemmingen die netwerklaagtools niet signaleren. Het verzoek ziet er identiek uit of het afkomstig is van een geautoriseerde first-party pixel of een shadow pixel die zonder toestemming is geïnstalleerd. Alleen browserlaagmonitoring kan onderscheid maken door te onderzoeken welk script het verzoek initieerde en welke pixel-ID het droeg.

Deze onzichtbaarheid maakt shadow pixels een aanhoudend compliancerisico in plaats van een detecteerbare anomalie. Netwerklogboeken tonen uitgaande verzoeken naar facebook.com/tr/, analytics.tiktok.com of px.ads.linkedin.com. Dit zijn verwachte, legitieme domeinen die verschijnen in netwerkverkeer van miljoenen websites. Er is geen handtekening om te blokkeren.

Wat netwerktools niet kunnen bepalen:

  • Welk script op de pagina de pixelaanroep initieerde
  • Of de pixel-ID in het verzoek toebehoort aan de operator of aan een derde partij
  • Of een geldig toestemmingssignaal werd verzameld voor deze specifieke gegevensoverdracht voordat de pixel vuurt
  • Of de pixel op alle sessies vuurt of alleen op specifieke gebruikerssegmenten

Een standaard firewallregel of CDN-niveau-inspectie ziet: GET https://www.facebook.com/tr/?id=XXXXXXXXXX&ev=PageView. Het heeft geen mechanisme om die pixel-ID te vergelijken met een goedgekeurde lijst, of om te controleren of het script dat de aanroep deed was geautoriseerd door de site-operator.

Content Security Policy helpt ook niet. CSP staat domeinen toe of blokkeert ze, niet individuele pixel-ID's of de scripts die ze laden. connect-src facebook.com is een binaire toestemming. Het kan niet onderscheiden tussen een geautoriseerde pixel en een shadow pixel van hetzelfde domein.

De dubbele aansprakelijkheid: GDPR en advertentieplatformbeleid

Kort antwoord: Shadow pixels op goksites creëren twee gelijktijdige juridische blootstellingen. Onder GDPR Artikel 5 is het verzamelen en overdragen van gedragsgegevens van spelers naar advertentienetwerken van derden zonder een geldige rechtsgrond en passende toestemming een gegevensbeschermingsschending. De £20 miljoen ICO-boete van British Airways illustreert de handhavingsinzet. Afzonderlijk kunnen de advertentieplatformen waarvan de pixels worden gevuurd de advertentieaccounts van de operator schorsen of de-platformeren wanneer gokgerelateerde pixelactiviteit op niet-conforme domeinen wordt gedetecteerd.

Deze twee aansprakelijkheden zijn onafhankelijk. Het oplossen van een lost de andere niet op. En beide kunnen voortvloeien uit dezelfde niet-geautoriseerde pixel die op uw site vuurt.

De GDPR-dimensie:

GDPR Artikel 5 vereist dat persoonsgegevens rechtmatig, eerlijk en transparant worden verwerkt. Wanneer een pixel vuurt en het IP-adres van een speler, apparaatidentificatoren en gedragsgegevens naar een sociaal advertentieplatform verzendt, is dat een overdracht van persoonsgegevens. Om rechtmatig te zijn heeft de operator een geldige basis nodig, doorgaans expliciete toestemming verzameld voordat de pixel vuurt. Als de pixel zonder medeweten van de operator is geplaatst, was er geen toestemmingsmechanisme voor geconfigureerd. Elke sessie waarbij de pixel vuurt is een potentiële GDPR-schending.

De handhavingscontext is niet abstract. De UK Information Commissioner's Office beboette British Airways £20 miljoen voor tekortkomingen die scripts van derden in staat stelden passagiersgegevens te oogsten. Hoewel die zaak specifiek betrekking had op het oogsten van inloggegevens en niet op pixels, is het regulatoire principe identiek: u bent verantwoordelijk voor wat JavaScript op uw domein uitvoert en welke gegevens het naar derden stuurt. Onwetendheid van het bestaan van de pixel is geen verdediging.

De advertentieplatformbeleidsdimensie:

Facebook, TikTok en LinkedIn verbieden gokoperators in de meeste markten te adverteren op hun platformen, of vereisen specifieke goedkeuring voor beperkte categorieën. Wanneer een shadow pixel vuurt op een goksite, koppelt hij het domein van de operator aan een pixel-ID die is gekoppeld aan een advertentieaccount. Als het platform gokgerelateerde pixelactiviteit detecteert van een niet-goedgekeurd domein, kan het gekoppelde advertentieaccount worden geschorst. Dit kan aanzienlijke gevolgen hebben als de operator legitieme advertentiecampagnes op dat platform voert voor niet-gokproducten of in goedgekeurde markten, aangezien het gehele account risico loopt.

De dubbele aard van deze aansprakelijkheid betekent dat complianceteams, DPO's en marketingoperatieteams allemaal belang hebben bij het detecteren van shadow pixels. Het is niet uitsluitend een beveiliging- of engineeringprobleem.

AansprakelijkheidstypeRegulatoire/handhavingsinstantieMogelijke consequentie
GDPR-gegevensoverdracht zonder toestemmingICO (VK), nationale DPA's (EU)Boetes tot 4% van de jaarlijkse wereldwijde omzet
AdvertentieplatformbeleidsinbreukFacebook, TikTok, LinkedInSchorsing of permanent verbod van advertentieaccount
Gecombineerde blootstellingBeide gelijktijdigRegulatoire boete plus verlies van advertentiemogelijkheid

Hoe cside niet-first-party pixel-ID's detecteert over alle sessies

Kort antwoord: cside instrueert 100% van echte gebruikerssessies op de browserlaag en identificeert elk script dat vuurt, elk netwerkverzoek dat die scripts maken, en elke pixel-ID in die verzoeken. Wanneer een pixel-ID wordt gedetecteerd die niet overeenkomt met de geautoriseerde pixelinventaris van de operator, geeft cside een melding met de volledige context: welk script het activeerde, naar welk domein het werd verzonden, en welke pagina's en gebruikerssegmenten werden blootgesteld.

De aanpak van cside voor pixeldetectie gaat verder dan identificeren dat er een verzoek is gedaan aan een social platformdomein. Het brengt de pixel-ID in het verzoek aan de oppervlakte, brengt deze in kaart met het script dat het vuurt, en identificeert de container of tag manager-context die dat script heeft geladen.

Voor een multi-brand gokplatform betekent dit:

  • Een uniforme pixel-ID-inventaris over alle domeinen: cside toont elke afzonderlijke pixel-ID die wordt gevuurd, per domein, in realtime bijgewerkt
  • First-party versus third-party classificatie: geautoriseerde pixel-ID's zijn ingeschreven in de scriptinventaris van het platform; elke pixel-ID die niet op de goedgekeurde lijst staat activeert een melding
  • Scriptattributie: voor elke shadow pixelgebeurtenis identificeert cside het exacte script dat de aanroep deed, of het een affiliate JS-snippet was, een tag binnen een GTM-container, of een gewijzigde bibliotheek van derden
  • Validatie toestemmingstiming: cside kan aan de oppervlakte brengen of een pixel vuurde voor of na een toestemmingsinteractie, wat direct relevant is voor het aantonen van GDPR-naleving of het identificeren van schendingen
  • 100% sessiedekking: omdat cside elke sessie monitort in plaats van steekproeven, vangt het geo-gerichte of segmentgerichte pixelimplementatie op die steekproefsgewijze monitoring statistisch zou missen

Proxy-gebaseerde monitoringbenaderingen onderscheppen verkeer op de netwerklaag voordat het de browser bereikt. Dit brengt enige pixelactiviteit aan de oppervlakte maar kan de volledige JavaScript-uitvoeringscontext niet observeren: specifiek welk script de pixel heeft geladen, in welke container, en onder welke triggervoorwaarden. Netwerkproxy-benaderingen hebben ook inherente steekproefbeperkingen op platformen met veel verkeer.

Naast detectie biedt cside per-leverancier machtigingsbeheer. Een analyse- of attributiepixelleverancier kan een machtigingsprofiel krijgen dat zijn toegang tot de Payment Request API, cookie-schrijfacties of localStorage blokkeert, gehandhaafd op de browserlaag. Dit betekent dat zelfs als de code van een pixelleverancier later wordt gecompromitteerd, een gekaapt pixelscript geen toegang kan krijgen tot betalingsvelden of sessiegegevens omdat het machtigingsprofiel dit verhindert, ongeacht wat het script probeert te doen.

In onze monitoring van gelicentieerde gokoperators is niet-geautoriseerd pixelvuren een van de meest voorkomende compliance-blootstellingen die we bij eerste implementatie aan de oppervlakte brengen. Operators zijn doorgaans onwetend dat pixels worden gevuurd omdat het pixeldomein (facebook.com, analytics.tiktok.com) in netwerklogboeken verschijnt als een routinematige, verwachte bestemming. Zonder browserlaagattributie die het verzoek koppelt aan een specifiek script en container, bestaat er geen mechanisme om te bepalen of de pixel-ID toebehoort aan de operator of aan een derde partij.

Wat een eerste monitoringsessie vindt op een gokplatform

Toen we eerder dit jaar de eerste cside-monitoringsessie uitvoerden op een groot Europees multi-brand online gokplatform, was de onmiddellijke zorg van het complianceteam GDPR. Wat de browserlaaginventaris op dag één aan de oppervlakte bracht was specifieker dan ze hadden verwacht. Over het initieel gemonitorde merkdomein identificeerde cside meerdere social platform pixels die werden gevuurd op live spelerspagina's, met pixel-ID's die niet van de operator waren. De pixels waren gearriveerd via JavaScript-snippets van affiliates die waren ingebed tijdens het opzetten van campagnes. Het marketingteam had de affiliate-tags te goeder trouw toegevoegd als onderdeel van legitieme deals. Niemand had geaudit wat de affiliate scripts verder bevatten.

De pixels vuurden op elke sessie, zonder toestemmingspoort, en stuurden IP-adressen en gedragssignalen van spelers naar externe advertentieaccounts. Het complianceteam had hiervoor geen eerder zicht omdat de pixeldomeinen (facebook.com, analytics.tiktok.com) in hun netwerklogboeken verschenen als routinematige, verwachte bestemmingen. Er was geen melding en geen mechanisme om de pixel-ID's te vergelijken met een goedgekeurde lijst. Binnen 24 uur na het starten van de monitoring had het platform een volledige inventaris van elke pixel-ID die over het testdomein vuurt, inclusief welke scripts ze leverde, op welke pagina's ze actief waren, en hoe lang ze leken te hebben gedraaid. De DPO initieerde dezelfde dag een Artikel 33-beoordeling.

Herstelworkflow: van detectie tot oplossing

Kort antwoord: Wanneer cside een niet-geautoriseerde pixel aan de oppervlakte brengt, heeft de herstelworkflow vier fasen: onmiddellijke inperking (blokkeer het script of de container die de pixel levert), impactbeoordeling (bepaal welke domeinen, datumreeksen en gebruikerssegmenten werden blootgesteld), regulatoire meldingsbeoordeling (evalueer of een inbreukmelding vereist is onder GDPR Artikel 33), en procesverbetering (actualiseer uw scriptgovernanceproces om herhaling te voorkomen).

Herstel is niet alleen een technische oefening. Omdat shadow pixels een persoonlijk datalek kunnen vormen onder de GDPR, moet de compliancerespons parallel lopen aan de technische oplossing.

  1. Inperking: identificeer het script of de GTM-container die de niet-geautoriseerde pixel levert en verwijder deze van de getroffen domeinen. De uitvoeringsattributie van cside vertelt u precies welk activum u moet targeten, waardoor het giswerk van een handmatige audit wordt geëlimineerd.

  2. Impactbepaling: bepaal het datumbereik gedurende welke de pixel vuurt, welke domeinen werden getroffen en hoeveel sessies bij benadering werden blootgesteld. Deze gegevens zijn vereist voor elke regulatoire melding en voor het interne incidentregister.

  3. Regulatoire beoordeling: onder GDPR Artikel 33 moet een persoonlijk datalek worden gemeld bij de relevante toezichthoudende autoriteit binnen 72 uur als het waarschijnlijk een risico vormt voor de rechten en vrijheden van personen. Het overdragen van gedragsgegevens van spelers naar een sociaal advertentieplatform zonder toestemming kan aan deze drempel voldoen. Uw DPO moet deze beoordeling snel uitvoeren, met de impactbepalingsgegevens uit fase twee.

  4. Procesupdate: de shadow pixel heeft uw site bereikt omdat een script werd toegevoegd zonder beveiligingsbeoordeling. Implementeer een wijzigingsbeheerproces dat vereist dat alle nieuwe scripts, tag manager-containers en JavaScript-integraties van derden worden beoordeeld en goedgekeurd voordat ze live gaan op een domein in uw portfolio. De realtime-melding van cside functioneert als het voortdurende handhavingsmechanisme voor dat beleid zodra het op zijn plaats is.

Samenvatting

Shadow pixels creëren een compliance-blootstelling die door ontwerp onzichtbaar is. De pixeldomeinen zien er legitiem uit in netwerklogboeken. De toestemmingsflow op uw site heeft geen kennis van een pixel die hij niet heeft geconfigureerd. Uw CMP kan niet beveiligen wat hij niet kan zien. De enige laag die een pixelaanroep kan koppelen aan het oorsprongsscript, de pixel-ID kan vergelijken met een goedgekeurde inventaris, en dit in realtime kan signaleren, is een laag die in de browser draait. Voor gelicentieerde gokoperators met GDPR-verplichtingen en advertentieplatformbeperkingen is continue browserlaagmonitoring geen optionele verbetering. Het is het mechanisme dat verantwoording onder GDPR Artikel 5(2) operationeel mogelijk maakt. De Privacy Watch van cside biedt een volledige pixelinventaris vanuit echte spelersessies, kruislings gecontroleerd aan de hand van uw toestemmingsconfiguratie, met waarschuwingen voor elke niet-gedeclareerde bestemming. Voor context over hoe niet-geautoriseerde scripts uw domeinen bereiken via tag managers, zie onze gids over shadow GTM-containers op multi-brand gokplatformen.

Mike Kutlu
Client-Side Security Consultant

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

Een shadow pixel is een tracking pixel van een sociaal advertentieplatform (doorgaans Facebook, TikTok of LinkedIn) die op uw goksite vuurt zonder uw autorisatie. Hij is geplaatst via een script van derden, affiliate-snippet of niet-geautoriseerde tag manager-container. De pixel stuurt gedragsgegevens van spelers naar een extern advertentieaccount dat niet van u is, zonder dat de toestemming van de speler voor dat doel is verzameld.

Onder de GDPR zijn operators verantwoordelijk voor alle persoonsgegevensverwerking die plaatsvindt op hun domeinen, inclusief gegevens die worden overgedragen aan derden door scripts die zij niet bewust hebben geautoriseerd. Het verantwoordelijkheidsprincipe in Artikel 5(2) betekent dat u moet kunnen aantonen dat alle verwerking rechtmatig is. U kunt gebrek aan bewustzijn niet als verweer gebruiken als een pixel op uw site vuurt en u geen monitoring had om hem te detecteren.

Een CMP blokkeert scripts die zijn vermeld in de cookie-toestemmingsconfiguratie van het vuren voordat toestemming is verkregen. Een shadow pixel die niet in uw CMP-configuratie staat, wordt er niet door gedekt. De CMP heeft er geen kennis van en kan hem niet blokkeren of doorsturen. Daarom is browserlaagscriptmonitoring die onafhankelijk van uw CMP-configuratie werkt noodzakelijk om niet-geautoriseerde pixels te detecteren en aan de oppervlakte te brengen.

Als een sociaal advertentieplatform detecteert dat een pixel die gekoppeld is aan een van hun advertentieaccounts wordt gevuurd op een gokdomein in een markt waar gokadvertenties niet zijn goedgekeurd, kunnen ze het gekoppelde advertentieaccount schorsen. Dit kan van invloed zijn op legitieme advertentiecampagnes die vanuit dat account worden gevoerd, inclusief campagnes in goedgekeurde markten of voor niet-gokproducten. Het schorsingsrisico is van toepassing ongeacht of de operator de pixel bewust heeft geplaatst.

Een punt-in-tijd audit is onvoldoende omdat uw scriptomgeving van derden verandert elke keer dat een affiliate-deal wordt gesloten, een nieuw merk wordt geïntroduceerd of een GTM-container opnieuw wordt gepubliceerd. Continue browserlaagmonitoring die in realtime melding geeft wanneer een nieuwe pixel-ID wordt gedetecteerd is de enige operationeel haalbare aanpak op de schaal van een multi-brand gokplatform. Handmatige audits zijn een nuttige aanvulling maar kunnen continue dekking niet vervangen.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Boek een demo
Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics
Related Articles
Boek een demo