Balanceren tussen Analytics en Privacy: De case van De Kindertelefoon

Het bouwen van een privacy-first, server-side datacollectie-setup voor De Kindertelefoon

Het opzetten van een goede analytics-strategie gaat tegenwoordig al lang niet meer alleen over het meten van kliks en conversies. In Europa bevind je je als organisatie steeds vaker op het snijvlak van marketing, IT en privacywetgeving (zoals de AVG). Dit is een serieuze balanceeract tussen privacyregels, datasoevereiniteit en het vertrouwen van je bezoekers. Deze balans is met name gevoelig in omgevingen waar privacy geen juridisch afvinklijstje is, maar een absolute voorwaarde voor het vertrouwen van de bezoeker.

Ons team werkte onlangs samen met De Kindertelefoon, de Nederlandse hulplijn die cruciale steun biedt aan kinderen in moeilijke situaties. De Kindertelefoon, die deels door de overheid wordt gefinancierd en dagelijks gevoelige hulpvragen behandelt, wilde voorkomen dat er direct contact met het Google-ecosysteem plaatsvindt wanneer minderjarigen de website bezoeken. Tegelijkertijd moesten er wel betrouwbare statistieken verzameld worden om de werving van vrijwilligers en de prestaties van pagina’s voor volwassenen (zoals ouders en toekomstige vrijwilligers) in goede banen te leiden.

In dit artikel delen we de technische strategie en de architecturale keuzes achter dit project. We geven je een kijkje in onze denkwijze, de hindernissen die we onderweg tegenkwamen en de cruciale punten waarop we technische afwegingen moesten maken.

Wat we wilden bereiken

Voor een organisatie als De Kindertelefoon staat de anonimiteit van de bezoeker voorop. Als een kind dat hulp zoekt vermoedt dat de interactie wordt gevolgd, geprofileerd of gedeeld met commerciële partijen, verdwijnt het vertrouwen dat nodig is om contact op te nemen. Bovendien speelt dit ook in de publieke opinie: wordt de data van onze kinderen in nood wel echt goed beschermd?

Tegelijkertijd moet de organisatie natuurlijk wel soepel blijven draaien. Om de telefoonlijnen en chatmodules te bemensen, is De Kindertelefoon wel afhankelijk van wervingsfunnels om nieuwe vrijwilligers te vinden en in te plannen voor hun eerste training. Om de effectiviteit van deze wervingsacties te meten, zijn standaard marketingstatistieken onmisbaar.

De uitdaging voor ons werd al snel duidelijk: bouw een robuuste tracking-infrastructuur om vrijwilligerswerving en gebruik van volwassenendocumentatie op specifieke delen van de site te meten, terwijl we absolute, onvoorwaardelijke anonimiteit garanderen voor kinderen die de crisis- en hulppagina’s bezoeken.

Waarom Google Analytics in Europa onder vuur ligt

Om te begrijpen waarom een traditionele analytics-setup hier geen optie was, moeten we kijken naar het huidige juridische en technische landschap in Europa.

Strikte privacyregels in Europa

Europese toezichthouders (waaronder de Oostenrijkse DSB, de Franse CNIL en de Nederlandse Autoriteit Persoonsgegevens) nemen een steeds strenger standpunt in over het gebruik van standaard Google Analytics. Hun uitspraken legden een cruciaal compliance-probleem bloot: client-side tracking-scripts van derden sturen persoonsgegevens, zoals IP-adressen en unieke bezoekers-ID’s, rechtstreeks door naar servers in de VS. Hierdoor worden de privégegevens van EU-burgers potentieel blootgesteld aan Amerikaanse surveillance.

Zelfs met de komst van het EU-US Data Privacy Framework geven veel Europese publieke en privacygevoelige organisaties er de voorkeur aan om dit risico volledig uit te sluiten door over te stappen op in Europa gehoste analytics-alternatieven.

Standaard Server-Side GTM is geen volledige oplossing

Veel organisaties proberen dit op te lossen door over te stappen op server-side tracking met gebruik van Google Tag Manager (sGTM). In een standaard sGTM-setup sturen tracking-scripts data naar een, meestal in eigen beheer, cloudserver in plaats van rechtstreeks naar Google Analytics.

Echter, als die sGTM-container wordt gehost op het Google Cloud Platform (GCP) en zelfs als de servers fysiek in de EU staan, blijft er een soevereiniteitsprobleem bestaan. Dit omdat Google een Amerikaans bedrijf is, en de infrastructuur dus nog steeds onder de Amerikaanse wetgeving valt. Voor een platform met zulke grote belangen als De Kindertelefoon was het gebruik van een door de VS gecontroleerde cloudomgeving voor het verwerken van gevoelige bezoekersgegevens een risico dat vermeden moest worden.

De doelarchitectuur

Om de uitdagingen rondom privacy, compliance en soevereiniteit op te lossen, kozen we voor Piwik PRO als het centrale digital analytics platform. Dit sluit aan bij de huidige standaarden voor privacy-first datacollectie, die ook binnen diverse Nederlandse overheidsinstanties breed worden ingezet. Piwik PRO biedt een robuuste first-party datacollectie die volledig is gebaseerd op het ‘privacy-by-design’-principe.

Maar net als bij elke server-side analytics-setup hadden we nog steeds een orchestratielaag nodig om data te verwerken en te schonen voordat deze een eindbestemming (zoals analytics of advertentieplatformen) bereikt. Dit leidde tot een interessante technische paradox: we gebruiken Server-Side Google Tag Manager (sGTM) om een “Google-vrije” setup te bouwen.

Marketing Engineers team

De ironie van het gebruik van sGTM oplossen

Een Google-product gebruiken om contact met het Google-ecosysteem te vermijden klinkt tegenstrijdig en zelfs behoorlijk onlogisch. De verklaring hiervoor ligt in hoe de sGTM-container wordt ingezet en gehost:

  1. Europese hosting: In plaats van de sGTM-container op Google Cloud Platform te draaien, hosten we deze op TAGGRS: een in Europa gevestigde, privacy-gecertificeerde serverinfrastructuur van een Europese eigenaar. Hiermee scheiden we de fysieke dataverwerking volledig van de Amerikaanse jurisdictie.
  2. Tijdelijk doorgeefluik: We hebben de sGTM-container zo geconfigureerd dat deze puur als een tijdelijke doorgeef-setup (transient relay) fungeert. Het is een routerend brein dat binnenkomende verzoeken in het werkgeheugen verwerkt, opschoont en doorstuurt, zonder de gegevens ooit op te slaan, te bewaren of vast te leggen binnen het Google-ecosysteem.
  3. De First-Party koppeling: De browser van de bezoeker communiceert uitsluitend met een beveiligd first-party subdomein (me.kindertelefoon.nl). De sGTM-container ontvangt deze verzoeken, transformeert ze en stuurt de opgeschoonde data rechtstreeks door naar Piwik PRO Analytics, waar deze vervolgens geanalyseerd kan worden.

Hierdoor raakt de bezoekersdata van kinderen nooit een Google-server.

De bouw van de oplossing: Belangrijke technische beslissingen

Het bouwen van deze setup vroeg om een aantal slimme technische keuzes:

Proxying van Piwik PRO-bestanden

Vóór de start van de implementatie waren er nog geen kant-en-klare sGTM-templates of clients voor Piwik PRO beschikbaar. Om dit gat te overbruggen, onderzochten we eerst manieren om onze sGTM-container te configureren als een bestandsproxy.

Na verloop van tijd kwamen de officiële server-side Client- en Tag-templates van Piwik PRO zelf beschikbaar. Hierdoor werd de implementatie een stuk eenvoudiger en minder foutgevoelig dan het werken met complexe custom scripts. In de huidige architectuur vraagt de website het script rechtstreeks op via het beveiligde first-party subdomein: me.kindertelefoon.nl. De TAGGRS-server haalt het script op de achtergrond op bij de bron en legt het direct aan de bezoeker voor. Dit zorgt ervoor dat de initiële script-laadactie volledig binnen een first-party context blijft. Hierdoor blijft de verbinding buiten het vizier van adblockers en is de dataintegriteit gewaarborgd.

Het voorkomen van meten zonder toestemming

Een bekend pijnpunt is het onbedoeld doorsturen van data voordat een bezoeker hier toestemming voor heeft gegeven. Dit gebeurt wanneer scripts al ingeladen worden en data verstuurd wordt voordat een bezoeker interactie heeft gehad met de consent banner.

Om dit te voorkomen, hebben we een strikte, deterministische volgorde van uitvoering ingesteld:

  • De Cookie Information CMP (Consent Management Platform) is hardcoded en direct in de <head> van de broncode van de website geplaatst.
  • De Piwik PRO-container bevindt zich lager in de laadvolgorde, direct na de openings-<body>-tag.

Dit creëert een waterdichte muur. De tracking-infrastructuur blijft volledig inactief totdat de consent banner volledig is geladen en wacht voor niet-geanonimiseerde tracking op het signaal dat er daadwerkelijk akkoord is gegeven.

Contextuele scheiding voor minderjarigen

Om de website voor minderjarigen nóg privacyvriendelijker te maken, hebben we voor de pagina’s die specifiek voor deze doelgroep zijn bedoeld een programmatische override geïmplementeerd:

  • We weigeren toestemming op deze pagina’s standaard.
  • De tracking laadt geforceerd in een volledig anonieme modus.
  • De privacy-instellingen binnen Piwik PRO zorgen ervoor dat alle persoonsgegevens, zoals IP-adressen, niet worden verzameld.

Op dit specifieke deel van de website wordt dan ook geen consent banner getoond. Dit betekent dat minderjarigen geen cookies kunnen accepteren, waardoor ze optimaal beschermd zijn tegen het verzamelen van hun privégegevens. Op de pagina’s voor vrijwilligers en volwassenen verschijnt de banner wél. Momenteel hebben we een actief experiment draaien dat de overloop van bezoekers van een volwassen-/vrijwilligerssectie naar de kindersectie rapporteert. Als deze overloop significant blijkt te zijn, zullen we een automatische ‘consent denied’-update afdwingen, zelfs als er eerder cookies zijn geaccepteerd. Deze geavanceerde configuratie stelt De Kindertelefoon in staat om het gebruik van hulpmiddelen en interacties met de chatmodules te monitoren, zonder ooit een herleidbaar profiel van een kind op te bouwen.

Key learnings

Het bouwen van zo’n sterk op maat gemaakte, privacy-first tracking-setup leverde waardevolle lessen op die ook voor jouw eigen setup relevant kunnen zijn:

Het uitlijnen van het ecosysteem kost tijd: Met talloze combinaties van hostingpartijen (TAGGRS, Stape, Jentis, AWS, Azure) en tag managers, vergt het vinden van de juiste synergie tussen tools veel onderzoeksuren en continu testen. Het doorgronden van de wensen en behoeften van de klant is cruciaal om dit te vertalen naar de juiste technische adviezen.

We kunnen nog niet 100% “De-Googlen”: Hoewel we de Google-datafootprint succesvol hebben geëlimineerd, leunen we voor het beheer en de efficiëntie van de routering nog steeds op de GTM-interface. Er zijn inmiddels privacyvriendelijke alternatieven op de markt, zoals Jentis en walkerOS. Gezien de scope en de strakke deadline van dit project was dat destijds echter geen haalbare optie.

Waargenomen privacy versus daadwerkelijke privacy: Echte compliance gaat veel verder dan het plaatsen van een consent banner op je homepage. Het vereist dat je kijkt naar waar data fysiek wordt verwerkt, wie de eigenaar is van de onderliggende servers en hoe identifiers (zoals session hashes versus session cookies) onder de motorkap worden beheerd.

De debugging-afweging: In privacy-engineering geldt een ongeschreven wet: hoe moeilijker het debuggen is, hoe privacyvriendelijker je setup waarschijnlijk is. Wanneer je actief IP-adressen maskeert, user-agent-strings stript en headers opschoont, lopen standaard debugging- en validatietools snel tegen hun grenzen aan. De overstap naar een privacy-safe architectuur vraagt om een verschuiving in verwachtingen: van gedetailleerde tracking op individueel niveau naar geaggregeerde trendrapportages.

De impact voor De Kindertelefoon

Hoewel het primaire doel van deze implementatie het beschermen van kindgegevens en het naleven van de AVG was, bewijst dit project dat data-ethiek en marketingprestaties uitstekend hand in hand kunnen gaan. Door de inzet van dit headless doorgeefluik profiteert De Kindertelefoon nu van drie grote voordelen:

  • Geen PII-verzameling van kinderen: Door de tracking-logica naar de server te verplaatsen en de consent banner op kinderpagina’s weg te laten, krijgt de organisatie inzicht in het gedrag op volwassen- en vrijwilligerspagina’s zonder dat er gevoelige gegevens van kinderen worden opgeslagen.
  • Hersteld zicht op vrijwilligerswerving: Op de pagina’s voor volwassenen en vrijwilligers zorgt de routering via de first-party proxy (me.kindertelefoon.nl) ervoor dat adblockers worden omzeild. Dit geeft ons weer volledig zicht op de wervingsfunnels, zodat De Kindertelefoon het maximale uit de werving kan halen, en zo bezetting van de hulplijnen kan waarborgen.
  • Toekomstbestendige datasoevereiniteit: Doordat alle dataverwerking nu plaatsvindt op de Europese infrastructuur van TAGGRS voordat het Piwik PRO bereikt, is De Kindertelefoon volledig beschermd tegen toekomstige verschuivingen in de wetgeving rondom EU-VS datadoorgifte.

We hebben de oude setup getransformeerd in een privacy-first datacollectie die de kinderen beschermt die dat het hardst nodig hebben, terwijl de organisatie de inzichten behoudt om haar werk effectief te kunnen blijven doen.

Wil je ook een privacy-first setup implementeren?

Nu privacywetgeving in heel Europa steeds strenger wordt gehandhaafd en webbrowsers client-side tracking steeds verder inperken, wordt het beheren van je eigen datastream een absolute must. Niet alleen om je data compleet en accuraat te houden, maar ook vanuit de plicht om zorgvuldig om te gaan met de gegevens van je bezoekers.

We hebben een geweldige tijd gehad met het delen van deze case study tijdens de Piwik PRO Meetup’26 Rotterdam op 11 juni 2026!

Bekijk hieronder ons presentatiedeck:

    /    

Foto’s van Piwik PRO Meetup’26 Rotterdam

Benieuwd naar de mogelijkheden van een vergelijkbare privacy-first architectuur voor jouw organisatie?

Neem contact op met het team van Marketing Engineers voor een vrijblijvende kennismaking en ontdek wat er mogelijk is!