Hotjar — consent fix
Hotjar (static.hotjar.com/c/hotjar-XXXXX.js) laadt vóór consent en begint direct met session recording. _hjid (1 jaar) en _hjSessionUser tracking-cookies worden gezet voor toestemming. Session recordings bevatten mogelijk persoonsgegevens (formulierinvulling, scrollpatronen).
Domeinen
hotjar.comstatic.hotjar.comscript.hotjar.comvc.hotjar.iovars.hotjar.com
Cookies
Hotjar start direct met het opnemen van bezoekerssessies en plaatst tracking cookies (zoals _hjid, 1 jaar geldig) zodra uw website laadt. Omdat deze sessie-opnames (session recordings) details bevatten over hoe een bezoeker door uw site navigeert, klikt en formulieren invult, verwerkt u persoonsgegevens. Gebeurt dit vóórdat de bezoeker akkoord is gegaan met statistische cookies? Dan overtreedt u de AVG.
Waarom Hotjar te vroeg laadt
Hotjar wordt meestal via Google Tag Manager (GTM) of als direct script in de <head> van de website geladen. Het probleem is dat het script van nature niet "wacht". Als u de GTM trigger simpelweg op All Pages laat staan, begint Hotjar direct met het filmen van de sessie, nog voordat de bezoeker de kans heeft gehad om de cookie banner te zien.
De Fix: Hotjar pas starten na toestemming
Om Hotjar AVG-proof te maken, moet u voorkomen dat het script laadt zolang er geen toestemming is voor statistieken (analytics_storage). De meest robuuste methode loopt via Google Tag Manager.
1. Gebruik een Uitzonderingstrigger in GTM (Aanbevolen)
Volg deze stappen in uw GTM-workspace om een harde blokkade op te zetten:
- Open uw Hotjar Tracking Code Tag.
- Scrol naar het blok Triggers.
- Klik op Uitzondering toevoegen.
- Klik op het + icoon om een nieuwe trigger aan te maken.
- Kies het triggertype Aangepaste gebeurtenis.
- Vul bij Gebeurtenisnaam
.*in en vink Overeenkomst met reguliere expressie gebruiken aan. - Selecteer Sommige aangepaste gebeurtenissen.
- Stel de voorwaarde in:
Consent State — analytics_storageis niet gelijk aangranted. - Sla de trigger op als "Exception - No Analytics Consent" en publiceer uw GTM-container.
2. De Hotjar Consent API (Extra zekerheid)
Staat uw Hotjar script hardcoded in de HTML en gebruikt u geen GTM? Dan kunt u de native Consent API van Hotjar gebruiken. Zorg er dan wel voor dat uw specifieke Cookie Management Platform (CMP) deze API goed aanroept.
U kunt de status van Hotjar sturen met de volgende regels code (die u koppelt aan de events van uw CMP):
// Geen toestemming:
hj('consent', false);
// Wel toestemming:
hj('consent', true);
Controleer uw oplossing
Gebruik de Network tab van uw browser om te zien of Hotjar daadwerkelijk stopt met opnemen.
- Open uw website in een incognitovenster.
- Negeer de cookie banner (klik nergens op).
- Open Developer Tools (F12) en ga naar de Network tab.
- Zoek op
hotjar. Er mogen geen scripts vanstatic.hotjar.cominladen, en cruciaal: er mogen geen data-verbindingen metvc.hotjar.io(het opname-endpoint) zichtbaar zijn.
Twijfelt u of de aanpassing is gelukt, of wilt u uitsluiten dat andere scripts nog data lekken? Voer een gratis scan uit met ConsentChecker.eu voor directe bevestiging.
Bronnen
Nog geen CMP?
Een Cookie Management Platform (CMP) regelt consent automatisch voor Hotjar en andere trackers — inclusief correcte GTM-koppeling.
Controleer uw eigen site
Scan uw website gratis om te zien of Hotjar (of andere trackers) vóór toestemming laadt.
Gratis scan starten →