Google Ads account security: waarom oude toegang je ROAS kan slopen
Een oud bureau-account is soms duurder dan een slechte advertentie
In veel Google Ads accounts staat nog toegang voor iemand die in 2023 een campagne heeft gebouwd. Of voor een oud e-mailadres van een leverancier. Niemand kijkt ernaar, want de CPA lijkt netjes en de campagne draait nog. Tot er iets wordt aangepast wat niemand herkent. Dan is account security ineens geen IT-verhaal meer, maar gewoon mediabudget dat op straat ligt. Mijn stelling is simpel: wie ROAS serieus neemt, moet ook toegangsbeheer serieus nemen. Niet één keer bij de start, maar elke maand. Saai? Zeker. Maar Google Ads is juist gevoelig voor dit soort saaie dingen. Een verkeerde user, een slap wachtwoord of een domein dat niemand meer beheert kan meer schade doen dan een matige RSA. En toch wordt het in audits vaak overgeslagen. Men optimaliseert biedingen, zoektermen en Performance Max assets. Prima. Maar wie mag er eigenlijk in het account?
Security debt zit vaak in de gebruikerslijst
Security debt klinkt als een woord uit een enterprise-presentatie. In de praktijk is het simpeler. Het zijn oude rechten, losse e-mailadressen, vergeten beheerders en accounts zonder duidelijke eigenaar. Bij Google Ads zie je dat vooral na bureauwissels, personeelswissels of een snelle campagne-start. Iemand moest ‘even’ toegang hebben. Daarna bleef die toegang staan. Dat is geen kwaad opzet. Dat is hoe rommel ontstaat. Alleen heeft rommel in Ads directe gevolgen. Iemand met te veel rechten kan budgetten wijzigen, conversieacties aanpassen, scripts toevoegen of tracking breken. Dan stuur je niet meer op Target ROAS, maar op toeval. En toeval is geen strategie. Daarom hoort een toegangscontrole in dezelfde audit als zoektermen, conversies en budgetverdeling. Niet omdat security sexy is. Juist omdat het dat niet is. Het is basisbeheer. En basisbeheer voorkomt dure paniek.
Domeinhygiëne en passkeys zijn geen luxe
Veel bedrijven kijken alleen naar namen in de gebruikerslijst. Dat is te mager. Kijk ook naar domeinen. Hoort dat e-mailadres nog bij jullie organisatie? Is het een privé-Gmail? Is het een oud bureaudomein? Is er een gedeelde mailbox gebruikt? Daar begint domeinhygiëne. Een Google Ads account met vijf losse domeinen is niet automatisch onveilig, maar het vraagt wel uitleg. Wie is eigenaar? Wie keurt wijzigingen goed? Wie wordt verwijderd als een samenwerking stopt? Passkeys en extra verificatie zijn daarna geen ‘gedoe’, maar een rem op domme risico’s. Zeker bij high-stakes wijzigingen: betaalgegevens, beheerdersrechten, tracking en koppelingen met Merchant Center of GA4. Dat zijn de plekken waar je niet wilt vertrouwen op ‘komt vast goed’. Mijn vuistregel: als een wijziging direct budget, data of eigenaarschap raakt, moet hij dubbel gecontroleerd worden. Niet op gevoel. In het proces.
Performance begint vóór de campagne-instellingen
Veel ondernemers vragen: waarom presteert Google Ads minder? Logische vraag. Maar vaak wordt er te laat in de keten gezocht. Dan gaat het direct over biedstrategieën, zoekwoorden of advertentieteksten. Terwijl het fundament scheef kan staan. Een account zonder duidelijke governance wordt langzaam onbetrouwbaar. Je weet niet meer wie wat doet. Je weet niet meer welke conversieactie leidend is. Je weet niet meer waarom een wijziging is gedaan. Dan kun je nog zo hard optimaliseren, maar je optimaliseert op mist. In een Strategisch Succes Traject kijk ik daarom niet alleen naar campagnes, maar naar het hele systeem eromheen: rechten, meetplan, GA4-signalen, CRM-terugkoppeling, budgetlogica en rapportage. Dat klinkt breder dan ‘Google Ads verbeteren’. Klopt. Want Google Ads is zelden het probleem op zichzelf… het is meestal het punt waar systeemrommel zichtbaar wordt.
De maandelijkse checklist
Maak dit praktisch. Eén keer per maand open je het account en controleer je vijf dingen. Eén: alle users en rollen. Twee: onbekende of oude domeinen. Drie: beheerdersrechten. Vier: recente wijzigingen in conversies, budgetten en koppelingen. Vijf: wie intern eigenaar is van opvolging. Dat hoeft geen project van drie dagen te zijn. Voor een mkb-account is dertig minuten vaak genoeg. Maar schrijf het wél vast. Datum, bevinding, actie. Anders wordt het weer ‘we moeten er nog eens naar kijken’. En dat zinnetje is de natuurlijke vijand van goed accountbeheer. De beste Google Ads accounts zijn niet alleen slim ingericht. Ze zijn ook schoon. Minder losse toegang. Minder ruis. Minder verrassingen. Dat is geen garantie op betere ROAS, maar het haalt wel een risico uit je systeem dat daar niets te zoeken heeft.
Korte Funnel Adviseur check
Wil je dit scherp krijgen, kijk dan niet naar één campagne of één keyword. Kijk naar de keten: toegang, tracking, budget, structuur en opvolging. Pas als die keten klopt, wordt optimalisatie geen gokwerk maar beheer.
Wat dit betekent voor bureaus en ondernemers
Voor bureaus is dit ook een reputatierisico. Als een oud account of een vergeten user schade veroorzaakt, maakt het de klant meestal niet uit of het technisch gezien ‘buiten scope’ viel. De klant ziet één ding: het Ads-account stond onder beheer en er ging iets mis. Daarom hoort offboarding in het standaardproces. Nieuwe klant? Rechten vastleggen. Bureauwissel? Rechten opschonen. Nieuwe medewerker? Rol beperken tot wat nodig is. Vertrek? Toegang dezelfde dag intrekken. Dat klinkt streng, maar het is gewoon volwassen beheer. Voor ondernemers is de les net zo praktisch. Vraag je bureau niet alleen om maandrapportages, maar ook om een toegangsoverzicht. Wie heeft adminrechten? Waarom? Wanneer is dat voor het laatst gecontroleerd? Als niemand dat kan beantwoorden, heb je geen account governance. Dan heb je hoop. En hoop is geen beveiligingslaag.
Security is onderdeel van je meetplan
Er zit nog een tweede laag onder. Security raakt niet alleen toegang, maar ook je meetplan. Een kwaadwillende of slordige wijziging in conversies kan maandenlang verkeerde data opleveren. Denk aan een oude bedankpagina, een dubbele import uit GA4 of een conversieactie die ineens primair wordt. Google Ads blijft gewoon optimaliseren. Het systeem protesteert niet omdat jouw commerciële definitie van kwaliteit ontbreekt. Daarom moet je bij elke governance-check ook conversies en koppelingen nalopen. Niet uitgebreid, wel bewust. Staat dezelfde primaire conversie nog actief? Klopt de koppeling met GA4? Zijn er scripts of automatische regels toegevoegd? Dit zijn kleine controles met grote impact. Ze passen precies in dezelfde maandelijkse routine. Eerst toegang. Dan tracking. Dan budget. Pas daarna ga je optimaliseren. Die volgorde is minder spannend, maar veel veiliger.
