Een gehackt Google Ads-account kost je niet alleen geld, het kost je ook weken aan data en campagnestructuur. Toch zien we bij webshops regelmatig dat beveiliging pas aandacht krijgt nadat het misgaat. Tweestapsverificatie en toegangsbeheer instellen in Google Ads is gelukkig binnen een kwartier geregeld. Hieronder lees je precies wat je nodig hebt, hoe je het aanpakt en welke valkuilen je moet vermijden.
Wat je nodig hebt
- Beheerderstoegang tot het Google Ads-account (rol “Beheerder” of hoger).
- Een smartphone met de Google Authenticator-app of een vergelijkbare TOTP-app geïnstalleerd.
- Ongeveer 15 minuten ongestoorde tijd per gebruiker die je wilt beveiligen.
Tweestapsverificatie en toegangsbeheer instellen: zo doe je het
Begin bij het beveiligen van je eigen Google-account. Ga naar myaccount.google.com en kies in het linkermenu voor “Beveiliging”. Scroll naar het blok “Inloggen bij Google” en klik op “Verificatie in twee stappen”. Google vraagt je om je wachtwoord te bevestigen. Kies vervolgens je verificatiemethode: de Google Authenticator-app is de meest betrouwbare optie voor dagelijks gebruik.
Scan de QR-code met je authenticator-app en voer de zescijferige code in die verschijnt. Google bevestigt dat tweestapsverificatie actief is. Sla de back-upcodes op die je aangeboden krijgt. Print ze of bewaar ze in een wachtwoordmanager, want zonder die codes verlies je toegang als je telefoon kapotgaat.
Nu het toegangsbeheer. Open Google Ads en navigeer naar “Hulpmiddelen en instellingen” (het moersleutelpictogram rechtsboven). Klik op “Toegang en beveiliging” onder het kopje “Instelling”. Je ziet hier een overzicht van alle gebruikers die toegang hebben tot het account, inclusief hun rol en e-mailadres.
Controleer elke gebruiker kritisch. Oud-medewerkers, voormalige bureaus of testaccounts die nog toegang hebben: verwijder ze direct. Elke overbodige gebruiker is een potentieel beveiligingsrisico. Klik op de drie puntjes naast de gebruiker en kies “Toegang intrekken”.
Wil je een nieuwe gebruiker toevoegen, klik dan op het blauwe plusteken. Vul het e-mailadres in en kies de juiste rol. Gebruik de rol “Standaard” voor teamleden die campagnes beheren maar geen accountinstellingen mogen wijzigen. Reserveer “Beheerder” voor maximaal twee personen. Hoe minder beheerders, hoe kleiner het risico.
Nadat je de uitnodiging verstuurt, moet de nieuwe gebruiker deze accepteren en vervolgens ook tweestapsverificatie activeren op het eigen Google-account. Dit is een stap die vaak wordt overgeslagen. Maak er intern beleid van: geen verificatie in twee stappen, geen toegang tot advertentieaccounts.
Voor webshops die met een MCC-account (Manager-account) werken, geldt dezelfde procedure op een hoger niveau. Je kunt vanuit het MCC-account afdwingen dat alle gekoppelde accounts tweestapsverificatie vereisen. Dat geeft je centrale controle zonder dat je elk account apart hoeft te monitoren.
Tips voor een beter resultaat
Gebruik een naamconventie voor gebruikersrollen. Geef beheerders bijvoorbeeld het voorvoegsel “ADM -” in je interne documentatie, zodat je in één oogopslag ziet wie welke rechten heeft. Dit voorkomt verwarring bij grotere teams.
Plan een maandelijkse controle van je gebruikerslijst. Bij New Sky adviseren we webshops om dit te koppelen aan hun reguliere accountcheck. Schone toegangslijsten zorgen voor schone data, en schone data is de basis voor doordacht sturen op marge in plaats van oppervlakkige metrics.
Overweeg hardwaresleutels (zoals YubiKey) voor accounts met hoge advertentiebudgetten. Ze zijn phishing-bestendig en dus veiliger dan app-gebaseerde codes.
Werkt het niet? Check dit
Je ontvangt geen verificatiecode: controleer of de tijd op je telefoon automatisch wordt gesynchroniseerd. Een tijdsverschil van meer dan 30 seconden maakt TOTP-codes ongeldig. Schakel “Automatische datum en tijd” in via je telefooninstellingen.
Je kunt geen gebruiker verwijderen: waarschijnlijk heb je niet de rol “Beheerder”. Vraag een collega met beheerdersrechten om de wijziging door te voeren. In een MCC-structuur moet de verwijdering soms op managerniveau gebeuren.
Een uitgenodigde gebruiker kan niet inloggen: check of de uitnodiging is verstuurd naar het juiste Google-account. Persoonlijke Gmail-adressen en zakelijke Google Workspace-adressen worden vaak door elkaar gehaald.
Volgende stap
Beveiliging is geen eenmalige actie maar een doorlopend proces. Door tweestapsverificatie en toegangsbeheer goed in te richten, bescherm je niet alleen je advertentiebudget maar ook de data waarop je campagnebeslissingen baseert. Kom je er niet uit? Neem contact op, dan helpen we je gratis verder.
