Handig, zo’n reCAPTCHA op je website. Het scheelt een hoop spam van formulieren.
Maar zoals je in een eerder artikel over spam via formulieren hebt kunnen lezen, analyseert Google het gedrag op de website om onderscheid te maken tussen mensen en spambots. Gebruikers van je website worden met een score gewaardeerd op basis van hun gedrag. Op basis daarvan krijgen ze een risicoscore en bepaalt Google of het gaat om een mens of een robot.
Er wordt dus informatie verzameld door Google. Hoe zit het dan met de privacy van de bezoeker? Voldoet jouw website aan de AVG/GDPR privacywetgeving als je reCAPTCHA integreert in je site?
Om daar meer over te kunnen zeggen, moet je onderzoeken hoe reCAPTCHA werkt en welke informatie er precies wordt verzameld.
Hoe werkt reCAPTCHA?
Op basis van het gedrag van een websitebezoeker (scrollen, klikken, snelheid van invullen, etc.) en andere factoren (IP-adres, eerder geplaatste cookies, etc.) krijgt dit gedrag een risicoscore. Uit de risicoscore maakt Google vervolgens op of of ze te maken hebben met een legitieme bezoeker of een spambot.
Een echte bezoeker hoeft bij de reCAPTCHA v2 dan alleen op een vinkje te klikken, waarmee diegene bevestigt geen robot te zijn. Bij twijfel moet de bezoeker een plaatjespuzzel oplossen.
Google reCAPTCHA v3 is onzichtbaar. Je ziet dus geen captcha op je website. De techniek, voor zover deze relevant is voor de privacy van de bezoeker, is hetzelfde als bij reCAPTCHA v2.
ReCAPTCHA verzamelt dus persoonlijke informatie van gebruikers om te bepalen of het gaat om een mens of een robot.
Welke informatie verzamelt reCAPTCHA?
Als eerste controleert reCAPTCHA of er al eerder een cookie van Google is geplaatst op de computer.
Vervolgens wordt er een reCAPTCHA cookie toegevoegd aan de browser van de gebruiker en er wordt een volledige snapshot gemaakt van het browservenster. Elke pixel wordt daarbij vastgelegd.
Voor een goede analyse verzamelt Google browser- en gebruikersinformatie en deze omvat onder andere:
- Alle cookies die Google in de afgelopen 6 maanden heeft geplaatst op het systeem van de gebruiker
- Hoeveel muisklikken de gebruiker in het browservenster heeft gemaakt (of heeft aangetikt als het gaat om een aanraakapparaat)
- Het scrolgedrag van de gebruiker
- Het CSS van de webpagina
- De systeemdatum en -tijd van de gebruiker
- Het IP-adres van de gebruiker
- Of de gebruiker op dit moment is ingelogd in diens Google account
- De ingestelde taal van de browser van de gebruiker
- Alle invoegtoepassingen die in de browser van de gebruiker zijn geïnstalleerd
- Alle Javascript-objecten
- De snelheid waarmee de gebruiker het formulier invult
Gevolgen voor je website
De informatieverzameling van reCAPTCHA heeft invloed op:
- privacyverklaring
- cookie-melding
Google over de gevolgen voor je website
Gebruikt jouw website Googles reCAPTCHA, dan ben je bij het aanvragen van de reCAPTCHA akkoord gegaan met de reCAPTCHA-servicevoorwaarden.
Als onderdeel van de overeenkomst met de gebruiksvoorwaarden eist Google dat websites in de Europese Unie die gebruikmaken van de reCAPTCHA-service voldoen aan de privacy richtlijnen die gelden in de EU. Het is belangrijk om de EU beleidsregels goed te lezen.
In die beleidsregels meldt Google onder andere dat je toestemming van de gebruiker nodig hebt voor:
- het plaatsen van cookies
- het verzamelen, delen en gebruiken van persoonlijke gegevens voor het personaliseren van advertenties.
Privacyverklaring
Onder de algemene verordening gegevensbescherming (AVG) ben je verplicht om nieuwe en bestaande klanten duidelijk te informeren over wat je met hun persoonsgegevens doet en waarom. In de praktijk is een privacyverklaring op je website de meest handige manier om hier aan te voldoen.
De kans is groot dat je al een privacyverklaring hebt op je website. Had je ten tijde van het opstellen van de privacyverklaring nog geen reCAPTCHA op je site of had je al wel een reCAPTCHA maar was je je niet bewust van de gevolgen, dan moet je mogelijk je privacyverklaring aanpassen. Een heel handig hulpmiddel voor het maken van een privacyverklaring op maat is de privacy generator van Veilig internetten.nl. Je beantwoordt een aantal vragen en er wordt gratis en automatisch een zeer complete privacyverklaring voor je gegenereerd.
Cookie-melding
Een cookie is een klein tekstbestandje dat een website op de het apparaat van de bezoeker plaatst op het moment dat deze de website bezoekt. Het melden van cookies is verplicht en je moet de bezoeker expliciet om toestemming vragen voordat je een cookie mag plaatsen. Dit kun je doen via een banner of een pop-up.
Voor technisch noodzakelijke cookies, zoals een winkelmandje of een inlogformulier, is geen toestemming vereist. Dit noemt men ook wel functionele cookies. Ze zijn noodzakelijk voor de technische werking van de website.
Bij een reCAPTCHA cookie gaat het om een tracking cookie. Het doel van deze cookies is het verzamelen van informatie over internetters. Mensen worden gevolgd. Dit gaat als volgt:
- Je bezoekt website A. Deze website heeft een advertentie op de pagina van een bepaald reclamebureau. De website plaatst een cookie op de computer van de bezoeker.
- Vervolgens bezoek je een andere website (website B). Deze website heeft ook een advertentie en maakt van hetzelfde reclamebureau gebruik. Hierdoor kan website B de eerder geplaatste cookie opvragen.
- Hierdoor kan men te weten komen dat jij ook website A hebt bezocht en de inhoud van de reclame daarop aanpassen. Als het betreffende reclamebureau op veel sites actief is, kunnen er gebruikersprofielen gemaakt worden.
Bij je cookie-verklaring moet je toelichten welke cookies gebruikt worden en per cookie moet je de volgende gegevens vermelden: naam, aanbieder, doel, vervaldatum en type.
Als de bezoeker geen toestemming geeft voor het plaatsen van een cookie, mag je deze niet plaatsen. Dat betekent dat het contactformulier niet ingevuld kan worden. Het is daarom verstandig om op je website ook altijd een e-mailadres te vermelden, zodat de bezoeker contact met je kan opnemen per e-mail.
