Google reCAPTCHA en privacy: AVG-aandachtspunten
Google reCAPTCHA is een veelgebruikte tool om bots te weren bij formulieren, inlogpagina's en registraties. Achter de schermen analyseert reCAPTCHA het gedrag van de bezoeker — muisbewegingen, klikpatronen, browserinformatie — om te beoordelen of het een mens of bot betreft. Dat maakt reCAPTCHA een verwerking van persoonsgegevens.
Welke data verwerkt reCAPTCHA?
reCAPTCHA v3 (de onzichtbare variant) verzamelt onder andere: IP-adres, browser-user-agent, schermresolutie, cookies van Google, muisbeweging- en klikpatronen, en de tijdsduur van interacties. Google verwerkt deze gegevens op servers die (deels) buiten de EER staan.
Rechtsgrond voor reCAPTCHA
Gerechtvaardigd belang (art. 6 lid 1 sub f AVG) is de meest gebruikte rechtsgrond voor reCAPTCHA. De redenering: het belang om spam en aanvallen te voorkomen is zwaarwegender dan het privacybelang van de bezoeker bij dit beperkte gebruik. Documenteer deze afweging (LIA — Legitimate Interest Assessment) in je verwerkingsregister.
Wat vermeld je in je privacyverklaring?
Vermeld in je privacyverklaring: dat je reCAPTCHA gebruikt, welke gegevens worden verwerkt, op welke rechtsgrond, dat Google de verwerker is, en dat gegevens naar de VS kunnen worden doorgegeven (op basis van het EU-VS Data Privacy Framework). Voeg ook een link toe naar het privacybeleid van Google.
Alternatieven voor reCAPTCHA
Privacy-vriendelijkere alternatieven zijn onder andere: hCaptcha (eigen privacybeleid, geen Google-afhankelijkheid), Friendly Captcha (verwerking in de EU, geen tracking), of een honeypot-veld (een verborgen formulierveld dat bots invullen maar mensen niet).
Wil je weten hoe jouw website scoort? Doe de gratis scan →