fbpx

Google fonts inladen via Google is in strijd met de AVG / GDPR

Leestijd: 5 minuten

Leestijd: 5 minuten

  • Jouw website maakt heel waarschijnlijk gebruik van een lettertype dat wordt ingeladen via de Google Font API. Zonder toestemming is dit in strijd met de Europese privacy wetgeving.
  • Twize biedt enkele oplossingen om dit probleem te verhelpen en dus te voldoen aan de wetgeving.

Google Fonts?

Het kan zijn dat er niet meteen een belletje gaat rinkelen en dat is begrijpelijk. Google fonts zorgen er in de meeste gevallen voor dat jouw website verfraaid wordt met aangepaste lettertypen.

Browsers, maar vooral besturingssystemen worden standaard ingericht met maar enkele standaard lettertypen. Dat font dat in je brand strategie wordt gebruikt zit daar in veel gevallen helaas niet bij en daarom laden wij deze fonts ergens anders vandaan in. Er zijn verschillende manieren om fonts in te laden in jouw website, maar voor nu focussen we op het inladen van de fonts via de Google cloud.

Hoe worden de fonts ingeladen?

De bestanden die de lettertypen genereren laden de meeste websites al jaren vanaf Google. Dat wil zeggen: vanaf de Google servers. Dit is om een paar redenen handig:

  • De bestanden worden breed ge-cached, ofwel, heb je het bestand op website A al een keer gedownload, dan hoeft dat op website B niet nog een keer, wat resulteert in snellere laadtijden van websites.
  • Indien er veranderingen / verbeteringen aan de fonts zijn, krijgen de websites deze meteen door.
  • Inladen vanaf een CDN is handig, omdat het vaak cookieloze domeinen zijn en meerdere mirrors hebben over de hele wereld, dus voor internationalisering zeer handig.

En het probleem?

Doordat de websites de bestanden vanaf Google inladen, krijgt Google als het ware een download verzoek. Dit verzoek wordt behartigt in het leveren van de font bestanden aan de gebruiker, maar doordat de gebruiker (de website bezoeker) het bestand direct opvraagt bij Google, krijgt Google het IP-adres van de gebruiker binnen.

Alle websites of bestanden die je bezoekt op internet laten als het ware een stempel achter bij degene die antwoord, vaak in de vorm van minimaal een IP-adres. Een IP-adres wordt gezien als een persoonsgegeven, ook al herleidt het misschien niet direct naar een persoon. Door slimme algoritmen en big-data verzamelingen kunnen IP-adressen wel vaak erg nauwkeurig teruggebracht worden naar een identiteit en daarom wordt het ook gezien als persoonsgegeven.

Omdat Google geen mogelijkheid biedt om het IP-adres te maskeren / vergeten en niet duidelijk is wat er met het IP-adres gebeurt (Google geeft aan het niet te onthouden, maar is niet duidelijk in de volledige werkwijzen) wordt het dus gezien als een overtreding van de privacy wet. Omdat je als website je bezoeker zonder enige toestemming in connectie brengt met Google en dus het IP-adres van je klant deelt.

Er zijn nog maar weinig rechtszaken geweest omtrent dit specifieke geval, maar in Duitsland zijn er al wel gevallen waarin de website eigenaar werd beboet voor deze overtreding. In Nederland zijn we nog niet streng met GDPR, maar een individu zou theoretisch gezien een rechtszaak kunnen starten met dit ter grondslag.

Welke oplossingen zijn er?

In het kort zijn er drie oplossingen, waarvan er twee aangeboden kunnen worden door Twize.
Twize adviseert op dit moment alleen de eerste variant:

  • De Google Fonts lokaal inladen:
    Dat wil eigenlijk zeggen dat we de bestanden van de lettertypen lokaal op de omgeving van jouw website opslaan (naast bijvoorbeeld de afbeeldingen / css en Javascript bestanden). Hierdoor wordt het bestand vanaf onze servers ingeladen, welke allemaal netjes in Europa staan. Wij slaan de IP-adressen enkele dagen op om onze firewalls te leren wat goed en fout verkeer is en daarna worden deze verwijderd. Dit valt allemaal netjes onder functioneel en noodzakelijk gebruik op onze Europese (Nederlandse servers).

Andere alternatieven zijn:

  • Google Fonts pas inladen na de toestemming van de gebruiker:
    Je kent ze wel, de zogenaamde cookie bars, ook wel consent schermen genoemd. Ergens in de vele vinkjes kunnen we er dan een regel bij schrijven dat we je IP-adres met Google delen, maar dat je dan dan wel mooie lettertypen krijgt. Dit moet dan wel zonder dat je de website echt ziet, anders zie je tijdelijk een heel ander, misschien wel lelijker lettertype en is het gevoel van jouw website compleet anders.
  • We laden het Google Font in via een andere Cloud Service:
    Er zijn wat nieuwe aanbieders op de markt die het font aanbieden en zeggen niks met het IP-adres te doen, maar zich in ieder geval bevinden in Europa en dat het geheel al een stuk beter maakt. Twize is hier geen groot voorstander van, omdat deze partijen vaak redelijk nieuw zijn en misschien later ook een zelfde probleem kunnen opleveren.

Twize denkt mee

Wil je dat wij meekijken naar jouw huidige situatie en hoe wij deze kunnen aanpassen om AVG proof te zijn, neem dan contact op met je project manager!

Nog geen klant van Twize?
Dan kijken wij vrijblijvend naar je huidige situatie en brengen wij advies uit. Neem in dat geval contact op hieronder!

Het voldoen aan alle eisen van de GDPR is bijna een dagtaak geworden. Bij Twize hebben we veel tools en kennis die helpen dit een stuk gemakkelijker te maken. Laat ons je terugbellen met alle vragen die je hebt rondom dit onderwerp!