We waren eerlijk gezegd zelf wat verbaasd bij het lezen van een recent Duits vonnis en leerden alweer een les: wie Google Fonts gebruikt op zijn of haar website checkt maar best even hoe dit technisch opgezet is. Als de fonts library niet lokaal gehost wordt op jouw domein, wordt immers bij elk webbezoek een verbinding gemaakt met Google servers en wordt het IP-adres van jouw webbezoeker gedeeld met Google!

Op die manier deel je persoonsgegevens onder GDPR met Google en volgens een recente Duitse beslissing is dat delen van persoonsgegevens niet in overeenstemming met GDPR. Dezelfde logica geldt bij uitbreiding voor heel wat andere tools en plug-ins die IP-adressen delen met externe partijen, zoals bijvoorbeeld Google Recaptcha.

Wij gingen alvast zelf ook even te rade bij ons web agency Okappi, want het lettertype op onze eigen website is Heebo en dat is ook een Google Font…

Google Fonts?

Webbouwers en online marketeers kennen Google Fonts natuurlijk wel, maar voor wie niet thuis is in de wereld van webdesign kunnen we kort samengevat zeggen dat Google Fonts een uitgebreide database van lettertypes (fonts) is, waarmee web of app developers lettertypen kunnen toevoegen aan websites of Android-apps door eenvoudigweg naar een standaard stylesheet te verwijzen. Het leuke aan Google Fonts is dat alle lettertypes open source zijn. Je mag ze dus gewoon gratis gebruiken. Google Fonts bevat ruim 1.300 verschillende lettertypes en wordt gebruikt door meer dan 50 miljoen websites wereldwijd.

Data delen met Google?

De Google Fonts die jij gebruikt kan je lokaal hosten op je website of je kan ze bij elk websitebezoek door je browser laten “opvragen” bij Google. De technische details en de gevolgen van de keuze voor het ene of het andere voor bijvoorbeeld de paginasnelheid van je website laten we even in het midden. Daarvoor kan je terecht bij heel wat online bronnen die technisch beter onderlegd zijn dan wij en die je de voor- en nadelen van lokale hosting, al dan niet samen met een Content Delivery Network of CDN als Cloudflare.

Onze eigen web developer Okappi verzekert ons alvast dat er weinig of geen redenen zijn om fonts niet lokaal te hosten. Als je dit goed opzet, zou de impact op de laadsnelheid van je webpagina’s (en dus ook onrechtstreeks je SEO score) zelfs positief zijn.

De keuze voor het al dan niet lokaal hosten van Google Fonts blijkt echter ook juridische implicaties te hebben. Als de fonts niet lokaal op jouw domein staan, wordt er immers bij elk webbezoek contact gemaakt met Google servers om daar het benodigde font op te vragen. Tijdens dat verzoek wordt ook het IP-adres van jouw webbezoeker meegestuurd naar Google. Dat was voldoende reden voor een Duitse rechtbank om een (kleine) Duitse website te veroordelen tot een (al bij al lage) schadevergoeding van 100 euro aan één van de bezoekers op haar website. Deze bezoeker was immers van oordeel dat de betreffende website een inbreuk had gemaakt op GDPR en zijn persoonsgegevens (met name zijn IP-adres, dus) onrechtmatig had gedeeld met Google.

Volgens de betrokken rechtbank in München was er toestemming van de betrokkene nodig om diens persoonsgegevens te delen met Google. Die toestemming was er niet en de ongeoorloofde openbaarmaking van het IP-adres van de eiser door de naamloze website aan Google vormt volgens de rechtbank dus een inbreuk op de privacyrechten van de gebruiker. De overtreding komt neer op “het verlies van de controle door de eiser over persoonlijke gegevens aan Google“, aldus de rechtbank.

Waarom is dit een probleem onder GDPR?

Onder GDPR zijn IP-adressen, advertentie-ID’s en cookies beschermde persoonsgegevens. Die mogen alleen verwerkt worden als aan alle voorwaarden die GDPR stelt voldaan is. Eén van de eerste en belangrijkste voorwaarden is dat je voor de verwerking van persoonsgegevens altijd een gepaste “rechtsgrond moet kunnen inroepen. GDPR kent zes rechtsgronden die je toelaten om persoonsgegevens te verwerken. Toestemming is de meest bekende en de meest voor de hand liggende.

Maar je kan vaak ook persoonsgegevens verwerken zonder toestemming. Dat kan als de wet de verwerking van bepaalde gegevens noodzakelijk maakt of verplicht, bijvoorbeeld omdat boekhoudwetgeving je verplicht om bepaalde gegevens in je boekhouding te verwerken. Ook als een bepaalde verwerking strikt noodzakelijk is om een overeenkomst uit te voeren of mogelijk te maken, is verwerking zonder toestemming mogelijk.

In bepaalde gevallen kan je ook gewag maken van een “gerechtvaardigd belang” om gegevens te verwerken, maar dan moet je verwerking voldoen aan een reeks voorwaarden die juristen omschrijven als de “driestappentest”. Heel eenvoudig samengevat moet je verwerking noodzakelijk en gerechtvaardigd zijn en moet de betrokkene redelijkerwijze kunnen verwachten dat je zijn of haar gegevens gaat verwerken.

Het probleem met de verwerking van IP-adressen door Google voor het vertonen van Google Fonts is dat die verwerking niet strikt noodzakelijk is. Je kan die doorgifte aan Google immers perfect vermijden door de fonts lokaal te hosten.

Dezelfde redenering geldt overigens ook voor heel wat andere tools zoals Google Recaptcha, die data delen met Google of andere derden. De facto is de enige geldige “rechtsgrond” die je toelaat om persoonsgegevens te verwerken in de context van Google Fonts of Google Recaptcha de voorafgaande, vrije en geïnformeerde toestemming van de betrokkene …

Hoe los je dit dan best op?

Bovenstaande betekent concreet dat je eigenlijk aan bezoekers die op één van je webpagina’s landen een pop-up zou moeten tonen waarin je hun toestemming vraagt om hun IP-adres met Google te delen in het kader van het gebruik van Google Fonts, Google Recaptcha of andere services (een beetje als een cookie pop-up, dus). Daarbij zou je ook een duidelijke en volledige privacy policy moeten meegeven, waarin je toelicht hoe en waarom je IP adressen deelt met Google en welke rechten mensen kunnen laten gelden met betrekking tot die doorgifte en verwerking van hun persoonsgegevens. Bijkomend probleem daarbij is dat een toestemming onder GDPR “vrij” gegeven moet worden, wat betekent dat mensen je website moeten kunnen bezoeken ook zonder toestemming (en dus zonder Google Fonts of Google Recaptcha)…

Dat is natuurlijk allemaal pure juridische fictie. In de praktijk kan je zo’n toestemming niet vragen. Als het technisch al haalbaar zou zijn, zou het ongetwijfeld de bezoekersaantallen op je website in elkaar doen stuiken of zal je website ontsierd worden met een Arial font dat als back-up zal moeten dienen.

Er is dus maar één conclusie mogelijk: je mag de IP-adressen van je webbezoekers in de context van Google Fonts (of dus Google Recaptcha) niet delen met Google of andere derden. Voor Google Fonts betekent dit local hosting. Voor Google Recaptcha laat onze technische kennis ons eerlijk gezegd in de steek. Wellicht zal een andere recaptcha tool die geen IP-adressen verzendt naar externe servers daar de enige oplossing zijn…Dit onderzoeken we momenteel verder met onze eigen developer.

Je kan je overigens ernstig de vraag stellen of dit soort discussies veel goed doet aan het imago van GDPR en aan het algemene niveau van gegevensbescherming in de EU. Er zijn ongetwijfeld veel nijpendere privacy issues dan Google die IP-adressen verwerkt om een correcte font te kunnen vertonen op een website…

Aan de andere kant is dit iets waarover Google wellicht toch wat opener zou kunnen communiceren, zodat marketeers en webbouwers zich meer bewust zouden zijn van het feit dat zelfs de keuze voor een lettertype op een website GDPR-implicaties kan hebben.

Voorzichtigheid voor webbouwers

Webbouwers zijn maar beter voorzichtig in het kader van de projecten die ze opleveren. Het is weliswaar de eigenaar van de website -de klant dus- die in principe als verantwoordelijke voor de verwerking van persoonsgegevens aangesproken zal worden door de toezichthoudende overheid in het kader van controles of boetes of door gebruikers in het kader van een eis tot schadevergoeding.

Maar als webbouwer heb je wél de contractuele verplichting om een goed functionerende en juridisch compliant website op te leveren, conform de gangbare standaarden en gebruiken binnen de sector. Doe je dat niet, dan kan jouw klant mogelijks komen aankloppen om vergoeding te vragen voor de schade die hij of zij zou lijden. In dit geval was er sprake van 1 webbezoeker die een schadevergoedingsclaim indiende en 100 euro schadevergoeding kreeg toegewezen. We laten jullie zelf uitrekenen wat de kost is als 10.000 of 100.000 websitebezoekers zich verenigen in een groepsclaim…

Staat dit los van de Google Analytics beslissing uit Oostenrijk eerder deze maand?

Eerder deze maand oordeelde een Oostenrijkse rechter al dat het gebruik van Google Analytics in strijd is met GDPR. De reden daar was echter niet in de eerste plaats het feit dat data gedeeld wordt met Google (dat feit op zich kwam niet echt ter sprake in het geschil), maar wél de vaststelling dat Google in de context van Google Analytics die data exporteert en verwerkt op servers in de VS zonder daarbij de veiligheidsgaranties te kunnen geven die GDPR in navolging van het Schrems II-arrest oplegt.

De juridische insteek is dus anders, maar de consequenties voor webbouwers en online marketeers zijn precies dezelfde: wees voorzichtig met de tools en plug-ins die je gebruikt op de website van je klanten.

Wie meer wil weten over veilige data export en de impact van GDPR op Google Analytics kan alles in detail nalezen in dit artikel of kan hier inschrijven voor ons volgende webinar “Veilige data export naar de VS na de recente Google Analytics beslissing” op 11 februari.

Minimale GDPR-reflexen voor webbouwers en online marketeers

  • Doe een GDPR-compliance check op alle tools en plugins
  • Controleer waar data verwerkt wordt, of ze de EU verlaat en met wie ze gedeeld wordt
  • Kies Europese tools waar mogelijk
  • Check de technische veiligheid van alle tools en plug-ins
  • Waarschuw je klant en licht hem/haar voor over GDPR compliance
  • Check of je klant een goed onderbouwd dataregister heeft en een duidelijke en volledige privacy policy
  • Controleer of er voor elke verwerking een gepaste rechtsgrond te vinden is en communiceer dit aan de klant, zodat deze zijn/haar dataregisters kan updaten
  • Zorg dat die Privacy Policy online staat
  • Zorg zelf voor goede verwerkersovereenkomsten die jouw relatie met je klant goed afdekken en je aansprakelijkheid waar mogelijk beperken
  • Zorg voor een goede beroepsaansprakelijkheidsverzekering