ReCAPTCHA en de EU

De laatste maanden staat Google regelmatig op de agenda bij de Autoriteit Persoonsgegevens van verschillende EU Lidstaten. Dit artikel geeft antwoord op de vraag of je Google ReCAPTCHA mag gebruiken, en wat de eventuele alternatieven zijn.

Waarom een CAPTCHA gebruiken?

Webformulieren zijn voor veel organisaties de ideale manier om snel te communiceren met bezoekers van de website. Het is wel vervelend als je mailbox vervolgens volstroomt met spam van reacties door geautomatiseerde bots. Daarom is het prettig als je ervoor kunt zorgen dat alleen ‘echte mensen’ het formulier kunnen invullen en versturen.

Hiervoor zijn verschillende oplossingen bedacht. Denk bij voorbeeld aan de ‘honeypot’ die een onzichtbaar veld toevoegt aan het formulier dat wel door bots wordt ingevuld, maar niet door mensen. Of het meten van hoelang iemand nodig heeft om het formulier in te vullen. Sneller dan 30 seconden is dan meestal spam.

Hoewel dit in het verleden effectieve manieren waren om bots eruit te filteren, heeft de ontwikkeling van spambots ook niet stilgestaan. De bots worden steeds beter in het omzeilen van deze beveiligingsmaatregelen.

Andere, nog steeds effectieve, oplossingen zijn de CAPTCHA’s. Van oorsprong zijn dit testjes die alleen konden worden uitgevoegd door mensen en niet door bots. Inmiddels wordt er door verschillende CAPTCHA’s op andere manieren vastgesteld of iemand een persoon of een bot is.

Google ReCAPTCHA

Met ReCAPTCHA van Google ziet de gebruiker van je formulier in de meeste gevallen niets meer van de functie behalve het logo. De functie werkt door op grote schaal identificerende gegevens van personen te verzamelen met een niet-essentiële cookie en stuurt die gegevens door naar de VS voor verwerking.

Hoewel ReCAPTCHA  veel gebruikt wordt binnen en buiten de EU, blijft het gebruik ervan een donkergrijs gebied binnen de Europese wet- en regelgeving.

Een groot probleem voor het bepalen of en hoe je ReCAPTCHA mag gebruiken zit hem in het gebrek van transparantie en tegenstrijdige informatie bij Google. Het is niet helemaal duidelijk wat Google precies doet met de verzamelde gegevens. Google geeft aan dat zij de verzamelde en geanalyseerde gegevens gebruikt voor het verbeteren van ReCAPTCHA en algemene beveiligingsdoeleinden. Maar er wordt ook verwezen naar de algemene voorwaarden die eisen dat je toestemming aan de gebruiker vraagt voor:

het gebruik van cookies of andere lokale opslag indien dat wettelijk is vereist; en
het verzamelen, delen en gebruiken van persoonsgegevens voor gepersonaliseerde advertenties.
Maar om antwoord te kunnen geven gaan we gewoon terug naar de basis.

Het plaatsen van cookies

In de blog Cookies in de EU leggen we uit wanneer je toestemming nodig hebt voor het plaatsen van cookies, en waar deze toestemming aan moet voldoen.

Het gaat niet om een cookie die noodzakelijk is voor de werking van de website. Het formulier waar je ReCAPTCHA aan toevoegt werkt prima zonder de functie. Het doel is dus niet een goede werking van de website, maar het tegengaan van spamberichten.

De cookie wordt ook niet geplaatst om informatie te verzamelen over de kwaliteit en de effectiviteit van de website.

Conclusie: Je hebt toestemming nodig om de cookie te plaatsen.

Toestemming

De toestemming moet aan een aantal voorwaarden voldoen. De eerste van deze voorwaarden is dat je iemand niet mag dwingen toestemming te geven. Dat betekent dat als je zonder cookie de service niet mag gebruiken (cookie muur) de toestemming niet voldoet aan de voorwaarden.

Je mag de cookie pas plaatsen wanneer je expliciete toestemming hebt. Wanneer een gebruiker de cookiebanner negeert, mag dit niet worden gezien als toestemming.

Als je de service (bijvoorbeeld een formulier) niet kunt gebruiken zonder ReCAPTCHA cookie, dan voldoet de toestemming niet aan de voorwaarden.

Als je het na het weigeren van de cookie het formulier gewoon kunt invullen, dan kunnen bots het formulier ook gewoon invullen door de cookiebanner compleet te negeren, en is ReCAPTCHA niet meer effectief.

Alternatieven

Bij het kiezen van een alternatief voor ReCAPTCHA moet een overheidsinstantie rekening houden met meerdere wetten:

  • ePrivacy/Telecommunicatiewet
  • AVG
  • Toegankelijkheid

Het blijft altijd een balans tussen het vinden van een effectieve manier om spam tegen te gaan die aan al deze wetten voldoet.

ePrivacy

In het artikel Cookies in de EU wordt uitleg gegeven over de Telecommunicatiewet. Houd er rekening mee dat deze regels niet alleen gaan over het plaatsen van cookies. Ze gaan over zowel het opslaan van informatie op het apparaat van de gebruiker, als het verzamelen van informatie uit het apparaat van de gebruiker. Het maakt niet uit of dit persoonsgegevens zijn of niet.

AVG

Wanneer het gaat om verwerking van persoonsgegevens moet deze verwerking voldoen aan de AVG.

Toegankelijkheid

De toegankelijkheidseisen zorgen ervoor dat alle gebruikers van je website toegang hebben tot alle informatie en mogelijkheden, op alle apparaten.

In WCAG 2.1 hebben we het over richtlijn 1.1 Tekstalternatieven (Niveau A). In de Nederlandse vertaling van deze richtlijn vind je het volgende over CAPTCHA’s:

Als het doel van niet-tekstuele content is om te bevestigen dat de gebruiker een persoon is in plaats van een computer, dan geeft het tekstalternatief een duidelijke beschrijving van het doel en de inhoud van de content. Ook worden er alternatieven aangeboden die gebruikmaken van andere zintuigen dan zicht om tegemoet te komen aan verschillende functiebeperkingen.

Naar verwachting wordt in WCAG 2.2 verdere eisen gesteld aan cognitieve testen zoals de puzzeltjes die je bij een CAPTCHA moet oplossen. Deze staan nog niet vast, maar je kunt hier al meer over lezen op de pagina Accessible Authentication van W3C (Deze link gaat naar een externe website).

hCaptcha als alternatief?

We hebben het alternatief hCaptcha onderzocht. Dit is een alternatief dat aangeeft te voldoen aan de AVG en de ePrivacy richtlijn van de EU. Deze mogelijkheid gaat terug naar het basisprincipe waarbij een puzzeltje moet worden opgelost.

Voor toegankelijkheidsoverwegingen biedt deze oplossing de optie een vrijwillige cookie te downloaden die geen gegevens verzamelt, maar waarmee iemand zich identificeert als een persoon. De bezoeker slaagt met deze cookie automatisch voor de puzzel. Hiervoor moet de gebruiker zich registreren met alleen een e-mailadres bij hCaptcha.

Vooral de registratie van het e-mailadres is nog een aandachtspunt binnen de AVG. Verder is het nog niet helemaal duidelijk wat de WCAG 2.2 voorschrijft, en of de functie hieraan voldoet.

Wel is het duidelijk dat hCaptcha zich serieus bezighoudt met privacy en toegankelijkheid. Zo werken ze volop aan een oplossing waarbij zelfs het geregistreerde e-mailadres meteen wordt verwijderd.

Heb je eventueel interesse in het gebruik van hCaptcha, dan is het slim om je Privacy Officer of je Functionaris Gegevensbescherming te betrekken bij je overweging. Als wij je kunnen helpen bij het maken van een afweging tussen verschillende oplossingen, dan horen we dat graag.