Botsen Google Fonts en privacy met elkaar?
Google Fonts en de privacy regelgeving blijken niet naadloos op elkaar aan te sluiten. In Duitsland was dit al reden tot claims. Paniek of hoax, wat is er aan de hand met Google Fonts met betrekking tot de privacywetgeving?
Wat is Google Fonts?
Voor wie het niet helemaal scherp heeft: Google Fonts – voorheen Google Web Fonts – zijn lettertypen van Google. Met name binnen WordPress wordt veel gebruik gemaakt van Google Fonts. Google stelt meer dan 1300 lettertypen via Google fonts gratis beschikbaar. Handig! Of toch niet. In Duitsland werden deze zomer tienduizenden bedrijven verrast met een claim wegens een probleem met Google fonts en privacy. De reden: via Google fonts ontvangt Google Amerika gegevens van websitebezoekers. En dat is in strijd met de privacywet.
Google Fonts en privacy, wat is er aan de hand?
Google fonts zijn gratis, geoptimaliseerd voor de interne zoekmachine van Google en er zijn er zoveel van dat je altijd een mooi lettertype kunt vinden. Er wordt dan ook veel gebruik van gemaakt. Deze zomer leidde dit tot grote onrust in Duitsland. In maart 2022 bepaalde een rechtbank in München dat Google Fonts niet voldoet niet aan de Algemene Verordening Gegevensbescherming (AVG). De rechtbank noemde het ‘integratie op afstand van Google Fonts’. Anders gezegd: het laden van Google Fonts via de Google Font API verloopt niet in overeenstemming met de wet op gegevensbescherming.
Via IP-adressen is het theoretisch mogelijk de persoon die aan het IP-adres is gekoppeld is te identificeren. Het is hiermee niet gezegd dat Google dit ook doet. Maar dit was voor de Duitse rechtbank niet van belang.
Via Google Fonts inzage in privégegevens
Het probleem met Google Fonts en privacy bestaat alleen wanneer de code vanuit Google servers (Google LLC ) wordt ingeladen. Wanneer dit gebeurt wordt het IP-adres van de websitegebruiker doorgegeven aan Google in de VS. Een IP-adres valt onder persoonsgegeven voor de internetprovider, omdat deze ook beschikt over de toewijzings- en logbestanden waarmee hij het IP-adres aan de gebruikers heeft toegewezen.
Geen reden tot paniek
De Duitse uitspraak – in dit geval aangespannen door een persoon – was reden voor profiteurs om tienduizenden websitebeheerders aan te schrijven. Webbeheerders die Google Fonts gebruiken werden ‘beboet’ wegens het schenden van de privacywetgeving. Met een relatief lage boetebedrag van 100-170 euro werd gemeend dat websitebeheerders geneigd zijn te betalen om van het gedoe af te zijn. Het gaat echter om misleiding. De claims zijn niet rechtmatig. Er wordt geautomatiseerde software gebruikt die websites met Google Fonts opsporen. Het is daarmee hard te maken dat niet de privacygegevens van een persoon geschonden zijn. Toch is de Duitse gang van zaken een teken aan de wand. Het is waarschijnlijk slechts een kwestie van tijd tot ook in Nederland ‘het Google Fonts en privacy probleem’, al dan niet door profiteurs, wordt opgepikt.
Waarom kan Google dit doen?
De VS voldoen niet aan de Europese eisen inzake gegevensbescherming. De inbedding van externe diensten zoals Google Fonts, kan dus een probleem opleveren met de hier geldende gegevensbescherming.
Hoe kun je het Google Fonts privacy probleem omzeilen?
Je bent nooit verplicht om voor Google Fonts te kiezen. Er zijn ook andere aanbieders waar je gratis lettertypen vandaan kunt halen zoals Font Squirrel of Fonts.com. Feit is dat Google Fonts erg populair zijn. Er zijn grofweg drie opties om gedoe met Google Fonts zoals in Duitsland te voorkomen:
- Geen Google Fonts gebruiken
- Bij al bestaande websites met een plug-in Google Fonts deactiveert
- Google Fonts lokaal integreren
Google Fonts deactiveren met een plug-in
Er zijn binnen WordPress meerdere plug-ins te vinden waarmee je Google Fonts kunt deactiveren. Je hebt ze in een paar tellen geïnstalleerd en het probleem met Google Fonts en privacy is opgelost. Het nadeel is dat ook het gekozen lettertype daarmee verdwenen is en de website er dus optisch heel anders uit gaat zien. Dit is vaak niet wat je wil.
Google Fonts lokaal integreren
Dit is verreweg de beste oplossing. Google Fonts lokaal integreren betekent dat de Google Fonts direct vanaf de eigen server worden geladen en niet meer via de Fonts API van Google. Hiervoor download je de lettertypen van je keuze naar een lokale server. Zolang de serverlocatie zich in de EU bevindt, worden er geen gebruikersgegevens verzonden naar providers buiten de EU en dus ook niet naar Google in Amerika.
Wanneer een websitepagina met Google Fonts wordt geladen via de Google Font API, dan is zogenaamde hot-linking dus standaard. Het probleem is dat de meeste bezoekers dit niet weten en daar zeker niet expliciet toestemming voor geven. Juridisch is vermelding op de privacypagina niet toereikend, omdat de bezoekers dit tenslotte pas lezen door op de pagina te klikken. (Dit is geen juridisch advies maar onze mening)
Moet je nu bang zijn dat, wanneer je geen Google fonts lokaal laat laden, dat Google je een lagere ranking geeft? Gelukkig is dit niet zo. Wel of geen Google Fonts laden vanuit de Fonts API van Google heeft geen consequentie voor de ranking.
Waarschijnlijk wel ja, die kans is heel groot. Er is nauwelijks een website die geen gebruik maakt van Google Fonts. Google biedt honderden lettertype aan die ook nog eens beschikbaar zijn in vet of cursief. Ze hebben allemaal één ding gemeen: ze zijn gratis. Dat is een van de redenen dat er biljoenen webpagina’s zijn die Google Fonts gebruiken.
Het is vrij eenvoudig om te zien of een website Google Fonts lokaal of niet lokaal laadt. Daarvoor ga je op een willekeurige webpagina van de website staan. Je klikt op de rechtermuisknop en kiest voor: ‘inspecteren’ vervolgens zoek je in de bovenste balk van het raam dat opent via » naar ‘network’ en daarbinnen naar ‘fonts’. Wanneer je een font gevonden hebt klik je daarop. Er opent zich (soms moet je hiervoor eerst nog Ctr +R voor intoetsen) een nieuw venster waarin te zien is vanwaar het lettertype geladen wordt. Zie je daar onder ‘Request URL’ de naam van de website? Dan wordt fonts lokaal geladen.
Conclusie
De kans is groot dat jouw website gebruik maakt van Google Fonts. Wanneer Google Fonts niet van een lokale server, maar van Google servers worden ingeladen worden tijdens dit proces persoonsgegevens inclusief het IP-adres van websitebezoekers automatisch naar Google verzonden. Als gevolg hiervan heeft de betreffende websitebezoeker geen controle meer over de verwerking van zijn gegevens. Dit is in strijd met de EU-wetgeving rondom bescherming van persoonsgegevens. Omdat Amerika niet tot de EU behoort, is het niet aan Google, maar aan Europese websitebeheerders het lek te dichten. Het probleem met Google Fonts en privacy wetgeving is te omzeilen door lettertypen te downloaden en lokaal te integreren. Dit geldt ook voor de plug-in van Google maps en die van Google reCAPTCHA die automatisch Google Fonts laden. Gelukkig zijn er prima oplossingen die ervoor zorgen dat je een mooie lettertypen uit Google Fonts kunt gebruiken zonder dat je daarbij de privacywetgeving overtreedt.
Wil je meer weten over Google Fonts en Privacy. Neem dan contact met ons op. We voorzien je graag van advies én een goede, veilige website.