Wie Google fonts gebruikt overtreedt de AVG en riskeert een boete

Wie in de titel van een artikel Google en AVG gebruikt weet al zeker dat het zal opvallen. Dat is ook de bedoeling, want het gebruik van fonts van de Google is best wel riskant. De vraag wie hier een risico loopt en waarom in Nederland het issue amper bekend is wordt hieronder uitgelegd.

Google fonts

AVG GDPR DSGVOWie online publiceert en daarvoor gebruik maakt van WordPress,  Joomla of een ander CMS heeft in principe de mogelijkheid het type letter (het font) te wijzigen. Google heeft ooit iets van 600 verschillend fonts in het publieke domein gezet. Die kunnen die zonder veel problemen worden gebruikt. Daar zitten echt mooie tussen, dus het is niet vreemd dat ze ook regelmatig worden toegepast om de website er net iets beter te laten uitzien.

Externe server

Er is echter een probleem met de Google fonts. Dat ze deel kunnen uitmaken van een CMS betekent niet dat ze ook op dezelfde server staan als dat CMS. Google is niet gek want begrijpt maar al te goed dat via iets simpels als een font heel veel data kan worden vergaard. Dat is dan ook het geval bij het merendeel van de templates en sjablonen voor CMS. Die geven de optie de Google fonts te gebruiken door het aanroepen vanaf een externe server. De server is, je raadt het al, van Google en serveert dus niet alleen fonts maar is 24/7 bezig met het vergaren van IP adressen.

Rechterlijke uitspraak

Die laatste handeling is problematisch. Dat zegt althans de Rechter in München (link). Begin dit jaar is bepaald dat een websitebeheerder die Googlefonts gebruikt gegevens van zijn bezoekers doorspeelt aan een derde partij. Dat gebeurt zonder  expliciet vooraf te vragen om toestemming. Over de plek waar die data wordt vergaard val ook nog wel wat te zeggen. Er is dus een probleem, want die bezoeker heeft geen pop-up gezien en zelfs als die al verschijnt is het leed al geschied. Het IP adres is doorgegeven.

Deze rechterlijke uitspraak is niet verder betwist. De periode voor het instellen van hoger beroep is ruim overschreden. Er is dus verse, concrete jurisprudentie. Wie in Duitsland de fout in gaat met de DSGVO heeft dus in Nederland ook een probleem, ook al spreken we hier van de AVG.

Aanklagen

google-fonts-e-weekNu druppelen dus ook al de berichten binnen van “consumenten” die websites aanklagen wegens het gebruik van Google fonts. De aanhalingstekens zijn geplaatst, omdat de bedoelingen van die personen wel erg simpel zijn. Betalen of een kort geding. Dom is natuurlijk wel dat een kort geding geld kost. De kans dat de website beheerder kan aantonen dat de procedure wordt misbruikt om een geldmachine te creëren is erg groot.

google-fonts-de-standaardMaar ook zelfs zonder dat soort uitwassen is er nog steeds een probleem. Het probleem is wereldwijd aanwezig. Er zijn echt heel veel sites die Google fonts op een manier gebruiken die vanuit de AVG beredeneerd niet door de beugel kunnen. De twee klibare voorbeelden hier zijn van eWeek (VS) en De Standaard (BE).

Plug-ins

Het is daarbij extreem makkelijk deze onbedoelde doorgifte van persoonsgegevens (het IP adres van een consument) te stoppen. Althans voor wie WordPress gebruikt. Er is een aantal plug-ins beschikbaar die controleren of fonts.googleapis.com wordt aangeroepen. Is het antwoord bevestigend dan heb je als website beheerder dus een probleem. De meeste plug-ins hebben als optie (en dat is volkomen legaal) de betreffende fonts op de server te installeren. Dan wordt bij het opvragen van de website pagina’s geen signaal meer naar Google gestuurd, alles staat immers in een directory van het CMS. Daarmee is het probleem verleden tijd.

Kleine moeite dus om te controleren dus of je onbewust de AVG overtreedt en in principe kans loopt op een vervelende brief of nog erger omdat je de Google fonts zo mooi vindt. Privacy deskundologen wijzen er overigens op dat je ook met een echte privé website hier de mist in kunt gaan.

Share: