Steeds meer organisaties gebruiken Google reCAPTCHA om te voorkomen dat bots en spammers formulieren invullen. De tool lijkt onmisbaar: hij beschermt contactformulieren, aanmeldpagina’s en enquêtes tegen misbruik. Toch schuurt het gebruik juridisch. Want reCAPTCHA verzamelt persoonsgegevens, plaatst cookies en verwerkt gegevens buiten de EU. De vraag is dus: mag u reCAPTCHA als functionele cookie plaatsen, zonder toestemming?
8 december 2025 •
Nieuws
Google reCAPTCHA: handig tegen spam, maar mag u het zomaar gebruiken?
Het korte antwoord: nee, meestal niet. Juridisch gezien is reCAPTCHA geen puur noodzakelijke cookie en mag deze pas worden geladen na toestemming van de bezoeker.
Waarom reCAPTCHA meer doet dan spam weren
Om te bepalen of een bezoeker mens of robot is, analyseert Google reCAPTCHA veel meer dan alleen een klik. De tool verzamelt onder meer:
- het IP-adres en de locatie van de bezoeker,
- muisbewegingen en klikgedrag,
- informatie over het apparaat, de browser en het besturingssysteem,
- en plaatst daarbij een persistent cookie (_grecaptcha), die langer actief blijft.
Die gegevens worden naar Google gestuurd, waar ze worden beoordeeld en opgeslagen. Google vermeldt in zijn voorwaarden dat deze data ook voor eigen doeleinden kunnen worden gebruikt – bijvoorbeeld voor personalisatie en profilering. Daarmee is de tool dus niet beperkt tot het beveiligen van formulieren.
Juridische context: wat zegt de AVG en ePrivacy-richtlijn?
Volgens de AVG en de ePrivacy-richtlijn mogen cookies zonder toestemming alleen worden geplaatst als ze strikt noodzakelijk zijn voor de werking van de website. Denk aan cookies die een winkelwagentje laten functioneren of die een inlog onthouden.
Bij reCAPTCHA ligt dat anders:
- De tool is niet nodig om het formulier technisch te laten werken.
- De verwerking van persoonsgegevens is uitgebreider dan noodzakelijk.
- Google kan de gegevens ook voor eigen doeleinden gebruiken, buiten invloed van de websitebeheerder.
Daarom wordt reCAPTCHA in de meeste gevallen niet beschouwd als een “noodzakelijke cookie”. Sterker nog: een Oostenrijkse rechter oordeelde expliciet dat reCAPTCHA niet onder het gerechtvaardigd belang valt. De websitebeheerder moet dus toestemming vragen vóórdat de tool actief wordt.
De praktijk: waarom veel websites het toch doen
Toch zien we dat veel websites reCAPTCHA standaard laden, nog vóór de bezoeker toestemming heeft gegeven. Vaak komt dat doordat webbouwers of templateleveranciers de tool als “functioneel” hebben ingedeeld. De redenering is begrijpelijk: zonder reCAPTCHA kan het formulier kwetsbaar zijn voor spam.
Toch blijft dat juridisch riskant. Privacyplatforms zoals Usercentrics, Iubenda en Legalweb.io adviseren daarom om reCAPTCHA pas te activeren nadat de gebruiker toestemming heeft gegeven via de cookiebanner.
Zijn er privacy vriendelijke alternatieven?
Ja, die zijn er gelukkig. Een bekend alternatief is FriendlyCaptcha, ontwikkeld in Duitsland. Deze tool gebruikt een ander validatiemechanisme en verzamelt aanzienlijk minder persoonsgegevens. Volgens de aanbieder worden IP-adressen direct geanonimiseerd en worden er geen cookies geplaatst voor tracking of analyse. Hoewel er altijd enige gegevensverwerking plaatsvindt (meestal gepseudonimiseerd), is de privacy-impact veel kleiner.
Andere alternatieven zijn onder meer hCaptcha of eigen open-source oplossingen die lokaal draaien. Voor organisaties die discussie over gerechtvaardigd belang willen vermijden, is overstappen op zo’n alternatief vaak de veiligste keuze.
Wat kunt u als organisatie doen?
Wilt u AVG-proof blijven en tegelijk spam weren? Dan kunt u het volgende doen:
- Controleer uw huidige cookie-instellingen.
Staat reCAPTCHA onder ‘noodzakelijk’? Dan is aanpassing nodig. - Vraag toestemming voordat u reCAPTCHA laadt.
Plaats de tool pas nadat de gebruiker via de cookiebanner akkoord heeft gegeven. - Overweeg een alternatief.
FriendlyCaptcha is een goed voorbeeld van een dienst met minder dataverwerking. - Pas uw privacyverklaring aan.
Vermeld duidelijk welke tool u gebruikt, welke gegevens worden verzameld en op welke grondslag. - Bespreek dit met uw webbouwer of marketingteam.
Vaak kunnen zij de aanpassing technisch eenvoudig doorvoeren.
Heeft u vragen naar aanleiding van dit artikel?
Neem dan contact met ons op.
