Google Fonts AVG: zo stopt u het IP-lek naar Google

Telkens wanneer iemand uw website bezoekt, downloadt de browser de lettertypes die uw site gebruikt. Komen die lettertypes van de servers van Google, dan wordt het IP-adres van uw bezoeker naar Google in de Verenigde Staten gestuurd.

Een Duitse rechtbank oordeelde in januari 2022 dat dit de AVG/GDPR schendt. De website-eigenaar kreeg een boete van 100 euro en moest ermee stoppen.

De boete was klein. Het precedent niet.

Wat er gebeurde in de Duitse rechtszaak

Op 20 januari 2022 oordeelde het Landgericht München, de regionale rechtbank van München, in zaak Az. 3 O 17493/20 dat een website-uitbater de AVG schond door Google Fonts te laden vanaf het CDN van Google op fonts.googleapis.com.

De feiten waren eenvoudig. Een bezoeker opende de website. De site haalde lettertypes op van de servers van Google. Google ontving het IP-adres van de bezoeker. De bezoeker had geen toestemming gegeven voor die gegevensoverdracht.

De rechtbank stelde twee schendingen vast:

Ten eerste is het IP-adres van de bezoeker een persoonsgegeven onder artikel 4 AVG. Dat is niet nieuw. Het Hof van Justitie van de EU stelde dit al in 2016 vast in het Breyer-arrest C-582/14.

Ten tweede schendt het doorgeven van dat persoonsgegeven aan de Amerikaanse servers van Google zonder toestemming van de bezoeker artikel 6 AVG. De rechtbank verwierp uitdrukkelijk het argument dat het laden van Google Fonts een "gerechtvaardigd belang" zou dienen. Vergelijkbare conclusies trok de Belgische GBA (Gegevensbeschermingsautoriteit) over gegevensoverdrachten aan derde partijen. De uitbater had de lettertypes zelf kunnen hosten. Dat niet doen was een gemakskeuze, geen noodzaak.

De boete bedroeg 100 euro schadevergoeding aan de eiser, en de website-uitbater moest daarbovenop de proceskosten betalen. Kleine bedragen. Maar deze zaak opende de deur voor massaclaims, en sindsdien zijn duizenden vergelijkbare brieven verstuurd naar website-eigenaren in Duitsland, Oostenrijk en België.

Hoe Google Fonts werkt en waarom het een probleem is

Wanneer u Google Fonts op de standaardmanier aan uw website toevoegt, plaatst u een link-tag zoals deze in uw HTML:

<link href="https://fonts.googleapis.com/css2?family=Inter:wght@400;700" rel="stylesheet">

Dit gebeurt er wanneer een bezoeker uw pagina laadt:

1. De browser ziet deze tag en stuurt een verzoek naar fonts.googleapis.com
2. De server van Google ontvangt het verzoek, inclusief het IP-adres van de bezoeker, het browsertype en de verwijzende URL
3. Google stuurt het CSS-bestand terug, dat de browser opdraagt de eigenlijke lettertypebestanden te downloaden van fonts.gstatic.com
4. Er vertrekt opnieuw een verzoek naar Google, opnieuw met het IP-adres van de bezoeker

Twee verzoeken naar de servers van Google. Twee overdrachten van persoonsgegevens. Geen toestemming gevraagd.

Dit gebeurt voordat de bezoeker iets doet op uw site. Voordat hij op een knop klikt, een formulier invult of een cookiebanner accepteert. De gegevensoverdracht vindt plaats door het laden van de pagina alleen al.

Hoeveel websites zijn getroffen

Veel. Google Fonts wordt gebruikt op ongeveer 50 miljoen websites wereldwijd. Het is met grote voorsprong de populairste webfontdienst. De meeste WordPress-thema's laden Google Fonts standaard. Veel websitebouwers zoals Wix, Squarespace en Webflow doen dat ook.

Als u dit nooit specifiek heeft gecontroleerd, laadt uw website waarschijnlijk Google Fonts extern. Het thema dat uw webdesigner koos, had ze vermoedelijk standaard aan boord.

Zo controleert u of uw website Google Fonts extern laadt

Methode 1: de ontwikkelaarstools van de browser

1. Open uw website in Chrome
2. Druk op F12 om de ontwikkelaarstools te openen
3. Klik op het tabblad "Netwerk"
4. Herlaad de pagina
5. Typ in de filterbalk "fonts.googleapis" of "fonts.gstatic"

Ziet u verzoeken naar die domeinen, dan laadt uw site Google Fonts vanaf de servers van Google.

Methode 2: de broncode bekijken

1. Klik met de rechtermuisknop op uw website en kies "Paginabron weergeven"
2. Druk op Ctrl+F en zoek naar "fonts.googleapis.com"

Vindt u het terug, dan worden de lettertypes extern geladen.

Methode 3: een scan uitvoeren

Een gratis compliance-scan controleert automatisch op externe Google Fonts-verbindingen, samen met tientallen andere privacy- en complianceproblemen.

De oplossing: host uw Google Fonts zelf

De oplossing is rechttoe rechtaan. In plaats van lettertypes te laden vanaf de servers van Google, downloadt u de lettertypebestanden en host u ze op uw eigen server. Geen verzoeken naar Google. Geen overdracht van IP-adressen. Probleem opgelost.

Stap 1: download de lettertypes

Ga naar google-webfonts-helper, een gratis tool van Mario Ranftl. Zoek het lettertype dat u gebruikt. Selecteer de gewichten en stijlen die u nodig heeft. Download het zip-bestand.

Stap 2: upload de lettertypebestanden naar uw server

Pak de download uit en upload de lettertypebestanden, doorgaans in .woff2-formaat, naar een map op uw webserver. Een map als /fonts/ volstaat prima.

Stap 3: voeg de @font-face CSS toe

De google-webfonts-helper genereert ook de CSS die u nodig heeft. Die ziet er zo uit:

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 400;
  font-display: swap;
  src: url('/fonts/inter-v12-latin-regular.woff2') format('woff2');
}

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 700;
  font-display: swap;
  src: url('/fonts/inter-v12-latin-700.woff2') format('woff2');
}

Voeg dit toe aan uw stylesheet.

Stap 4: verwijder de Google Fonts link-tag

Zoek en verwijder de <link>-tag die naar fonts.googleapis.com verwijst uit uw HTML. Wordt die toegevoegd door een WordPress-thema of -plugin, controleer dan de thema-instellingen op een optie "disable Google Fonts". Veel moderne thema's hebben die.

Stap 5: controleer of het werkt

Herlaad uw site en open opnieuw de ontwikkelaarstools. Ga naar het tabblad Netwerk en filter op "googleapis". Er mogen geen verzoeken meer verschijnen.

Specifieke instructies voor WordPress

De meeste WordPress-thema's laden Google Fonts via het bestand functions.php van het thema of via de WordPress Customizer. Zo lost u het op, afhankelijk van uw situatie:

Heeft uw thema een ingebouwde optie: controleer Weergave > Customizer of het instellingenpaneel van uw thema. Zoek naar instellingen voor "Typografie" of "Google Fonts". Thema's zoals Astra, GeneratePress en Kadence laten u met één klik overschakelen naar lokaal gehoste lettertypes.

Gebruikt u een plugin: de plugin "OMGF (Optimize My Google Fonts)" downloadt Google Fonts automatisch, host ze lokaal en verwijdert de externe verwijzingen. Installeer de plugin, voer hem één keer uit en u bent klaar.

Moet u het handmatig doen: voeg dit toe aan functions.php van uw thema om Google Fonts uit de laadvolgorde te halen:

function remove_google_fonts() {
    wp_deregister_style('google-fonts');
    wp_dequeue_style('google-fonts');
}
add_action('wp_enqueue_scripts', 'remove_google_fonts', 100);

Voeg daarna de zelf gehoste @font-face-declaraties toe aan de stylesheet van uw thema.

Hoe zit het met andere externe lettertypediensten?

Google Fonts krijgt de meeste aandacht, maar dezelfde AVG-logica geldt voor elke externe lettertypedienst die IP-adressen van bezoekers doorgeeft aan servers van derden. Adobe Fonts, vroeger bekend als Typekit, en de CDN-versie van Font Awesome hebben hetzelfde probleem.

De oplossing is in elk geval dezelfde: download de bestanden en host ze zelf.

Font Awesome biedt een zelf te hosten versie aan die u rechtstreeks kunt downloaden. Adobe Fonts ligt lastiger, want de licentie vereist vaak dat de lettertypes vanaf de servers van Adobe worden geladen. Gebruikt u Adobe Fonts, overweeg dan over te stappen op een zelf te hosten alternatief of neem de dienst op in uw cookie-toestemmingsflow.

Is die boete van 100 euro echt het zorgen waard?

De zaak in München draaide om één klager en een boete van 100 euro. Dat klinkt verwaarloosbaar. Toch zijn er goede redenen om dit serieus te nemen:

Massaclaims gebeuren al. Na de uitspraak in München begonnen georganiseerde groepen honderden aanmaningsbrieven te sturen naar website-uitbaters in Duitsland en Oostenrijk. De bedragen variëren van 100 tot 170 euro per claim. Sommige website-eigenaren ontvingen meerdere claims van verschillende personen.

De trend verspreidt zich. Nederlandse en Belgische privacyactivisten hebben het opgemerkt. Vergelijkbare claims op basis van dezelfde juridische redenering duiken op in België.

Het is eenvoudig op te lossen. Lettertypes zelf hosten kost 15 tot 30 minuten. Zelfs één claim van 100 euro betalen kost meer aan tijd en stress.

Het gaat niet alleen om lettertypes. Als een gegevensbeschermingsautoriteit uw gebruik van Google Fonts onderzoekt en daarbij andere AVG-problemen vindt, zoals ontbrekende cookietoestemming, een verkeerd geconfigureerde Google Analytics of een ontbrekende privacyverklaring, dan wordt de klacht over lettertypes het topje van een veel groter probleem. Onze AVG-checklist behandelt alle punten die u naast lettertypes moet controleren.

Veelgestelde vragen

Geldt dit ook voor websites buiten Duitsland?

De uitspraak in München is een beslissing van een Duitse rechtbank en dus niet rechtstreeks bindend in andere EU-landen. Maar ze past dezelfde AVG-regels toe die overal in de EU gelden. Nederlandse, Oostenrijkse en Belgische toezichthouders hebben aangegeven het met de redenering van de rechtbank eens te zijn. Behandel dit als een EU-breed probleem.

Mijn websitebouwer laadt Google Fonts automatisch. Wat nu?

Controleer de instellingen van uw platform op een optie voor lokale lettertypes. Wix voegde lokale fonthosting toe in 2023. Squarespace en Webflow ondersteunen beide aangepaste lettertypes. Biedt uw bouwer dit niet aan, neem dan contact op met hun support. In afwachting kunt u een Content Security Policy-header gebruiken om verzoeken naar fonts.googleapis.com te blokkeren, al kan dat de weergave van uw lettertypes breken totdat u lokale alternatieven heeft toegevoegd.

Kan ik Google Fonts niet gewoon toevoegen aan mijn cookiebanner?

Technisch gezien wel. U zou Google Fonts kunnen blokkeren totdat de bezoeker toestemming geeft, zoals uw cookiebanner dat al doet voor trackers. Maar dan toont uw website tot aan de toestemming niet de bedoelde lettertypes, en dat oogt kapot. Zelf hosten is een veel betere oplossing, want uw lettertypes laden meteen en er is geen toestemming nodig.

Wordt mijn website trager door lettertypes zelf te hosten?

Meestal het omgekeerde. Google Fonts vereist twee extra HTTP-verbindingen naar googleapis.com en gstatic.com. Zelf gehoste lettertypes laden vanaf uw eigen server, waarmee de browser al verbonden is. De meeste sites zien gelijke of betere prestaties na de overstap naar zelf gehoste lettertypes, zeker met goede caching-headers.

Ik gebruik een CDN zoals Cloudflare. Lost dat het Google Fonts-probleem op?

Nee. Een CDN vóór uw eigen site verandert niets aan het feit dat uw HTML browsers opdraagt lettertypes op te halen bij de servers van Google. De verzoeken gaan nog steeds naar Google. U moet de externe lettertypeverwijzingen echt vervangen door lokale.

---

Benieuwd welke andere gegevens uw website mogelijk lekt? Voer een gratis scan uit op trustyourwebsite.com en controleer op Google Fonts, externe trackers en meer dan 30 andere complianceproblemen.

Bronnen

• Verordening (EU) 2016/679, algemene verordening gegevensbescherming (eur-lex.europa.eu)
• Artikel 4 AVG, definities, waaronder persoonsgegevens en IP-adressen (eur-lex.europa.eu)
• Artikel 6 AVG, rechtmatigheid van de verwerking (eur-lex.europa.eu)
• HvJ-EU, zaak C-582/14 Breyer, IP-adressen als persoonsgegevens (curia.europa.eu)
• Gegevensbeschermingsautoriteit, Belgische gegevensbeschermingsautoriteit (gegevensbeschermingsautoriteit.be)
• Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (ejustice.just.fgov.be)

---

Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.