Leesbaar maar illegaal: de keerzijde van Google Fonts
Je bent als website-eigenaar vast bekend met Google Fonts, een collectie van meer dan 1500 lettertypes die je voor nop kunt gebruiken op je computer of je website. Google Fonts heeft veel betekend voor het web, want we zitten niet meer vast aan die paar lettertypes die iedereen op z’n computer heeft (Times New Roman enzo). Er is alleen één probleempje: het is illegaal. We leggen graag uit hoe dat zit en hoe groot het probleem is, en hoe je het oplost.
AVG for the win
Onder de AVG of GDPR moet elke vorm van gegevensverwerking in de EU aan voorwaarden voldoen. Dit omvat het verkrijgen van toestemming voor het verwerken van persoonsgegevens, het informeren welke gegevens waar en waarom worden verzameld, en het aanbieden van alternatieven voor gebruikers die geen toestemming geven. Niks nieuws. Maar wat heeft Google Fonts hier mee te maken?
Google Fonts schendt de AVG
Het gebruik van Google Fonts is voor veel webontwikkelaars een standaardpraktijk geworden. Je plaatst zo’n lettertype in je site door die binnen te halen vanaf de servers van Google. Dat is lekker simpel, maar hier schuilt het gevaar.
Google heeft hierdoor de mogelijkheid om informatie te verzamelen van elke website die hun lettertypen gebruikt - tenminste het IP-adres van de websitebezoeker, maar wat exact wordt vastgelegd door Google is niet duidelijk. Volgens de AVG is het verzamelen van deze persoonlijke informatie een vorm van gegevensverwerking en dus zijn de AVG-voorschriften hier van toepassing.
Gebruikers kunnen hun toestemming niet geven om hun persoonsgegevens - hun IP-adres - vast te leggen via Google Fonts, en Google is in hun privacy statement vaag over wat ze nu wel en niet vastleggen. En jij als website-eigenaar bent verantwoordelijk voor de informatie die Google vastlegt van bezoekers van jouw website.
Website-eigenaren kunnen boetes krijgen
Als je de AVG-wetgeving overtreedt kunnen er boetes worden uitgedeeld. Dit gebeurt in de praktijk niet zo snel, maar in theorie kan het 2 tot 4% van je jaaromzet bedragen, met een maximum van €20 miljoen. Duur lettertype.
Alleen informeren is niet voldoende. Er moet namelijk een juridische basis zijn voor de gegevensverwerking, en je kunt je afvragen of een anders weergeven van letters voldoende is.
3 oplossingen
Tijd om dit AVG-varkentje te wassen.
Ten eerste: je kan alsnog om toestemming vragen. Jouw cookie-banner kan ook voorzien in het vragen van toestemming om Google Fonts te gebruiken. Probleem hier is: wat als de gebruiker geen toestemming geeft? Dan ziet je website er in één keer foeilelijk uit, omdat je terug moet vallen op een standaard lettertype.
Ten tweede: je kan je font elders onderbrengen. Bunny.net biedt bijvoorbeeld de hele bibliotheek van Google Fonts aan, maar dan zonder privacygedoe. Lekker makkelijk. Mogelijk nadeel is dat je niet 100% zeker weet wat Bunny doet, en dat je in de gaten moet houden of ze deze gratis dienst blijven aanbieden.
Ten derde en - spoiler alert - dit is de beste: host de lettertypes gewoon op je website. Je kan ze bij Google Fonts downloaden. Let op dat je het juiste formaat pakt: als je het lettertype op je eigen computer wilt gebruiken pak je het .ttf-bestand, maar voor je website pak je het .woff2-formaat. Je voldoet aan de regels, je legt niets vast, en je font blijft er altijd staan, en is voor iedereen zichtbaar.
Hulp nodig?
Bij Slik denken we privacy first. En ja, ook mobile first, en accessibility first, en zo nog wat. Hoe dan ook, we zijn hier continu mee bezig, waardoor we op tijd aan de bel trekken als we websites ontwikkelen.
Kun je hier hulp bij gebruiken? Of wil je een website bouwen die niet alleen bloedjemooi en supersnel is, maar ook voldoet aan juridische kaders? Laat van je horen, we denken graag met je mee.