Nieuwe privacyregels voor reCaptcha op bedrijfssite

Als je organisatie gebruikmaakt van reCaptcha van Google op de bedrijfssite, moet ze vanaf 2 april het privacybeleid aanpassen. Je organisatie wordt vanaf dan de hoofdverantwoordelijke voor de persoonsgegevens die ze via reCaptcha verzamelt.

ReCaptcha is een van de meeste gebruikte captchasystemen op het internet. De gratis beveiligingsdienst van Google wordt gebruikt om te controleren of een websitebezoeker een echt mens of een computer is. ReCaptcha vraagt namelijk om iets te doen, zoals ‘Klik op alle vakken met een zebrapad’, en het idee is dat een computer hierop vastloopt. De controle zorgt er dus voor dat alleen mensen toegang krijgen tot de online diensten.

Google alleen nog verwerker

Google verandert de juridische grondslag voor gebruikers van reCaptcha. Tot nu toe was Google de verwerkingsverantwoordelijke, maar vanaf 2 april is Google alleen nog maar ‘verwerker’ van de data. Dat betekent dat Google de gegevens alleen voor jouw organisatie mag verwerken, en ze bijvoorbeeld niet mag gebruiken voor advertenties of het verbeteren van diensten. Voor je bezoekers is hun privacy beter beschermd, omdat Google minder met hun data mag doen. Volgens de Algemene verordening gegevensbescherming (AVG) moet je organisatie als hoofdverantwoordelijke voortaan uitleggen hoe en waarom ze de persoonsgegevens verzamelt en gebruikt.

Website-eigenaren in Europese landen

In de praktijk betekent dit voor website-eigenaren in Europese landen die reCaptcha op hun site hebben staan het volgende:

• Je organisatie moet in het privacybeleid uitleggen dat de organisatie reCaptcha gebruikt en welke persoonsgegevens daardoor verzameld kunnen worden.
• Je organisatie moet kunnen uitleggen waarom de organisatie die gegevens verzamelt.
• Je organisatie moet misschien het privacybeleid aanpassen om aan de regels te blijven voldoen.