Cloudflare Turnstile vs. CAPTCHA.eu: Wat is beter voor Europese websites?

Cloudflare Turnstile is een van de sterkste CAPTCHA alternatieven die vandaag beschikbaar zijn. Het is modern, ontwikkelaarvriendelijk en wrijvingsarm voor echte gebruikers. Europese teams kiezen een CAPTCHA echter niet alleen op basis van gebruikerservaring. Ze moeten ook nadenken over cookies, gegevensjurisdictie, bewijs voor toegankelijkheid, aankoopinspanning en langetermijnbeheer. Deze gids vergelijkt Turnstile en CAPTCHA.eu op de factoren die er werkelijk toe doen wanneer u die beslissing neemt.

Geschatte leestijd: 14 minuten

---

---

Wat is Cloudflare Turnstile?

Cloudflare Turnstile is een CAPTCHA-alternatief dat verifieert of een bezoeker menselijk is zonder visuele puzzels te tonen. In plaats van gebruikers te vragen op stoplichten te klikken of vervormde tekst te typen, voert Turnstile op de achtergrond een reeks niet-interactieve browseruitdagingen uit. Hierbij worden signalen zoals browserkenmerken, proof-of-work berekeningen en sessiecontext geanalyseerd om een verificatietoken te genereren. Als gevolg hiervan passeren legitieme gebruikers in de meeste gevallen zonder ooit een uitdaging te zien.

Cloudflare introduceerde Turnstile in 2022 als reactie op de slechte gebruikerservaring van traditionele CAPTCHA-systemen. Sindsdien heeft het drie widgetmodi aangeboden: Managed, waarbij Cloudflare beslist of een interactie wordt getoond; Non-Interactive, waarbij geen zichtbare uitdaging verschijnt; en Invisible, dat volledig op de achtergrond draait. Belangrijk is dat Cloudflare zegt dat Turnstile op elke website werkt zonder dat beheerders verkeer door Cloudflare's CDN hoeven te leiden. Er is echter nog steeds een Cloudflare-account nodig om een sitekey te verkrijgen.

Daarnaast kan Turnstile op ondersteunde apparaten met Apple besturingssystemen gebruik maken van Private Access Tokens. In dat geval vindt attestatie op apparaatniveau plaats zonder de onderliggende apparaatgegevens direct naar Cloudflare te sturen. In plaats daarvan valideert Apple het apparaat namens Turnstile. Bijgevolg kan deze aanpak de hoeveelheid gegevens die Cloudflare moet verwerken verminderen en toch legitieme gebruikers helpen verifiëren.

---

Waarom teams Turnstile en CAPTCHA.eu vergelijken

Deze vergelijking is belangrijk omdat Cloudflare Turnstile niet zomaar een reCAPTCHA-vervanger is. Integendeel, het is duidelijk een verbetering ten opzichte van oudere puzzel-eerste CAPTCHA-modellen en elke geloofwaardige evaluatie zou dat vooraf moeten erkennen. Voor veel ontwikkelaars, startups en kleinere projecten is Turnstile een aantrekkelijke standaard omdat het modern is, gratis om mee te beginnen en onzichtbaar voor de meeste gebruikers.

Europese organisaties beoordelen een CAPTCHA echter zelden alleen op gebruikerservaring. In plaats daarvan kijken compliance teams, procurement officers en DPO's ook naar waar gegevens worden verwerkt, of er cookies worden geplaatst, welke rechtsgrondslag van toepassing is, welk toegankelijkheidsbewijs er bestaat voor audit- en aanbestedingsdossiers en hoeveel governance-overhead de tool in de loop der tijd creëert. Dat is precies waarom deze vergelijking nuttig is.

Beide producten verminderen de zichtbare wrijving voor legitieme gebruikers. Toch optimaliseren ze voor verschillende prioriteiten. Turnstile is een sterk product voor algemeen gebruik, ondersteund door het wereldwijde platform van Cloudflare. CAPTCHA.eu is daarentegen de meer gespecialiseerde optie voor teams die EU-hosting, geen cookies, EU-gebaseerde verwerking en een eenvoudiger compliance- en vendor-review-verhaal vanaf dag één nodig hebben.

---

Cloudflare Turnstile vs. CAPTCHA.eu: zij-aan-zij

CRITERIUM	CLOUDFLARE TURNSTILE	CAPTCHA.EU
Hosting en jurisdictie	→ Wereldwijd Cloudflare-netwerk; Amerikaans bedrijf onderworpen aan Amerikaanse wetgeving waaronder de CLOUD Act	✓ Austria-hosted; alle gegevens verwerkt binnen de EU onder Oostenrijkse en EU-wetgeving
Cookies	→ Afhankelijk van configuratie; Pre-Clearance geeft een cf_clearance cookie uit; mobiele contexten kunnen cookies en lokale opslag vereisen	✓ Geen cookies op de CAPTCHA-laag in elke configuratie
Volgen	✓ Cloudflare verklaart dat Turnstile nooit gegevens verzamelt voor retargeting van advertenties	✓ Geen tracking; gegevens worden alleen gebruikt voor botbeveiliging
Wrijving bij de gebruiker	✓ Laag in de meeste gevallen; kan escaleren naar een selectievakje of blokkeren wanneer privacytooling beschikbare signalen beperkt	✓ Laag; standaard onzichtbaar met een eenvoudige widget met één klik als fallback
Toegankelijkheidsbewijs	✓ Cloudflare verklaart WCAG 2.2 AAA compliance; zelfverklaard	✓ WACA Silver-certificering van TÜV Oostenrijk; onafhankelijk gecontroleerd op WCAG 2.2 AA
Gratis toegangspunt	✓ Gratis plan tot 20 widgets per account; prijzen betaald plan niet openbaar gemaakt	→ Gratis proefversie van 100 aanvragen, geen creditcard; betaalde plannen vanaf €8,90/maand
Platform integraties	✓ Uitgebreide documentatie voor ontwikkelaars; plugins voor de gemeenschap	✓ Officiële plugins voor WordPress, TYPO3, Keycloak, Magento 2, NEOS; frameworkgidsen voor React, Vue, Angular, PHP, Node.js
Eenvoudige inkoop in Europa	→ Sterk product; de Amerikaanse jurisdictie en cookieconfiguratie vereisen nog steeds een formele beoordeling	✓ Eenvoudiger leveranciersverhaal wanneer EU-hosting, geen cookies en transparante prijzen vereisten zijn
Toestemming ePrivacy-cookie	→ Vereist beoordeling per configuratie en jurisdictie	✓ Geen cookies in de CAPTCHA-laag vermindert de last van ePrivacy-toetsing aanzienlijk

---

Privacy, GDPR, cookies en jurisdictie

Privacy is waar deze vergelijking genuanceerder wordt dan een simpel goed of slecht oordeel. Cloudflare beschrijft Turnstile als een privacybewust beveiligingsproduct dat minimale gegevens verwerkt om mensen van bots te onderscheiden zonder gegevens te verzamelen voor ad retargeting. Dat is een aanzienlijk beter privacyverhaal dan oudere CAPTCHA-modellen. Elke geloofwaardige vergelijking zou dit duidelijk moeten zeggen: Turnstile is niet gewoon een reCAPTCHA met een ander logo.

De koekjesvraag

Een sterkere privacyhouding neemt echter niet de behoefte aan compliance review weg. De Ephemeral ID-documentatie van Cloudflare zegt dat deze specifieke functie geen cookies of lokale opslag vereist. Tegelijkertijd staat in de documentatie van Cloudflare over Pre-Clearance dat het inschakelen van Pre-Clearance een cf_clearance cookie genereert. Daarnaast legt Cloudflare's mobiele WebView-begeleiding uit dat cookies en lokale opslag nodig kunnen zijn om de status in sommige app-contexten te behouden.

Met andere woorden, Turnstile is privacybewust, maar biedt geen uniforme no-cookie instelling voor alle configuraties. In plaats daarvan hangt het nalevingsstandpunt af van hoe Turnstile wordt ingezet. Sommige implementaties kunnen de toestemmingseisen voor ePrivacy-cookies activeren, terwijl andere dat niet doen. Daarom moeten Europese teams hun huidige configuratie beoordelen en bepalen of de vrijstelling voor technische noodzaak van toepassing is in hun rechtsgebied.

CAPTCHA.eu neemt structureel een andere positie in. Het plaatst geen cookies in welke configuratie dan ook. Dit verwijdert de ePrivacy cookie kwestie volledig, wat operationeel belangrijk is voor teams die extra toestemmingsbeheer of juridische beoordeling op de CAPTCHA laag willen vermijden.

De jurisdictiekwestie

Naast cookies is er nog een tweede structureel probleem. Cloudflare heeft haar hoofdkantoor in de VS en voor Europese organisaties maakt dat niet uit waar individuele datacenters zich bevinden. Met andere woorden, de juridische kwestie houdt niet op bij de locatie van de server alleen. Amerikaanse bedrijven blijven onderworpen aan de Amerikaanse wetgeving, waaronder de CLOUD Act, die in de VS gevestigde providers kan verplichten om onder bepaalde voorwaarden gegevens vrij te geven. Als gevolg hiervan moeten Europese organisaties niet alleen overwegen waar de gegevens worden verwerkt, maar ook welk rechtssysteem er uiteindelijk op van toepassing is.

Dat betekent niet dat Cloudflare onwettig is voor Europese implementaties. Integendeel, veel Europese organisaties gebruiken Cloudflare-diensten na het uitvoeren van de nodige juridische en aanbestedingsbeoordelingen. Teams in gereguleerde sectoren, openbare aanbestedingscontexten of organisaties met expliciete gegevenssoevereiniteitseisen kunnen Turnstile echter niet als jurisdictieneutraal beschouwen. In plaats daarvan moeten ze dat punt direct beoordelen en het resultaat documenteren.

CAPTCHA.eu heeft een andere aanpak. Wij verwerken alle gegevens in Oostenrijk onder Oostenrijks en EU recht. Daarom verwijdert CAPTCHA.eu voor teams die EU gegevenssoevereiniteit eerder als een formele vereiste dan als een voorkeur beschouwen, een belangrijke laag van juridische en inkoopcontrole die de Amerikaanse jurisdictie van Cloudflare kan creëren.

Gedrag van Turnstile onder privacytooling

Er is nog een operationele overweging die teams zorgvuldig moeten testen. Het resultaat van Turnstile's uitdaging hangt af van de kwaliteit van de browsersignalen die het verzamelt. Strengere browserinstellingen, privacy-extensies, VPN-gebruik of vergrendelde bedrijfsomgevingen verminderen allemaal de beschikbare signalen. Als de signalen dun zijn, escaleert Turnstile van onzichtbare verificatie naar een zichtbaar selectievakje of blokkeert in sommige gevallen de sessie. Teams die privacybewuste gebruikers of bedrijfsomgevingen met een beperkend browserbeleid bedienen, moeten de ervaring valideren met hun daadwerkelijke publiek voordat ze aannemen dat het onzichtbare pad altijd van toepassing zal zijn.

---

Toegankelijkheid en gebruikerservaring

Turnstile staat hier echt sterk. Cloudflare verklaart dat Turnstile voldoet aan WCAG 2.2 AAA en heeft in het openbaar het herontwerp beschreven voor leesbaarheid, ondersteuning voor schermlezers en bruikbaarheid op schaal. In de praktijk is Turnstile veel vriendelijker voor gebruikers dan oudere beeldpuzzelsystemen. Een soepelere verificatiestroom zorgt voor minder drop-offs, minder ondersteuningsverzoeken en minder klachten van gebruikers van mobiele en ondersteunende technologieën.

CAPTCHA.eu levert ook een wrijvingsarme ervaring. De primaire verificatie verloopt onzichtbaar; alleen wanneer er botsignalen verschijnen, verschijnt er een eenvoudige widget met één klik. Geen puzzels, geen beeldrasters, geen audio-uitdagingen.

Het betekenisvolle verschil tussen de twee producten op het gebied van toegankelijkheid is niet de gladheid van de UX. Beide leveren dat, maar de aard van het bewijs. Cloudflare's WCAG 2.2 AAA-claim is zelfverklaard. CAPTCHA.eu heeft een WACA Silver-certificering van TÜV Oostenrijk: een onafhankelijk geverifieerde beoordeling door een derde partij tegen WCAG 2.2 AA. In inkoopprocessen, aanbestedingsdocumenten en auditdossiers legt een onafhankelijke certificering een ander gewicht in de schaal dan een verklaring van een verkoper. Voor organisaties in de publieke sector, gereguleerde industrieën of elk team dat bewijs op het gebied van toegankelijkheid moet overleggen aan een externe instantie, is de TÜV-gecertificeerde geloofsbrief aanzienlijk nuttiger.

---

Prijsstelling en operationele geschiktheid

Het meest voor de hand liggende commerciële voordeel van Cloudflare is de gratis toegang. Turnstile is gratis voor maximaal 20 widgets per account. Cloudflare maakt de prijzen van betaalde plannen niet openbaar, zakelijke klanten moeten rechtstreeks contact opnemen met Cloudflare. De afwezigheid van publieke prijzen creëert een eigen inkoopoverweging: teams die voorspelbare, gedocumenteerde kostenstructuren nodig hebben voor budgetgoedkeuring of leveranciersbeoordeling zullen het moeilijker vinden om de business case op te bouwen voordat ze Cloudflare's verkoopteam inschakelen.

CAPTCHA.eu publiceert haar prijzen openlijk. Plannen beginnen bij €8,90 per maand voor één domein en tot 1.000 aanvragen, met een gratis proefperiode waarvoor geen creditcard nodig is. Voor teams die een duidelijke kostenverantwoording in aanbestedingsdocumenten moeten opnemen, is het eenvoudiger om met transparant gepubliceerde prijzen te werken.

Naast de directe kosten omvat de operationele geschiktheid ook overheadkosten voor het bestuur. Een inzet van Cloudflare vereist een voortdurende beoordeling van de Amerikaanse jurisdictie volgens de EU-privacywetgeving, mogelijk beheer van cookietoestemming, afhankelijk van de configuratie, en aankoopdocumentatie voor de CLOUD Act-kwestie. Een inzet van CAPTCHA.eu lost deze vragen op architectuurniveau op: EU-hosting, geen cookies, geen VS-overdrachten, transparante prijzen, allemaal documenteerbaar vanaf de productpagina voordat er een verkoopgesprek plaatsvindt.

---

Wie moet wat kiezen?

---

Hoe overschakelen van Turnstile naar CAPTCHA.eu

In de meeste gevallen is de migratie kleiner dan teams verwachten. Begin met het inventariseren van elke beveiligde flow waarop Turnstile momenteel draait: contactformulieren, aanmeldingsflows, inloggen, boeken, afrekenen, opmerkingen en wachtwoordreset. Let op de deploymentmodus voor elke flow, Managed, Non-Interactive, Invisible of Pre-Clearance-gerelateerde setups creëren elk verschillende technische aannames die je kunt vereenvoudigen tijdens de overstap.

Vervang vervolgens de frontend integratie en de server-side token validatie. Gebruik dit als een kans om Turnstile-specifieke logica te verwijderen die niet langer van toepassing is. Werk vervolgens uw privacyverklaring en interne documentatie bij om de nieuwe opzet nauwkeurig te beschrijven. Test ten slotte eerst de flows met het hoogste risico, zoals inloggen, registreren en afrekenen, voordat u ze breed uitrolt.

---

Migratie-sneltoetsen voor veelgebruikte stacks

Als uw site op een groot platform draait, is de overstap van Turnstile meestal eenvoudig. Officiële CAPTCHA.eu plugins en installatiegidsen verminderen de implementatie-inspanning aanzienlijk. Daarom kunnen de meeste teams aangepaste ontwikkeling vermijden en direct overgaan op een ondersteunde setup. In de praktijk zijn de volgende opties de meest voorkomende uitgangspunten voor een soepele migratie.

Voor Magento 2, NEOS en raamwerkspecifieke implementaties (React, Vue, Angular, PHP, Node.js), de overzicht van alle integraties en documentatiecentrum hebben de relevante gidsen.

---

Gerelateerde lezen

Deze gids richt zich op de migratiebeslissing en het migratieproces. De onderstaande artikelen beantwoorden de volgende vragen die de meeste teams hebben zodra ze besluiten Cloudflare Turnstile opnieuw te evalueren.

---

Veelgestelde vragen

---

Noot van de redactie: Deze vergelijking is geschreven door het CAPTCHA.eu team en omvat ons eigen product. We proberen Cloudflare Turnstile te karakteriseren op basis van de huidige openbare documentatie van Cloudflare. Waar configuratie het antwoord verandert, zeggen we dat expliciet in plaats van de claim te overdrijven. Dit artikel is voor informatieve doeleinden en vormt geen juridisch advies. Controleer altijd de huidige documentatie van de leverancier en raadpleeg een gekwalificeerde professional voor jurisdictie-specifieke vragen.