hCaptcha kan deel uitmaken van een GDPR-compliant setup, maar het komt niet out of the box compliant aan, en het vergt meer governance werk dan veel website-eigenaren verwachten.
Intuition Machines, het Amerikaanse bedrijf achter hCaptcha, biedt een overeenkomst voor gegevensverwerking, EU-VS Data Privacy Framework certificering en standaard contractuele clausules. Dat zijn echte hulpmiddelen en ze zijn belangrijk. Maar ze doen het nalevingswerk niet voor je. Rechtsgrondslag, cookies, internationale gegevensoverdrachten en toegankelijkheid moeten allemaal nog worden geregeld aan jouw kant, voordat je live gaat, niet nadat een toezichthoudende autoriteit komt aankloppen.
In dit artikel wordt precies uitgelegd waar die vragen opkomen, wat ze in de praktijk betekenen en hoe een verdedigbare opstelling er eigenlijk uitziet.
Noot van de redactie: Dit artikel dient ter informatie en is geen juridisch advies. Raadpleeg een gekwalificeerde privacy- of jurist voor vragen over uw specifieke implementatie of de toepasselijke nationale wetgeving.
Inhoudsopgave
- In één oogopslag: de vier GDPR-vragen die hCaptcha oproept
- Hoe hCaptcha eigenlijk werkt
- Waarom dit belangrijker is dan het lijkt
- De drie GDPR-risicogebieden, uitgelegd
- Verandert het planniveau het nalevingsbeeld?
- Toegankelijkheid: een nalevingskwestie, geen voetnoot
- Hoe je het GDPR-risico vermindert als je hCaptcha blijft gebruiken
- Conclusie
- FAQ - Veelgestelde vragen
In één oogopslag: de vier GDPR-vragen die hCaptcha oproept
Voordat we in de details duiken, volgt hier een kort overzicht van de belangrijkste kwesties. Elk wordt hieronder volledig toegelicht.
GDPR vraag | hCaptcha's positie | Wat u als operator nog moet doen |
|---|---|---|
Internationale gegevensoverdracht | DPF-gecertificeerd; SCC's beschikbaar in DPA | Controleer of de DPA is ondertekend; documenteer uw overdrachtsbeoordeling |
Cookies en ePrivacy | Stelt cookies in inclusief hmt_id | Beoordeel of de vrijstelling voor technische noodzaak van toepassing is in uw rechtsgebied |
Rol (verwerker of controller) | Handelt als verwerker volgens zijn FAQ | U blijft de controller. De rechtsgrondslag, transparantie en toezicht door de verkoper blijven bij u. |
Toegankelijkheid | Richt zich op WCAG 2.2 AA; sommige visuele uitdagingen blijven gedeeltelijk ontoegankelijk | Test de echte gebruikersstroom. Vertrouw niet alleen op de verklaring van de verkoper |
Hoe hCaptcha eigenlijk werkt
Als iemand een formulier op je website indient, dan beslist hCaptcha: is dit een mens of een bot? Afhankelijk van je plan toont het een zichtbare uitdaging (de bekende “kies alle stoplichten” taak), gebruikt het onzichtbare achtergrondsignalen of past het een mix van beide toe. Als de controle slaagt, krijgt het formulier een token. Je server verifieert dat token vervolgens met hCaptcha's API.
Om die analyse uit te voeren, verwerkt hCaptcha technische en gedragsgegevens. De privacybeleid vermeldt communicatiemetadata zoals het IP-adres van herkomst, samen met analytische informatie waaronder browsertype, ISP, platform, apparaattype, besturingssysteem en toegangstijdstempels. Er worden ook cookies geplaatst, waaronder htm_id, dat wordt beschreven als een first-party cookie die wordt gebruikt voor strikt noodzakelijke, anonieme, servicegerelateerde statistieken en technische functies, waaronder toegankelijkheidsondersteuning.
Die gegevensverwerking, de IP-adressen, de browsersignalen, de cookies, is waar de GDPR-vragen beginnen.
Waarom dit belangrijker is dan het lijkt
Is het gemakkelijk om CAPTCHA te behandelen als een klein technisch detail? Dat is het niet. CAPTCHA zit aan de voordeur van de meest gevoelige workflows op je website: inloggen, wachtwoord resetten, registratie, afrekenen en contactformulieren. Dit zijn precies de processen waar aanvallers zich het eerst op richten.
Credential stuffing, waarbij geautomatiseerde tools miljoenen gestolen combinaties van gebruikersnamen en wachtwoorden testen, treft vooral inlogformulieren. Valse accounts aanmaken, kaarttesten en formulierspam treffen de anderen. ENISA's rapporten over het bedreigingslandschap rangschikken geautomatiseerd misbruik van webtoepassingen consequent onder de meest voorkomende aanvalstypen die Europese organisaties treffen.
Dat maakt de keuze voor een CAPTCHA zowel een beveiligingsbeslissing als een beslissing over gegevensbescherming. Een tool die het botrisico vermindert, maar juridische risico's met zich meebrengt, door onopgeloste cookietoestemming, onduidelijke doorgiftebasis of gaten in de toegankelijkheid, lost het ene probleem op en creëert stilletjes het andere. Voor IT-managers, ontwikkelaars en DPO's is het de moeite waard om deze twee kanten van de vraag samen te behandelen.
De drie GDPR-risicogebieden, uitgelegd
1. Internationale gegevensoverdracht
Intuition Machines is een Amerikaans bedrijf. In het privacybeleid staat dat het persoonlijke gegevens van personen in de Verenigde Staten kan verwerken als onderdeel van het leveren van de service. Het is ook gecertificeerd onder het EU-VS Data Privacy Framework.
DPF certification is a legitimate and meaningful transfer tool, but it is not a blank cheque. The EDPB’s guidance makes clear that organisations must verify the mechanism is in place and in scope. It must not simply assume that certification covers every scenario. A useful reference point is the Austrian Data Protection Authority’s 2022 ruling on Google Analytics (GZ: 2021-0.586.257). Which found that transmitting IP addresses and browser identifiers to a US server constitutes a transfer of personal data. While that ruling concerned Google Analytics specifically, it illustrates how strictly EU supervisory authorities may scrutinise transfers of technical metadata to US-based providers and why the analysis cannot be skipped simply because a tool holds DPF certification.
Praktisch gezien: onderteken de DPA, bevestig dat de DPF-certificering actueel is en documenteer uw overdrachtsbeoordeling schriftelijk. Ga er niet van uit dat omdat een verkoper het DPF-vakje heeft aangevinkt, het werk aan uw kant is gedaan.
2. Cookies en ePrivacy, een aparte vraag die GDPR niet beantwoordt
Dit is het risicogebied dat het vaakst over het hoofd wordt gezien en dat websitebeheerders vaak verrast.
GDPR en de ePrivacy-richtlijn zijn twee verschillende instrumenten. Artikel 5, lid 3, van de e-privacy-richtlijn requires consent before placing cookies or accessing information on a user’s device, unless a specific technical necessity exemption applies. The EDPB’s guidelines on cookies make clear that this exemption is narrow. It must be assessed on a use-case-by-use-case basis; it is not a general carve-out for security or anti-bot tools.
hCaptcha sets cookies. Its cookie policy listshtm_id and describes it as used for technical and service-related purposes. Whether the technical necessity exemption applies to your specific deployment depends on the concrete use case and the position of your national supervisory authority.
Dit is het punt dat mensen opvalt: zelfs als je GDPR-rechtsgrondslag contractuitvoering of legitieme belangen is, lost dat de vraag over de ePrivacy-cookie niet op. Het zijn onafhankelijke verplichtingen. Als je het ene goed doet, krijg je niet automatisch het andere. Als je niet duidelijk kunt aantonen dat de vrijstelling van toepassing is in jouw rechtsgebied, zijn de operationeel schonere routes ofwel het laden van hCaptcha alleen na expliciete toestemming, of het gebruik van een cookie-vrije CAPTCHA die de vraag volledig verwijdert.
3. Rolverdeling: wat “verwerker” eigenlijk voor jou betekent
In de FAQ van hCaptcha staat dat Intuition Machines optreedt als verwerker voor haar klanten in de relevante GDPR context. Deze formulering is nuttig, en de DPA weerspiegelt het voor kerndienstverlening.
Maar hier is wat niet verandert: jij bent nog steeds de verwerkingsverantwoordelijke. Jij beslist welke pagina's de CAPTCHA bevatten, op welke rechtsgrondslag je je baseert, hoe gebruikers worden geïnformeerd en hoe je omgaat met een verzoek van een betrokkene die hCaptcha-verwerkte gegevens raakt. De widget is uitbesteed. De verantwoording niet.
In practice: your privacy notice should disclose hCaptcha’s processing. Your record of processing activities should list Intuition Machines as a sub-processor, and you should be able to explain to a supervisory authority why you made the deployment choices you made.
Verandert het planniveau het nalevingsbeeld?
Ja en dit is het detail dat de meeste implementaties volledig over het hoofd zien.
Op sommige planniveaus kunnen het gebruik van gegevens en contractuele controles wezenlijk verschillen. Enterprise-klanten kunnen strengere privacyvoorwaarden bedingen dan free-tier implementaties, inclusief beperkingen op het gebruik van interactiegegevens buiten de kerndienstverlening.
Als je organisatie gegevens verwerkt van gebruikers in gereguleerde sectoren, zoals de gezondheidszorg, de financiële sector en overheidsdiensten, dan is het de moeite waard om de toepasselijke voorwaarden voor gegevensgebruik zorgvuldig te onderzoeken voordat je ze inzet, niet erna. Het herzien van de huidige voorwaarden voor uw specifieke plan en, waar nodig, het onderhandelen over DPA-clausules die uw verplichtingen weerspiegelen, maakt deel uit van een verantwoorde leveranciersselectie onder het GDPR-aansprakelijkheidsbeginsel.
Toegankelijkheid: een nalevingskwestie, geen voetnoot
Toegankelijkheid wordt vaak als secundaire overweging behandeld bij CAPTCHA-beslissingen. Voor veel digitale diensten die binnen de EU actief zijn, is het niet langer optioneel. De Europese toegankelijkheidswet, die vanaf juni 2025 in alle lidstaten van kracht is, betekent dat bedrijven en diensten die onder de wet vallen, moeten voldoen aan toegankelijkheidsvereisten, met WCAG 2.2 AA als de relevante technische norm voor de meeste webgebaseerde implementaties.
hCaptcha's toegankelijkheidsverklaring zegt dat het WCAG 2.2 AA-naleving nastreeft en interne en externe audits heeft uitgevoerd. Het erkent ook eerlijk dat sommige visuele beelduitdagingen niet volledig toegankelijk kunnen worden gemaakt terwijl ze nog steeds hun beveiligingsfunctie uitvoeren.
Die kloof heeft echte gevolgen. Een toegankelijkheidsverklaring op verkoperniveau maakt uw specifieke implementatie nog niet toegankelijk. De volgende gebieden vereisen echte tests in de echte gebruikersstroom, geen controle aan de hand van een PDF van de leverancier:
- Toetsenbordnavigatie. Kan de widget geactiveerd en voltooid worden zonder muis? Dit moet voor elke gebruiker werken.
- Compatibel met schermlezers en audio-uitdagingen. De audio-uitdaging en fallback-ervaring moeten worden getest met verschillende schermlezers en browsercombinaties voordat je erop vertrouwt als toegankelijkheidspad. Het gedrag kan aanzienlijk verschillen tussen NVDA, JAWS en VoiceOver en tussen verschillende browsers.
- Foutstatusverwerking. Wanneer een uitdaging mislukt of een time-out optreedt, worden foutmeldingen dan gemeld aan ondersteunende technologie of verschijnen ze alleen visueel?
- Mobiel gedrag. Wordt de widget correct weergegeven en functioneert deze correct in een mobiele browser met ingeschakelde systeemtoegankelijkheidsfuncties?
Voor organisaties in de publieke sector en diensten met een brede gebruikersbasis zijn deze tests geen extra opties. Ze maken deel uit van wat naleving feitelijk vereist.
Hoe je het GDPR-risico vermindert als je hCaptcha blijft gebruiken
Als je het bovenstaande hebt doorgenomen en hebt besloten dat hCaptcha de juiste tool is voor jouw context, dan zullen de volgende stappen je in een aanzienlijk sterkere positie brengen.
Conclusie
hCaptcha is not automatically unlawful in Europe. For organisations prepared to do the governance work, signed DPA, transfer documentation, ePrivacy cookie assessment, plan-tier review and real accessibility testing, it can be part of a compliant deployment.
Het eerlijke antwoord op de vraag of hCaptcha GDPR-compliant is, is: het hangt af van hoe je het inzet, op welk planniveau je zit, in welke sector je actief bent en hoe grondig je je beslissingen hebt gedocumenteerd. Certificering door een leverancier is een startpunt, geen eindpunt.
Voor sommige organisaties kan die afweging nog steeds acceptabel zijn. Anderen kunnen echter de voorkeur geven aan een Europese CAPTCHA-oplossing die privacywrijving vermindert en visuele uitdagingsbarrières vermijdt. In die context, captcha.eu kan een relevant alternatief zijn. Het wordt gehost in Oostenrijk, is GDPR-conform ontworpen, gebruikt geen cookies en tracking, en heeft een WACA Silver / WCAG 2.2 AA-certificering.
FAQ - Veelgestelde vragen
Is hCaptcha standaard GDPR-compliant?
Nee. hCaptcha biedt een DPA, DPF-certificering en SCC's, maar dit zijn hulpmiddelen voor beheerders om te gebruiken - geen nalevingsgarantie. Rechtsgrondslag, de ePrivacy-cookievraag, overdrachtsdocumentatie en toegankelijkheid blijven allemaal de verantwoordelijkheid van de websitebeheerder.
Stuurt hCaptcha persoonlijke gegevens door naar de Verenigde Staten?
Ja. Intuition Machines verklaart dat het persoonsgegevens kan verwerken in de Verenigde Staten als onderdeel van het leveren van de service en dat het EU-VS Data Privacy Framework gecertificeerd is. DPF-certificering is een geldig overdrachtsmechanisme, maar het moet worden geverifieerd als actueel en gedocumenteerd als onderdeel van uw overdrachtsrecords.
Gebruikt hCaptcha cookies?
Ja. Het cookiebeleid vermeldt cookies, waaronder htm_id, die worden beschreven als gebruikt voor technische en servicegerelateerde doeleinden. Of ePrivacy-toestemming vereist is voor het plaatsen van deze cookies hangt af van de vraag of de vrijstelling voor technische noodzaak van toepassing is in uw specifieke rechtsgebied en gebruikssituatie. Dat kan niet worden aangenomen, het vereist een bewuste beoordeling.
Heeft het hCaptcha-prijsplan invloed op naleving?
Dat kan. Het gebruik van gegevens en contractuele controles kunnen verschillen tussen de verschillende planniveaus, en zakelijke klanten kunnen mogelijk strengere privacyvoorwaarden bedingen dan andere implementaties. Als je gegevens verwerkt van gebruikers in gereguleerde sectoren, is het de moeite waard om de toepasselijke voorwaarden voor je specifieke plan door te nemen voordat je het plan inzet.
Is hCaptcha toegankelijk?
hCaptcha is gericht op naleving van WCAG 2.2 AA en biedt een audio-uitdaging als alternatief voor visuele taken. Het erkent echter dat sommige visuele uitdagingen niet volledig toegankelijk kunnen worden gemaakt en toch hun beveiligingsfunctie kunnen vervullen. Toegankelijkheid moet worden geverifieerd door middel van echte tests, toetsenbordnavigatie, de audio fallback-ervaring bij verschillende schermlezers en browsers, en aankondigingen van foutstatussen, niet alleen op basis van de verklaring van de verkoper.
Kan ik de cookie-toestemmingsbeoordeling overslaan als mijn GDPR-rechtsgrondslag legitieme belangen is?
Nee. De cookievereisten van de ePrivacy-richtlijn staan los van de GDPR. Zelfs met een geldige GDPR-rechtsgrondslag is artikel 5(3) van de ePrivacy-richtlijn nog steeds afzonderlijk van toepassing. Een tekortkoming in de naleving van de een wordt niet opgelost door de ander in orde te maken.
Wat is een GDPR-conform alternatief voor hCaptcha?
Voor organisaties waar hosting van EU-gegevens, geen cookies en gecertificeerde toegankelijkheid eerder vereisten dan voorkeuren zijn, is captcha.eu precies rond die beperkingen gebouwd. Oostenrijkse hosting, geen cookies, geen tracking, onzichtbare integratie en onafhankelijk geverifieerd conform WCAG 2.2 AA via WACA Silver-certificering van TÜV Oostenrijk.
100 gratis aanvragen
Je hebt de mogelijkheid om ons product te testen en uit te proberen met 100 gratis aanvragen.
Als u vragen hebt
Neem contact met ons op
Ons supportteam staat klaar om je te helpen.
Dutch 
English 
German 
French 
Spanish 
Italian