Vrijwel elke website heeft tegenwoordig een of andere vorm van botbescherming. En jarenlang was Google reCAPTCHA daarvoor de standaardkeuze โ gratis, makkelijk te integreren, en iedereen kende het. Maar die vanzelfsprekendheid is aan het verdwijnen. Zeker als je een website beheert vanuit Nederland of Europa, is het verstandig om eens goed te kijken naar wat reCAPTCHA eigenlijk doet met de gegevens van je bezoekers โ en welke alternatieven er inmiddels bestaan.
Waarom reCAPTCHA problematisch is geworden
Google reCAPTCHA โ met name versie 3 โ werkt door uitgebreide gedragsgegevens te verzamelen van je bezoekers. Denk aan browserinformatie, apparaatgegevens, cookies en surfgedrag. Die data wordt niet alleen gebruikt om bots te herkennen; Google zet het ook in voor zijn bredere advertentie- en AI-systemen (hoewel binnenkort reCAPTCHA hier wel wat op gaat aanpassen). De Franse privacytoezichthouder CNIL heeft hier expliciet een uitspraak over gedaan: reCAPTCHA verzamelt buitensporig veel persoonsgegevens voor doeleinden die verder gaan dan beveiliging.
Onder de AVG (de Europese privacywet, ook wel GDPR genoemd) en de ePrivacy-richtlijn betekent dit dat je in de meeste gevallen vooraf toestemming moet vragen aan je bezoekers voordat reCAPTCHA รผberhaupt mag laden. Dat maakt van een ogenschijnlijk โgratisโ beveiligingstool al snel een juridisch hoofdpijndossier โ zeker nu de Autoriteit Persoonsgegevens in Nederland steeds strenger toezicht houdt op dit soort derde-partij-scripts.
Daar komt bij dat Google de gratis versie flink heeft uitgekleed. De free tier is teruggebracht van een miljoen naar slechts 10.000 verificaties per maand, en Google stuurt actief aan op migratie naar reCAPTCHA Enterprise โ een betaald product binnen Google Cloud. Wat ooit een eenvoudige oplossing was, is nu een duur, privacygevoelig en juridisch complex verhaal geworden.
Het goede nieuws: er zijn inmiddels uitstekende alternatieven beschikbaar. Veel daarvan komen uit Europa, respecteren de privacy van je bezoekers, en zijn vaak zelfs onzichtbaar โ geen verkeerslichtenraadsels meer.
Europese alternatieven
Friendly Captcha (Duitsland ๐ฉ๐ช)
Prijs: Vanaf โฌ9 per maand, met gratis proefperiode
Technologie: Onzichtbare proof-of-work
Website: friendlycaptcha.com
Friendly Captcha is op dit moment waarschijnlijk de beste keuze als AVG-compliance bovenaan je lijstje staat. De techniek is elegant: in plaats van je bezoekers lastig te vallen met puzzels of hun gedrag te volgen, voert de browser op de achtergrond een lichte cryptografische berekening uit. Daarmee bewijst het apparaat dat het echt is โ niet de mens. Er worden geen cookies geplaatst, er vindt geen fingerprinting plaats, en er is geen tracking.
Omdat Friendly Captcha volledig in Duitsland is gebouwd en gehost, verlaten de gegevens van je bezoekers nooit de Europese Unie. Dat is een belangrijk verschil met Amerikaanse diensten, waar je altijd het risico loopt dat data onder Amerikaanse wetgeving valt. Friendly Captcha is bovendien toegankelijk (WCAG-compliant), werkt met screenreaders, en biedt integraties voor onder meer React, Vue en Node.js. Voor overheidsinstanties, zorgorganisaties en financiรซle instellingen in Nederland is dit een bijzonder sterke optie. Het enige nadeel: het is een betaalde dienst, al zijn de kosten voor de meeste websites heel overzichtelijk.
ALTCHA (Europa ๐ช๐บ)
Prijs: Gratis (open source, zelf te hosten), optioneel betaalde SaaS
Technologie: Proof-of-work, geen cookies of tracking
Website: altcha.org
ALTCHA staat voor โAlternative CAPTCHAโ en is een open-source captchaoplossing uit Europa. Je kunt het volledig zelf hosten, waardoor er geen gegevens naar een derde partij hoeven te gaan. De techniek is vergelijkbaar met Friendly Captcha: een proof-of-work-mechanisme zonder cookies, fingerprints of trackers.
Er zijn kant-en-klare integraties voor WordPress, Laravel, Ruby on Rails en andere frameworks. ALTCHA is gelicenseerd onder de MIT-licentie, voldoet aan WCAG 2.2 Level AA en is klaar voor de European Accessibility Act van 2025. Voor Nederlandse ontwikkelaars en organisaties die volledige controle willen over hun captcha-infrastructuur is dit een ideale keuze. Let wel op: ALTCHA biedt ook een betaalde SaaS-API aan, maar die wordt niet in Europa gehost. Als je puur op Europese verwerking wilt zitten, kies dan voor self-hosting.
Trustcaptcha (Duitsland ๐ฉ๐ช)
Prijs: Gratis tier beschikbaar, betaalde plannen voor meer gebruik
Technologie: Cryptografische verificatie, geen puzzels
Website: trustcaptcha.com
Nog een Duits alternatief dat zich richt op botbescherming zonder je bezoekers te hinderen met puzzels of hun privacy te schenden. Trustcaptcha gebruikt cryptografische uitdagingen op de achtergrond en is door zijn Duitse vestiging direct onderworpen aan de AVG. Dat maakt het juridisch een stuk overzichtelijker dan een dienst die vanuit de Verenigde Staten opereert. Interessant voor Nederlandse websites die een eenvoudige, AVG-conforme oplossing zoeken zonder zelf iets te hosten.
Captcha.eu (Oostenrijk ๐ฆ๐น)
Website: captcha.eu
Een captchadienst uit Oostenrijk. Doordat het bedrijf binnen de EU is gevestigd, valt het onder dezelfde privacywetgeving als je bezoekers. Er zijn geen ingewikkelde constructies nodig voor internationale datatransfers โ een voordeel dat je bij geen enkel Amerikaans alternatief hebt.
mCaptcha (open source ๐)
Prijs: Gratis (zelf te hosten)
Technologie: Proof-of-work
Website: mcaptcha.org
mCaptcha is een volledig open-source captchasysteem dat je op je eigen server draait. Het maakt gebruik van proof-of-work en is bovendien compatibel met de APIโs van zowel reCAPTCHA als hCaptcha, wat een eventuele migratie makkelijker maakt. Gelicenseerd onder de AGPL. Omdat alles op jouw eigen infrastructuur draait, heb je volledige controle over de gegevensverwerking. De AVG-vraag is daarmee in feite beantwoord: er gaat geen data naar buiten. Vooral interessant voor technisch onderlegde teams of organisaties die al eigen servers beheren.
Private Captcha (Europa ๐ช๐บ)
Technologie: Onzichtbare cryptografische uitdaging
Website: privatecaptcha.com
Private Captcha lost op de achtergrond een onzichtbare cryptografische taak op en past de moeilijkheidsgraad automatisch aan op basis van het dreigingsniveau. Het slimme aan deze aanpak is dat de beveiliging niet afhankelijk is van hoe geavanceerd de AI van een bot is โ het cryptografische bewijs werkt altijd, ongeacht de intelligentie van de aanvaller. Geen puzzels, geen tracking, geen gedragsprofilering.
MTCaptcha (internationaal ๐)
Prijs: Gratis tier beschikbaar, betaalde enterprise-plannen
Technologie: Onzichtbaar met optionele lichte uitdaging
Website: mtcaptcha.com
MTCaptcha verdient een vermelding vanwege de bijzonder sterke toegankelijkheid: het voldoet aan WCAG 2.1 AAA โ dat is het hoogste niveau, waar de meeste concurrenten op AA blijven steken. Het ondersteunt meerdere talen, audiocaptchaโs en onzichtbare modus. Op het gebied van privacy anonimiseert MTCaptcha persoonsgegevens, slaat geen identificeerbare data op en neemt deel aan het EU-US Data Privacy Framework. De lichtgewicht scripts zijn geoptimaliseerd voor snelheid via een wereldwijd netwerk van edge-nodes. Een goede keuze als toegankelijkheid voor jouw website extra belangrijk is.
En Cloudflare Turnstile dan?
Als je reCAPTCHA-alternatieven onderzoekt, kom je al snel Cloudflare Turnstile tegen. Het is gratis, onzichtbaar voor de meeste bezoekers, en technisch indrukwekkend. Turnstile verdient daarom een eerlijke beoordeling โ ook al is het geen Europese dienst.
Prijs: Gratis (onbeperkt)
Gevestigd in: San Francisco, VS (Cloudflare, Inc.)
Technologie: Browser-uitdagingen, proof-of-work, API-detectie
Website: developers.cloudflare.com/turnstile
Laten we beginnen met wat Turnstile goed doet. In tegenstelling tot reCAPTCHA plaatst Turnstile geen cookies, verzamelt het geen data voor advertentiedoeleinden, en is Cloudflare geen advertentiebedrijf. Dat is een wezenlijk verschil met Google. Turnstile draait een reeks niet-interactieve browser-uitdagingen op de achtergrond โ waaronder proof-of-work en webAPI-detectie โ en beslist op basis daarvan of een bezoeker menselijk is. De meeste bezoekers merken er niets van. Het is WCAG 2.1 AA-compliant en werkt op alle gangbare browsers.
Cloudflare heeft een apart Turnstile Privacy Addendum in het privacybeleid en belooft geen persoonsgegevens te verkopen. Het bedrijf maakt gebruik van Standard Contractual Clauses en het EU-US Data Privacy Framework voor gegevensoverdracht.
Maar er zijn kanttekeningen. Cloudflare is en blijft een Amerikaans bedrijf, onderworpen aan Amerikaanse wetgeving zoals FISA Section 702 en de CLOUD Act. Dat betekent dat de Amerikaanse overheid in theorie toegang kan vorderen tot data die via Turnstile wordt verwerkt โ een kwestie die na het Schrems II-arrest van het Europese Hof van Justitie juridisch onopgelost blijft. Daarnaast is Cloudflare niet volledig transparant over welke gegevens Turnstile precies verzamelt en hoe lang die worden bewaard. Dit heeft in de praktijk al tot problemen geleid bij Duitse Functionarissen Gegevensbescherming (het equivalent van een Nederlandse FG) die meer duidelijkheid wilden voordat ze Turnstile goedkeurden.
Er is discussie over of Turnstile kan worden ingezet als โstrikt noodzakelijkeโ technische maatregel onder de AVG โ wat zou betekenen dat je geen cookiemelding nodig hebt. Sommige juristen vinden van wel, anderen zijn voorzichtiger. Er is geen definitieve uitspraak van een toezichthouder over deze specifieke vraag.
Ons oordeel: voor veel Nederlandse websites is Turnstile in de praktijk een enorme verbetering ten opzichte van reCAPTCHA. Het is gratis, snel, en respecteert de privacy van je bezoekers aanzienlijk beter dan Google doet. Als pragmatische keuze is het uitstekend. Maar als je organisatie werkt met gevoelige gegevens, strenge compliance-eisen heeft, of als je FG juridische zekerheid wil over Europese dataverwerking, dan bieden Europese oplossingen als Friendly Captcha, ALTCHA of Trustcaptcha meer comfort.
Vergelijkingstabel
| Dienst | Land | Gratis? | Interactie nodig? | Cookies | EU-dataverwerking | Open source |
|---|---|---|---|---|---|---|
| Google reCAPTCHA | ๐บ๐ธ VS | Beperkt (10k/mnd) | Vaak wel | Ja, uitgebreid | โ Nee | โ Nee |
| Friendly Captcha | ๐ฉ๐ช Duitsland | Alleen proefperiode | Nee (onzichtbaar) | Geen | โ Ja | โ Nee |
| ALTCHA | ๐ช๐บ Europa | Ja (self-hosted) | Checkbox of onzichtbaar | Geen | โ Zelf te hosten | โ MIT |
| Trustcaptcha | ๐ฉ๐ช Duitsland | Ja | Nee (onzichtbaar) | Geen | โ Ja | โ Nee |
| mCaptcha | ๐ Open source | Ja (self-hosted) | Nee | Geen | โ Zelf te hosten | โ AGPL |
| Private Captcha | ๐ช๐บ Europa | Verschilt | Nee (onzichtbaar) | Geen | โ Ja | โ Nee |
| MTCaptcha | ๐ Internationaal | Ja | Onzichtbaar + fallback | Geen | Deels (DPF) | โ Nee |
| Cloudflare Turnstile | ๐บ๐ธ VS | Ja (onbeperkt) | Zelden | Geen | โ Nee | โ Nee |
Welke keuze past bij jouw situatie?
Je wilt maximale AVG-zekerheid en Europese dataverwerking? Kies voor Friendly Captcha of host ALTCHA of mCaptcha zelf. Hiermee heb je de sterkste juridische positie en kun je je FG (Functionaris Gegevensbescherming) geruststellen. Bovendien hoeven je bezoekers geen puzzels op te lossen.
Je zoekt een gratis oplossing die een stuk beter is dan reCAPTCHA? Cloudflare Turnstile is dan een zeer sterke pragmatische keuze. Het is gratis, snel, en onzichtbaar voor vrijwel alle bezoekers. Houd er rekening mee dat het een Amerikaanse dienst is โ voor veel websites is dat geen probleem, maar voor organisaties met strenge compliance-eisen kan het een aandachtspunt zijn.
Je wilt volledige controle en transparantie? Met open-source opties als ALTCHA (MIT-licentie) en mCaptcha (AGPL) draai je alles op je eigen servers. Geen data naar derden, geen juridische grijze gebieden, geen vendor lock-in.
Toegankelijkheid is voor jouw website cruciaal? Kijk dan naar MTCaptcha (WCAG 2.1 AAA) of Friendly Captcha (WCAG-compliant en volledig onzichtbaar).
Conclusie
De tijd dat je zonder nadenken reCAPTCHA op je website kon zetten is voorbij. Of het nu gaat om de privacygevolgen, de verplichte cookiemeldingen, de verschuiving naar betaalde enterprise-pricing, of simpelweg het feit dat je bezoekers liever geen verkeerslichten meer aanwijzen โ er zijn inmiddels betere opties. Veel daarvan zijn Europees, de meeste zijn onzichtbaar, en een aantal is zelfs gratis of open source. De overstap is makkelijker dan je denkt, en je bezoekers (en je FG) zullen je er dankbaar voor zijn.
Wil je meer van dit soort artikelen lezen? Meld je aan voor onze nieuwsbrief.
