Google Fonts en AVG: Lekt Jouw Website Bezoekersdata?

Meer dan 50 miljoen websites gebruiken Google Fonts. De meeste laden die fonts extern: je website vraagt het lettertype op bij fonts.googleapis.com en Google levert het. Snel, gratis, makkelijk.

Het probleem: bij elk bezoek stuurt je website het IP-adres van je bezoeker naar Google in de Verenigde Staten. Zonder dat die bezoeker dat weet. Zonder toestemming. En dat is een AVG-overtreding.

Dit artikel legt uit wat het risico is, hoe je controleert of jouw website Google Fonts extern laadt, en hoe je het in 10 minuten oplost.

Waarom is Google Fonts een AVG-probleem?

Het draait om drie dingen die samen een overtreding vormen.

1. Een IP-adres is een persoonsgegeven

De AVG definieert een persoonsgegeven als alle informatie waarmee iemand direct of indirect te identificeren is. Een IP-adres valt daar expliciet onder (Recital 30 AVG). Het Europese Hof van Justitie heeft dit in 2016 bevestigd in de zaak Breyer v. Duitsland.

2. Google ontvangt dat IP-adres

Wanneer je website Google Fonts extern laadt, maakt de browser van je bezoeker een directe verbinding met de servers van Google. Google ontvangt daarbij het IP-adres, de User-Agent string (browsertype, besturingssysteem), de Referer header (welke pagina bezocht werd) en een timestamp.

Google weet dus welke persoon welke pagina op jouw website bezoekt. Of Google die data daadwerkelijk koppelt aan profielen, doet er juridisch niet toe. De doorgifte zelf is het probleem.

3. De data gaat naar de VS

Google LLC is een Amerikaans bedrijf. De servers van Google Fonts staan verspreid over de wereld, maar het bedrijf valt onder Amerikaanse jurisdictie. Sinds het Schrems II-arrest (2020) is de doorgifte van persoonsgegevens naar de VS alleen toegestaan met aanvullende waarborgen. Voor de meeste mkb-websites ontbreken die.

Het EU-US Data Privacy Framework (DPF) biedt sinds juli 2023 technisch een juridische basis voor datatransfers naar de VS. Google is gecertificeerd onder het DPF. Maar het framework staat onder druk: de EDPB heeft problemen gesignaleerd met de Amerikaanse waarborgen en de Noorse toezichthouder adviseerde bedrijven om "exit-strategieën" te ontwikkelen voor het geval het DPF sneuvelt, net als zijn voorgangers Safe Harbor en Privacy Shield. Je kunt er niet blind op vertrouwen.

Wat zeggen de rechters?

LG München I (januari 2022)

De eerste rechtszaak die Google Fonts op de kaart zette. Het Landgericht München I oordeelde op 20 januari 2022 (zaaknummer 3 O 17493/20) dat een website-eigenaar het IP-adres van een bezoeker zonder toestemming aan Google had doorgegeven door extern Google Fonts te laden. Concreet stuurde de browser het IP-adres, de User-Agent string, de referer-header en een tijdstempel naar Google. De bezoeker kreeg €100 schadevergoeding. Het bedrag is klein. Het precedent is groot.

De rechter oordeelde dat het extern laden van Google Fonts geen "gerechtvaardigd belang" is, omdat het lettertype net zo goed lokaal gehost kan worden. Er is geen technische noodzaak om data naar Google te sturen.

De Abmahnwelle: massale claimacties

Na de uitspraak in München ontstond een ware claimgolf (Abmahnwelle). Tienduizenden bedrijven in Duitsland en Oostenrijk ontvingen claimbrieven van €100 tot €170 per bezoeker. Advocaten en claimorganisaties scannen systematisch websites op extern geladen Google Fonts en sturen geautomatiseerd aanmaningsbrieven.

Die claimgolf leidde zelf ook tot rechtszaken. Het LG München I oordeelde in maart 2023 dat het geautomatiseerd versturen van zulke claims rechtsmisbruik (Rechtsmissbrauch) is. In Berlijn is strafrechtelijk onderzoek ingesteld tegen een van de grootste claimorganisaties, waarbij €346.000 in beslag is genomen.

Dat neemt niet weg dat het onderliggende probleem reëel is: het extern laden van Google Fonts zonder toestemming is en blijft een AVG-overtreding. Alleen de geautomatiseerde claim-industrie eromheen is door de rechter afgeremd.

Situatie in Nederland

Er is geen Nederlandse handhaving specifiek over Google Fonts. De Autoriteit Persoonsgegevens heeft zich hier niet over uitgesproken en er zijn geen bekende boetes of rechtszaken in Nederland over dit onderwerp.

Maar de juridische basis is hetzelfde als in Duitsland: het doorsturen van IP-adressen naar een derde partij zonder toestemming is een overtreding van Artikel 6 AVG (geen rechtsgrondslag) en Artikel 44 AVG (doorgifte buiten de EER). Dat de AP nog niet heeft gehandhaafd op dit punt, betekent niet dat het legaal is. Het betekent dat je geluk hebt gehad. Nu de AP actief cookiebanners controleert en de handhaving opschroeft, is het een kwestie van tijd.

Prejudiciële vragen bij het Hof van Justitie

In januari 2026 zijn prejudiciële vragen gesteld aan het Hof van Justitie van de EU (zaak C-654/25) over de vraag of een dynamisch IP-adres een persoonsgegeven is in de context van websiteverbindingen. De uitkomst kan directe gevolgen hebben voor de juridische beoordeling van Google Fonts en vergelijkbare externe diensten. Wordt vervolgd.

Hoe check je of jouw website Google Fonts extern laadt?

Er zijn vier manieren om dit te controleren.

Methode 1: Browser Developer Tools

1. Open je website in Chrome of Firefox
2. Open de developer tools (F12 of Ctrl+Shift+I)
3. Ga naar het tabblad Network
4. Herlaad de pagina (Ctrl+R)
5. Filter op "fonts.googleapis" of "fonts.gstatic"

Zie je verzoeken naar fonts.googleapis.com of fonts.gstatic.com? Dan laadt je website Google Fonts extern.

Methode 2: Bekijk de broncode

1. Open je website
2. Klik rechts en kies "Paginabron weergeven" (of Ctrl+U)
3. Zoek met Ctrl+F naar "fonts.googleapis" of "fonts.gstatic"

Als je een <link> tag vindt die verwijst naar https://fonts.googleapis.com/css2?family=..., dan worden de fonts extern geladen.

Methode 3: Online checker tools

Er zijn gratis tools die specifiek op Google Fonts controleren:

• SICHER3 Google Fonts Checker — scan op extern geladen Google Fonts
• CCM19 checker — controleert Google Fonts en andere externe verbindingen

Methode 4: Laat het scannen

Scan je website en wij controleren automatisch of er externe verbindingen worden gemaakt naar Google Fonts, Google Maps, YouTube en andere diensten die bezoekersdata doorsturen.

Hoe los je het op? Google Fonts lokaal hosten

De oplossing is simpel: host de fontbestanden op je eigen server. Geen data naar Google, geen AVG-probleem.

Snelste alternatief: Wil je niet zelf hosten? fonts.bunny.net is een Europees alternatief dat zero-logging hanteert. Het is een drop-in vervanging: vervang fonts.googleapis.com door fonts.bunny.net in je code en je bent klaar. Maar lokaal hosten blijft de veiligste optie, omdat je dan van geen enkele externe partij afhankelijk bent.

Stap 1: Download de fontbestanden

Ga naar google-webfonts-helper (een gratis open-source tool). Zoek het lettertype dat je gebruikt (bijvoorbeeld "Inter" of "Open Sans"). Selecteer de stijlen die je nodig hebt (regular, bold, italic). Download het ZIP-bestand met de WOFF2-bestanden.

Je kunt ook rechtstreeks naar fonts.google.com gaan en de bestanden daar downloaden.

Stap 2: Upload naar je server

Maak een map aan op je webserver, bijvoorbeeld /fonts/. Upload de gedownloade WOFF2-bestanden naar die map.

Stap 3: Pas je CSS aan

Verwijder de <link> tag die naar Google verwijst:

<!-- VERWIJDER DIT -->
<link href="https://fonts.googleapis.com/css2?family=Inter:wght@400;700&display=swap" rel="stylesheet">

Voeg in plaats daarvan een @font-face regel toe aan je CSS:

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 400;
  font-display: swap;
  src: url('/fonts/inter-v13-latin-regular.woff2') format('woff2');
}

@font-face {
  font-family: 'Inter';
  font-style: normal;
  font-weight: 700;
  font-display: swap;
  src: url('/fonts/inter-v13-latin-700.woff2') format('woff2');
}

Stap 4: Test

Herlaad je website en controleer in de developer tools (Network tabblad) dat er geen verzoeken meer naar fonts.googleapis.com of fonts.gstatic.com worden gestuurd.

CMS-specifieke oplossingen

WordPress

De snelste oplossing voor WordPress is de plugin OMGF (Optimize My Google Fonts) (200.000+ actieve installaties). Deze plugin downloadt automatisch alle Google Fonts die je thema en plugins gebruiken, slaat ze lokaal op en past de CSS aan. Installeren, activeren, klaar.

Andere opties:

• Perfmatters — premium plugin die naast Google Fonts ook andere prestatie-optimalisaties biedt
• Asset CleanUp — laat je per pagina scripts en stylesheets uitschakelen, inclusief Google Fonts
• Handmatig — voeg add_filter('style_loader_src', ...) toe aan je functions.php om Google Fonts-verzoeken te blokkeren

Let op: sommige thema's laden Google Fonts op meerdere plaatsen (in de header, in de Customizer, in Elementor). Controleer na de aanpassing of alle verwijzingen weg zijn.

Shopify

Shopify-thema's laden fonts meestal lokaal via Shopify's eigen CDN. Maar als je een aangepast thema gebruikt of handmatig Google Fonts hebt toegevoegd, check dan je theme.liquid en eventuele custom CSS-bestanden op verwijzingen naar fonts.googleapis.com.

Om het te fixen: upload de fontbestanden naar Settings > Files in je Shopify-admin. Pas vervolgens je theme.liquid aan om de lokale bestanden te gebruiken in plaats van de Google-link.

Wix

Wix laadt standaard sommige fonts extern. Je hebt beperkte controle over de broncode, maar je kunt in de Wix Editor kiezen voor fonts die Wix lokaal beschikbaar stelt. Vermijd het handmatig toevoegen van Google Fonts via de HTML-embed optie.

Als je Wix gebruikt en Google Fonts extern worden geladen zonder dat je dat kunt uitschakelen, overweeg dan contact op te nemen met Wix-support of over te stappen naar een platform dat je meer controle geeft.

Next.js

Next.js heeft sinds versie 13 een ingebouwde oplossing: next/font/google. Deze functie downloadt de fontbestanden automatisch tijdens de build en host ze lokaal. Geen runtime-verzoeken naar Google.

import { Inter } from 'next/font/google';

const inter = Inter({ subsets: ['latin'] });

export default function Layout({ children }) {
  return (
    <html className={inter.className}>
      <body>{children}</body>
    </html>
  );
}

Als je nog handmatig een <link> tag naar Google Fonts in je <head> hebt staan, verwijder die en gebruik next/font/google in plaats daarvan.

Wat als je webdesigner Google Fonts heeft ingesteld?

Veel websites zijn gebouwd door een webdesigner of bureau. Die hebben Google Fonts ingesteld omdat het snel en makkelijk is. Dat is begrijpelijk, maar jij bent als website-eigenaar verantwoordelijk voor de AVG-compliance van je website. Niet je webdesigner.

Stuur je webdesigner een bericht met dit verzoek:

"Onze website laadt Google Fonts extern. Dat stuurt IP-adressen van bezoekers naar Google zonder toestemming, wat een AVG-overtreding is. Kun je de fonts lokaal hosten? Dat zou de verbinding met fonts.googleapis.com en fonts.gstatic.com moeten verwijderen."

Een competente webdesigner lost dit in 15 minuten op. Als je webdesigner zegt dat het niet kan of niet nodig is, zoek dan een andere webdesigner.

Google Fonts is niet het enige probleem

Google Fonts is het meest bekende voorbeeld, maar hetzelfde geldt voor elke externe dienst die bezoekersdata naar servers buiten de EER stuurt zonder toestemming:

• Google Maps embeds sturen IP-adressen en locatiedata naar Google. Lees: Google Maps embeds en GDPR
• YouTube embeds plaatsen cookies en sturen bezoekersdata naar Google. Lees: YouTube embeds en GDPR
• Externe CDN's (cdnjs, unpkg, jsdelivr) maken verbindingen naar servers buiten de EER
• Social media widgets (Facebook Like-knop, Twitter timeline) sturen bezoekersdata naar de VS

Check je website op al deze verbindingen. Een privacyverklaring alleen is niet genoeg als je website ondertussen data lekt.

Veelgestelde vragen

Is Google Fonts gebruiken een AVG-overtreding?

Als je Google Fonts extern laadt (vanaf fonts.googleapis.com) dan stuurt je website het IP-adres van elke bezoeker naar Google. Zonder toestemming is dat een AVG-overtreding. De oplossing is simpel: host de fonts lokaal op je eigen server.

Hoe host ik Google Fonts lokaal?

Download de fonts van google-webfonts-helper of fonts.google.com, upload ze naar je server en verwijs je CSS naar de lokale bestanden in plaats van naar Google. Voor WordPress kun je de gratis plugin OMGF gebruiken die dit automatisch doet.

Kan ik een boete krijgen voor Google Fonts?

In Duitsland zijn schadeclaims van €100 toegekend (LG München I, zaaknummer 3 O 17493/20). De claimgolf die volgde is deels als rechtsmisbruik bestempeld, maar het onderliggende probleem blijft. Er is geen Nederlandse handhaving specifiek over Google Fonts, maar de juridische basis is hetzelfde. Het risico groeit naarmate de AP meer controleert.

Checklist: Google Fonts AVG-compliant maken

Gebruik deze checklist om te controleren of je website in orde is:

• [ ] Gecontroleerd of je website Google Fonts extern laadt (developer tools of broncode)
• [ ] Fontbestanden gedownload en lokaal gehost
• [ ] Alle <link> tags naar fonts.googleapis.com verwijderd
• [ ] Alle verwijzingen in CSS naar fonts.gstatic.com verwijderd
• [ ] Website getest: geen verzoeken meer naar Google-servers voor fonts
• [ ] Privacyverklaring bijgewerkt (Google Fonts verwijderen uit de lijst van externe diensten, of toevoegen als je het nog extern laadt)
• [ ] Cookiebanner gecontroleerd op juiste werking
• [ ] Volledige AVG-checklist doorlopen

Samenvatting

Google Fonts extern laden is een vermijdbaar AVG-risico. Je stuurt IP-adressen van bezoekers naar Google zonder rechtsgrondslag. Rechters in Duitsland en Oostenrijk hebben al schadevergoedingen toegekend. De oplossing kost 10 minuten: download de fonts, host ze lokaal, verwijder de link naar Google.

Wil je weten of jouw website Google Fonts extern laadt, en welke andere AVG-risico's er zijn? Scan je website en krijg binnen twee minuten een overzicht.

---

Dit artikel is technische analyse, geen juridisch advies. Raadpleeg een jurist voor advies over jouw specifieke situatie.