Google test een nieuwe manier om te bewijzen dat je geen bot bent: reCAPTCHA vraagt sommige bezoekers nu om hun camera aan te zetten en een handgebaar te maken, bijvoorbeeld zwaaien of een open hand tonen. Het systeem neemt daar een kort filmpje van op en analyseert dat. Klinkt futuristisch, maar er zit een dubbele adder onder het gras: het raakt de privacy van je bezoekers en het is nu al te omzeilen met een gewone stockfoto. Voor vrijwel elk bedrijf met een webformulier of webshop is dat relevant, want reCAPTCHA draait onder de motorkap van talloze Nederlandse sites.
Hoe de handgebaar-check werkt
Bij deze variant vraagt de browser toegang tot je camera en moet je een eenvoudig gebaar maken. Google legt dat vast in een korte video en gebruikt AI om 21 coördinaten van je vingerknokkels uit te lezen, op basis van het MediaPipe hand-landmark-model. Aan de hand van die punten bepaalt de dienst of er een echte, bewegende hand voor de lens zit. Google zegt de video en beelden automatisch te verwijderen zodra de challenge is afgerond en de data conform het eigen privacybeleid te verwerken. Wie het gebaar niet kan of wil maken, houdt de bekende visuele en audio-uitdagingen.

Een stockfoto is genoeg om erlangs te komen
Het grootste probleem: de check is nu al gekraakt. Een gebruiker op X liet zien dat een gewone stockfoto van een hand, gevoed via de virtuele camera van OBS, de test gewoon passeert. Een journalist van Neowin reproduceerde het na een paar pogingen met verschillende stockfoto's: hij hoefde alleen de positie van het beeld bij te stellen. Er komt geen AI-bot aan te pas, en het hele trucje is met een kort Python-script te automatiseren. Google zal het model naar verwachting bijwerken zodat het statische beelden weigert, maar op dit moment levert de functie vooral de privacy-nadelen op zonder de beveiligingswinst.
Wat dit betekent voor jouw bedrijf
reCAPTCHA zit op ontelbaar veel contactformulieren, inlogpagina's en checkout-flows, ook in Nederland. Als deze gebarenvariant breder uitrolt naar jouw bezoekers, komen er twee dingen op je af. Ten eerste frictie: mensen die hun camera moeten aanzetten om een formulier te versturen, haken sneller af, zeker op mobiel of op een zakelijke laptop met een afgeplakte camera. Ten tweede privacy: een handscan is biometrische data, en dat is onder de AVG een bijzondere categorie persoonsgegevens met strengere eisen. Ook al belooft Google de beelden te wissen, jij blijft als websitehouder verwerkingsverantwoordelijke voor wat er op jouw formulier gebeurt.
Deze bypass is precies waarom de klassieke captcha op zijn eind loopt. Cloudflare, Google, Apple en Mozilla lanceerden PACT, een protocol dat de captcha moet vervangen door een gestandaardiseerd, privacyvriendelijk alternatief, juist omdat puzzels en beeldproeven de bots niet meer buiten houden.
Voorlopig is dit een beperkte test, geen standaard, en je bepaalt zelf welke captcha-variant en welke leverancier je op je site zet. Mijn advies: kijk kritisch naar wat je bezoekers moeten inleveren om te bewijzen dat ze mens zijn. Een methode die je conversie remt én biometrie verzamelt terwijl ze met een foto te foppen is, is geen vooruitgang. Houd je verificatie simpel en privacyvriendelijk, en stap over zodra volwassen standaarden zoals PACT klaar zijn.
Veelgestelde vragen
Verificatie zonder gedoe
Twijfel je of jouw formulieren en checkout bots buitenhouden zonder je bezoekers weg te jagen? Ik denk met je mee, ontwerp de flow en bouw en automatiseer een privacyvriendelijke oplossing, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
