InspectWP Logo
Woordenlijst

Wat is Gravatar?

8 februari 2026 Bijgewerkt op 19 apr 2026

Gravatar, een afkorting van Globally Recognized Avatar, is een gratis dienst van Automattic (het bedrijf achter WordPress.com) die profielafbeeldingen koppelt aan e-mailadressen. Het concept is eenvoudig: u upload één keer een avatar op gravatar.com, en die volgt u op het web. Elke site die Gravatar ondersteunt, kan uw profielfoto naast uw naam tonen, zonder dat u hem opnieuw hoeft te uploaden.

WordPress heeft sinds versie 2.5 (2008) Gravatar-ondersteuning, en deze is bij elke WordPress-installatie standaard ingeschakeld. Dit betekent dat uw WordPress-site, tenzij u het actief uitschakelt, telkens wanneer een pagina met avatars wordt geladen gegevens naar de servers van Gravatar verstuurt. Voor veel site-eigenaren, vooral in de Europese Unie, levert dit een aanzienlijk privacyprobleem op.

Hoe Gravatar onder de motorkap werkt

Het technische proces achter Gravatar is rechttoe rechtaan, maar heeft belangrijke privacy-implicaties. Wanneer WordPress een avatar voor een gebruiker of reageerder moet weergeven, neemt het hun e-mailadres, zet het om naar kleine letters, snijdt witruimte weg en genereert een MD5-hash. Het e-mailadres user@example.com wordt bijvoorbeeld zoiets als b58996c504c5638798eb6b511e6f49af.

WordPress bouwt vervolgens een afbeeldings-URL als deze:

https://secure.gravatar.com/avatar/b58996c504c5638798eb6b511e6f49af?s=96&d=mm

De parameter s stelt de afbeeldingsgrootte in (in dit geval 96 pixels), en de parameter d geeft een standaardafbeelding aan voor het geval er geen Gravatar voor die hash bestaat. Wanneer de browser van een bezoeker de pagina laadt, doet hij een HTTP-request naar secure.gravatar.com om elke avatar op te halen. Dit request bevat het IP-adres van de bezoeker (zoals elk HTTP-request), en de URL bevat de MD5-hash van het e-mailadres van de reageerder.

MD5-hashes zijn theoretisch eenrichtingsverkeer, maar in de praktijk eenvoudig terug te draaien voor veelvoorkomende e-mailadressen. Rainbow tables en hash-lookup-diensten kunnen een MD5-hash vaak terugbrengen tot het oorspronkelijke e-mailadres. Gravatar-URL's zijn dus niet werkelijk geanonimiseerd.

Waar WordPress Gravatar standaard gebruikt

Gravatar-afbeeldingen verschijnen op meerdere plaatsen op een WordPress-site, niet allemaal even voor de hand liggend:

  • Reactiesecties: bij elke reactie wordt de Gravatar van de reageerder naast de naam getoond. Op een bericht met 50 reacties zijn dat 50 afzonderlijke requests naar de servers van Gravatar.
  • Beheerdashboard: het WordPress-beheergebied toont Gravatars voor de ingelogde gebruiker, in gebruikerslijsten en in de "In één oogopslag"-widget.
  • Auteursbio-blokken: veel thema's tonen de Gravatar van de auteur in het auteursbio-gedeelte onder berichten.
  • Gebruikersprofielpagina's: in het WordPress-beheer gebruiken gebruikersprofielen Gravatar als standaard avatarbron.
  • BuddyPress en bbPress: gebruikt u deze community-plugins, dan verschijnen Gravatars in fora, ledenoverzichten en activiteitenstromen.
  • WooCommerce-recensies: productrecensies tonen de Gravatars van recensenten net als bij blogreacties.

Het GDPR- en AVG-probleem in detail

De General Data Protection Regulation (GDPR, in Nederland en Vlaanderen bekend als AVG) vereist dat persoonsgegevens alleen verwerkt worden op basis van een rechtsgrond, doorgaans geïnformeerde toestemming. Het standaardgedrag van Gravatar in WordPress levert meerdere AVG-nalevingsproblemen op:

Doorgifte van IP-adressen: wanneer de browser van een bezoeker een Gravatar-afbeelding ophaalt, wordt zijn IP-adres verzonden naar de servers van Automattic (gevestigd in de Verenigde Staten). IP-adressen worden onder de AVG als persoonsgegevens beschouwd. Deze gegevensoverdracht gebeurt zonder medeweten of toestemming van de bezoeker, en WordPress kent geen mechanisme om vóór het laden van Gravatars om toestemming te vragen.

Blootstelling van e-mailhashes: de MD5-hash van het e-mailadres van elke reageerder is opgenomen in de Gravatar-URL en zichtbaar in de HTML-broncode van de pagina. Hoewel het om een hash gaat in plaats van een platte e-mail, wordt dit toch als persoonsgegeven beschouwd, omdat het kan worden teruggedraaid of gebruikt om dezelfde persoon over meerdere websites te volgen. Automattic ontvangt deze hashes als onderdeel van elk afbeeldingsverzoek.

Mogelijkheid tot cross-site-tracking: omdat Gravatar dezelfde e-mailhash op alle websites gebruikt, kan Automattic in theorie een profiel opbouwen van de sites waarop iemand reageert. Ook als zij dat niet actief doen, bestaat de technische mogelijkheid, en dat is waar AVG-naleving zich op richt.

Doorgifte naar een derde land: Automattic is een in de VS gevestigd bedrijf. Na de Schrems II-uitspraak van het Europees Hof van Justitie in 2020 vereist het overdragen van persoonsgegevens naar de VS aanvullende waarborgen. Veel juridische experts beschouwen het standaardgebruik van Gravatar op Europese websites als niet-conform, omdat er geen verwerkersovereenkomst is en geen manier om correcte toestemming te verkrijgen vóór de gegevensoverdracht plaatsvindt.

Duitse gegevensbeschermingsautoriteiten zijn op dit punt bijzonder streng geweest. Diverse rechterlijke uitspraken en toezichthoudende adviezen hebben geconcludeerd dat het laden van Gravatar-afbeeldingen zonder toestemming de AVG schendt. De juridische situatie lijkt sterk op de bekende Google Fonts-uitspraak, waarbij een rechtbank in München schadevergoeding oplegde voor het laden van Google Fonts vanaf externe servers zonder toestemming.

Prestatie-impact op uw WordPress-site

Naast privacy beïnvloedt Gravatar ook de laadprestaties van uw site. Elke Gravatar-afbeelding vereist een afzonderlijk HTTP-request naar een externe server. Op een blogbericht met veel reacties kan dat snel oplopen:

  • Elke avatar vraagt een DNS-lookup voor secure.gravatar.com (althans bij het eerste verzoek).
  • Elke afbeelding is een afzonderlijk HTTP-request met eigen latentie.
  • Zijn de servers van Gravatar traag of onbereikbaar, dan stagneert het renderen van uw pagina terwijl de browser op de afbeeldingen wacht.
  • Gravatar-afbeeldingen kunnen niet worden geoptimaliseerd door uw lokale caching- of beeldoptimalisatie-plugins.
  • Browser-verbindingslimieten kunnen ervoor zorgen dat veel gelijktijdige Gravatar-requests het laden van uw eigen resources blokkeren.

Op een pagina met 30 reacties voegt u mogelijk 30 externe HTTP-requests toe die de browsers van uw bezoekers moeten doen voordat de pagina volledig is geladen. Voor bezoekers op trage mobiele verbindingen is dat een merkbare vertraging.

Alternatieven voor Gravatar in WordPress

Er zijn meerdere manieren om Gravatar te vervangen en toch avatars op uw WordPress-site te tonen:

  • Avatars volledig uitschakelen: vink in Instellingen > Reacties "Avatars tonen" uit. Dit is de eenvoudigste oplossing, maar verwijdert de visuele identiteit uit reacties.
  • Lokaal gegenereerde avatars gebruiken: plugins als "Simple Local Avatars" of "WP User Avatar" laten gebruikers profielafbeeldingen uploaden die op uw eigen server worden opgeslagen. Geen externe requests, geen privacyzorgen.
  • Gegenereerde standaard-avatars: WordPress kan eenvoudige geometrische avatars (zoals identicons of retropatronen) genereren op basis van de e-mailhash, zonder de servers van Gravatar te benaderen. Sommige plugins implementeren dit lokaal.
  • Lokale Gravatar-caching: plugins als "Avatar Privacy" of "Cache Gravatar" downloaden Gravatar-afbeeldingen één keer en serveren ze vanaf uw eigen server. Dit behoudt de Gravatar-ervaring en elimineert externe requests bij elke pagina-laad. De initiële download stuurt echter nog steeds gegevens naar Gravatar, dus dit lost het AVG-probleem maar gedeeltelijk op.
  • Toestemmingsgebaseerd laden: sommige AVG-cookietoestemmingsplugins kunnen het laden van Gravatar blokkeren totdat de bezoeker toestemming geeft. Dit is de meest conforme aanpak als u Gravatar wilt blijven gebruiken, maar betekent dat avatars onzichtbaar zijn totdat toestemming is gegeven.

Wat InspectWP controleert

InspectWP scant de HTML-broncode en netwerkrequests van uw WordPress-site op verbindingen met gravatar.com of secure.gravatar.com. Worden Gravatar-afbeeldingen gedetecteerd, dan signaleert het rapport dit als AVG-zorg in de privacysectie. Deze melding geeft aan dat uw site persoonsgegevens (IP-adressen van bezoekers en e-mailhashes) overdraagt naar de in de VS gevestigde servers van Automattic zonder een expliciet toestemmingsmechanisme. Het rapport raadt aan Gravatar volledig uit te schakelen, over te stappen op lokaal gehoste avatars of een toestemmingsgebaseerde laadoplossing in te voeren.

Vorig artikel

Wat is de WordPress REST API?

Volgend artikel

Wat is HTTP/2?

Gerelateerde artikelen

Wat is een meta description?

Wat is mixed content?

Wat is lazy loading?

Alle artikelen bekijken

Controleer nu uw WordPress-site

InspectWP analyseert uw WordPress-site op beveiligingsproblemen, SEO-problemen, GDPR-naleving en prestaties — gratis.

Analyseer uw site gratis