Webshops mogen klanten meestal niet verplichten eerst een account aan te maken voordat zij iets kunnen kopen. Dat blijkt uit nieuwe aanbevelingen van de European Data Protection Board (EDPB), aldus een bericht van de AP van eind december.

 

Verplichte accounts leiden in meerdere EU-landen al langere tijd tot veel klachten bij privacytoezichthouders. Daarom verduidelijkt de EDPB dat een verplicht account voor een online aankoop meestal niet nodig is en in strijd kan zijn met de privacyregels.

Eerst een account moeten aanmaken en persoonsgegevens achterlaten om iets te kunnen bestellen:  volgens de EDPB leidt dat vaak tot het verzamelen en bewaren van meer persoonsgegevens dan nodig. Dat vergroot de risico’s voor mensen, bijvoorbeeld op misbruik van gegevens, aldus de AP. 

Verplicht account in veel gevallen niet nodig

De EDPB benadrukt dat een verplicht account in veel gevallen niet nodig is. Voor een eenmalige aankoop is een verplicht account vrijwel nooit nodig. Ook voor het volgen of retourneren van een bestelling is een verplicht account in principe niet nodig. Alleen in beperkte situaties kan het wel nodig zijn. Bijvoorbeeld bij een abonnementsdienst, waarbij klanten een dienst langdurig gebruiken, of bij toegang tot een afgesloten ledenomgeving met duidelijke selectiecriteria.

‘Gastoptie’ is de privacy-vriendelijke standaard

Volgens de EDPB moeten webshops consumenten daarom meestal de keuze bieden: een account aanmaken óf als gast afrekenen. Die gastoptie is volgens de toezichthouders de meest privacyvriendelijke manier om online te winkelen. Daarbij worden alleen de gegevens van de klant gebruikt die nodig zijn om de bestelling uit te voeren en te leveren.

Deze aanpak past bij het principe van privacy by design en default: organisaties richten hun diensten zo in dat zij zo min mogelijk persoonsgegevens verwerken.

Minder data, minder risico voor webshops

De aanbevelingen geven webshops duidelijke handvatten om hun bestelprocessen in lijn te brengen met de Algemene verordening gegevensbescherming (AVG). De EDPB wijst webshops er daarbij op dat zij verantwoordelijk zijn voor de persoonsgegevens van hun klanten. Hoe meer gegevens worden verzameld en bewaard, hoe groter de risico’s. In de praktijk blijkt bovendien dat persoonsgegevens vaak langer worden bewaard dan nodig, wat het risico op datalekken verder vergroot.

De aanbevelingen zijn nog niet definitief. De AP nodigt organisaties, brancheverenigingen, maatschappelijke organisaties en andere belanghebbenden uit om te reageren op de consultatie. Dat kan tot en met 12 februari 2026 via de website van de EDPB. Daarna stelt de EDPB de definitieve aanbevelingen vast.

Customer Experience