Webshops mogen klanten in veel gevallen niet verplichten een account aan te maken

In dit artikel:

De European Data Protection Board (EDPB) heeft nieuwe aanbevelingen gepubliceerd waarin wordt gesteld dat webshops klanten meestal niet mogen dwingen eerst een account aan te maken voordat ze iets kopen. De maatregel komt nadat toezichthouders in meerdere EU-landen veel klachten ontvingen over verplichte accounts, die vaak leiden tot het verzamelen en bewaren van onnodige persoonsgegevens en daarmee extra risico’s op misbruik en datalekken.

Voor eenmalige aankopen is een account volgens de EDPB vrijwel nooit noodzakelijk; ook voor het volgen of retourneren van bestellingen is verplicht registreren in principe overbodig. Alleen in specifieke gevallen kan een account gerechtvaardigd zijn, bijvoorbeeld bij abonnementsdiensten met langdurig gebruik of bij toegang tot besloten ledenomgevingen met duidelijke selectiecriteria. Daarom moeten webshops doorgaans een keuze aanbieden: een account aanmaken of als gast afrekenen. Die gastoptie is de meest privacyvriendelijke oplossing omdat alleen de strikt benodigde gegevens worden verwerkt om de bestelling uit te voeren en te leveren.

De aanbevelingen geven concrete aanwijzingen voor webwinkels om hun bestelproces te laten voldoen aan de Algemene verordening gegevensbescherming (AVG). De EDPB benadrukt dat ondernemers verantwoordelijk zijn voor de persoonsgegevens die ze verzamelen; het beperken van dataverzameling en van bewaartermijnen vermindert risico’s en de kans op datalekken.