Een aantal populaire webshops verplicht nog altijd dat klanten een account aanmaken om te kunnen bestellen. Dat meldde de Telegraaf onlangs. Men onderzocht dit naar aanleiding van het EDPB-standpunt dat dit niet zomaar mag onder de AVG. Al veel langer wordt hier tegen geageerd.
De Telegraaf noemt een aantal redenen waarom webshops dit doen, zoals dataprofielen kunnen monetizen en fraudepatronen detecteren. Winkels zelf noemen het de ‘winkelervaring gemakkelijker en prettiger’ maken, maar zelfs ChatGPT wist niet wat dat betekent. Niet steeds je adres invoeren, denk ik.
Voor mij is ook een belangrijke reden dat veel webshopsoftware standaard op deze manier is ingesteld, en dat winkels geen prikkel hebben om het aan te passen. (Is er een xkcd over de impact van een achteloos gemaakte standaardinstelling?)
Maar goed, de vraag is natuurlijk of dat mag. Dit telt als verwerking van persoonsgegevens, want er gaan namen, adressen, contactgegevens, bestelhistorie en wat al niet meer in. Je zou denken dat dat onder de grondslag “nodig uitvoering overeenkomst” valt, maar dat gaat me te ver: je adres is wel nodig om déze bestelling bij jou te krijgen, maar je adres bewaren in een account, valt buiten deze bestelling.
De AVG-toezichthouders, verenigd in de EDPB, zien dit ook zo. Wanneer mensen een abonnement afnemen, lijkt een account wél te kunnen als noodzakelijke voorwaarde. Dit is redelijk wanneer men regelmatig bij de geabonneerde content of dienst moet kunnen, of wanneer historie daaromtrent moet worden opgebouwd.
Ook ziet men ruimte voor accounts voor vaste klanten die daarmee recht hebben op voordeeltjes zoals exclusieve aanbiedingen. Het account is dan zeg maar het bewijs dat je vaste klant bent. Ik vind die op het randje.
In de meeste andere gevallen zul je je moeten beroepen op het gerechtvaardigd belang. Commerciële belangen zoals tracking of gepersonaliseerde aanbiedingen tellen daarin zeker mee, maar de rechtvaardiging daarvan ten opzichte van de privacy van de klant lijkt me lastig. Je komt al heel snel uit bij “een account mag, maar hoeft niet” en dat is eigenlijk hetzelfde als gewoon toestemming vragen “wilt u een account?”
Een interessant geval is fraudedetectie. Het idee is dat als je een historie hebt van een klant, en aanvullende klantgegevens, dat je dan makkelijker afwijkingen in zijn gedrag kunt spotten. Genoeg webwinkels bieden de optie voor op krediet kopen als je een historie hebt opgebouwd, bijvoorbeeld.
Die noodzaak ziet de EDPB echter niet:
Regarding necessity under Article 6(1)(f) GDPR, many e-commerce websites do not require the creation of an account, and a purchase and usage history is actually not available when a customer account is used for the first time. In addition, the relevance of the anti-fraud measures allowed when imposing the creation of an account is questionable as changes in the delivery address usually happen right before an order is placed, users often use different devices, and software updates, which are necessary for security purposes, lead to different browser fingerprints and may be misinterpreted as an indicator of fraud.
Mij lijkt ook dat je bij
iedere bestelling een fraudedetectie doet, waarbij het minder relevant is hoe eerdere bestellingen gingen. En mensen herkennen op basis van hun profiel is inderdaad lastig genoeg.
De toezichthouders wijzen nog op het principe van privacy-by-design, wat ook al impliceert dat een account vrijwillig moet zijn. En dat deed me eraan denken dat het soms toch jammer is dat de AVG alleen geldt voor partijen die gegevens verwerken. Als de PBD verplichting ook gold voor softwarebouwers (dus niet shop-hosters), dan zou je zo centraal deze partijen kunnen aanspreken en afdwingen dat veelgebruikte webshopsoftware altijd een account als optie implementeert.
Arnoud
Het bericht ‘Populaire webshops verplichten nog altijd dat klanten een account aanmaken’ verscheen eerst op Ius Mentis.
/s3/static.nrc.nl/wp-content/uploads/2026/04/03082123/030426BUI_2032782516_pam.jpg)