Webshops mogen klanten in de meeste gevallen niet verplichten een account aan te maken. Dat blijkt uit nieuwe aanbevelingen van de European Data Protection Board (EDPB). De privacytoezichthouder benadrukt dat een gastoptie de standaard moet zijn voor online winkelen.
De EDPB publiceerde begin december aanbevelingen over verplichte gebruikersaccounts bij webshops zo schrijft onder andere het AP. Die leiden in meerdere EU-landen tot klachten bij privacytoezichthouders. Het verplichten van een account voor een eenmalige aankoop is volgens de toezichthouder vrijwel nooit nodig en kan in strijd zijn met de AVG.
Veel consumenten herkennen het probleem: je wilt snel iets bestellen, maar moet eerst een account aanmaken. Volgens de EDPB leidt dat vaak tot het verzamelen van meer persoonsgegevens dan nodig. Dat vergroot verscheidene risico’s, zo is er bijvoorbeeld meer kans op misbruik van gegevens of datalekken.
Wanneer een account niet nodig is
Voor een eenmalige aankoop is een verplicht account in principe niet nodig. Ook voor het volgen of retourneren van een bestelling hoeft dat volgens de EDPB niet. De toezichthouder baseert zich daarbij op AVG-artikelen 5(1)(a) en 6(1) over dataminimalisatie en rechtmatige verwerking. Webshops mogen geen accounts verplichten voor marketing, profilering of gepersonaliseerde aanbevelingen. Dat kwalificeert niet als noodzakelijk voor contractuitvoering, aldus de aanbevelingen.
Er zijn wel situaties te bedenken waarin een verplicht account wel gerechtvaardigd is. Bijvoorbeeld bij abonnementsdiensten of bij toegang tot een afgesloten ledenomgeving met duidelijke selectiecriteria is dat toegestaan.
Daarnaast noemt de EDPB wettelijke vereisten als uitzondering. Denk aan leeftijdsverificatie bij alcoholverkoop volgens nationale of Europese wetgeving. Ook zaken als de check of iemand wel of geen student is door middel van een verplicht account is iets wat kan zorgen voor rechtvaardiging.
Lees ook: 95 procent Nederlandse websites overtreedt toegankelijkheidswet
Gastoptie wordt de standaard
Webshops moeten consumenten volgens de EDPB de keuze bieden: een account aanmaken óf als gast afrekenen. Die gastoptie is de meest privacyvriendelijke manier om online te winkelen. Daarbij worden alleen de gegevens gebruikt die nodig zijn om de bestelling uit te voeren en te leveren.
Deze aanpak past bij het principe van privacy by design en default. Organisaties richten hun diensten zo in dat zij zo min mogelijk persoonsgegevens verwerken. Hoe meer gegevens worden verzameld en bewaard, hoe groter de risico’s voor webshops zelf namelijk ook zijn. De aanbevelingen zijn nog niet definitief. De Autoriteit Persoonsgegevens heeft aan organisaties, brancheverenigingen en, maatschappelijke organisaties gevraagd om te reageren op de consultatie.