De AVG raakt de fysieke detailhandel op drie plekken tegelijk: bij klantenkaarten en spaarprogramma’s, bij cameratoezicht en winkeldiefregistratie, en bij wifi-tracking en gezichtsherkenning. Het uitgangspunt is telkens hetzelfde: u verwerkt persoonsgegevens en heeft daarvoor een grondslag, een informatieplicht en een bewaartermijn nodig. Klantenkaarten draaien op toestemming of gerechtvaardigd belang, camerabeelden op een strikte noodzakelijkheidstoets, en gezichtsherkenning is in winkels volgens de Autoriteit Persoonsgegevens de facto verboden. Deze gids voor fysieke retail — te onderscheiden van onze gids voor webshops — laat zien wat mag, wat niet mag en waar de AP hard op handhaaft.
Key Takeaways
- Klantenkaarten verwerken koopgedrag en vereisen een grondslag, transparantie en een bewaartermijn; marketing per e-mail vraagt vaak aparte toestemming.
- Cameratoezicht mag op grond van gerechtvaardigd belang, maar alleen na een noodzakelijkheidstoets, met kenbaarheid (bordjes) en een bewaartermijn van maximaal 4 weken.
- Een zwarte lijst van winkeldieven is DPIA-plichtig en aan strenge voorwaarden gebonden; onzorgvuldige lijsten leiden tot handhaving.
- Gezichtsherkenning in winkels is volgens de AP vrijwel altijd verboden — het is een verwerking van bijzondere biometrische gegevens.
- Wifi-tracking van bezoekers vereist een grondslag en transparantie; anonieme telling mag, herleidbare volging niet zonder meer.
Klantenkaarten en spaarprogramma’s
Een klantenkaart koppelt aankopen aan een persoon. Dat is een verwerking van persoonsgegevens met, afhankelijk van de opzet, een grondslag uit artikel 6 AVG. Het bijhouden van saldo en het toekennen van punten kan op de uitvoering van de spaarovereenkomst rusten. Het profileren van koopgedrag voor gepersonaliseerde aanbiedingen gaat verder en vraagt doorgaans om toestemming, zeker wanneer u gevoelige inzichten afleidt.
Scheid de doelen. Het administreren van de kaart is één doel; e-mailmarketing is een tweede en vraagt om aparte, aantoonbare toestemming (zie onze voorbeelden van geldige toestemming); profilering is een derde. Informeer de klant bij inschrijving helder over elk doel en de bewaartermijn, en bied een eenvoudige manier om de kaart en het profiel te beëindigen.
Cameratoezicht in de winkel
Cameratoezicht steunt meestal op gerechtvaardigd belang: bescherming van eigendom en veiligheid van personeel en klanten. Dat belang moet u wel afwegen. De noodzakelijkheidstoets uit artikel 6 lid 1 sub f AVG verlangt dat er geen minder ingrijpend middel is en dat u camera’s alleen richt waar het nodig is — niet op de openbare weg, niet ongericht op personeel.
De AP hanteert vaste normen:
- Kenbaarheid: duidelijke bordjes bij de ingang die vermelden dat er camera’s hangen en wie de verantwoordelijke is.
- Bewaartermijn: maximaal 4 weken, langer alleen als op beelden een concreet incident staat dat verder wordt afgehandeld.
- Heimelijk cameratoezicht op personeel: vrijwel nooit toegestaan; alleen bij een concreet en zwaarwegend vermoeden, tijdelijk, en na melding achteraf. Zie ook onze gids over AVG en werkgevers.
Zwarte lijsten en winkeldiefregistratie
Het registreren van (vermoedelijke) winkeldieven op een zwarte lijst is een gevoelige verwerking. Het betreft gegevens van strafrechtelijke aard en heeft grote gevolgen voor betrokkenen. Zo’n verwerking staat op de lijst van gevallen waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is; voer die uit vóór u de lijst inricht (zie ons stappenplan voor de DPIA).
Een gezamenlijke branche-zwarte lijst kan alleen onder strikte voorwaarden en vergt in bepaalde gevallen zelfs een voorafgaande beoordeling door de AP. Zonder solide onderbouwing, hoor en wederhoor, een korte bewaartermijn en beveiliging is een zwarte lijst onrechtmatig.
Gezichtsherkenning en biometrie
Gezichtsherkenning verwerkt biometrische gegevens die onder artikel 9 AVG vallen als bijzondere categorie. Het verbod is streng en de uitzonderingen zijn smal. De AP heeft herhaaldelijk benadrukt dat gezichtsherkenning voor toegangscontrole of het herkennen van bekende winkeldieven in een winkel vrijwel nooit is toegestaan: uitdrukkelijke toestemming van iedere bezoeker is praktisch onhaalbaar en een beveiligingsuitzondering geldt alleen in zeer bijzondere situaties. Ga er in de praktijk van uit dat gezichtsherkenning in een winkel niet mag.
Wifi-tracking en bezoekersanalyse
Sensoren die mac-adressen van telefoons opvangen om looproutes te meten, verwerken persoonsgegevens zodra die adressen herleidbaar zijn. De AP trad hier eerder streng op: de gemeente Enschede kreeg in 2021 een boete van €600.000 voor het volgen van telefoons in de binnenstad zonder geldige grondslag. Voor winkels betekent dit: puur anonieme telling (aantallen zonder herleidbaarheid) kan, maar het volgen van individuele bezoekers over tijd vergt een grondslag en transparantie — en is zelden proportioneel.
Marketing en profilering
Aanbiedingen sturen op basis van koopgedrag valt onder de regels voor direct marketing. E-mail en sms vragen om voorafgaande toestemming (met een uitzondering voor bestaande klanten bij eigen, gelijksoortige producten). Profilering die het gedrag van klanten voorspelt, vraagt om transparantie en vaak om toestemming. Bied bij elke marketinguiting een eenvoudige afmeldmogelijkheid en respecteer die direct. Combineer klantgegevens uit verschillende bronnen — kassabon, klantenkaart, webshop — niet zonder de klant daarover te informeren en, waar nodig, om toestemming te vragen; ongemerkte koppeling van datastromen is een klassiek handhavingspunt.
Het bijhouden van grondslagen, bewaartermijnen en DPIA’s over meerdere winkels heen is bewerkelijk; platforms zoals Legiscope helpen retailers om dat register en de bijbehorende documentatie centraal te beheren.
Informatieplicht en rechten van klanten
Elke klant van wie u gegevens verwerkt, heeft recht op transparantie. De informatieplicht uit artikel 13 van de AVG verlangt dat u bij inschrijving voor een klantenkaart of nieuwsbrief duidelijk maakt welke gegevens u verzamelt, met welk doel, hoe lang u ze bewaart en welke rechten de klant heeft. Zet dit in een korte, leesbare privacyverklaring en verwijs er zichtbaar naar op het inschrijfformulier en de kassabon.
Klanten kunnen hun rechten uitoefenen: inzage in hun profiel, verwijdering van hun account, en bezwaar tegen profilering en marketing. Richt een eenvoudig proces in om deze verzoeken binnen een maand af te handelen. De Autoriteit Persoonsgegevens let bij de detailhandel vooral op onduidelijke spaarprogramma’s, te lange bewaartermijnen en marketing zonder geldige grondslag.
Verantwoording en beveiliging. Ook een fysieke winkel valt onder de verantwoordingsplicht. Houd een verwerkingsregister bij met de verwerkingen rond klantenkaarten, camerabeelden en marketing, elk met grondslag en bewaartermijn. Beveilig de systemen conform artikel 32 AVG: kassasystemen en klantendatabases met toegangsbeheer, camerabeelden achter een beperkte toegang en een korte bewaartermijn. Bij een datalek — bijvoorbeeld een gehackt kassasysteem of een gestolen klantenbestand — geldt de meldplicht binnen 72 uur wanneer er risico voor betrokkenen is.
FAQ
Hoe lang mag ik camerabeelden in mijn winkel bewaren?
De AP hanteert een norm van maximaal 4 weken. Langer bewaren mag alleen als op de beelden een concreet incident staat dat u nog moet afhandelen, bijvoorbeeld voor aangifte of afwikkeling met de verzekeraar. Bewaar dan alleen het relevante fragment.
Mag ik een zwarte lijst van winkeldieven bijhouden?
Alleen onder strikte voorwaarden. Het gaat om strafrechtelijke gegevens met grote gevolgen, dus u moet vooraf een DPIA uitvoeren, zorgen voor een solide onderbouwing, hoor en wederhoor, een korte bewaartermijn en goede beveiliging. Een gezamenlijke branchelijst vergt in sommige gevallen een voorafgaande beoordeling door de AP.
Mag ik gezichtsherkenning gebruiken om winkeldieven te herkennen?
Nee, vrijwel nooit. Gezichtsherkenning verwerkt bijzondere biometrische gegevens en valt onder het strenge verbod van artikel 9 AVG. De uitzonderingen zijn zo smal dat de AP dit gebruik in winkels de facto niet toestaat.
Heb ik toestemming nodig voor een klantenkaart?
Voor het administreren van de kaart zelf vaak niet — dat kan op de spaarovereenkomst rusten. Maar voor e-mailmarketing en voor het profileren van koopgedrag heeft u meestal aparte, aantoonbare toestemming nodig. Scheid de doelen en informeer de klant per doel.
Zie ook: AVG voor makelaars, AVG in de horeca en cameratoezicht en de AVG.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial