Compliance

AVG e-commerce webshops Nederland: gids 2026

AVG e-commerce: cookies, betaalgegevens, marketing, retargeting, Marktplaats 380 K boete. Compliancegids webshops 2026.

In één zin. Nederlandse webshops opereren onder vier gelaagde regimes — AVG, Telecommunicatiewet (cookies), Wet bescherming consument (koop op afstand) en sectorspecifieke regels (Wwft voor high-value) — en de AP heeft platforms en e-commerce sinds Marktplaats (380 K EUR, 2025) als handhavingsprioriteit gemarkeerd.

Belangrijkste punten

  • Klantgegevens: overeenkomst (b) voor uitvoering, gerechtvaardigd belang voor marketing.
  • Cookies: dubbele basis Tw 11.7a + AVG art. 6.1.a.
  • Retargeting en Facebook Pixel: expliciete toestemming + DPA.
  • Account-data scraping risico (Marktplaats-zaak).
  • Bewaartermijnen: klantorder 7 jaar fiscaal, marketinglijst tot opt-out.
  • AP-prioriteit 2026: platforms, datahandel, kinderbescherming.

1. Wettelijk kader e-commerce

  • AVG: algemene grondslagen.
  • UAVG: Nederlandse implementatie.
  • Telecommunicatiewet (Tw): cookies (11.7a).
  • Bw boek 6 + 7: koop op afstand, herroepingsrecht.
  • Wet handhaving consumentenbescherming: ACM-handhaving.
  • Wwft: high-value (>10K EUR contant), goud, kunst.
  • Btw-wet: identificatie binnen EU.

2. Verwerkingen webshop

  • Bezoekersanalytics en cookies.
  • Account-creatie en login.
  • Bestelproces (NAW, contact, betaling).
  • Levering (verzendgegevens naar carrier).
  • Betalingsverwerking (PSP zoals Mollie, Stripe, Adyen).
  • Klantenservice (chats, mails, reviews).
  • Marketing (nieuwsbrief, retargeting, push).
  • Loyalty/spaarprogramma.
  • Reviews en ratings.
  • Fraudedetectie.

3. Rechtsgronden per verwerking

Verwerking Grondslag
Bestelafhandeling Overeenkomst (art. 6.1.b)
Betaling Overeenkomst + wettelijke plicht
Levering aan carrier Overeenkomst (b) of gerechtv. belang
Fiscale facturatie Wettelijke plicht (BTW-wet)
Account-aanmaak Overeenkomst
Nieuwsbrief bestaande klant Gerechtv. belang (art. 6.1.f) + opt-out
Nieuwsbrief nieuwe lead Toestemming (art. 6.1.a)
Retargeting (Pixel) Toestemming + cookies
Reviews Toestemming of overeenkomst
Fraudedetectie Gerechtvaardigd belang

4. Cookies en tracking

E-commerce gebruikt typisch:

  • Strikt functioneel (winkelwagen, login): zonder toestemming.
  • Analytics (Google Analytics, Plausible, Matomo): toestemming OF privacyvriendelijk.
  • Marketing/retargeting (Facebook Pixel, Google Ads, Criteo): expliciete toestemming.
  • A/B testing: toestemming meestal vereist.
  • Affiliate tracking: toestemming.

CMP implementatie met geweigerd-default, equivalente “weigeren”-knop, granulaire toggles. De volledige toestemmingseisen staan in de gids AVG-toestemming voor cookies; het wettelijk kader van Tw art. 11.7a is uitgewerkt in de cookiewet-gids.

5. Betaalgegevens

PSP’s (Mollie, Stripe, Adyen, Buckaroo, PayPal) zijn typisch:

  • Verantwoordelijke voor eigen verwerking (anti-fraude, PSD2, AML).
  • Verwerker voor betalingsuitvoering namens webshop.

PCI DSS-compliance vereist. Webshop slaat doorgaans geen creditcardnummers op (geen PCI DSS-scope). Wel: laatste 4 cijfers, transactie-ID, IBAN, naam, bedrag — onder DPA met PSP.

6. Marketing en retargeting

  • Bestaande klanten: gerechtvaardigd belang (art. 6.1.f) voor soortgelijke producten. Opt-out elke keer aanbieden. Tw art. 11.7 lid 3 sub a.
  • Nieuwe leads: opt-in toestemming (double opt-in best practice).
  • Push-notificaties: toestemming via browser + AVG.
  • Retargeting via Pixel: toestemming cookies + AVG voor gegevensdeling met Meta/Google.
  • Lookalike audiences: complex — gegevensdeling met platform, DPA, doelbeperking.

Zie voor alle kanalen (e-mail, telemarketing, post, profiling) de gids AVG en direct marketing.

7. Marktplaats-boete 380 K EUR (2025)

Datalek door scraping van profielen via API, 190K gebruikers getroffen. Schending art. 32 (onvoldoende API-beveiliging, rate limiting, bot detection) + art. 33 (4 maanden te laat gemeld). Les voor e-commerce: openbare profielinformatie blijft persoonsgegevens; API’s vereisen beveiliging tegen geautomatiseerde extractie.

8. Reviews en UGC

Klantreviews kunnen persoonsgegevens bevatten (naam, ervaring, soms gezondheidsclaims). Verwerking:

  • Toestemming bij plaatsing (specifiek voor publicatie).
  • Modereren op identiteitsgegevens derden.
  • Rechten betrokkenen: inzage, rectificatie, wissing van eigen review.
  • Bij negatieve review: balans met vrijheid van meningsuiting (art. 17 lid 3 sub a).

9. Internationale verzending en doorgifte

EU-leveringen: AVG-conform binnen EU. Doorgifte naar derde landen vereist:

  • VS-carriers (FedEx, UPS): DPA + SCC’s of DPF.
  • Aziatische dropshipping: SCC’s + TIA, complex.
  • AliExpress/Temu-model: vraagstuk gezamenlijk verantwoordelijke vs. verwerker.

EU-vertegenwoordiger nodig voor niet-EU webshops die EU-markt bedienen (art. 27).

10. Bewaartermijnen e-commerce

Categorie Termijn Bron
Factuur en transactiedata 7 jaar AWR (BTW-wet)
Klantaccount tot opt-out + verjaring 5 jaar BW 3:307
Marketinglijst tot opt-out AVG art. 17
Cookie-toestemming bewijs 1 jaar minimum AVG art. 7
Webloggegevens 6 maanden best practice
Verlaten winkelwagen maximaal 14 dagen EDPB
Reviews zolang publiek + redelijk daarna doel

11. AP-richtsnoer datahandel en marktplaatsen

De Autoriteit Persoonsgegevens publiceerde in 2025 een focusnotitie “Platforms en datahandel” waarin specifieke verwachtingen voor e-commerce zijn opgenomen: rate limiting op API’s (minimaal industrienorm), bot-detection op zoekfuncties, contractuele scrapingverboden onvoldoende, technische maatregelen verplicht. Verwerking van openbaar getoonde profielinformatie blijft persoonsgegevensverwerking en valt onder AVG Art. 5 beginselen. Webshops die marketplace-functie hebben (Bol.com, Marktplaats, Vinted-NL) moeten extra DPIA’s uitvoeren.

Sectorspecifieke valkuilen

  • Levensmiddelen en gezondheid: dieet- of supplementenwebshops verwerken bijzondere gegevens (art. 9) — uitdrukkelijke toestemming vereist.
  • Erotiek en wellness: gevoelig profiel — strikte minimalisatie en geen retargeting buiten platform.
  • Volwassenenartikelen + B2B: leeftijdsverificatie versus minimalisatie — gebruik zero-knowledge verificatie.

13. Specifieke risico’s e-commerce

  • Verzending naar verkeerd adres: AVG-datalek bij gevoelige producten.
  • Verkeerde factuur per e-mail: meest gemelde datalek-type bij webshops.
  • Magazijnmedewerker met inzage: art. 32 toegangsbeheer.
  • Affiliate netwerken: oncontroleerbare gegevensstromen.
  • Klantenservice scripts: persoonsgegevens in chat-logs.
  • Backup-storage: bewaartermijnen ook hier afdwingen.

12. Tool-ondersteuning voor webshops

Functie Tools AVG-relevantie
CMP (cookies) Cookiebot, Usercentrics, OneTrust, Didomi Tw 11.7a + AVG art. 6.1.a
E-mailmarketing Mailchimp, Klaviyo, ActiveCampaign DPA + soft opt-in beheer
Reviewbeheer Trustpilot, Kiyoh, Bol-reviews Modereren + rectificatieproces
Fraudedetectie Riskified, Signifyd, Sift Gerechtvaardigd belang + DPIA
Customer Data Platform Segment, Tealium Centrale opt-out en doelbinding
Helpdesk Zendesk, Freshdesk, Gorgias DPA + bewaartermijnen tickets
Personalisatie Bloomreach, Algolia, Dynamic Yield Toestemming bij profiling

Bij elke tool: DPA controleren, subverwerkerslijst opvragen, transferbasis verifiëren (vaak VS-cloud).

13. Sectorale handhaving e-commerce in EU

  • Marktplaats Nederland: 380 K EUR (2025), scraping.
  • Klarna Zweden: 6 M SEK (2022), onvolledige privacyverklaring.
  • Amazon Luxemburg: 746 M EUR (2021), advertising zonder grondslag.
  • Decathlon Frankrijk: 350 K EUR (2024), camera’s werknemers.
  • Carrefour Italië: 2,2 M EUR (2020), loyalty zonder informatie.
  • Bol.com: tot nu toe waarschuwingen, geen boete.

Patroon: Europese e-commerce boetes concentreren zich op cookies, doelbinding marketing, en profiling. AP-prioriteit 2026 op platforms maakt nieuwe boetes waarschijnlijk. Zie AP boetes 2025 voor context.

14. Wisselwerking met consumentenrecht

E-commerce raakt naast AVG ook BW 6:230g e.v. (koop op afstand) en Wet handhaving consumentenbescherming (ACM). Overlap:

  • Pre-contractuele informatieplicht (BW 6:230m): vergelijkbaar met AVG art. 13 informatieplicht.
  • Herroepingsrecht (BW 6:230o): 14 dagen — verwerking herroepingsgegevens als wettelijke plicht.
  • Dark patterns: ACM én AP toetsen op misleidende interfaces (cookiewalls, opt-in tricks).
  • Misleidende reviews (BW 6:193b): authenticiteit-controle = persoonsgegevens.
  • Prijsbeleid en personalisatie (Omnibus-richtlijn 2022): transparantie bij prijspersonalisatie op basis van profilering.

15. Compliance-checklist e-commerce

  1. Register verwerkingen met alle PSP, fulfillment, marketing-tools.
  2. DPA’s met Mollie/Stripe/PayPal, Mailchimp, ShipBob etc.
  3. Cookiebanner conform (equivalente knoppen).
  4. Privacyverklaring per categorie verwerking.
  5. Inrichten opt-in/opt-out voor marketing.
  6. Retargeting Pixel achter toestemmingsmuur.
  7. Beveiliging API’s (rate limiting, authenticatie, monitoring).
  8. Datalek-protocol met PSP-communicatie.
  9. EU-vertegenwoordiger bij niet-EU vestiging.
  10. Jaarlijkse audit + pentest.

FAQ

Mag ik klantgegevens gebruiken voor marketing?

Bestaande klanten: ja, voor soortgelijke producten op gerechtvaardigd belang met opt-out. Nieuwe leads: alleen met opt-in toestemming. Cross-sell van wezenlijk ander product: vaak toestemming nodig.

Heb ik toestemming nodig voor Google Analytics?

Bij standaardconfiguratie: ja. Privacyvriendelijke configuratie (geanonimiseerd IP, geen data-delen, geen advertising features) kan onder AP-uitzondering vallen, maar GA4 maakt dit lastig. Plausible of Matomo vaak makkelijker.

Mag ik IP-adressen bewaren?

IP is persoonsgegeven. Voor functionele doelen (sessie, fraud) gerechtvaardigd belang. Maximaal 6 maanden bewaren best practice. Log-IP voor security incident: tot incidentresolutie + 2 jaar onderbouwbaar.

Wat als ik buiten EU lever?

Doorgifte derde landen onder art. 44-49. Voor VS: SCC’s of DPF. Voor andere landen zonder adequaatheid: SCC’s + Transfer Impact Assessment. Wijzig privacyverklaring met landen + waarborgen.

Hoeveel bedraagt een typische e-commerce AVG-boete?

Voor MKB-webshop: 5-50 K EUR bij minderernstige overtredingen. Voor grote platforms: tot honderden K EUR (Marktplaats 380 K, 2025). Multinationals: tientallen miljoenen (Booking 475 K, Uber 290 M).

Moet ik een functionaris gegevensbescherming aanstellen?

Alleen bij grootschalige profilering of grootschalige verwerking gevoelige data — voor reguliere webshop niet verplicht; de criteria staan in wanneer een FG verplicht is. Een grote retargeting-operatie met meer dan 100K profielen kan kantelen. Zie Datalekken melden voor meldingsplicht; vrijwillige FG-aanstelling werkt verzachtend.

Kan ik kindergegevens verwerken in mijn webshop?

Voor kinderen onder 16 jaar (UAVG art. 5): toestemming alleen via ouder/voogd. AP heeft kindergegevens als handhavingsprioriteit 2026 — sectoren als gaming, speelgoed, edtech krijgen extra aandacht. Best practice: leeftijdsverificatie bij account-creatie, geen gerichte advertenties aan minderjarigen, aparte privacy-tekst in begrijpelijke taal.

Wat is een Customer Data Platform onder AVG?

CDP (Segment, Tealium, mParticle) verzamelt klantdata over kanalen en deelt met marketingtools. AVG-aspecten: u bent verantwoordelijke, CDP is verwerker (DPA verplicht), centrale opt-out via CDP vereenvoudigt rechtenbeheer, maar verhoogt risico bij datalek door scope. DPIA aanbevolen bij implementatie.

Zie ook: AVG in de detailhandel en een model privacyverklaring voor uw website.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →