In één zin. Nederlandse webshops opereren onder vier gelaagde regimes — AVG, Telecommunicatiewet (cookies), Wet bescherming consument (koop op afstand) en sectorspecifieke regels (Wwft voor high-value) — en de AP heeft platforms en e-commerce sinds Marktplaats (380 K EUR, 2025) als handhavingsprioriteit gemarkeerd.
Belangrijkste punten
- Klantgegevens: overeenkomst (b) voor uitvoering, gerechtvaardigd belang voor marketing.
- Cookies: dubbele basis Tw 11.7a + AVG art. 6.1.a.
- Retargeting en Facebook Pixel: expliciete toestemming + DPA.
- Account-data scraping risico (Marktplaats-zaak).
- Bewaartermijnen: klantorder 7 jaar fiscaal, marketinglijst tot opt-out.
- AP-prioriteit 2026: platforms, datahandel, kinderbescherming.
1. Wettelijk kader e-commerce
- AVG: algemene grondslagen.
- UAVG: Nederlandse implementatie.
- Telecommunicatiewet (Tw): cookies (11.7a).
- Bw boek 6 + 7: koop op afstand, herroepingsrecht.
- Wet handhaving consumentenbescherming: ACM-handhaving.
- Wwft: high-value (>10K EUR contant), goud, kunst.
- Btw-wet: identificatie binnen EU.
2. Verwerkingen webshop
- Bezoekersanalytics en cookies.
- Account-creatie en login.
- Bestelproces (NAW, contact, betaling).
- Levering (verzendgegevens naar carrier).
- Betalingsverwerking (PSP zoals Mollie, Stripe, Adyen).
- Klantenservice (chats, mails, reviews).
- Marketing (nieuwsbrief, retargeting, push).
- Loyalty/spaarprogramma.
- Reviews en ratings.
- Fraudedetectie.
3. Rechtsgronden per verwerking
| Verwerking | Grondslag |
|---|---|
| Bestelafhandeling | Overeenkomst (art. 6.1.b) |
| Betaling | Overeenkomst + wettelijke plicht |
| Levering aan carrier | Overeenkomst (b) of gerechtv. belang |
| Fiscale facturatie | Wettelijke plicht (BTW-wet) |
| Account-aanmaak | Overeenkomst |
| Nieuwsbrief bestaande klant | Gerechtv. belang (art. 6.1.f) + opt-out |
| Nieuwsbrief nieuwe lead | Toestemming (art. 6.1.a) |
| Retargeting (Pixel) | Toestemming + cookies |
| Reviews | Toestemming of overeenkomst |
| Fraudedetectie | Gerechtvaardigd belang |
4. Cookies en tracking
E-commerce gebruikt typisch:
- Strikt functioneel (winkelwagen, login): zonder toestemming.
- Analytics (Google Analytics, Plausible, Matomo): toestemming OF privacyvriendelijk.
- Marketing/retargeting (Facebook Pixel, Google Ads, Criteo): expliciete toestemming.
- A/B testing: toestemming meestal vereist.
- Affiliate tracking: toestemming.
CMP implementatie met geweigerd-default, equivalente “weigeren”-knop, granulaire toggles. De volledige toestemmingseisen staan in de gids AVG-toestemming voor cookies; het wettelijk kader van Tw art. 11.7a is uitgewerkt in de cookiewet-gids.
5. Betaalgegevens
PSP’s (Mollie, Stripe, Adyen, Buckaroo, PayPal) zijn typisch:
- Verantwoordelijke voor eigen verwerking (anti-fraude, PSD2, AML).
- Verwerker voor betalingsuitvoering namens webshop.
PCI DSS-compliance vereist. Webshop slaat doorgaans geen creditcardnummers op (geen PCI DSS-scope). Wel: laatste 4 cijfers, transactie-ID, IBAN, naam, bedrag — onder DPA met PSP.
6. Marketing en retargeting
- Bestaande klanten: gerechtvaardigd belang (art. 6.1.f) voor soortgelijke producten. Opt-out elke keer aanbieden. Tw art. 11.7 lid 3 sub a.
- Nieuwe leads: opt-in toestemming (double opt-in best practice).
- Push-notificaties: toestemming via browser + AVG.
- Retargeting via Pixel: toestemming cookies + AVG voor gegevensdeling met Meta/Google.
- Lookalike audiences: complex — gegevensdeling met platform, DPA, doelbeperking.
Zie voor alle kanalen (e-mail, telemarketing, post, profiling) de gids AVG en direct marketing.
7. Marktplaats-boete 380 K EUR (2025)
Datalek door scraping van profielen via API, 190K gebruikers getroffen. Schending art. 32 (onvoldoende API-beveiliging, rate limiting, bot detection) + art. 33 (4 maanden te laat gemeld). Les voor e-commerce: openbare profielinformatie blijft persoonsgegevens; API’s vereisen beveiliging tegen geautomatiseerde extractie.
8. Reviews en UGC
Klantreviews kunnen persoonsgegevens bevatten (naam, ervaring, soms gezondheidsclaims). Verwerking:
- Toestemming bij plaatsing (specifiek voor publicatie).
- Modereren op identiteitsgegevens derden.
- Rechten betrokkenen: inzage, rectificatie, wissing van eigen review.
- Bij negatieve review: balans met vrijheid van meningsuiting (art. 17 lid 3 sub a).
9. Internationale verzending en doorgifte
EU-leveringen: AVG-conform binnen EU. Doorgifte naar derde landen vereist:
- VS-carriers (FedEx, UPS): DPA + SCC’s of DPF.
- Aziatische dropshipping: SCC’s + TIA, complex.
- AliExpress/Temu-model: vraagstuk gezamenlijk verantwoordelijke vs. verwerker.
EU-vertegenwoordiger nodig voor niet-EU webshops die EU-markt bedienen (art. 27).
10. Bewaartermijnen e-commerce
| Categorie | Termijn | Bron |
|---|---|---|
| Factuur en transactiedata | 7 jaar | AWR (BTW-wet) |
| Klantaccount | tot opt-out + verjaring 5 jaar | BW 3:307 |
| Marketinglijst | tot opt-out | AVG art. 17 |
| Cookie-toestemming bewijs | 1 jaar minimum | AVG art. 7 |
| Webloggegevens | 6 maanden | best practice |
| Verlaten winkelwagen | maximaal 14 dagen | EDPB |
| Reviews | zolang publiek + redelijk daarna | doel |
11. AP-richtsnoer datahandel en marktplaatsen
De Autoriteit Persoonsgegevens publiceerde in 2025 een focusnotitie “Platforms en datahandel” waarin specifieke verwachtingen voor e-commerce zijn opgenomen: rate limiting op API’s (minimaal industrienorm), bot-detection op zoekfuncties, contractuele scrapingverboden onvoldoende, technische maatregelen verplicht. Verwerking van openbaar getoonde profielinformatie blijft persoonsgegevensverwerking en valt onder AVG Art. 5 beginselen. Webshops die marketplace-functie hebben (Bol.com, Marktplaats, Vinted-NL) moeten extra DPIA’s uitvoeren.
Sectorspecifieke valkuilen
- Levensmiddelen en gezondheid: dieet- of supplementenwebshops verwerken bijzondere gegevens (art. 9) — uitdrukkelijke toestemming vereist.
- Erotiek en wellness: gevoelig profiel — strikte minimalisatie en geen retargeting buiten platform.
- Volwassenenartikelen + B2B: leeftijdsverificatie versus minimalisatie — gebruik zero-knowledge verificatie.
13. Specifieke risico’s e-commerce
- Verzending naar verkeerd adres: AVG-datalek bij gevoelige producten.
- Verkeerde factuur per e-mail: meest gemelde datalek-type bij webshops.
- Magazijnmedewerker met inzage: art. 32 toegangsbeheer.
- Affiliate netwerken: oncontroleerbare gegevensstromen.
- Klantenservice scripts: persoonsgegevens in chat-logs.
- Backup-storage: bewaartermijnen ook hier afdwingen.
12. Tool-ondersteuning voor webshops
| Functie | Tools | AVG-relevantie |
|---|---|---|
| CMP (cookies) | Cookiebot, Usercentrics, OneTrust, Didomi | Tw 11.7a + AVG art. 6.1.a |
| E-mailmarketing | Mailchimp, Klaviyo, ActiveCampaign | DPA + soft opt-in beheer |
| Reviewbeheer | Trustpilot, Kiyoh, Bol-reviews | Modereren + rectificatieproces |
| Fraudedetectie | Riskified, Signifyd, Sift | Gerechtvaardigd belang + DPIA |
| Customer Data Platform | Segment, Tealium | Centrale opt-out en doelbinding |
| Helpdesk | Zendesk, Freshdesk, Gorgias | DPA + bewaartermijnen tickets |
| Personalisatie | Bloomreach, Algolia, Dynamic Yield | Toestemming bij profiling |
Bij elke tool: DPA controleren, subverwerkerslijst opvragen, transferbasis verifiëren (vaak VS-cloud).
13. Sectorale handhaving e-commerce in EU
- Marktplaats Nederland: 380 K EUR (2025), scraping.
- Klarna Zweden: 6 M SEK (2022), onvolledige privacyverklaring.
- Amazon Luxemburg: 746 M EUR (2021), advertising zonder grondslag.
- Decathlon Frankrijk: 350 K EUR (2024), camera’s werknemers.
- Carrefour Italië: 2,2 M EUR (2020), loyalty zonder informatie.
- Bol.com: tot nu toe waarschuwingen, geen boete.
Patroon: Europese e-commerce boetes concentreren zich op cookies, doelbinding marketing, en profiling. AP-prioriteit 2026 op platforms maakt nieuwe boetes waarschijnlijk. Zie AP boetes 2025 voor context.
14. Wisselwerking met consumentenrecht
E-commerce raakt naast AVG ook BW 6:230g e.v. (koop op afstand) en Wet handhaving consumentenbescherming (ACM). Overlap:
- Pre-contractuele informatieplicht (BW 6:230m): vergelijkbaar met AVG art. 13 informatieplicht.
- Herroepingsrecht (BW 6:230o): 14 dagen — verwerking herroepingsgegevens als wettelijke plicht.
- Dark patterns: ACM én AP toetsen op misleidende interfaces (cookiewalls, opt-in tricks).
- Misleidende reviews (BW 6:193b): authenticiteit-controle = persoonsgegevens.
- Prijsbeleid en personalisatie (Omnibus-richtlijn 2022): transparantie bij prijspersonalisatie op basis van profilering.
15. Compliance-checklist e-commerce
- Register verwerkingen met alle PSP, fulfillment, marketing-tools.
- DPA’s met Mollie/Stripe/PayPal, Mailchimp, ShipBob etc.
- Cookiebanner conform (equivalente knoppen).
- Privacyverklaring per categorie verwerking.
- Inrichten opt-in/opt-out voor marketing.
- Retargeting Pixel achter toestemmingsmuur.
- Beveiliging API’s (rate limiting, authenticatie, monitoring).
- Datalek-protocol met PSP-communicatie.
- EU-vertegenwoordiger bij niet-EU vestiging.
- Jaarlijkse audit + pentest.
FAQ
Mag ik klantgegevens gebruiken voor marketing?
Bestaande klanten: ja, voor soortgelijke producten op gerechtvaardigd belang met opt-out. Nieuwe leads: alleen met opt-in toestemming. Cross-sell van wezenlijk ander product: vaak toestemming nodig.
Heb ik toestemming nodig voor Google Analytics?
Bij standaardconfiguratie: ja. Privacyvriendelijke configuratie (geanonimiseerd IP, geen data-delen, geen advertising features) kan onder AP-uitzondering vallen, maar GA4 maakt dit lastig. Plausible of Matomo vaak makkelijker.
Mag ik IP-adressen bewaren?
IP is persoonsgegeven. Voor functionele doelen (sessie, fraud) gerechtvaardigd belang. Maximaal 6 maanden bewaren best practice. Log-IP voor security incident: tot incidentresolutie + 2 jaar onderbouwbaar.
Wat als ik buiten EU lever?
Doorgifte derde landen onder art. 44-49. Voor VS: SCC’s of DPF. Voor andere landen zonder adequaatheid: SCC’s + Transfer Impact Assessment. Wijzig privacyverklaring met landen + waarborgen.
Hoeveel bedraagt een typische e-commerce AVG-boete?
Voor MKB-webshop: 5-50 K EUR bij minderernstige overtredingen. Voor grote platforms: tot honderden K EUR (Marktplaats 380 K, 2025). Multinationals: tientallen miljoenen (Booking 475 K, Uber 290 M).
Moet ik een functionaris gegevensbescherming aanstellen?
Alleen bij grootschalige profilering of grootschalige verwerking gevoelige data — voor reguliere webshop niet verplicht; de criteria staan in wanneer een FG verplicht is. Een grote retargeting-operatie met meer dan 100K profielen kan kantelen. Zie Datalekken melden voor meldingsplicht; vrijwillige FG-aanstelling werkt verzachtend.
Kan ik kindergegevens verwerken in mijn webshop?
Voor kinderen onder 16 jaar (UAVG art. 5): toestemming alleen via ouder/voogd. AP heeft kindergegevens als handhavingsprioriteit 2026 — sectoren als gaming, speelgoed, edtech krijgen extra aandacht. Best practice: leeftijdsverificatie bij account-creatie, geen gerichte advertenties aan minderjarigen, aparte privacy-tekst in begrijpelijke taal.
Wat is een Customer Data Platform onder AVG?
CDP (Segment, Tealium, mParticle) verzamelt klantdata over kanalen en deelt met marketingtools. AVG-aspecten: u bent verantwoordelijke, CDP is verwerker (DPA verplicht), centrale opt-out via CDP vereenvoudigt rechtenbeheer, maar verhoogt risico bij datalek door scope. DPIA aanbevolen bij implementatie.
Zie ook: AVG in de detailhandel en een model privacyverklaring voor uw website.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial