Verplichte klantaccounts webshops: Toegestaan onder AVG?

Wat is er gebeurd?

Volgens het juridische blog Ius Mentis, geschreven door Arnoud Engelfriet, heeft de European Data Protection Board (EDPB) een standpunt ingenomen dat het verplichten van klanten om een account aan te maken voordat zij een bestelling kunnen plaatsen, niet is toegestaan onder de AVG. De blogpost, gepubliceerd op Ius Mentis, verwijst naar berichtgeving van De Telegraaf over hetzelfde onderwerp.

Het is goed om te vermelden dat Ius Mentis een secundaire commentaarbron is. Het EDPB-standpunt wordt in de blogpost aangehaald en gedeeltelijk geciteerd, maar het primaire EDPB-document is niet de bron van dit artikel. Er zijn geen boetes opgelegd en geen specifiek bedrijf is als overtreder aangewezen.

Wat is het probleem met verplichte accounts?

Volgens Ius Mentis is de kern van het probleem dat het opslaan van het adres en andere persoonsgegevens van een klant in een account verder gaat dan strikt noodzakelijk is voor het uitvoeren van één enkele bestelling. Je hebt een afleveradres nodig om een pakket te versturen, maar het permanent bewaren van dat adres in een account is een andere kwestie.

Webshops voeren soms aan dat accounts helpen bij fraudedetectie of de winkelervaring verbeteren. Volgens het commentaar van Ius Mentis op het EDPB-standpunt zijn deze rechtvaardigingen echter moeilijk vol te houden. Specifiek over fraudedetectie merkt de EDPB naar verluidt op dat veel webshops prima functioneren zonder verplichte accounts, en dat een aankoopgeschiedenis bij een eerste gebruik van een account sowieso nog niet beschikbaar is.

Welke rechtsgrondslag is van toepassing?

Volgens Ius Mentis zouden webshops die wel accounts willen aanbieden, moeten terugvallen op gerechtvaardigd belang op grond van artikel 6(1)(f) AVG. De blog merkt echter op dat commerciële belangen zoals tracking of gepersonaliseerde aanbiedingen moeilijk te rechtvaardigen zijn tegenover de privacyrechten van een klant. In de praktijk komt dit er vaak op neer dat je gewoon kunt vragen: "Wilt u een account aanmaken?" Met andere woorden: het aanmaken van een account moet optioneel zijn, niet een voorwaarde om te kunnen bestellen.

Er zijn situaties waarin een verplicht account wel acceptabel kan zijn, naar verluidt onder meer bij abonnementsdiensten waarbij doorlopende toegang noodzakelijk is, of bij loyaliteitsprogramma's waarbij het account zelf dient als bewijs van lidmaatschap.

Wat betekent dit voor uw webshop?

Als uw webshop klanten momenteel verplicht een account aan te maken voordat zij een aankoop kunnen afronden, is het de moeite waard dit te herzien. Volgens het EDPB-standpunt zoals gerapporteerd door Ius Mentis is het aanbieden van een gastcheckout de veiligere aanpak onder de AVG. Het optioneel maken van accountregistratie in plaats van verplicht is een eenvoudige aanpassing die uw compliancerisico vermindert, zonder dat dit van invloed is op de mogelijkheid van klanten om bij u te kopen. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de AVG in Nederland, wat dit onderwerp ook voor Nederlandse webshops relevant maakt.