Nieuwe EDPB-aanbevelingen over verplichte accounts

Voor veel online diensten, apps, platformen en webshops is het verplicht om een account aan te maken om gebruik te maken van de dienst of een bestelling te plaatsen. 

Het was dan ook een verrassing voor de e-commercesector dat de European Data Protection Board (EDPB) met conceptaanbevelingen kwam waarin wordt gesteld dat een verplicht account in veel gevallen niet is toegestaan. Het gaat echter om niet bindende aanbevelingen, waarop de EDPB input heeft gevraagd. Ze geven richting, maar laten ruimte voor interpretatie. 

We zijn het eens met de EDPB dat een account niet alleen voor dataverrijking mag worden gebruikt en dat online volgens de AVG moet worden gehandeld. Dat staat vast. Tegelijkertijd is het eisen van een account in veel gevallen toegestaan binnen de kaders van de AVG, mits daar een goede reden voor is.

Wat zegt de EDPB? 

Een verplicht account is alleen toegestaan als dit noodzakelijk is voor de dienst, bijvoorbeeld bij: 

• abonnementen of doorlopende diensten 
• besloten omgevingen of platformfunctionaliteiten
• specifieke wettelijke verplichtingen 

Bij een eenmalige aankoop ligt volgens de EDPB een gastcheckout meer voor de hand, vanuit dataminimalisatie en keuzevrijheid. 

Onze positie 

Thuiswinkel.org heeft namens de sector input geleverd op deze aanbevelingen. Onze kernpunten: 

• E-commerce is meer dan een transactie: veel webshops bieden een bredere klantenreis met service vóór en na aankoop, zoals retouren, garanties en klantservice 
  
• Account als onderdeel van de dienst: een account kan een logisch en proportioneel onderdeel zijn van de service, zeker bij doorlopende dienstverlening 
  
• Gastcheckout ≠ minder data: ook zonder account worden persoonsgegevens verwerkt en bewaard, wat niet per se leidt tot minder dataverwerking 
  
• Fraude en veiligheid: accounts helpen bij het herkennen van misbruik en fraude, zonder accounts zijn vaak zwaardere controles nodig 
  
• Ruimte voor ondernemers: veel bedrijven bieden al een gastcheckout, maar een generieke verplichting gaat verder dan nodig en raakt de ondernemersvrijheid 

Bekijk onze volledige position paper die we hebben ingediend bij de EDPB.

Wat betekent dit voor jou? 

De aanbevelingen geven richting, maar geen harde regels. Het blijft aan jou als ondernemer om een zorgvuldige afweging te maken. 

Denk daarbij aan: 
• de aard van je dienstverlening (eenmalig of doorlopend) 
• gebruiksgemak en conversie 
• veiligheid en fraudepreventie 
• privacy en dataminimalisatie 

Een verplicht account is dus niet per definitie onjuist, maar moet passen bij je dienst en goed onderbouwd zijn in je privacy statement.