Is het verplicht aanmaken van een account op een webshop in strijd met GDPR?
Mogen webshops klanten verplichten om een account aan te maken voor het plaatsen van een bestelling? Eigenlijk gaat dit in tegen de basisprincipes van GDPR, die minimale gegevensverzameling en -bewaring voorschrijven. Volgens deze principes mogen gegevens alleen verzameld worden voor specifieke doeleinden en niet langer bewaard worden dan nodig. Marketeers willen graag accounts om klantprofielen te creëren en data te verzamelen. Ook voor de gebruiker zelf kan een account handig zijn om bijvoorbeeld eerdere bestellingen te bekijken of een adresboek bij te houden.
Tags:
Toch bevestigt een recente beslissing van de Finse Data Protection Authority (DPA) dat verplichte accounts meestal in strijd zijn met GDPR. Verkkokauppa.com kreeg een boete van 856.000 euro omdat zij klanten verplichtten een account aan te maken, wat leidde tot onnodige gegevensverzameling.
Gegevensminimalisatie
Gegevensminimalisatie vereist dat alleen de noodzakelijke gegevens voor een bestelling worden verzameld, zoals naam en adres. Voor eenmalige aankopen is een account niet nodig: afrekenen als gast kan daarbij voldoende zijn. Belgische webshops kunnen wel optionele accounts aanbieden, op voorwaarde dat klanten vrij kunnen kiezen.
Verplichte accounts zijn alleen gerechtvaardigd in specifieke gevallen zoals bij online apotheken of casino’s. Ook bij abonnementsdiensten bijvoorbeeld is een account noodzakelijk om de overeenkomst uit te voeren. Wanneer producten enkel aan professionele klanten verkocht worden en er vooraf een identificatie nodig is, kan een account ook gerechtvaardigd zijn. In al deze gevallen geldt wel dat zo weinig mogelijk gegevens bewaard mogen worden en niet langer dan nodig.
Bron: Sirius Legal