Online winkels in de Europese Unie kunnen consumenten meestal niet langer dwingen om eerst een account aan te maken voordat zij een aankoop kunnen doen, waarschuwt de privacytoezichthouder. Dat blijkt uit nieuwe richtlijnen van de European Data Protection Board (EDPB), waar de Nederlandse Autoriteit Persoonsgegevens zich bij aansluit. Volgens de aanbevelingen is een verplichte registratie bij veel online bestellingen onnodig en kan het in strijd zijn met de privacyregels onder de Algemene Verordening Gegevensbescherming (AVG).
In de praktijk ervaren veel consumenten de verplichting tot accountcreatie als een drempel bij het online winkelen: een snelle bestelling verandert al snel in een verplicht registratietraject waarbij persoonsgegevens worden opgeslagen en soms ook langer bewaard dan strikt nodig is. Volgens de EDPB leidt deze gang van zaken vaak tot meer gegevensverzameling dan noodzakelijk, wat de risico’s op misbruik en datalekken vergroot.
De nieuwe aanbevelingen van de Europese privacywaakhond benadrukken dat voor een eenmalige aankoop of het volgen en retourneren van bestellingen in principe geen account vereist is. In die gevallen moet de webshop standaard een ‘gastoptie’ aanbieden, waarmee klanten kunnen afrekenen zonder een profiel aan te maken. Deze optie sluit aan bij het ‘privacy by design’ en ‘privacy by default’-principe van de AVG: systemen zo inrichten dat zij zo min mogelijk persoonsgegevens verwerken.
Toch zijn er uitzonderingen denkbaar waarin een account wel gerechtvaardigd kan zijn. Bijvoorbeeld bij abonnementsdiensten, langdurige gebruikscontracten of toegang tot besloten omgevingen waarvoor specifieke toegangscategorieën gelden. In dergelijke situaties kan het verplicht stellen van een account functioneel noodzakelijk zijn, aldus de richtlijnen.
De EDPB geeft aanbevelingen aan webshops om hun bestelprocessen in lijn te brengen met de Algemene verordening gegevensbescherming (AVG). De EDPB wijst webshops er daarbij op dat zij verantwoordelijk zijn voor de persoonsgegevens van hun klanten. Hoe meer gegevens worden verzameld en bewaard, hoe groter de risico’s. In de praktijk blijkt bovendien dat persoonsgegevens vaak langer worden bewaard dan nodig, wat het risico op datalekken verder vergroot.
De richtlijnen zijn nog niet definitief. Belanghebbenden, waaronder online winkels en brancheorganisaties, kunnen tot 12 februari 2026 reageren tijdens de openbare consultatie. Daarna worden de aanbevelingen mogelijk in definitieve regels omgezet die webshops in de hele EU dienen te volgen.