Webshops mogen klanten meestal niet verplichten eerst een account aan te maken voordat zij iets kunnen kopen. Dat blijkt uit nieuwe aanbevelingen van de European Data Protection Board (EDPB). Verplichte accounts leiden in meerdere EU-landen al langere tijd tot veel klachten bij privacytoezichthouders. Daarom verduidelijkt de EDPB dat een verplicht account voor een online aankoop meestal niet nodig is en in strijd kan zijn met de privacyregels.
Veel mensen herkennen het: je wilt snel iets bestellen, maar moet eerst een account aanmaken en persoonsgegevens achterlaten. Volgens de EDPB leidt dat vaak tot het verzamelen en bewaren van meer persoonsgegevens dan nodig. Dat vergroot de risico’s voor mensen, bijvoorbeeld op misbruik van gegevens.
De EDPB benadrukt dat een verplicht account in veel gevallen niet nodig is. Voor een eenmalige aankoop is een verplicht account vrijwel nooit nodig. Ook voor het volgen of retourneren van een bestelling is een verplicht account in principe niet nodig. Alleen in beperkte situaties kan het wel nodig zijn. Bijvoorbeeld bij:
Volgens de EDPB moeten webshops consumenten daarom meestal de keuze bieden: een account aanmaken óf als gast afrekenen. Die gastoptie is volgens de toezichthouders de meest privacyvriendelijke manier om online te winkelen. Daarbij worden alleen de gegevens van de klant gebruikt die nodig zijn om de bestelling uit te voeren en te leveren.
Deze aanpak past bij het principe van privacy by design en default: organisaties richten hun diensten zo in dat zij zo min mogelijk persoonsgegevens verwerken.
De aanbevelingen geven webshops duidelijke handvatten om hun bestelprocessen in lijn te brengen met de Algemene verordening gegevensbescherming (AVG). De EDPB wijst webshops er daarbij op dat zij verantwoordelijk zijn voor de persoonsgegevens van hun klanten. Hoe meer gegevens worden verzameld en bewaard, hoe groter de risico’s. In de praktijk blijkt bovendien dat persoonsgegevens vaak langer worden bewaard dan nodig, wat het risico op datalekken verder vergroot.
De aanbevelingen zijn nog niet definitief. De AP nodigt organisaties, brancheverenigingen, maatschappelijke organisaties en andere belanghebbenden uit om te reageren op de consultatie.
U kunt reageren tot en met 12 februari 2026 via de website van de EDPB. Daarna stelt de EDPB de definitieve aanbevelingen vast.
