De Autoriteit Persoonsgegevens (AP) neemt e-commerce sinds 2022 elk jaar op in haar thematische controleprogramma, en het aantal openbare aanmaningen tegen webshops neemt jaarlijks toe. Op EU-niveau is het gemiddelde boetebedrag in twee jaar bijna verdubbeld. De reden is structureel: webshops verwerken grote volumes persoonsgegevens (betaling, adres, aankoophistorie) en zijn juridisch vaak minder volwassen dan grote platforms. Resultaat: e-commerce staat hoog op de prioriteitenlijst van de AP.
Als u een webshop runt, zijn de zeven onderstaande fouten degene die websites systematisch op de prioriteitenlijst van de AP plaatsen. Dit artikel beschrijft elk van hen met de exacte juridische verwijzingen en concrete oplossingen. Begin met een gratis conformiteitsanalyse van uw shop om uw lacunes te identificeren, en volg vervolgens het AVG-actieplan in 10 stappen om ze te corrigeren.
Waarom de AP zich specifiek richt op e-commerce
De AP publiceert elk jaar een programma van thematische controles. Sinds 2022 staat e-commerce er elk jaar op, naast digitale gezondheid en directmarketing. De redenen zijn structureel.
Volume: een gemiddelde webshop verzamelt meer dan 30 categorieën gegevens per klant (identiteit, betaling, browsegedrag, voorkeuren, geolocatie). Vermenigvuldigd met tienduizenden klanten is de blootstelling aanzienlijk.
Traceerbaarheid van de gebruikersreis: third-party cookies, advertentiepixels, retargeting, marketing automation. Elke toegevoegde tool verzwakt het toestemmingskader.
Onderaanneming: tussen de hoster, het platform (Shopify, WooCommerce, PrestaShop), de betalingsverwerker, de e-mailmarketingtool en de scoring-oplossing heeft een gemiddelde webshop tussen 8 en 15 verwerkers. De inventarisatie is zelden actueel.
Internationale doorgiften: Google Analytics, Mailchimp, Stripe, AWS — veel diensten gehost in de Verenigde Staten vereisen specifieke contractuele waarborgen (Standaard Contractbepalingen, aanvullende maatregelen na Schrems II).
Fout 1: Cookies zonder geldige expliciete toestemming
Dit is de meest voorkomende — en de gemakkelijkst van buitenaf detecteerbare. Een cookiebanner moet aan drie cumulatieve vereisten voldoen (richtsnoeren van het Europees Comité voor gegevensbescherming + AP-richtsnoeren bijgewerkt 2024):
- Vrije toestemming: weigeren moet net zo eenvoudig zijn als accepteren. Een “Alles accepteren”-knop zonder gelijkwaardig zichtbare “Alles weigeren”-knop is een overtreding.
- Specifieke toestemming: per doel (reclame, publieksmeting, personalisatie), niet algemeen.
- Voorafgaande toestemming: er mag geen third-party cookie worden geplaatst voordat de gebruiker klikt.
Recente handhaving: de AP, de Franse CNIL en de Italiaanse Garante hebben grote platforms beboet met €60-150 miljoen op deze specifieke gronden. Voor mkb’ers liggen de boetes typisch tussen €20.000 en €200.000 afhankelijk van bedrijfsomvang en hoelang de niet-conformiteit duurde.
De oplossing: een conforme cookiebanner inzetten met automatische tracker-blokkering vóór toestemming. De gratis WebLegal cookiebanner blokkeert automatisch meer dan 37 trackers en respecteert de AP-richtsnoeren plus Google Consent Mode v2.
Fout 2: Generiek of ontbrekend privacybeleid
Een aanzienlijk deel van de Nederlandse e-commercewebsites die de afgelopen jaren werden gecontroleerd, had geen volledig conform privacybeleid. De meest voorkomende lacunes:
- Vermeldingen gekopieerd-geplakt van een andere site zonder aanpassing aan de werkelijke gegevensstromen.
- Bewaartermijnen niet gespecificeerd per categorie gegevens.
- Lijst van verwerkers ontbrekend of verouderd.
- Rechtsgrondslagen voor de verwerking niet gepreciseerd (toestemming, overeenkomst, gerechtvaardigd belang, wettelijke verplichting).
Artikel 13 AVG verplicht 12 specifieke vermeldingen wanneer gegevens rechtstreeks bij de betrokkene worden verzameld. Het weglaten van één enkele vermelding vormt een overtreding, zelfs als de site overigens veilig is.
De oplossing: een privacybeleid genereren dat aan uw werkelijke activiteit is aangepast. Vermijd generieke sjablonen. Voor de exacte verplichtingen, zie ons artikel Verplicht privacybeleid: risico’s en boetes.
Fout 3: Onvolledige juridische informatie
De juridische informatie op een webshop wordt geregeld door artikel 3:15d Burgerlijk Wetboek (verplichte informatie over de aanbieder van diensten in de informatiemaatschappij), de Wet bescherming persoonsgegevens (UAVG) en het Burgerlijk Wetboek (artikel 6:230m e.v. voor consumentenkoop). Zij moet bevatten:
- Identiteit van de verkoper (naam, handelsnaam, rechtsvorm)
- Vestigingsadres en zakelijk e-mailadres
- Telefoonnummer
- KvK-nummer en BTW-nummer
- Identiteit van de redactieverantwoordelijke
- Gegevens van de hostingprovider
Inbreuken kunnen door de Autoriteit Consument & Markt (ACM) of, voor consumentenrechten, door de Consumentenbond worden aangepakt. De AP richt zich specifiek op de aspecten van persoonsgegevens onder de AVG en UAVG. Voor meer detail, zie onze gids Juridische informatie: €75.000 boete bij ontbreken.
Fout 4: Doorgiften buiten de EU zonder waarborgen
Sinds het Schrems II-arrest (juli 2020) moet elke gegevensoverdracht naar de Verenigde Staten (en andere landen zonder adequaatheidsbesluit) worden ondersteund door specifieke waarborgen:
- Standaard Contractbepalingen (SCC), versie juni 2021 — eerdere versies zijn sinds 27 december 2022 niet meer geldig.
- Gedocumenteerde Transfer Impact Assessment (TIA).
- Aanvullende maatregelen wanneer SCC’s alleen niet volstaan (versleuteling, pseudonimisering).
Concrete tools die in e-commerce relevant zijn:
| Dienst | Risico | Maatregel |
|---|---|---|
| Google Analytics 4 | Beboet door CNIL/Garante/AEPD in 2022-2023 | IP-anonimisering activeren + Consent Mode v2, of migreren naar Matomo / Plausible |
| Mailchimp | US-hosting | SCC + jaarlijkse audit, of EU-alternatief (Brevo, Mailjet) |
| Stripe | Gedeeltelijk US-hosting | SCC’s standaard actief, versie controleren |
| AWS / GCP | Afhankelijk van regio | eu-west-* / europe-west-* verkiezen |
De oplossing: inventariseer uw verwerkers, controleer SCC’s en overweeg Europese alternatieven voor niet-kritieke tools. Specifiek voor Google Analytics, zie onze gids Google Analytics en AVG: conforme alternatieven.
Fout 5: Verwerkers zonder verwerkersovereenkomst
Artikel 28 AVG vereist een schriftelijk contract — een verwerkersovereenkomst (Data Processing Agreement) — tussen de verwerkingsverantwoordelijke (u) en elke verwerker die toegang heeft tot persoonsgegevens van uw klanten. Het contract moet 9 verplichte clausules bevatten: onderwerp, duur, doeleinden, soorten gegevens, verplichtingen van de verwerker, rechten van de verantwoordelijke, doorgiften buiten de EU, sub-verwerking, beëindigingsclausules.
Grote platforms (Shopify, Stripe, AWS, Mailchimp) leveren een standaard verwerkersovereenkomst die online wordt ondertekend. Het belangrijke punt: u moet hem daadwerkelijk ondertekenen en archiveren. De AP vraagt ze systematisch op tijdens een controle. Het ontbreken van de overeenkomst voor zelfs één verwerker kan een formele waarschuwing veroorzaken.
De oplossing: een verwerkersregister bijhouden met, voor elke vermelding: soorten verwerkte gegevens, hostingland, datum van ondertekening van de verwerkersovereenkomst, link naar het gearchiveerde contract. Bijwerken bij elke nieuwe tool.
Fout 6: Geen proces voor rechten van betrokkenen
De AVG kent klanten zeven afdwingbare rechten toe: inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar en rechten met betrekking tot geautomatiseerde besluiten (artikelen 15 t/m 22). Het bedrijf moet binnen één maand maximaal reageren (verlengbaar tot drie maanden voor complexe verzoeken).
In de praktijk constateert de AP regelmatig:
- Geen specifiek e-mailadres voor verzoeken (een algemeen contactadres volstaat niet).
- Geen gedocumenteerde interne procedure: verzoeken slepen aan of worden vergeten.
- Onvolledige antwoorden: bijvoorbeeld op een inzageverzoek stuurt het bedrijf een export van de klantaccountgegevens maar vergeet inloglogs, gearchiveerde betalingsgegevens of ontvangen marketing-e-mails.
- Geen identiteitsverificatie van de aanvrager, of omgekeerd, buitensporige eisen (systematische ID-kopie).
De oplossing: maak een adres dpo@uwsite.nl of privacy@uwsite.nl, documenteer het interne proces (wie ontvangt, wie valideert, wie antwoordt, in welke termijn) en controleer de trainingsfrequentie van het team.
Fout 7: Beveiligingslekken niet binnen 72u gemeld
Artikel 33 AVG vereist melding van een datalek aan de AP binnen 72 uur na kennisname, tenzij het lek waarschijnlijk geen risico oplevert voor de rechten en vrijheden van personen. Bij een hoog risico vereist artikel 34 bovendien individuele melding aan de getroffen klanten.
In e-commerce de meest voorkomende lekken:
- Lek van de klantendatabase via export-bug (verkeerde publieke URL).
- Ongeautoriseerde toegang na compromittering van het admin-account.
- Datadiefstal via SQL-injection of XSS.
- Massa-mailing fout (e-mail met klantendatabase als bijlage).
De AP merkt regelmatig op dat e-commerce-operators, uit onbekendheid of vrees voor reputatieschade, niet binnen de termijn melden. Dit is een verzwarende factor: sancties zijn dan substantieel zwaarder dan voor een aanvankelijk gering lek dat op tijd is gemeld.
De oplossing: een meldprotocol vooraf voorbereiden (modelbrief AP, verantwoordelijk team, lekregister). De AP biedt een online meldformulier dat specifiek voor deze meldingen is bedoeld.
Hoe snel conform worden
De zeven hierboven genoemde fouten zijn voor de meeste mkb’ers binnen een week corrigeerbaar. De aanbevolen volgorde:
- Dag 1: audit van het bestaande via een automatische conformiteitsscanner om publieke fouten te identificeren (cookies, juridische informatie, privacybeleid).
- Dag 2: juridische documenten genereren of bijwerken (privacybeleid, juridische informatie, algemene voorwaarden) met een gespecialiseerd hulpmiddel.
- Dag 3: een conforme cookiebanner inzetten met automatische blokkering.
- Dag 4: verwerkers inventariseren en verwerkersovereenkomsten verifiëren.
- Dag 5: het specifieke adres voor rechten aanmaken + interne proces documenteren.
- Dag 6-7: meldprotocol voor datalekken voorbereiden en team opleiden.
Voor de boetes in geval van controle, zie Cookiebeleid: regels en sancties.
FAQ
Controleert de AP willekeurig of alleen op klacht?
Beide. De meerderheid van de controles volgt op een klacht (klant, concurrent, belangenorganisatie). De rest zijn jaarlijkse thematische controles (e-commerce, gezondheid, publieke sector) of opvolgcontroles na een eerdere formele waarschuwing.
Wat is de gemiddelde boete voor een Nederlandse e-commerce mkb in 2026?
Voor mkb (omzet < 5 M €) ligt de typische marge tussen €5.000 en €50.000. Voor mid-market bedrijven, tussen €50.000 en €500.000. Sancties van enkele miljoenen betreffen vooral grote platforms of opzettelijke overtredingen.
Heb ik een Functionaris Gegevensbescherming (FG) nodig voor een webshop?
Niet altijd. Een FG is verplicht als u op grote schaal verwerkt (artikel 37 AVG). Een algemene webshop met minder dan 50.000 klanten per jaar heeft er meestal geen nodig, maar kan een interne AVG-verantwoordelijke aanwijzen. Vanaf 100.000 klanten per jaar of als u bijzondere categorieën gegevens verwerkt (gezondheid, niet-versleutelde bankgegevens), wordt een FG noodzakelijk.
Hoe weet ik of mijn Google Analytics conform is?
Drie punten: (1) IP-anonimisering geactiveerd, (2) Consent Mode v2 verbonden met uw cookiebanner, (3) verwerkersovereenkomst met Google ondertekend. Als u twijfelt over een van de drie, overweeg dan Plausible of Matomo, die standaard conform zijn.
Wat te doen als ik vandaag een datalek ontdek?
In volgorde: (1) het lek beperken (gecompromitteerde wachtwoorden wijzigen, systeem isoleren), (2) het risico voor betrokkenen beoordelen (wie, hoeveel, welke gegevens), (3) de AP binnen 72u melden via het online formulier als het risico bevestigd is, (4) bij hoog risico individueel betrokken klanten waarschuwen, (5) alles documenteren in het lekregister.
Hoelang duurt een AP-controle?
Een controle ter plaatse duurt een tot twee dagen. De daaropvolgende onderzoeksfase kan zes maanden tot twee jaar duren voor de eindbeslissing. Tijdens deze periode bent u verplicht mee te werken en aanvullende documentverzoeken te beantwoorden.
Vandaag uw webshop auditeren duurt minder dan vijf minuten met een automatische scanner — en bespaart u weken onzekerheid in geval van controle. Voor Shopify-specifieke verplichtingen, zie ook ons dossier Shopify en AVG: bescherm uw shop tegen boetes.
