Een aantal populaire webshops verplicht nog altijd dat klanten een account aanmaken om te kunnen bestellen. Dat meldde de Telegraaf onlangs. Men onderzocht dit naar aanleiding van het EDPB-standpunt dat dit niet zomaar mag onder de AVG. Al veel langer wordt hier tegen geageerd.
De Telegraaf noemt een aantal redenen waarom webshops dit doen, zoals dataprofielen kunnen monetizen en fraudepatronen detecteren. Winkels zelf noemen het de ‘winkelervaring gemakkelijker en prettiger’ maken, maar zelfs ChatGPT wist niet wat dat betekent. Niet steeds je adres invoeren, denk ik.
Voor mij is ook een belangrijke reden dat veel webshopsoftware standaard op deze manier is ingesteld, en dat winkels geen prikkel hebben om het aan te passen. (Is er een xkcd over de impact van een achteloos gemaakte standaardinstelling?)
Maar goed, de vraag is natuurlijk of dat mag. Dit telt als verwerking van persoonsgegevens, want er gaan namen, adressen, contactgegevens, bestelhistorie en wat al niet meer in. Je zou denken dat dat onder de grondslag “nodig uitvoering overeenkomst” valt, maar dat gaat me te ver: je adres is wel nodig om déze bestelling bij jou te krijgen, maar je adres bewaren in een account, valt buiten deze bestelling.
De AVG-toezichthouders, verenigd in de EDPB, zien dit ook zo. Wanneer mensen een abonnement afnemen, lijkt een account wél te kunnen als noodzakelijke voorwaarde. Dit is redelijk wanneer men regelmatig bij de geabonneerde content of dienst moet kunnen, of wanneer historie daaromtrent moet worden opgebouwd.
Ook ziet men ruimte voor accounts voor vaste klanten die daarmee recht hebben op voordeeltjes zoals exclusieve aanbiedingen. Het account is dan zeg maar het bewijs dat je vaste klant bent. Ik vind die op het randje.
In de meeste andere gevallen zul je je moeten beroepen op het gerechtvaardigd belang. Commerciële belangen zoals tracking of gepersonaliseerde aanbiedingen tellen daarin zeker mee, maar de rechtvaardiging daarvan ten opzichte van de privacy van de klant lijkt me lastig. Je komt al heel snel uit bij “een account mag, maar hoeft niet” en dat is eigenlijk hetzelfde als gewoon toestemming vragen “wilt u een account?”
Een interessant geval is fraudedetectie. Het idee is dat als je een historie hebt van een klant, en aanvullende klantgegevens, dat je dan makkelijker afwijkingen in zijn gedrag kunt spotten. Genoeg webwinkels bieden de optie voor op krediet kopen als je een historie hebt opgebouwd, bijvoorbeeld.
Die noodzaak ziet de EDPB echter niet:
Regarding necessity under Article 6(1)(f) GDPR, many e-commerce websites do not require the creation of an account, and a purchase and usage history is actually not available when a customer account is used for the first time. In addition, the relevance of the anti-fraud measures allowed when imposing the creation of an account is questionable as changes in the delivery address usually happen right before an order is placed, users often use different devices, and software updates, which are necessary for security purposes, lead to different browser fingerprints and may be misinterpreted as an indicator of fraud.Mij lijkt ook dat je bij iedere bestelling een fraudedetectie doet, waarbij het minder relevant is hoe eerdere bestellingen gingen. En mensen herkennen op basis van hun profiel is inderdaad lastig genoeg.
De toezichthouders wijzen nog op het principe van privacy-by-design, wat ook al impliceert dat een account vrijwillig moet zijn. En dat deed me eraan denken dat het soms toch jammer is dat de AVG alleen geldt voor partijen die gegevens verwerken. Als de PBD verplichting ook gold voor softwarebouwers (dus niet shop-hosters), dan zou je zo centraal deze partijen kunnen aanspreken en afdwingen dat veelgebruikte webshopsoftware altijd een account als optie implementeert.
Arnoud
Misschien ook een ding dat bijdraagt is dat velen niet goed zijn in het uit elkaar houden van doelen. En dat privacy by design zowieso nog niet geheel is uitgewerkt.
Als oudwerknemer van twee van grote webshops: Met een klantaccount wordt je naam en adres maar één keer vastgelegd, elke volgende bestelling verwijst naar deze eenmalig vastgelegde gegevens. Met een gastaccount wordt voor elke bestelling een nieuw record aangemaakt in de customer- en adres-tabelen. Ga je voor dataminimalisatie (in volume) dan is een account te verkiezen.
Hier staat tegenover dat zodra je inlogt je gepersonaliseerde aanbiedingen op kunt krijgen, op homepage of bij het afrekenen.
En dan het klassieke onderzoek: vraag je nederlanders of zij gepersonaliseerde aanbiedingen willen dan zegt de meerderheid nee. Als je in een onderzoek hen een gepersonaliseerde en een niet-gepersonaliseerde pagina aanbiedt dan geeft de ruime meerderheid aan de gepersonaliseerde pagina als beter te ervaren.
Natuurlijk 🙂
https://xkcd.com/2106/
Ik kan me nog herinneren dat ik een paar jaar geleden in een comment hier klaagde over dat dat verplicht accounts aanmaken wel wat ver gaat onder de AVG.
Toen kwam als antwoord (en dat was correct natuurlijk) dat ‘geen verplicht account’ zeker niet betekent ‘geen gegevens bijhouden door de webwinkel’, maar dat die twee los staan van elkaar.
Banken en verzekeraars zijn heel goed in het op eigen initiatief aanmaken van accounts. Een verzekeraar meende er mee weg te komen door te stellen (dat hun FG vindt) dat een niet geactiveerd account geen persoonsgegevens verwerkt. Een bank (Utrechtse Heuvelrug) reageerde met de opmerking “als u het niet gebruikt mist u berichten en dat is dan uw verantwoordelijkheid”.
Dat noemt zich graag AVG jurist, alsof je kennisgebied niet groter is dan een stoeptegel.
Niet op het randje: enkel optioneel aan te bieden. Als je als klant geen account wil moet dat in deze situatie mogelijk zijn, maar dan weet je ook dat je de exclusieve aanbiedingen misloopt. Dat moet een keuze van de klant zijn, geen verplichting vanuit de winkel.
Eens. Ik vermoed dat ze bedoelden: een account als voorwaarde voor exclusieve aanbiedingen moet mogelijk zijn. Wie geen account wil, mag wel kopen maar dan zonder aanbiedingsprijs.