Gegevensbescherming klanten e-commerce: GDPR-conformiteit

Inleiding

De bescherming van klantgegevens vormt een groot strategisch issue voor elk e-commercebedrijf. Sinds de Algemene Verordening Gegevensbescherming (GDPR) op 25 mei 2018 van kracht is geworden, moeten webwinkels, mobiele verkoopapplicaties en marktplaatsen zich aan een streng juridisch kader houden onder risico van boetes tot 20 miljoen euro of 4% van de jaarlijkse wereldomzet. Voorbij de regelgeving vormt GDPR-conformiteit een echte vertrouwensleverancier voor klanten: 87% van de Europese consumenten zegt niet op een site te kopen waarvan zij twijfelen aan de gegevensbeveiliging. Dit kernartikel beschrijft de concrete verplichtingen van e-commercebedrijven op het gebied van toestemming, cookies, nieuwsbrieven en beveiliging van betalingsgegevens.

Toestemming: steen des aanstoots van GDPR-conformiteit

Toestemming is een van de zes wettelijke verwerkingsbases bepaald in artikel 6 van de GDPR. Om geldig te zijn, moet het aan vier cumulatieve criteria voldoen bepaald in artikel 7: vrij, specifiek, geïnformeerd en ondubbelzinnig. In de e-commercecontext betekent dit dat een internetgebruiker zijn toestemming niet voorwaardelijk mag maken voor de aankoop van een product (vrijheidsprincipe), en dat hij apart kan instemmen met elke doeleinde (marketingprofiling, delen met partners, nieuwsbrief, enz.).

De CNIL heeft sinds 2020 zijn vereisten aanzienlijk verstrengd met zijn richtlijnen over cookies en trackers. De knop "Alles accepteren" moet nu vergezeld gaan van een knop "Alles weigeren" met gelijke toegankelijkheid en zichtbaarheid. Vooraf ingevulde vakjes zijn strikt verboden (uitspraak HvJEU Planet49, 1 oktober 2019). E-commercebedrijven moeten ook een tijdgestempelde registratie van toestemming bewaren zolang de verwerking plaatsvindt, en moeten intrekking even eenvoudig mogelijk maken als toekenning.

Cookiebeheer en trackers op webwinkels

E-commercesites gebruiken gemiddeld 40 tot 60 cookies van derden: analytics, advertentie-retargeting, sociale netwerken, chatbots, A/B-testing. Artikel 82 van de gewijzigde Informatica- en Liberteitenwet vereist voorafgaande toestemming voor elke tracker die niet strikt nodig is voor het functioneren van de dienst. Alleen winkelwagen-, authenticatiesessie- en load-balancingcookies hebben een vrijstelling.

Implementatie van een compatibel Consent Management Platform (CMP) is essentieel geworden. Het moet bezoekers granulariteit in hun keuzes bieden: acceptatie per doeleinde (publieksmeeting, personalisatie, gerichte advertentie) en per ontvanger. De boetes regenen neer: Google (150M€), Amazon (35M€), Facebook (60M€) in 2022 vanwege gebrek aan weigeringsknop die net zo toegankelijk is als de acceptatieknop.

Nieuwsbrieven en commerciële prospectie: rigoureus opt-in

Het verzenden van nieuwsbrieven en promotionele e-mails valt onder artikel L.34-5 van het Wetboek Posten en Elektronische Communicatie, dat de ePrivacy-richtlijn omzet. Het principe is voorafgaande expliciete opt-in voor particuliere prospects (B2C). Een opvallende uitzondering geldt voor klanten die al een aankoop hebben gedaan: prospectie is toegestaan voor vergelijkbare producten of diensten, op voorwaarde dat zij hiervan bij inzameling zijn ingelicht en bij elk verzenden kunnen bezwaar maken.

In de praktijk moet het selectievakje "Ik wil de commerciële aanbiedingen van [merk] ontvangen" standaard uitgevinkt zijn en duidelijk gescheiden van de aanvaarding van de Algemene Voorwaarden. Elke e-mail moet een functionele afmeldingslink in één klik bevatten, de identiteit van de afzender en een geldig contactadres.

Beveiliging van betalingsgegevens

De verwerking van bankgegevens valt onder zowel de GDPR (artikel 32 over beveiliging) als de PCI-DSS-norm (Payment Card Industry Data Security Standard). E-commercebedrijven moeten tokenisatie via een PCI-DSS-gecertificeerde betalingsserviceprovider (PSP) niveau 1 geven, waardoor directe opslag van kaartnummers wordt vermeden. Sterke authenticatie (3D Secure v2) is sinds 15 mei 2021 verplicht bij toepassing van de DSP2-richtlijn.

Opslag van de visuele code (CVV) is formeel verboden na de transactie. Kaartnummers kunnen alleen met uitdrukkelijke toestemming worden bewaard om latere aankopen te vergemakkelijken (CNIL-advies nr. 2018-303).

Conclusie

GDPR-conformiteit in e-commerce is niet beperkt tot een juridische checklist: het structureert de gehele digitale klantrelatie. Tussen granulaire toestemming, cookiebeheer, stiptheid in prospectie en betalingsbeveiliging, moeten e-commercebedrijven een "privacy by design"-aanpak aannemen vanaf het ontwerp van hun customer journey. Deze aanpak, verre van een commercieel obstakel, wordt een onderscheidend argument op een markt waar digitaal vertrouwen de conversiesnelheid en klantenretentie bepaalt.