AVG-checklist voor e-commerce: 12 punten die elke webwinkel zou moeten halen
Een korte, uitgesproken checklist voor e-commerce-exploitanten in de EU. Elk punt verwijst naar een specifiek AVG-artikel of naar de ePrivacy-richtlijn, en elk punt is iets dat een toezichthouder vandaag op uw live site zou kunnen toetsen.
Lukas Kontur · · 2 min leestijd
Dit is een checklist voor e-commerce-exploitanten in de Europese Unie. Het is geen vervanging voor een gegevensbeschermingseffectbeoordeling, en het is geen vervanging voor advies van een Duitse Datenschutzbeauftragter of een Franse Délégué à la Protection des Données. Het is de korte lijst van punten die volgens onze ervaring bij het scannen van het Europese web goed genoeg zijn gedocumenteerd dat een exploitant de vragen van een toezichthouder kan beantwoorden over hoe het systeem een specifiek verzoek heeft afgehandeld, met tijdstempels.
De punten staan in de frontmatter en worden door het sjabloon van de checklist-pagina gerenderd. Elk punt is een afzonderlijke, toetsbare bewering en elk punt verwijst hetzij naar GDPR hetzij naar de ePrivacy Directive. Waar het juridische kader genuanceerder is — bijvoorbeeld bij doorgiftemechanismen na de inwerkingtreding van het EU-US Data Privacy Framework — hebben we dat in de detailregel aangetekend.
De twee punten die met grote afstand het vaakst falen, zijn:
- Punt 2: tracking vóór toestemming. Dit is dezelfde bevinding die onze scanner als pre_consent_tracking aanduidt. Zie het knowledge-artikel over tracking vóór toestemming voor de technische details.
- Punt 3: weigeren weigert niet. Ons onderzoek toonde aan dat 80% van de weiger-knoppen op 28.891 onderzochte sites de tracking niet daadwerkelijk stopte. Het corpus-cijfer is de kop; sectorspecifiek gedrag op e-commerce-sites is iets dat we afzonderlijk zullen meten, aangezien de toestemmingsdynamiek op transactiepagina's verschilt van die op nieuws- of inhoudssites.
Voor een live demonstratie van hoe een niet-conforme scan eruitziet:
Een middelhoge risicoscore op deze schaal betekent doorgaans dat de banner aanwezig is en de weiger-knop werkt, maar dat er minstens één tracker afvuurt vóór toestemming. Bevestig dat er geen niet-essentiële trackers afvuren vóór de toestemmingsbeslissing.
De aanbevolen cadans is om deze checklist driemaandelijks te doorlopen, de resultaten te bewaren als bewijs van verantwoordingsplicht onder GDPR Art. 5(2), en elk punt dat tweemaal achtereen is gefaald als P1-issue te behandelen. De meeste exploitanten zullen geen handhavingsgebeurtenis meemaken. Degenen die dat wel meemaken, zullen blij zijn dat ze de gegevens hebben bijgehouden.
Laatst bijgewerkt: