Europese Unie Marketplace IntegratieEuropese Unie E-Commerce PakkettenEuropese Unie BedrijfswebsiteEuropese Unie MaatwerksoftwareEuropese Unie BedrijfsoprichtingEuropese Unie Fulfillment CentrumEuropese Unie ProductopslagEuropese Unie Mobiele App Ontwikkeling
Inloggen
Europa · E-Commerce

Complete AVG e-commercegids 2026: Verordening 2016/679, cookietoestemming TCF v2.2, DPO-criteria, rechten van betrokkenen, 72u melding, boetes €20M/4%.

🇪🇺 Complete EU AVG-nalevingsgids — Editie 2026

AVG-naleving voor E-commerce 2026: Complete gids voor EU-onlineverkopers

Acht jaar nadat de AVG op 25 mei 2018 van kracht werd, blijft Verordening (EU) 2016/679 de strengste, meest gehandhaafde privacywet ter wereld — en de grootste nalevingspost voor elke EU-e-commerceverkoper. Nationale toezichthouders hebben tegen 2026 meer dan €5,5 miljard aan cumulatieve boetes opgelegd, met individuele boetes tot €1,2 miljard. Deze gids leidt je door de tien zaken die elke EU-onlineverkoper in 2026 goed moet regelen: het TCF v2.2-cookietoestemmingsraamwerk, een conforme artikel 13-privacyverklaring, wanneer je een DPO nodig hebt, de acht rechten van betrokkenen, de klok van 72 uur meldplicht datalekken, post-Schrems II modelcontractbepalingen, de impact van de aankomende ePrivacyverordening, boetes tot €20 miljoen of 4% van de wereldwijde omzet, en een 12-punts AVG-checklist die aansluit op het dagelijkse werk van het runnen van een multi-marketplace catalogus.

✓ Verordening 2016/679 in kaart gebracht ✓ TCF v2.2-cookietoestemming ✓ Schrems II + SCC's 2021 ✓ Nationale toezichthouders (CNIL, AEPD, Garante, BfDI)
zunapro.com/panel/eu/gdpr
GDPR Hub Conform
Dekking toezichthouders 30/30 EER
Openstaande verzoeken
14
↓ 22% MoM
Gem. SLA
6,4d
binnen 30d
Cookies
TCF 2.2
✓ actief
Laatste 7 dagen · Verzoeken van betrokkenen 42 afgehandeld↑ 31%
MaDiWoDoVrZaVan.
Recente DSR-tickets Live
#DSR-58271 Art. 15 — Inzageverzoek (FR) In beoordeling
#DSR-58270 Art. 17 — Wissing (DE) In behandeling
#DSR-58269 Art. 20 — Overdraagbaarheid (ES) Afgesloten
Privacysynchronisatie actief · laatste audit 2s geleden · SCC + TIA gereed
€5,5 mld+
Cumulatieve AVG-boetes (tot 2026)
€1,2 mld
Grootste enkele boete (Meta IE 2023)
72u
Klok meldplicht datalekken (art. 33)
€20 mln / 4%
Max. boete — €20 miljoen of 4% wereldwijde omzet

EU AVG voor e-commerce 2026 — Snel overzicht

De Algemene Verordening Gegevensbescherming, Verordening (EU) 2016/679, is sinds 25 mei 2018 rechtstreeks van toepassing in de hele EU en blijft de meest ingrijpende privacywet ter wereld. Elke EU/EER-e-commerceverkoper is een verwerkingsverantwoordelijke voor persoonsgegevens van shoppers: naam, adres, betaalgegevens, browsegeschiedenis, cookies, IP-adressen. De prioriteiten voor 2026 zijn een TCF v2.2-conforme cookiebanner, een duidelijke artikel 13-privacyverklaring, een gedocumenteerd artikel 30-verwerkingsregister, snelle verzoeken van betrokkenen (DSR)-workflows, een 72-uurs meldplan voor datalekken, en post-Schrems II modelcontractbepalingen voor elke niet-adequate doorgifte (met name naar de VS onder het EU-VS Data Privacy Framework aangenomen in juli 2023). Toezichthoudende autoriteiten — CNIL (Frankrijk), AEPD (Spanje), Garante (Italië), BfDI en de Duitse deelstaatautoriteiten, AP (Nederland), NAIH (Hongarije), ICO (VK, onder de UK GDPR) — leggen boetes op tot €20 miljoen of 4% van de wereldwijde jaaromzet, wat hoger is.

Het EU-gegevensbeschermingslandschap 2026 in een oogopslag

De AVG wordt gehandhaafd door een netwerk van nationale toezichthoudende autoriteiten (DPA's), gecoördineerd op EU-niveau door het Europees Comité voor gegevensbescherming (EDPB). Onderstaand kaartoverzicht vat de acht autoriteiten samen die je als EU-e-commerceverkoper het meest waarschijnlijk in je inbox zult treffen — houd ze bij de hand terwijl je elke verdiepende sectie leest.

EDPB — Europees Comité voor gegevensbescherming

Opgericht 25 mei 2018 · Brussel · Vaardigt bindende richtsnoeren en adviezen uit en coördineert het one-stop-shop-mechanisme tussen toezichthouders

30 toezichthoudersEU/EER-brede coördinatie

CNIL — Commission Nationale de l'Informatique et des Libertés (Frankrijk)

Opgericht 1978 · Parijs · Strengste cookiehandhaving in de EU; leidende autoriteit op het gebied van adtech en TCF

€340 mln+ boetescumulatief tot 2026

AEPD — Agencia Española de Protección de Datos (Spanje)

Opgericht 1993 · Madrid · Meest actieve nationale toezichthouder qua aantal boetes; sterk gericht op mkb-handhaving

2.000+ boetes/jaarSpaanse ranglijst #1

Garante — Garante per la Protezione dei Dati Personali (Italië)

Opgericht 1997 · Rome · Agressieve handhaving op AI/ChatGPT, telemarketing en cookies

€200 mln+ boetescumulatief tot 2026

BfDI + 16 Landesdatenschutzbeauftragte (Duitsland)

Federale BfDI in Bonn + één toezichthouder per deelstaat · Gedecentraliseerd; LfDI BW, BlnBDI en HmbBfDI zijn het meest actief

17 autoriteitenFederaal en deelstaatniveau

ICO — Information Commissioner's Office (Verenigd Koninkrijk)

Wilmslow · Handhaaft de UK GDPR (post-Brexit) en de Data Protection Act 2018 · Adequaatheidsbesluit van kracht

UK-adequaatheidvernieuwd 2025–2031

AP — Autoriteit Persoonsgegevens (Nederland)

Den Haag · Nederlandse toezichthouder · Actief op cookiewalls, AI-register en datalekken bij de overheid

Cookiewall-uitspraak2019 — mijlpaal

NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság (Hongarije)

Boedapest · Hongaarse toezichthouder · Actief op gezichtsherkenning, CCTV en HR-gegevens

HUF 4 mld+ boetescumulatief tot 2026

Klaar om vanaf dag één AVG-conform in de hele EU te verkopen?

Verbind elke EU-marktplaats en klantgerichte webshop met één Zunapro-paneel met ingebouwde TCF v2.2 CMP, artikel 30-register, DSR-workflow en vooraf ondertekende SCC's voor elke subverwerker.

🚀 Start EU-integratie

1. AVG-overzicht — Verordening (EU) 2016/679, van kracht sinds mei 2018

Wat de AVG eigenlijk is

De Algemene Verordening Gegevensbescherming — Verordening (EU) 2016/679 — werd op 27 april 2016 aangenomen en werd op 25 mei 2018 rechtstreeks van toepassing in alle 27 EU-lidstaten plus de drie EER-landen (Noorwegen, IJsland, Liechtenstein). Als verordening, geen richtlijn, vereiste de AVG geen nationale omzetting — deze trad op dezelfde dag in werking in Madrid, Parijs, Berlijn, Rome, Warschau en elke andere EU-hoofdstad. Ze verving de dataprotectierichtlijn uit 1995 (95/46/EG), die had geleid tot 28 gefragmenteerde nationale implementaties.

Voor e-commerceverkopers zijn drie structurele keuzes in de tekst het belangrijkst:

  • Materiële werkingssfeer (art. 2) — van toepassing op elke "verwerking van persoonsgegevens" via geautomatiseerde middelen, wat vrijwel elke databasebewerking in een moderne webstack omvat.
  • Territoriale werkingssfeer (art. 3) — van toepassing op verwerkingsverantwoordelijken gevestigd in de EU, ongeacht waar de verwerking plaatsvindt, en op verwerkingsverantwoordelijken gevestigd buiten de EU die goederen of diensten aanbieden aan betrokkenen in de EU of hun gedrag monitoren. Dit is de "extraterritoriale werking" die Amerikaanse, Britse, Turkse, Zwitserse en Aziatische verkopers binnen de reikwijdte bracht.
  • Definitie van persoonsgegevens (art. 4) — extreem breed: alles dat "betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon". IP-adressen, cookie-ID's, apparaat-fingerprints en zelfs unieke URL-parameters kunnen hieronder vallen.

De zes rechtsgrondslagen (artikel 6)

Elke verwerkingsactiviteit heeft ten minste één van zes rechtsgrondslagen nodig:

  1. Toestemming — vrij gegeven, specifiek, geïnformeerd, ondubbelzinnig (art. 4(11) + art. 7).
  2. Overeenkomst — verwerking noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene (de standaardgrondslag voor het afhandelen van een bestelling).
  3. Wettelijke verplichting — bijv. btw-facturering, KYC, belastingdossiers.
  4. Vitale belangen — zeldzaam in commerciële e-commerce.
  5. Publiekrechtelijke taak — over het algemeen niet relevant voor de particuliere detailhandel.
  6. Gerechtvaardigd belang — belangenafweging vereist; gebruikt voor fraudepreventie, beveiliging, basisanalytics.

De meest voorkomende nalevingsfout in 2026 is het door elkaar halen van grondslagen — bijvoorbeeld het gebruik van "overeenkomst" voor marketing-e-mails (waarvoor toestemming nodig is onder de ePrivacyrichtlijn) of "gerechtvaardigd belang" voor trackingcookies (waarvoor toestemming nodig is onder artikel 5, lid 3, van de ePrivacyrichtlijn).

Bijzondere categorieën gegevens (artikel 9)

Gezondheidsgegevens, biometrische gegevens, etniciteit, religieuze overtuigingen, vakbondslidmaatschap, seksuele geaardheid en politieke opvattingen zijn bijzondere categorieën van gegevens. Verwerking is verboden tenzij een van de tien voorwaarden van artikel 9, lid 2, van toepassing is — expliciete toestemming is het meest voorkomend in e-commerce (bijv. supplementenabonnementen die gezondheidsinformatie onthullen, modesites die etniciteit afleiden uit voorkeursmaten).

📋
Officiële tekst: de officiële geconsolideerde tekst van Verordening (EU) 2016/679 is in 24 EU-talen gepubliceerd op EUR-Lex. Zunapro linkt de relevante artikelen naast elke nalevingsfunctie in het paneel. Zie de geconsolideerde AVG-tekst op EUR-Lex voor de bindende bron.

Waarom cookies überhaupt een AVG-onderwerp zijn

Cookies en soortgelijke trackingtechnologieën worden niet alleen door de AVG geregeld, maar ook door artikel 5, lid 3, van de ePrivacyrichtlijn 2002/58/EG (de "cookierichtlijn", gewijzigd in 2009). De richtlijn vereist voorafgaande, geïnformeerde toestemming voor het opslaan van of toegang krijgen tot informatie op het apparaat van een gebruiker, behalve wanneer dit strikt noodzakelijk is om een door de gebruiker gevraagde dienst te leveren. De AVG definieert vervolgens de standaard voor wat geldt als geldige toestemming (art. 4(11) en 7).

De gecombineerde praktische regel voor e-commerceverkopers in 2026 is:

  • Strikt noodzakelijke cookies (winkelwagen, login, CSRF-token, taalkeuze, basale loadbalancing) — geen toestemming vereist, maar moeten wel worden gedocumenteerd in je privacybeleid.
  • Alle andere cookies — analytics (GA4, Plausible, Matomo met standaardconfiguratie), advertenties (Meta Pixel, Google Ads, TikTok), personalisatie, A/B-testen, fingerprinting — vereisen opt-intoestemming voordat de cookie wordt geplaatst.

Het IAB Europe Transparency & Consent Framework (TCF) v2.2 — uitgebracht op 16 mei 2023 en verplicht sinds 20 november 2023 — is de facto de industriestandaard voor het vastleggen, signaleren en bewaren van cookietoestemming in de hele EU. Belangrijkste kenmerken:

  • 11 doelen + 3 "speciale doelen" + 2 "functies" + 2 "speciale functies" — gedetailleerde controle in plaats van een algemene "Alles accepteren"
  • ~700 geregistreerde leveranciers — elke adtech-, analytics- en CDP-partner geeft doelen en rechtsgrondslagen op in de TCF Global Vendor List (GVL)
  • TC String — een base64-gecodeerd signaal ingebed in __tcfapi / __tcfapi v2 dat met elk adtech-verzoek meereist
  • v2.2-verbeteringen — duidelijkere doelen 1, 3, 4, verwijdering van "gerechtvaardigd belang" als terugvaloptie voor advertenties/meting, verplichte intrekkingsflow

Wat de toestemmings-UI wel en niet mag doen

Zowel de EDPB-richtsnoeren 05/2020 over toestemming als de CNIL-richtsnoeren 2020-091 zijn glashelder:

  • Vooraf aangevinkte vakjes zijn ongeldig (Planet49, HvJEU C-673/17, 1 oktober 2019)
  • "Doorgaan met browsen" vormt geen toestemming — klikken, scrollen of op de pagina blijven is geen opt-in
  • Weigeren moet net zo eenvoudig zijn als accepteren — "Alles accepteren" en "Alles weigeren" moeten visueel en procedureel gelijkwaardig zijn (CNIL legde in januari 2022 €60 miljoen op aan Google en €60 miljoen aan Facebook, expliciet hiervoor)
  • Cookiewalls — toegang afhankelijk maken van toestemming — zijn grotendeels verboden (Nederlandse AP-richtsnoeren 2019, EDPB-richtsnoeren 05/2020)
  • Granulariteit — schakelaars per doel, geen enkele algemene schakelaar
  • Intrekking moet net zo eenvoudig zijn als het geven van toestemming (art. 7, lid 3, AVG)
🍪

Best practice 2026: een TCF v2.2-compatibel Consent Management Platform (CMP) met gelijkwaardige "Alles accepteren"/"Alles weigeren"-knoppen op de eerste laag, gedetailleerde schakelaars op de tweede laag en een permanente link "Cookie-instellingen" in de footer. Zunapro-webshops worden standaard met deze configuratie geleverd. Bekijk Zunapro EU-webshops →

3. Privacyverklaring — Artikelen 13 en 14 in de praktijk

Waarom een privacyverklaring niet onderhandelbaar is

Artikelen 13 en 14 van de AVG verplichten elke verwerkingsverantwoordelijke om een privacyverklaring te verstrekken op het moment dat persoonsgegevens worden verzameld (art. 13), of, wanneer gegevens van een derde worden verkregen, binnen een maand (art. 14). Voor e-commerce is dit doorgaans de pagina die vanuit de footer wordt gelinkt als "Privacyverklaring", "Privacybeleid" of "Informatie over de verwerking van persoonsgegevens".

De verplichte inhoudslijst

Artikel 13 vereist minimaal het volgende — meestal gestructureerd als een gelaagde verklaring met een korte samenvatting en een volledige versie:

  • Identiteit en contactgegevens van de verwerkingsverantwoordelijke (en de EU-vertegenwoordiger indien art. 27 van toepassing is)
  • Contactgegevens van de DPO, indien aangesteld
  • Doeleinden van de verwerking en de rechtsgrondslag voor elk doel (art. 6, en art. 9 voor bijzondere categorieën gegevens)
  • Ontvangers of categorieën ontvangers — betaalproviders, fulfilmentpartners, marketingtools, hostingproviders
  • Internationale doorgiften — betrokken derde landen, adequaatheidsbesluiten of passende waarborgen (SCC's)
  • Bewaartermijnen — of de criteria die worden gebruikt om deze te bepalen
  • Rechten van betrokkenen — inzage, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar, geautomatiseerde besluiten
  • Recht om toestemming in te trekken op elk moment (wanneer toestemming de rechtsgrondslag is)
  • Recht om een klacht in te dienen bij een toezichthoudende autoriteit
  • Of het verstrekken van gegevens verplicht is, en de gevolgen van het niet verstrekken ervan
  • Bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en zinvolle informatie over de onderliggende logica

Veelvoorkomende fouten waarvoor CNIL en AEPD beboeten

  • Standaardverklaring die niet overeenkomt met de daadwerkelijke verwerkingsactiviteiten — toezichthouders vergelijken dit met het artikel 30-register
  • "Gerechtvaardigd belang" vermelden zonder de belangenafweging toe te lichten
  • Vage bewaartermijnen zoals "zo lang als nodig" zonder tijdskaders
  • Ontbrekende of verouderde openbaarmakingen over internationale doorgiften (met name naar de VS na Schrems II)
  • Geen vermelding van het recht om een klacht in te dienen bij een toezichthouder — een veelvoorkomende bevinding bij AEPD-audits

4. Functionaris voor gegevensbescherming — wanneer artikel 37 van toepassing is

De drie verplichte gevallen

Artikel 37, lid 1, verplicht in drie gevallen tot het aanstellen van een DPO:

  1. Overheidsinstantie of -orgaan (met uitzondering van gerechten)
  2. Kernactiviteiten vereisen regelmatige en stelselmatige observatie van betrokkenen op grote schaal
  3. Kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën gegevens (art. 9) of strafrechtelijke gegevens (art. 10)

"Grote schaal" wordt gedefinieerd door de EDPB-richtsnoeren WP243 aan de hand van vier criteria: aantal betrokkenen, hoeveelheid gegevens, duur van de verwerking en geografische omvang. Voor e-commerce voldoen activiteiten die sterk leunen op gedragsgerichte advertenties, marktplaatsen en grote retailplatformen bijna altijd aan de drempel van "regelmatige en stelselmatige observatie op grote schaal".

De mythe van 250 werknemers

De veelgeciteerde drempel van "250 werknemers" heeft betrekking op artikel 30 (verwerkingsregister) en niet op de aanstelling van een DPO. Artikel 30, lid 5, ontheft organisaties met minder dan 250 werknemers van de verplichting om een register bij te houden — maar alleen als de verwerking incidenteel is, geen bijzondere categorieën gegevens omvat en waarschijnlijk geen risico inhoudt voor betrokkenen. Voor elke actieve e-commerceverkoper geldt de vrijstelling in de praktijk vrijwel nooit: het verzenden van bestellingen naar duizenden klanten is per definitie niet incidenteel.

Nationale aanvullingen

Lidstaten kunnen aanvullende DPO-vereisten opleggen. De Duitse BDSG vereist bijvoorbeeld een DPO wanneer 20 of meer personen doorlopend betrokken zijn bij geautomatiseerde verwerking — veel lager dan de AVG-basisdrempel. Dit is een van de grootste praktische nalevingsverschillen tussen Duitse, Franse en Spaanse e-commerceactiviteiten van vergelijkbare omvang.

Onafhankelijkheid en taken van de DPO

  • Artikel 38 — moet worden betrokken bij alle gegevensbeschermingskwesties, middelen ontvangen, rapporteren aan de hoogste leiding, kan niet worden ontslagen voor het uitvoeren van taken
  • Artikel 39 — informeert en adviseert, houdt toezicht op naleving, adviseert over DPIA's, werkt samen met de toezichthouder, fungeert als aanspreekpunt voor betrokkenen
  • Belangenconflicten — het hoofd marketing of het hoofd IT kan doorgaans geen DPO zijn (EDPB-richtsnoeren WP243; de Belgische toezichthouder legde in 2020 een boete van €50.000 op aan een verwerkingsverantwoordelijke die het hoofd compliance, interne audit en risicobeheer als DPO had aangesteld)

💡 DPO-as-a-service of intern?

Veel EU-e-commercebedrijven met minder dan 50 medewerkers gebruiken externe DPO's om de onafhankelijkheid duidelijk te houden. Het Zunapro-paneel biedt een DPO-contactveld en stuurt verzoeken van betrokkenen rechtstreeks naar de inbox van je DPO.

DPO-routering configureren →

5. Rechten van betrokkenen — Artikelen 15–22

De acht rechten, op volgorde

De rechten uit hoofdstuk III vormen de operationele ruggengraat van de AVG voor elk klantgericht bedrijf:

  • Recht op informatie (art. 13–14) — nagekomen via de bovenstaande privacyverklaring
  • Recht van inzage (art. 15) — bevestiging van verwerking + een kopie van de persoonsgegevens + de artikel 13-metadata
  • Recht op rectificatie (art. 16) — onjuiste gegevens corrigeren, onvolledige gegevens aanvullen
  • Recht op gegevenswissing / "recht om vergeten te worden" (art. 17) — zes specifieke gronden (niet langer noodzakelijk, toestemming ingetrokken, onrechtmatige verwerking, enz.); niet absoluut
  • Recht op beperking (art. 18) — gegevens markeren als "bevroren" terwijl een geschil wordt opgelost
  • Recht op gegevensoverdraagbaarheid (art. 20) — persoonsgegevens ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat, overdragen aan een andere verwerkingsverantwoordelijke
  • Recht van bezwaar (art. 21) — tegen verwerking op basis van gerechtvaardigd belang of publiekrechtelijke taak; absoluut voor directe marketing
  • Recht om niet te worden onderworpen aan uitsluitend geautomatiseerde besluitvorming, met inbegrip van profilering (art. 22) — beperkte uitzonderingen voor overeenkomst, wet, expliciete toestemming

Reactietermijnen en formaat

Artikel 12 stelt de operationele regels vast:

  • Standaard één maand — verlengbaar met nog eens twee maanden voor complexe of talrijke verzoeken, met gemotiveerde kennisgeving aan de betrokkene
  • Kosteloos — behalve voor "kennelijk ongegronde of buitensporige" verzoeken, waarvoor een redelijke vergoeding of weigering is toegestaan (de bewijslast ligt bij de verwerkingsverantwoordelijke)
  • Zelfde formaat als het verzoek — e-mailverzoek, e-mailantwoord; gestructureerd machineleesbaar voor overdraagbaarheid
  • Identiteitsverificatie vereist, maar proportioneel — buitensporig belastende identiteitscontroles zijn zelf een overtreding (CNIL-richtsnoeren)

Hoe e-commerceverkopers dit operationaliseren

  1. Speciale DSR-mailbox (bijv. [email protected]) doorgestuurd naar de DPO of het privacyteam
  2. Ticketingworkflow met een SLA-timer van een maand en automatische escalatie na 25 dagen
  3. Bron-van-waarheid datamap (het artikel 30-register) die aangeeft welke systemen wat bevatten — Zunapro centraliseert dit voor marktplaatsen, webshops, CRM en betaalgegevens
  4. Sjabloonreacties met de wettelijk vereiste metadata vooraf ingevuld
  5. Auditspoor van elk verzoek en antwoord — toezichthouders vragen bij onderzoeken routinematig om de DSR-logs van de afgelopen 12 maanden

6. Meldplicht datalekken — De klok van 72 uur (Artikelen 33–34)

Wat telt als een "inbreuk in verband met persoonsgegevens"

Artikel 4, lid 12, definieert een inbreuk in verband met persoonsgegevens als "een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens". Er zijn drie categorieën volgens de EDPB-richtsnoeren 9/2022:

  • Inbreuk op de vertrouwelijkheid — ongeoorloofde verstrekking of toegang (doorgaans een hack / gelekte database)
  • Inbreuk op de integriteit — ongeoorloofde wijziging van gegevens
  • Inbreuk op de beschikbaarheid — onopzettelijk of onrechtmatig verlies van toegang of vernietiging (doorgaans ransomware)

De melding aan de toezichthouder binnen 72 uur

Artikel 33 vereist melding aan de bevoegde toezichthoudende autoriteit "zonder onredelijke vertraging en, indien mogelijk, niet later dan 72 uur nadat de verwerkingsverantwoordelijke er kennis van heeft genomen", tenzij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Bij late meldingen moeten de redenen voor de vertraging worden vermeld. De klok begint te lopen zodra de verwerkingsverantwoordelijke een redelijke mate van zekerheid heeft dat er een inbreuk heeft plaatsgevonden — niet op het moment van het eerste vage signaal.

De klantmelding bij "hoog risico"

Artikel 34 legt een parallelle verplichting op om betrokkenen "zonder onredelijke vertraging" te informeren wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden. Uitzonderingen: versleutelde gegevens, achteraf toegepaste mitigerende maatregelen, of onevenredige inspanning (dan volstaat een openbare mededeling).

Wat een melding van een datalek moet bevatten

  • De aard van de inbreuk, met inbegrip van categorieën en het geschatte aantal betrokken personen en registraties
  • Contactgegevens van de DPO of een ander contactpunt
  • Waarschijnlijke gevolgen
  • Genomen of voorgestelde maatregelen om de inbreuk aan te pakken en negatieve gevolgen te beperken

Veelvoorkomende handhavingspatronen

Late of ontbrekende meldingen leiden regelmatig tot boetes, los van de onderliggende inbreuk. Voorbeelden: Twitter International (nu X) kreeg in 2020 een boete van €450.000 van de Ierse DPC voor een late melding van een datalek; Uber kreeg een boete van €600.000 van de Nederlandse AP omdat een inbreuk uit 2016 niet binnen 72 uur was gemeld na de inwerkingtreding van de AVG. In beide gevallen was de technische inbreuk zelf relatief klein; de procedurele tekortkoming domineerde de boete.

⏱️

Operationele tip: een gedocumenteerd incidentresponsplan met een klok van 72 uur, een aangewezen DPO die bereikbaar is, een vooraf opgesteld sjabloon voor melding aan de toezichthouder en vooraf in kaart gebrachte toezichthouders per lidstaat is het absolute minimum. Zunapro logt elke authenticatiegebeurtenis, gegevensexport en beheerdersactie, zodat het 72-uurs feitenrelaas binnen uren, niet dagen, kan worden gereconstrueerd. Bekijk tools voor incidentrespons →

7. Grensoverschrijdende doorgiften — SCC's, adequaatheid en Schrems II

De standaardregel — Hoofdstuk V

Hoofdstuk V van de AVG (art. 44–50) verbiedt doorgiften van persoonsgegevens naar een "derde land" (buiten de EU/EER) of internationale organisatie, tenzij een van drie waarborgen van toepassing is:

  1. Adequaatheidsbesluit (art. 45) — de Commissie heeft formeel besloten dat het derde land een "in wezen gelijkwaardig" beschermingsniveau biedt.
  2. Passende waarborgen (art. 46) — modelcontractbepalingen (SCC's), bindende bedrijfsvoorschriften (BCR's), goedgekeurde gedragscodes of certificeringen.
  3. Specifieke afwijkingen (art. 49) — beperkte uitzonderingen: expliciete toestemming, uitvoering van de overeenkomst, gewichtig openbaar belang, vitale belangen.

Geldende adequaatheidsbesluiten (2026)

Per 2026 gelden volledige of gedeeltelijke adequaatheidsbesluiten voor: Andorra, Argentinië, Canada (commerciële organisaties), Faeröer, Guernsey, Israël, Isle of Man, Japan, Jersey, Nieuw-Zeeland, de Republiek Korea (Zuid-Korea), Zwitserland, het Verenigd Koninkrijk (vernieuwd in 2025, van kracht tot 2031), Uruguay, en — onder het EU-VS Data Privacy Framework (DPF) aangenomen op 10 juli 2023 — gecertificeerde Amerikaanse organisaties.

Schrems II en de SCC's

Op 16 juli 2020 verklaarde het HvJEU in Schrems II (C-311/18) het EU-VS Privacy Shield ongeldig en verduidelijkte dat SCC's alleen niet voldoende zijn wanneer de wetgeving van het derde land (bijv. Amerikaanse FISA 702-surveillance) tegenstrijdige verplichtingen creëert. Verwerkingsverantwoordelijken moeten:

  • De nieuwe SCC's aangenomen bij Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 gebruiken, georganiseerd in vier modules (C2C, C2P, P2P, P2C)
  • Een transfer impact assessment (TIA) uitvoeren van het rechtskader van het ontvangende land
  • Aanvullende maatregelen toepassen waar de TIA een risico aan het licht brengt — doorgaans end-to-end-versleuteling, pseudonimisering of contractuele/organisatorische controles (EDPB-aanbevelingen 01/2020)

Het EU-VS Data Privacy Framework

Het DPF uit 2023 herstelde een adequaatheidsmechanisme in de stijl van Privacy Shield voor gecertificeerde Amerikaanse ontvangers. Verkopers die gegevens doorgeven aan een DPF-gecertificeerde Amerikaanse verwerker (de meeste grote hyperscalers — AWS, Google Cloud, Microsoft Azure — zijn gecertificeerd) hebben voor die specifieke ontvanger geen SCC's nodig, maar moeten de grondslag nog steeds documenteren en eventuele hernieuwde geschillen in de gaten houden: een "Schrems III"-uitdaging loopt al en zou de kwestie opnieuw kunnen openen.

Wat dit operationeel betekent

  • Breng elke subverwerker en het land waar gegevens daadwerkelijk worden verwerkt in kaart (niet alleen het factuuradres)
  • Onderteken SCC's uit 2021 met niet-adequate ontvangers, met de juiste module voor de relatie
  • Onderhoud TIA's voor elk — de meeste CMP's en beheertools voor toezichthouders bieden sjablonen
  • Update jaarlijks of wanneer wetgeving/subverwerker verandert

8. De aankomende ePrivacyverordening — wat verandert er voor cookies en marketing

De wetgevende achtergrond

De ePrivacyverordening (ePR) werd in januari 2017 door de Commissie voorgesteld ter vervanging van de ePrivacyrichtlijn 2002/58/EG (de "cookierichtlijn"). In tegenstelling tot een richtlijn zou deze rechtstreeks van toepassing zijn zonder nationale omzetting — waarmee de huidige lappendeken wordt opgelost waarin Frankrijk (CNIL-beraadslaging 2020-091), Duitsland (TTDSG/TDDDG), Spanje (LSSI-CE), Italië (Garante 2021 cookierichtsnoeren) en andere landen dezelfde EU-basis elk anders interpreteren.

Wat waarschijnlijk binnen de reikwijdte valt (stand 2026)

  • Cookies en soortgelijke technologieën — inclusief fingerprinting en identificatoren op SDK-niveau
  • Metadata van elektronische communicatie — uitbreiding van de vertrouwelijkheid van communicatie tot buiten traditionele telecomaanbieders naar OTT-berichtenapps
  • Directe marketing — opt-in voor elektronische marketing (e-mail, sms) met behoud van de bestaande "soft opt-in" voor vergelijkbare producten binnen de klantrelatie
  • Toestemmingssignalen op browserniveau — expliciete erkenning van "Do Not Track"/Global Privacy Control-achtige signalen
  • Ongevraagde communicatie — strikte opt-in voor B2C, minder strikt voor B2B

Wat niet verandert

De AVG blijft de lex generalis voor de kwaliteit van toestemming (art. 4(11), 7). De ePR is de lex specialis over wanneer toestemming vereist is voor elektronische communicatie en tracking. Een vandaag ontworpen TCF v2.2 CMP zou toekomstbestendig moeten zijn voor de overgang naar de ePR.

Verwachte impact op e-commerce

  • Nationale verschillen (bijv. de nuances van de Duitse telecommunicatiewetgeving) worden samengedrukt tot één EU-regel
  • Signalen "Alles weigeren" op browserniveau worden moeilijker te negeren — analytics- en adtech-stacks moeten deze automatisch respecteren
  • B2B-marketingregels kunnen scherper afwijken van B2C, waarbij sommige lidstaten strengere B2C-regimes behouden
  • Grensoverschrijdende marketingcampagnes worden vanuit één enkele bron eenvoudiger te controleren op naleving

9. Boetes — €20 miljoen of 4% van de wereldwijde omzet (artikel 83)

De twee niveaus

Artikel 83 stelt twee maximale boeteniveaus vast:

  • Niveau 1 — tot €10 miljoen of 2% van de wereldwijde jaaromzet, wat hoger is: overtredingen van verplichtingen van verwerkingsverantwoordelijken/verwerkers (art. 8, 11, 25–39, 42, 43)
  • Niveau 2 — tot €20 miljoen of 4% van de wereldwijde jaaromzet, wat hoger is: overtredingen van de basisbeginselen (art. 5), rechtsgrondslag (art. 6), voorwaarden voor toestemming (art. 7), bijzondere categorieën gegevens (art. 9), rechten van betrokkenen (art. 12–22) en internationale doorgiften (art. 44–49)

Hoe toezichthouders het bedrag berekenen

De EDPB heeft de richtsnoeren 04/2022 over de berekening van administratieve boetes uitgevaardigd (aangenomen op 24 mei 2023), die een methodologie in vijf stappen vaststellen:

  1. Identificeer de verwerkingsactiviteiten en pas artikel 83, lid 3, toe om te bepalen of één of meerdere boetes van toepassing zijn
  2. Bepaal het startbedrag op basis van de ernst van de overtreding (art. 83, lid 2, onder a, b, g)
  3. Pas verzwarende of verzachtende omstandigheden toe (art. 83, lid 2, onder c–k)
  4. Zorg ervoor dat het dynamische plafond (art. 83, lid 4–6) niet wordt overschreden
  5. Beoordeel doeltreffendheid, evenredigheid en afschrikkende werking

Het boetelandschap van 2026

De cumulatieve AVG-boetes overschrijden tegen 2026 €5,5 miljard. Opvallende sancties zijn onder meer:

  • €1,2 miljard — Meta Platforms Ireland (Ierse DPC, 22 mei 2023) — onrechtmatige doorgiften naar de VS
  • €746 miljoen — Amazon Europe Core (Luxemburgse CNPD, 16 juli 2021) — adtech-toestemming
  • €405 miljoen — Meta/Instagram (Ierse DPC, 5 september 2022) — gegevens van kinderen
  • €390 miljoen — Meta/Facebook + Instagram (Ierse DPC, januari 2023) — rechtsgrondslag voor advertenties
  • €345 miljoen — TikTok (Ierse DPC, september 2023) — privacy van kinderen
  • €290 miljoen — Uber B.V. (Nederlandse AP, augustus 2024) — chauffeursgegevens naar de VS
  • €225 miljoen — WhatsApp (Ierse DPC, september 2021) — transparantietekortkomingen

De mkb-realiteit

De grote boetes richten zich op de grootste verwerkingsverantwoordelijken, maar toezichthouders zoals de AEPD leggen jaarlijks routinematig honderden boetes van €1.000–€50.000 op aan mkb-bedrijven — typische overtredingen zijn ontbrekende privacyverklaringen, niet-aangegeven cctv, illegale cookies en late DSR-reacties. Voor een EU-onlineverkoper met een omzet van €1–10 miljoen ligt de realistische blootstelling in de orde van €5.000–€100.000 per bevinding — aanzienlijk, maar te overleven, mits basale naleving op orde is.

📊 Boeterisicoprognose in het paneel

Het compliancedashboard van Zunapro vergelijkt je verwerkingsactiviteiten met de EDPB-methodologie voor boeteberekening en signaleert de risicovolste hiaten als eerste.

Voer risicobeoordeling uit →

10. AVG-checklist voor e-commerce + nationale toezichthouders

De 12-punts operationele checklist

  1. Stel een verwerkingsverantwoordelijke aan en (indien vereist) een DPO — documenteer de aanstelling en contactgegevens openbaar
  2. Houd een artikel 30-register bij van verwerkingsactiviteiten, geïndexeerd op doel, rechtsgrondslag, ontvangers, bewaring, doorgiften
  3. Publiceer een AVG-conforme privacyverklaring conform art. 13–14 — gelaagd, duidelijk geschreven, in de taal van de markt
  4. Implementeer een TCF v2.2-compatibel CMP met gelijkwaardige "Alles accepteren"/"Alles weigeren"-knoppen en gedetailleerde schakelaars
  5. Documenteer de rechtsgrondslag voor elke verwerkingsactiviteit — met name onderscheid maken tussen overeenkomst, gerechtvaardigd belang en toestemming
  6. Onderteken DPA's (art. 28) met elke verwerker — betaalproviders, hostingproviders, fulfilmentpartners, marketingtools
  7. Richt DSR-workflows in — art. 15–22, SLA van één maand, identiteitsverificatie, auditspoor
  8. Stel bewaar- en verwijderingsschema's vast — bestelgegevens, marketinggegevens, loggegevens, betaalgegevens, elk met een eigen klok
  9. Implementeer een 72-uurs meldplan voor datalekken — draaiboek, aangewezen DPO, sjablonen voor toezichthouders, monitoring
  10. Onderteken SCC's uit 2021 + voer TIA's uit voor elke niet-adequate doorgifte; vertrouw op het EU-VS DPF wanneer de verwerker gecertificeerd is
  11. Voer DPIA's (art. 35) uit voor hoogrisicoverwerkingen — profilering, grootschalige bijzondere categorieën gegevens, stelselmatige observatie
  12. Train personeel, leg beslissingen vast, documenteer alles — verantwoordingsplicht (art. 5, lid 2) is zelf een inhoudelijke verplichting

Nationale toezichthoudende autoriteiten — wie wanneer te contacteren

Lidstaat Autoriteit Stad Opvallende handhavingsfocus 2026
Frankrijk CNIL Parijs Cookies, adtech, TCF, hoge boetes
Spanje AEPD Madrid Mkb-handhaving, cctv, vertragingen bij DSR's
Italië Garante Rome AI/ChatGPT, telemarketing, cookies
Duitsland — federaal BfDI Bonn Federale organen, telecom, post
Duitsland — deelstaten 16 deelstaattoezichthouders Per deelstaat Handhaving in de private sector (LfDI BW, BlnBDI, HmbBfDI meest actief)
Nederland Autoriteit Persoonsgegevens (AP) Den Haag Cookiewalls, AI-register, datalekken bij de overheid
Ierland Data Protection Commission (DPC) Dublin Leidende autoriteit voor big tech, hoogste boetes
Hongarije NAIH Boedapest Cctv, gezichtsherkenning, HR-gegevens
België Gegevensbeschermingsautoriteit (APD/GBA) Brussel Adtech, IAB Europe TCF-uitspraken
Verenigd Koninkrijk ICO (UK GDPR) Wilmslow Adtech, kindercode, AI-richtsnoeren

De tabel lezen: voor grensoverschrijdende zaken geldt het "one-stop-shop"-mechanisme en is de leidende autoriteit de toezichthouder van de hoofdvestiging van de verwerkingsverantwoordelijke. Voor puur nationale klachten behandelt de lokale toezichthouder de zaak. Zunapro slaat per tenant een configuratie van de leidende autoriteit op, zodat klachten van klanten automatisch worden doorgestuurd.

Een Zunapro-webshop AVG-klaar maken — stap voor stap

1. Configureer de verwerkingsverantwoordelijke en DPO

Verklaar in het Zunapro-paneel → Instellingen → Privacy de rechtspersoon als verwerkingsverantwoordelijke, het geregistreerde adres, de EU-vertegenwoordiger (als je buiten de EU bent gevestigd) en de DPO-contactgegevens. Deze waarden vullen de artikel 13-privacyverklaring, de eerste laag van de cookiebanner en de configuratie van de DSR-mailbox.

2. Activeer de TCF v2.2 CMP

  • Schakel het Consent Management Platform in onder Instellingen → Cookies
  • Kies de lay-out (banner, modal, balk) en bevestig gelijkwaardige behandeling van "Alles accepteren"/"Alles weigeren"
  • Selecteer doelen 1–11 uit de TCF GVL — Zunapro selecteert vooraf de e-commercestandaarden
  • Bevestig de permanente link "Cookie-instellingen" in de footer

3. Genereer de artikel 13-privacyverklaring

Zunapro genereert een meertalige verklaring op basis van de gegevens die je in stap 1 hebt ingevoerd, plus de integraties die je hebt verbonden (betaalproviders, marketingtools, hostingregio). Controleer, bewerk de gelokaliseerde versie per markt, publiceer.

4. Richt de DSR-workflow in

  • Configureer de privacymailbox (of webformulier-endpoint)
  • Koppel het recht (inzage, wissing, enz.) aan de SLA en aan de systemen die actie moeten ondernemen
  • Activeer het auditlog

5. Activeer monitoring van datalekken + SCC-bibliotheek

Schakel het 72-uurs incidentresponsdraaiboek in en importeer vooraf ondertekende SCC's uit 2021 voor elke subverwerker die buiten de EU/EER opereert. Zunapro stuurt jaarlijkse herinneringen voor het vernieuwen van TIA's.

6. Ga live

  1. Log in bij Zunapro en open de EU-module
  2. Activeer Privacy Hub in Instellingen
  3. Doorloop de wizard — verwerkingsverantwoordelijke, DPO, CMP, privacyverklaring, DSR, meldplan, SCC's
  4. Vertaal naar elke markt waarin je verkoopt (Zunapro levert sjablonen in EN, DE, FR, ES, IT, NL, PL, HU, PT, RO, CS, SK)
  5. Ga live — de eerste end-to-end doorloop is doorgaans binnen 10–15 minuten voltooid voor één webshop

Maak elke EU-webshop AVG-klaar in één paneel

TCF v2.2 CMP · Artikel 13-privacyverklaring · DSR-workflow · 72-uurs meldplan voor datalekken · SCC's 2021 + TIA's · vooraf in kaart gebrachte toezichthouderbibliotheek voor CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Integratie in 10 minuten, geen demo vereist.

Verbind EU-marktplaatsen →

Veelgestelde vragen over EU AVG 2026

Wat is de AVG en wanneer is deze in werking getreden?

De AVG is de Algemene Verordening Gegevensbescherming — formeel Verordening (EU) 2016/679. Ze werd op 27 april 2016 aangenomen en werd op 25 mei 2018 rechtstreeks van toepassing in de 27 EU-lidstaten en de drie EER-landen (Noorwegen, IJsland, Liechtenstein).

Omdat het een verordening is en geen richtlijn, trad ze op dezelfde datum in werking in elke lidstaat, zonder nationale omzetting. Ze verving de dataprotectierichtlijn uit 1995 (95/46/EG).

Heb ik AVG-toestemming nodig voor cookies op mijn e-commercesite?

Ja, voor alle niet-essentiële cookies: analytics, advertenties, personalisatie, A/B-testen, embeds van derden. Strikt noodzakelijke cookies (winkelwagen, inlogsessie, CSRF-token) zijn vrijgesteld, maar moeten wel worden gedocumenteerd.

Het sinds november 2023 verplichte IAB Europe TCF v2.2-raamwerk is de standaard voor het verzamelen en signaleren van toestemming. Vooraf aangevinkte vakjes, cookiewalls zonder gelijkwaardige weigeroptie en "doorgaan met browsen als toestemming" zijn expliciet verboden volgens de EDPB-richtsnoeren en handhavingsbeslissingen van CNIL/AEPD.

Is een privacyverklaring verplicht onder de AVG?

Ja. Artikelen 13 en 14 van de AVG verplichten elke verwerkingsverantwoordelijke — inclusief elke e-commerceverkoper — om een duidelijke, transparante privacyverklaring te verstrekken. Verplichte inhoud omvat de identiteit van de verwerkingsverantwoordelijke, doeleinden en rechtsgrondslagen van de verwerking, bewaartermijnen, ontvangers, internationale doorgiften, rechten van betrokkenen en het recht om een klacht in te dienen bij een toezichthoudende autoriteit.

De verklaring moet in eenvoudige taal zijn, gemakkelijk toegankelijk (meestal gelinkt vanuit de footer van elke pagina) en overeenkomen met je daadwerkelijke verwerkingsactiviteiten. Standaardverklaringen die niet overeenkomen met het artikel 30-register zijn een veelvoorkomende reden voor boetes.

Wanneer moet een e-commercebedrijf een DPO aanstellen?

Artikel 37 van de AVG vereist een functionaris voor gegevensbescherming wanneer (a) de verwerking wordt uitgevoerd door een overheidsinstantie, (b) de kernactiviteiten regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereisen, of (c) de kernactiviteiten grootschalige verwerking van bijzondere categorieën gegevens of strafrechtelijke gegevens omvatten.

De veelgeciteerde drempel van 250 werknemers heeft betrekking op de registerplicht van artikel 30, niet op de aanstelling van een DPO. In de praktijk hebben de meeste marktplaatsen, grote retailers en e-commercebedrijven die sterk leunen op gedragsgerichte advertenties een DPO nodig, ongeacht het aantal medewerkers. Nationale regels kunnen strenger zijn — de Duitse BDSG vereist een DPO vanaf 20 personen die betrokken zijn bij geautomatiseerde verwerking.

Wat zijn de AVG-rechten van betrokkenen?

Hoofdstuk III (art. 15–22) verleent acht rechten: inzage (art. 15), rectificatie (art. 16), gegevenswissing / recht om vergeten te worden (art. 17), beperking (art. 18), gegevensoverdraagbaarheid (art. 20), bezwaar (art. 21), en het recht om niet te worden onderworpen aan uitsluitend geautomatiseerde besluiten, met inbegrip van profilering (art. 22), plus het recht op informatie (art. 13–14).

Artikel 12 stelt de operationele regels vast: reageer binnen een maand, verlengbaar met nog eens twee maanden voor complexe of talrijke verzoeken, kosteloos tenzij het verzoek "kennelijk ongegrond of buitensporig" is.

Wat is de regel van de meldplicht datalekken binnen 72 uur?

Artikel 33 van de AVG verplicht verwerkingsverantwoordelijken om de bevoegde toezichthoudende autoriteit binnen 72 uur na kennisname te informeren over een inbreuk in verband met persoonsgegevens, tenzij het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Bij hoog risico vereist artikel 34 ook dat de betrokken personen zonder onredelijke vertraging worden geïnformeerd.

Late of ontbrekende meldingen leiden regelmatig tot boetes, los van de onderliggende inbreuk — Twitter International (€450.000, Ierse DPC, 2020) en Uber (€600.000, Nederlandse AP) zijn bekende voorbeelden.

Hoe kan ik e-commerceklantgegevens buiten de EU overdragen na Schrems II?

Na Schrems II (HvJEU C-311/18, 16 juli 2020) is Privacy Shield ongeldig verklaard. Doorgiften naar een derde land vereisen nu ofwel (i) een adequaatheidsbesluit van de Commissie — momenteel geldend voor het VK, Zwitserland, Japan, Zuid-Korea, Canada (commerciële organisaties), Israël en andere landen, plus het EU-VS Data Privacy Framework aangenomen in juli 2023 — ofwel (ii) de modelcontractbepalingen 2021 samen met een transfer impact assessment en aanvullende technische maatregelen.

End-to-end-versleuteling, pseudonimisering en contractuele/organisatorische maatregelen zijn de meest voorkomende aanvullende waarborgen (EDPB-aanbevelingen 01/2020).

Hoe verandert de ePrivacyverordening de cookieregels?

De ePrivacyverordening, bedoeld om de ePrivacyrichtlijn 2002/2009 (Richtlijn 2002/58/EG, de "cookierichtlijn") te vervangen, wordt sinds 2017 onderhandeld. Eenmaal aangenomen zal deze de regels voor cookies, elektronische marketing en metadata in de hele EU harmoniseren op verordeningsniveau, ter vervanging van de huidige lappendeken van nationale wetten.

De huidige verwachting in 2026 is afronding onder de nieuwe Commissietermijn. Tot die tijd blijven nationale ePrivacywetten (Frankrijk LCEN / CNIL-beraadslaging 2020-091, Duitsland TTDSG/TDDDG, Spanje LSSI-CE, Italië Garante 2021 cookierichtsnoeren) naast de AVG van kracht. Een TCF v2.2 CMP is toekomstbestendig voor het ePR-ontwerp.

Hoe hoog zijn AVG-boetes en wie legt ze op?

Artikel 83 van de AVG stelt twee niveaus vast: tot €10 miljoen of 2% van de wereldwijde jaaromzet (wat hoger is) voor administratieve overtredingen, en tot €20 miljoen of 4% van de wereldwijde jaaromzet voor overtredingen van de kernbeginselen, de rechtsgrondslag, rechten van betrokkenen en internationale doorgiften.

Boetes worden opgelegd door nationale toezichthoudende autoriteiten — CNIL (Frankrijk), AEPD (Spanje), Garante (Italië), BfDI en de 16 deelstaatautoriteiten (Duitsland), AP (Nederland), NAIH (Hongarije), ICO (VK, onder de UK GDPR), de Ierse DPC (de leidende autoriteit voor de meeste big-techzaken). De grootste enkele boete tot nu toe bedraagt €1,2 miljard tegen Meta Platforms Ireland (Ierse DPC, mei 2023).

Hoe ziet een minimale AVG-checklist eruit voor een EU-e-commerceverkoper?

Twaalf essentiële punten: (1) een verwerkingsverantwoordelijke aanstellen en, indien vereist, een DPO; (2) een verwerkingsregister bijhouden conform artikel 30; (3) een AVG-conforme privacyverklaring publiceren; (4) TCF v2.2-cookietoestemming implementeren; (5) de rechtsgrondslag per verwerkingsactiviteit documenteren; (6) verwerkersovereenkomsten ondertekenen met elke verwerker; (7) workflows voor verzoeken van betrokkenen inrichten met SLA's; (8) bewaar- en verwijderingsschema's vaststellen; (9) een 72-uurs meldplan voor datalekken implementeren; (10) SCC's 2021 + TIA's opzetten voor niet-adequate doorgiften; (11) DPIA's uitvoeren voor hoogrisicoverwerkingen; (12) personeel trainen en alles documenteren.

Is de AVG van toepassing op niet-EU-verkopers die naar de EU verzenden?

Ja. Artikel 3, lid 2, van de AVG heeft extraterritoriale werking: elke verwerkingsverantwoordelijke of verwerker buiten de EU die goederen of diensten aanbiedt aan betrokkenen in de EU/EER, of hun gedrag monitort, valt onder de AVG.

Niet-EU-verkopers moeten in de meeste gevallen een EU-vertegenwoordiger aanstellen op grond van artikel 27 — een natuurlijke of rechtspersoon gevestigd in de EU die optreedt als aanspreekpunt voor toezichthoudende autoriteiten en betrokkenen. Turkse, Britse, Amerikaanse en Aziatische e-commerceactiviteiten die grensoverschrijdend naar de EU verkopen, hebben dus allemaal AVG-naleving nodig en doorgaans een artikel 27-vertegenwoordiger.

Wat is het verschil tussen een verwerkingsverantwoordelijke en een verwerker?

De verwerkingsverantwoordelijke bepaalt de doeleinden en middelen van de verwerking — doorgaans de e-commerceverkoper zelf. De verwerker verwerkt persoonsgegevens namens de verwerkingsverantwoordelijke op basis van gedocumenteerde instructies — doorgaans betaalproviders, fulfilmentpartners, marketingtools, hostingproviders.

Artikel 28 vereist een schriftelijke verwerkersovereenkomst (DPA) tussen beide partijen, die het onderwerp, de duur, de aard, het doel, de categorieën gegevens, de verplichtingen van de verwerkingsverantwoordelijke en de verplichtingen van de verwerker regelt (met inbegrip van de toestemming voor subverwerkers, melding van datalekken aan de verwerkingsverantwoordelijke, verwijdering/teruggave bij het einde van de dienstverlening).

Hoe lang duurt het om een Zunapro-webshop AVG-conform te maken?

Ongeveer 10 minuten voor de technische laag. Zunapro levert AVG-klare webshops met een TCF v2.2-compatibel Consent Management Platform, sjablonen voor artikel 13-privacyverklaringen in 12 EU-talen, workflows voor verzoeken van betrokkenen, configureerbare bewaarregels, geautomatiseerde tools voor het melden van datalekken en vooraf ondertekende SCC's uit 2021 voor subverwerkers.

Het resterende werk is eerder beleidsmatig dan technisch: het documenteren van je rechtsgrondslagen per verwerkingsactiviteit, het invullen van je artikel 30-register en het afstemmen van je contactgegevens voor de toezichthoudende autoriteit. De meeste verkopers voltooien de eerste volledige doorloop binnen een middag en verfijnen daarna.

Lanceer je EU-e-commercestack — standaard AVG-conform

Verordening (EU) 2016/679 · TCF v2.2-cookietoestemming · Artikel 13-privacyverklaring · 8 rechten van betrokkenen · 72-uurs meldplan voor datalekken · SCC's 2021 + TIA's · vooraf in kaart gebrachte toezichthouderbibliotheek voor CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Eén paneel, elke EU-webshop, elke marktplaats.

🇪🇺 Lanceer in de hele EU →
Delen:

Hulp nodig hierbij?

Bijbehorende dienst: E-Commerce

Neem contact op

Krijg gratis consult voor uw e-commerceproject.

Chat op WhatsApp