Achtergrond

Juridische vraag: is webshop verplicht accounts op te heffen?

woensdag 17 september 2014, 11:16 door Arnoud Engelfriet, 13 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Zijn webshops verplicht mijn account (inclusief orderhistorie) te verwijderen indien ik daar als klant om vraag?

Antwoord: Een account bij een site of dienst is een verzameling persoonsgegevens. Ze bevatten immers gegevens die over de eigenaar gaan: contactinformatie, maar ook gegevens over bestellingen en mogelijk ook betaalinformatie.

De Wet bescherming persoonsgegevens bepaalt (art. 36) dat de beheerder (verantwoordelijke) van iemands persoonsgegevens deze moet wissen op verzoek van de betrokken iemand. Tenminste, als die gegevens feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.

Bij accountgegevens zou het primair gaan om "niet ter zake dienend", oftewel achterhaald en niet meer relevant vandaag de dag. Wanneer daarvan sprake is, hangt af van het soort account en de reden dat het nog bestaat.

Bij een webshop lijkt het me relevant om oude orders te bewaren zolang ze nog niet geleverd zijn, en maximaal één à twee jaar daarna. Dat is immers hoe lang producten normaliter meegaan, en vanwege het claimen van (wettelijke of vrijwillige) garantie moet je na kunnen gaan wanneer iets gekocht is.

Voor facturen geldt hetzelfde. Daar komt bij dat je die zeven jaar moet bewaren van de Belastingdienst, inclusief de bijkomstige administratie om te bewijzen dat de factuur echt is en te koppelen is aan een specifieke verkoop of dienst.

Je kunt je natuurlijk afvragen waarom je dat in een account zou bewaren dat met wachtwoord vanaf internet toegankelijk is. En dat is een goede vraag, die best kan impliceren dat je dit eigenlijk maar naar een afgeschermde administratie moet verhuizen. Dat je de administratie moet bewaren, impliceert immers niet dat het klantaccount actief moet zijn.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Juridische vraag: mag werkgever chatberichten monitoren?

Reclame voor spionagepen verboden door Reclame Code Commissie

Reacties (13)

17-09-2014, 11:53 door Anoniem

@Arnoud: Sinds wanneer moet ik als consument mijn facturen 7 jaar bewaren? Volgens mij geld dat voor bedrijven:
http://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/facturen_maken/uw_facturen_bewaren

Misschien moet bovenstaande beter uitgelegd worden dat het vanuit de webshop eigenaar bekeken wordt, en niet de consument. Volgens mij de is de vraag gesteld vanuit een consumenten oogpunt, en dan zou ik dat ook zo beantwoorden. Nu lijkt het erop dat het vanuit de webshop oogpunt is geantwoord.

TheYOSH

17-09-2014, 12:54 door _R0N_

In mijn ogen i seen webshop niets anders dan een winkel.
Als ik iets koop bij de winkel op de hoek hoef ik ok geen account te maken en persoonsgegevens te overhandigen.

Mocht een item stuk gaan heb je gewoon een aankoopbon nodig of bewijs van betaling en wie er met de bon/bewijs komt maakt in mijn ogen geen moer uit.

Daar vanuit gaande hoeft een webshop dus die gegevens helemaal niet te hebben.

17-09-2014, 13:11 door RaceAap

@_RON_: zonder adres gegevens kan die webshop het bestelde artikel niet aan je leveren.
Als je zelf op je privacy gesteld bent zul je daar zelf maatregelen voor moeten treffen: zoals een postbus om je bestellingen te laten afleveren.
Veel webshops geven tegenwoordig je de keus: bestellen zonder account en geen tracking van je order of een account maken en wel kunnen zien wat de status van je bestelling is.

17-09-2014, 13:37 door _R0N_

@RaceAap: een aflever adres is iets anders dan persoonsgegevens..
Je kunt het pakket wel laten afleveren zonder voornaam, achternaam, geboortedatum etc..

17-09-2014, 13:43 door Arnoud Engelfriet

@TheYOSH je hebt gelijk, die zeven jaar geldt voor de webwinkel. Ik wilde aangeven dat deze dit kan aangrijpen om te zeggen "uw account moet nog 7 jaar actief blijven" maar dát is onzin. De administratie kan ook best geprint in een map op kantoor,d at hoeft niet in een account.

17-09-2014, 13:47 door _R0N_

@Arnoud: Alleen de transactie hoeft toch bewaard te blijven?
De meeste winkels in de stad hebben geen idee wat ze aan wie verkocht hebben en hebben alleen een afschrift van wat er verkocht is op welk tijdstip..

17-09-2014, 14:28 door Anoniem

Door _R0N_: @Arnoud: Alleen de transactie hoeft toch bewaard te blijven?
De meeste winkels in de stad hebben geen idee wat ze aan wie verkocht hebben en hebben alleen een afschrift van wat er verkocht is op welk tijdstip..

Winkels moeten een uitdraai van de kassa toevoegen aan hun administratie. Maar wanneer een factuur wordt opgesteld (en dat gebeurt/moet altijd bij een webwinkel) dan moet de factuur in de administratie bewaard blijven.

Dat is hetzelfde als het bonnetje van een contante aankoop in de kleine kas en een factuur van een leverancier. De factuur is onder andere een gevolg van het feit dat het een verkoop op afstand is. Daarin moet altijd eenduidig vastliggen waarom het gaat. Dat is ook in je eigen belang, want bij retourzendingen wil je niet de discussie hebben of het retourgestuurde wel hetzelfde is als het geleverde.

18-09-2014, 03:45 door Anoniem

De bewaarplicht is veel breder dan alleen de factuur. Alle gegevens die een ondernemer heeft over transacties, maar ook over offertes die niet tot transacties hebben geleid, vallen formeel onder de bewaarplicht.
Bij een webwinkel is die informatie aan het account gekoppeld en de ondernemer zal dat moeten bewaren, om aan de fiscale regels te voldoen. Een vordering tot verwijdering van een account behoort imho daarom door een webwinkelaar afgewezen te worden.

18-09-2014, 07:49 door Ilja. _V V - Bijgewerkt: 18-09-2014, 07:58

Antwoord: Nee, want webshop bestaat niet.

Arnoud, &/of Redactie, doet de spellingscontrole het wel? Zover jullie dat nodig hebben, natuurlijk... ;-)

Juridische vraag: is webshop verplicht accounts op te heffen?
woensdag 17 september 2014, 11:16 door Arnoud Engelfriet, 7 reactiesICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Blabla...

WebWinkel, da's wel goed Nederlands.

18-09-2014, 09:00 door Anoniem

Maar dan wel zonder hoofdletters, want 'WebWinkel' is geen goed Nederlands...

On topic:

In de vraag staat vermeldt: 'inclusief orderhistorie', dat kan dus waarschijnlijk niet. Als de vraagsteller bedoelt om de toegang vanaf het web te blokkeren/te verwijderen, dan zou dat dus mogelijk moeten zijn. Maar over het gebruik van de account met toegang vanaf het internet zal in de algemene en verkoopvoorwaarden van de winkel meer informatie moeten staan? Daar stem je ongetwijfeld in met het gebruik van zo'n account?

21-09-2014, 10:09 door Briolet

Door Anoniem: De bewaarplicht is veel breder dan alleen de factuur. Alle gegevens die een ondernemer heeft over transacties, maar ook over offertes die niet tot transacties hebben geleid, vallen formeel onder de bewaarplicht.…

Mij schoot ook de bewaarplicht van offertes als eerste te binnen. Als dat er onder valt, dan valt de account-info er, gevoelsmatig, ook onder. Maar men kan voor specifieke onderdelen een ontheffing krijgen bij de belastingdienst. Op hun site staat:

Voor de overige gegevens kunt u met ons afspraken maken over kortere bewaartermijnen dan 7 jaar. Voor de basisgegevens en de overige gegevens kunt u met ons afspraken maken over:

• de vorm waarin u de gegevens bewaart (op papier of elektronisch)
• het detailniveau (bijvoorbeeld dagstaten of telstroken van de kassa)

Deze afspraken worden schriftelijk vastgelegd.

Dus als het informate is die de belastingdienst niet belangrijk vind, kunnen ze een ontheffing geven. Het blijft de vraag of een webwinkel zin heeft om moeite te doen voor zo'n ontheffing. (En of dit iets is wat de belastingdienst verleent)

21-09-2014, 11:26 door Reinder

Een van de redenen om de account-naam te bewaren (dus niet gekoppelde gegevens als naam, adres, telefoonnummer etc.) is om te voorkomen dat iemand anders een nieuw account maakt met dezelfde naam. Bij het maken van een account wordt meestal een uniek ID gegenereerd wat dan gebruikt wordt als key, maar dat is niet een nummer dat gebruikers te zien krijgen of moeten weten. Als een gebruiker contact opneemt om wat voor reden dan ook wil je dus dat ook de AccountNaam uniek is. De koppeling AccountNaam en CustomerID zal bewaard blijven om te voorkomen dat er meerdere ID's gaan bestaan met dezelfde naam, of andersom. Er zijn verschillende redenen waarom je niet wil dat transacties van meerdere gebruikers anders "samengevoegd" zouden worden, bijv. voor de financiele/order administratie, maar ook voor bijv. het maken van statistieken (in welke regio wonen de grootste klanten, heeft regionaal adverteren meer klanten uit die regio opgeleverd etc etc).

Uiteraard is het wel mogelijk om alle andere gegevens anders dan de accountnaam en de gegevens die wettelijk bewaard moeten worden te verwijderen of te vervangen door een string als "deleted". Veel "off the shelf" software heeft die mogelijkheid niet standaard, maar de gebruiker zelf of de beheerder kan dat natuurlijk wel doen. Een tip zou dan ook zijn om, voordat je van plan bent een account te gaan verwijderen, eerst zoveel mogelijk velden zelf te veranderen en daarna pas je account weg te gooien.

21-09-2014, 14:21 door Anoniem

Bedankt voor het beantwoorden van mijn vraag Arnoud.

De vraag stelde ik omdat ik uit gewoonte zo min mogelijk gegevens wil achterlaten bij bedrijven. Als ik zeker weet dat ik nooit meer bestel bij een webshop, hoeft mijn account (vanuit mijn consumenten oogpunt gezien) ook niet actief te blijven. Hetzelfde geldt voor oude orders van vijf jaar terug. Het antwoord op de vraag is duidelijk.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer