Dit kan werkelijk op tientallen manieren.

Één manier is dat de data is versleuteld met de credentials van de gebruiker (consument webwinkel) en een tweede key is gecreëerd voor de webwinkel zelf. De data is zodoende altijd versleuteld en kan slechts worden benaderd als de data-beheerder ook de key heeft van de webwinkel (hetgeen niet de bedoeling is).

Heb je een voorbeeld linkje van een werkend systeem? Ik zit nu aardig wat jaren in de IT, maar heb nog nimmer zo iets zien werken (op een webwinkel dataset wel te verstaan, die ook nog iets bij de klant moeten gaan afleveren en waar een helpdesk erbij moet kunnen).

Ook bij RTL valt zie zin op inmiddels: https://twitter.com/danielverlaan/status/1382705418481307648?s=20.

Volgens mij is dat altijd moeilijk 100% te krijgen. De data moet worden geraadpleegd op het moment van inloggen en bij interacties met de klant (afleveradres bij een bestelling b.v.) Dus helemaal dicht kan het dan niet zijn. En wanneer een aanvaller een proces kan injecteren, dat door de kluis wordt gezien als een legitieme opvraag (inclusief evt. keys en/of certificaten) zal de kluis het antwoord geven. Het wordt dan wel moeilijker, maar 100% zal het nooit zijn.

Dat is natuurlijk een goede oplossing; Een soort extra firewall.
Maar digitale inbrekers of het stereotiep: met de koevoet die morrelt aan je achterdeur, zij zullen blijven zoeken naar zwakheden èn die uiteindelijk vinden.
De veiligste manier om je data te 'beschermen' bij webwinkels is... de deleteknop, maar zij willen je als (potentie) klant natuurlijk niet kwijt. Da's geen beschuldiging maar gewoon een reële veronderstelling en daarnaast speelt nu ook een rol dat je zo'n beetje door de gevolgen van Corona overgeleverd bent aan een webwinkel voor bijvoorbeeld al een doosje schoensmeer.

Maar toch ook even het volgende:
Als je een account vraagt te verwijderen weet je niet zeker of dat wel (volledig) gebeurt.
Van een bedrijf weet ik - in mijn geval dus - dat het niet volledig is gedaan: Amazon.
Zo'n vijf jaar geleden kwam ik er langzamerhand achter dat ik daar geen account meer wilde voortzetten. De ambivalentie wilde echter dat ik vorig jaar spijt had omdat er bij Amazon meerdere door mij gezochte films (Blu-ray) wel verkrijgbaar waren; elders niet. Ik probeerde een account aan te maken met hetzelfde e-mailadres en tot mijn verbazing kon dat niet want het e-mailadres was in gebruik.

Dat is functioneel net zo iets als een password op een database connectie: tuurlijk, met een password voorkom je dat ongenode gasten die je database kunnen connecten (wat al niet zou moeten kunnen...) daar in kunnen en je data ophalen.
Maar het zwakke punt is meestal dat de applicatie zelf wel de database moet kunnen connecten, en het juiste password daar dus ergens in staat.
Hetzelfde probleem heb je met keys. Lijkt een leuk idee om al je data te encrypten in de database maar de key om dat te decrypten moet natuurlijk wel in dezelfde omgeving ergens beschikbaar zijn. Dus kan die wellicht weer worden gejat, of anders kan wellicht de applicatie die de key in bezit heeft worden verleid om dat decrypten te doen (bijv een of andere "export" functie)

Een datakluis levert niet meteen een eenduidige definitie op. Maar als het zoiets als een wachtwoord kluis is, is het gebaseerd op onbreekbare encryptie. Dat wil niet zeggen dat inbrekers of andere kwaadwillenden in het geheel geen kans meer hebben, ze kunnen de sleutel proberen bemachtigen of de data onderscheppen op het moment dat die niet versleuteld is. Maar het zou wel een heel stuk veiliger zijn omdat proberen de encryptie frontaal te kraken een oefening in zinloosheid is.

Zo moeilijk is het niet. Alle data versleuteld met een passphrase en ID als key.
Met de juiste combinatie van ID en passphrase kun je erbij. En anders niet.
Bij een order zijn je gegevens even beschikbaar tot de order is afgehandeld.
Dat zal wel fout gaan met facturen en de blauwe enveloppen brigade: daar zal wel meer op moeten staan.

Als je een mail address als ID gebruikt, dan ken de webshop je nog steeds spammen als ze dat willen.
Nadeel is natuurlijk dat - als ze het goed implementeren - ze geen order history van je hebben.

Grootste struikelblok om iets goed te doen lijkt wederom de overheid (fiscus in dit geval).

Een kabelboer in nood maakt rare sprongen?

Het nut van een kluis waar je gegevens in bewaart en zelfs (ongezien) zou kunnen wijzigen, maar waar je nooit wat uit kunt halen, ontgaat mij.

Onderaan de pagina waarin je bovenstaande tekst (in een popup) kunt vinden (https://X/faq-1504.php), kun je je abonneren voor hun nieuwsbrief door je e-mailadres in te vullen. Hoe kunnen ze jou ooit een e-mail sturen als ze jouw e-mail adres in een write-only "datakluis" hebben opgeslagen? En hoe kunnen ze spullen naar jouw huis verzenden als niemand bij jouw adresgegevens kan? Etcetera.

Ik hou het maar op een paniekreactie geschreven door iemand die er weinig van snapt. Hopelijk zijn ze niet belazerd en hebben ze niet veel geld uitgegeven aan een of ander snake oil product.

https://datakluis-systeem.nl/

Dank voor de link, dit ziet er onverwacht veilig uit!

Weet je toevallig of dit product authenticatie-beveiliging ondersteunt? In elk geval goed om te lezen dat o.a. RvR dit product aanbeveelt.

Elke webwinkel ook een web-versie is wettelijk verplicht garantie te velenen. Kan alleen met nota aankoopbon etc.
Gooien ze de gegevens weg dan is er meteen sprake van een datalek omdat je de garantie en mogelijk verhaal niet meer kan aanspreken. Laten we bij voorbaat alle aankoopbonnen bij het AP maalden dan..... verrek dat is een sleepnet.

"Onze gepatenteerde /dev/null oplossing houdt u veilig" LMAO

Inderdaad, onderaan de pagina "Een dag geen satire is een dag niet geleefd."

Niemand is verplicht die bonnen te bewaren in een online systeem. Noch gekoppeld aan een klant.
Klant kan adhv zijn bon danwel betaling wel die relatie aantonen.

Bon zelf is dus niet zo erg als die op straat ligt. Kijk maar eens voor een supermarkt ;)

Ze hoeven niet in een online systeem bewaard te worden, maar de belastingdienst vereist dat facturen 7 jaar bewaard worden. Aangezien facturen van webwinkels op naam zijn gesteld worden dus ook de klantgegevens 7 jaar bewaard.

Als ik in een winkel een laptop koop en cash afreken, weet de belastingdienst niet dat ik de koper ben. Waarom zou de belastingdienst op dit punt onderscheid maken tussen online en offline verkoop?

Het lijkt mij dus (verbeter me als ik dit fout heb) dat het de belastingdienst hierbij gaat om de omzetbelasting. Immers, de handelaar vraagt de BTW terug van ingekochte producten (en diensten), dus wil de belastingdienst die omzetbelasting terug zodra een eindgebruiker een product of dienst heeft aangeschaft en daarbij BTW heeft betaald. Als mijn aanname klopt zijn handelaren uitsluitend verplicht om daar een sluitende administratie over bij te houden, niet aan wie zij verkopen.

Als dat zo is, bestaat er voor online leveranciers geen enkele verplichting om persoonsgegevens van klanten te bewaren. Als ik een online leverancier vraag om mijn gegevens te verwijderen, zou die leverancier dus gewoon aan dat verzoek moeten voldoen en zich niet op "eisen van de belastingdienst" moeten beroepen.

Dat een online leverancier het gebruikers makkelijk wil maken door diens gegevens te bewaren, is prima als een gebruiker dat op prijs stelt. Door de database met niet op naam gestelde facturen los te koppelen van een database met klantgegevens, en daarin per klant factuurnummers van aangeschafte producten/diensen opslaat, zouden online leveranciers eenvoudig kunnen voldoen aan de vraag om klantgegevens te verwijderen.

Of zit ik er helemaal naast?

Dit kan al met een simpele MD5/SHA256-sum, beetje obscurity maar dan heb je geen kans op direct lekken van gegevens.
Net nog met een koevoet mijn raam geopend (true story, raam zat vast door verven).

Ik ben bang dat je ernaast zit, zoals blijkt uit dit antwoord op deze vraag of je als koper je gegevens uit de klantenadministratie kan laten verwijderen:
https://www.ictrecht.nl/blog/verwijdering-eisen-uit-de-klantenadministratie-kan-dat

En waarom het zo is? Ik neem aan omdat de belastingdienst zo goed mogelijk zijn controles moet kunnen uitvoeren. Aan kassasystemen in winkels waar je binnenloopt worden eisen gesteld. Bij online winkels zijn de klantgegevens onderdeel van het verkoopproces, je kan namelijk niet bezorgen zonder die gegevens, en omdat die onderdeel uitmaken van het proces van het afhandelen van een aankoop, inclusief de debiteuren/crediteurenadministratie, zijn ze ook onderdeel van wat zeven jaar bewaard moet worden. Je kan verdedigen dat voor particuliere klanten een andere keuze gemaakt had kunnen worden, maar kennelijk is dat niet gebeurd. En misschien wel met goede redenen. Ik overzie het niet, maar ik sluit niet uit dat een webwinkel die geen klantgegevens vastlegt allerlei sjoemel- en witwasmogelijkheden heeft die een gewone winkel moeilijker op dezelfde schaal kan toepassen. Daar kan je iemand een tijdje laten tellen hoeveel klanten de winkel in- en uitliepen en kijken of dat overeenkomt met de gegevens van de kassa, bijvoorbeeld.

Die klantgegevens hoeven natuurlijk niet online benaderbaar te zijn. Ik vind het helemaal niet erg als ik bij elke bestelling opnieuw mijn adresgegevens in moet vullen. Dat is nog altijd minder werk dan naar een winkel toegaan. Dus bestellingen zonder account leveren gegevens op die niet online opvraagbaar hoeven te zijn.

Dank voor jouw antwoord, maar je hebt mij niet overtuigd. Ik snap dat er niet met facturen gerommeld mag worden, een ondernemer mag deze dus niet wijzigen als de afnemer zijn persoonsgegevens verwijderd wil hebben. Je voorkomt dus problemen door die persoonsgegevens van begin af aan niet op de factuur te zetten.

Welke controles moet de belastingdienst uitvoeren als de verkoper netjes omzetbelasting afdraagt? (Die in principe ik betaald heb, maar zelfs dat boeit niet in het kader van de BTW-wet; als de verkoper sinterklaas wil spelen moet hij dat weten).

Welke? Tenzij ik er om vraag krijg ik nergens in offline winkels een op naam gestelde factuur, en niet elke verkoper heeft een kassa die bonnetjes afdrukt (handgeschreven bonnen worden schaarser, maar bestaan nog wel).

Dat is geen reden om klantgegevens op de factuur te zetten. Sowieso hoeft het afleveradres niet overeen te komen met jouw woonadres (het kan bijv. om een cadeautje gaan voor iemand die elders woont). Een online leverancier kan een afleveradres wissen na verzending; als daar iets fout mee gaat meldt de klant zich vanzelf en wie weet wil deze dan wel op een ander adres laten afleveren (werkadres, buren, ouders, postagentschap/afhaalpunt etc).

Waarom? Als ik met creditcard of iDEAL vooraf betaal kan er op de factuur worden vermeld dat vooraf is betaald; voor de omzetbelasting is het toch irrelevant dat uiteindelijk ik die BTW betaald heb?

Als de staat netjes omzetbelasting ontvangt zou ik niet weten waarom bij online verkoop klantgegevens op een factuur moeten staan en bij offline verkoop niet. Met het toenemend aantal lekken van persoonsgegevens neemt mijn verontwaardiging daarover toe. Als daadwerkelijk ooit zo'n keuze is gemaakt, wordt het hoog tijd dat deze wordt herzien.

Pure speculatie. Ongetwijfeld wil de belastingdienst graag alles van iedereen weten, maar dat is niet proportioneel voor hun taak en zeker niet voor de afdeling omzetbelasting. Bovendien kunnen klanten liegen over hun identiteit. Waarom zou een leverancier die controleren als deze zijn geld krijgt? En hoe zouden leveranciers die identiteit moeten controleren? Kopers een kopietje paspoort laten meesturen (voor wat dat waard is, ongeveer niets) en ook die kopiën 7 jaar bewaren?

Tenzij je online leveranciers zwaar gaat beboeten zodra ontdekt wordt dat zij facturen niet offline bewaren, gaat dat niet gebeuren want dat kost extra geld; cloudopslag is goedkoper.

Uitgaande van de eis dat facturen 7 jaar bewaard moeten worden, is het, vanuit het oogpunt van dataminimalisatie (rekening houdend met het risico op datalekken), onjuist als er meer persoonsgegevens op facturen staan dan strikt noodzakelijk voor het doel van die bewaartermijn. Met "dat is ooit zo wettelijk vastgelegd" (wat ik betwijfel) of "dit is een mooi excuus van marketingmensen om contactgegevens zo lang mogelijk te kunnen bewaren" mogen we niet (meer) akkoord gaan. Consumenten lopen in toenemende mate risico's; mocht het de belastingdienst zijn die de AVG ondermijnt, dan moet dat m.i. snel veranderen.

Is de datakluis wel een technische term. Of een term bedacht door een communicatie medewerkers die probeert uit te leggen wat men doet.

Oké, nog wat verder gezocht, en ik blijk inderdaad niet overal gelijk in te hebben. Een belangrijk punt is dat op een factuur de gegevens van de koper moeten staan. Dat vind je hier:
https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/facturen_maken/factuureisen/
Als die koper een particulier binnen Nederland is dan is een factuur niet verplicht. Maar als een factuur wordt opgemaakt moeten naam en adres er wel op staan. Als er een factuur gemaakt wordt is de consequentie dat die gegevens zeven jaar bewaard moeten worden.

Dat mag dus niet. Als die gegevens er niet op staan voldoet de factuur niet aan de eisen. Het was pure speculatie [ ;-) ] van jou dat een factuur zonder adresgegevens tot de mogelijkheden behoort.

Nog wat pure speculatie van mij: ik vermoed dat de meeste webwinkels het eenvoudiger vinden om voor elke aankoop een factuur te maken dan om op basis van een combinatie van eisen voor verschillende typen klanten (en wellicht ook wensen van verschillende individuele klanten) te gaan differentiëren. Met een factuur zit je goed qua eisen die de belastingdienst aan je administratie stelt. Maar als ze facturen maken dan moeten daar klantgegevens op staan en moeten die 7 jaar bewaard worden. Dat dat weer hoge eisen aan de informatiebeveiliging oplevert, vanwege de AVG maar net zo goed omdat je geen administratie meer hebt om aan de belastingdienst te laten zien als alles door ransomware is weggevaagd, dat is iets dat ondernemingen en andere organisaties nog door schade en schande aan het leren zijn.

Een kassabon is ook iets anders dan een factuur. De eisen die aan het proces en de administratie worden gesteld door de belastingdienst worden hoger naarmate de onderneming groter en complexer is. Het kleine afhaalrestaurantje om de hoek kan zich wel permitteren het allemaal met pen en papier te doen, de supermarkt kan zich dat absoluut niet permitteren. Om aan de eisen die gesteld worden te kunnen voldoen moeten de kassasystemen dat ondersteunen. Het is dus geen vaststaande set eisen waar elke kassa aan moet voldoen. De belastingdienst heeft er dit document over:
https://download.belastingdienst.nl/belastingdienst/docs/uw_bedrijf_en_het_kassa_on2001z5fd.pdf
Merk op dat de belastingdienst zelf formuleringen gebruikt als "een kassa die voldoet aan de wettelijke eisen". Dat soort formuleringen wekt de indruk dat dat ook zo is.

Dat geldt ook voor mij ;-)

Dat las ik ook. Overigens is binnen de EU voor consumenten bij veel producten, bij vooruitbetaling, een factuur niet verplicht (zie onderaan [1]).

[1] https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/zakelijk/btw/administratie_bijhouden/facturen_maken/wie_zijn_verplicht_te_factureren

Klopt...

Maar je voldoet daarmee m.i. niet aan de AVG. En voor bedrijven die te maken hebben met datalekken kunnen er voor 7 jaar (of meer als dan nog niet wordt geveegd) consumenten onnodig slachtoffer worden (van zakelijke klanten zijn adresgegevens e.d. sowieso bekend via de KvK). Dat betekent niet alleen een kans op hogere boetes, maar ook grotere reputatieschade (op tweakers.net las ik nogal wat reacties van klanten van X die not amused zijn).

Onbeschikbaarheid is een risico vooral voor de handelaar; in verkeerde handen vallen van klantgegevens is een risico voor de klanten. We moeten niet wachten tot elke webshop (na een data-op-straat-lek) door schade en schande wijzer is geworden; m.i. moet dataminimalisatie door de overheid worden afgedwongen als we nog iets van privacy willen overhouden.

Eens. Na wat lezen kom ik tot de volgende conclusie (ook hier, verbeter me als ik het fout heb):
1) Als je als afnemer BTW terug wilt kunnen krijgen, is een factuur noodzakelijk (die voldoet aan de eisen van de belastingdienst, dus inclusief de NAW-gegevens van de afnemer).

2) Voor de meeste producten die consumenten met vooruitbetaling bij webshops kopen, lijkt een formele factuur niet verplicht. In goed Vlaams, uit https://cloudhints.be/blog/wanneer-ben-ik-verplicht-om-een-factuur-uit-te-reiken/:
In Nederland geldt dat ook voor de meeste producten, uit [1] (en zie aldaar voor de uitzonderingen):

Uit het oogpunt van dataminimalisatie van persoonsgegevens (i.v.m. het verlagen van het risico op data-op-straat-lekken met onnodige slachtoffers) en om aan de AVG te kunnen voldoen in het geval dat klanten vragen om hun gegevens volledig te laten verwijderen, zouden webshops e.d. dus geen formele facturen voor particuliere afnemers meer moeten afgeven (die zij 7 jaar moeten bewaren). Tenzij afnemers daar expliciet om vragen natuurlijk. Het lijkt mij een taak van de overheid om dit af te dwingen. Naast eisen stellen aan het automatisch wissen van alle klantgegevens (incl. orderbevestigingen e.d.) na een maximale bewaartermijn, of zoveel eerder als verzocht door de klant.

Klopt. Maar sla niet over dat het voor de leverancier een verplichting is om zakelijke klanten van zo'n factuur te voorzien, het is niet iets dat alleen maar hoeft als de klant het wil.