Rechten van betrokkenen

Wat is het recht op dataportabiliteit en hoe bied je dat aan als kleine webshop?

Eva de Vries Eva de Vries
· · 6 min leestijd

Je kent het wel: je klant vraagt om al zijn of haar data. Misschien omdat ze overstappen naar een andere winkel, of gewoon omdat het kan. Dit is niet zomaar een vriendelijk verzoek; het is een wettelijk recht.

Inhoudsopgave
  1. Wat is dataportabiliteit eigenlijk?
  2. De basis: Artikel 20 van de AVG
  3. Hoe regel je dit als kleine webshop?
  4. Een praktijkvoorbeeld: de sieradenwinkel
  5. Waarom dit je helpt (en niet alleen maar lastig is)
  6. Conclusie

Het heet het recht op dataportabiliteit. Het klinkt ingewikkeld, maar het is eigenlijk best logisch.

Het betekent simpelweg dat jouw klant de touwtjes in handen heeft over zijn eigen gegevens. En ja, ook als kleine webshop moet je hier iets mee.

Maar geen zorgen, het is minder spannend dan het klinkt. Sterker nog, het kan je zelfs helpen om het vertrouwen van je klanten te winnen. In dit artikel leg ik je precies uit wat dit recht inhoudt en hoe je het zonder hoofdpijn regelt.

Wat is dataportabiliteit eigenlijk?

Stel je voor: je klant heeft een account bij jouw webshop. Hij of zij heeft gegevens achtergelaten: een naam, een adres, een bestelgeschiedenis, misschien wel een verlanglijstje.

Het recht op dataportabiliteit, vastgelegd in de AVG (Algemene Verordening Gegevensbescherming), geeft je klant de kracht om al die gegevens op te vragen. En niet zomaar als een hoopje rommel, maar netjes gestructureerd en leesbaar. Het doel? De klant kan deze data dan makkelijk meenemen naar een andere dienstverlener.

  • Naam, adres, woonplaats (NAW-gegevens)
  • Bestelhistorie
  • Betaalgegevens (let op: niet de volledige creditcardnummers, dat mag niet)
  • Marketingvoorkeuren (zoals een nieuwsbrief-inschrijving)
  • Eventuele klantnotities

Het gaat hier dus niet om een algemene rondleiding door je database.

Het is een specifieke kopie van de gegevens die de klant zelf heeft aangeleverd. Denk aan: Jij als webshop bent verplicht om deze gegevens te leveren binnen een maand. Is het druk? Dan mag je die termijn met een maand verlengen, maar je moet de klant wel even informeren waarom. Geen paniek, gewoon even een mailtje.

De basis: Artikel 20 van de AVG

Zonder technisch te worden, komt het hierop neer: artikel 20 van de AVG is de wet die dit regelt.

Het zegt dat jij, als verantwoordelijke voor de data, de gegevens moet aanleveren in een formaat dat geschikt is voor elektronische overdracht. Dat betekent dat je niet zomaar een PDF’tje mag sturen waar je niet mee kunt werken.

Het bestand moet te importeren zijn in andere systemen. Denk aan Excel, Google Sheets of een ander CRM-systeem. Belangrijk detail: dit recht staat niet op zichzelf. Het hangt samen met andere rechten, zoals het recht op correctie (je gegevens wijzigen) of het recht op vergetelheid (je gegevens laten verwijderen). Het is allemaal onderdeel van de controle die een klant heeft over zijn eigen digitale voetspoor.

Hoe regel je dit als kleine webshop?

Je hoeft geen IT-bedrijf in te huren. Voor de meeste kleine webshops is het een kwestie van een goede procedure opzetten. Hier is een stappenplan dat je kunt volgen.

1. Wees transparant: vertel het je klant

De eerste stap is communicatie. Je moet je klanten vertellen dat ze dit recht hebben.

Dit doe je via je privacyverklaring. Zorg ervoor dat deze niet alleen juridisch taalgebruik bevat, maar ook begrijpelijk is voor de gemiddelde bezoeker, bijvoorbeeld door uit te leggen hoe je een bezwaar tegen direct marketing afhandelt.

2. De verzoekprocedure: hoe vraagt de klant?

Geef aan dat klanten hun gegevens kunnen opvragen en dat ze deze kunnen meenemen naar een andere partij. Zorg ook dat je duidelijk maakt hoe ze een inzageverzoek kunnen indienen en afhandelen. Is het via een e-mailadres? Een contactformulier?

Maak het zo makkelijk mogelijk. Een extra pagina op je website met de titel “Mijn data” of “Data opvragen” kan wonderen doen voor de gebruikerservaring.

  • De naam en contactgegevens van de klant.
  • Een duidelijke omschrijving van welke data ze willen (bijv. "alle bestelgegevens van de afgelopen 2 jaar").
  • Een identiteitsbewijs. Dit klinkt zwaar, maar het is nodig om te voorkomen dat iemand anders met de data van je klant aan de haal gaat. Vraag om een kopie van een ID-kaart of rijbewijs (mag van de wet).

Je wilt niet eindeloos heen en weer mailen. Zorg voor een gestructureerde manier om verzoeken te ontvangen. Dit kan via een eenvoudig privacyverzoek-formulier op je site of een speciaal e-mailadres (bijvoorbeeld privacy@jouwwebshop.nl). Wat moet er in zo’n verzoek staan?

3. Het juiste formaat: CSV of JSON

Stuur altijd een ontvangstbevestiging. Zo weet de klant dat het verzoek binnen is en in behandeling is.

  • CSV (Comma Separated Values): Dit is een standaard bestand dat open kan worden in Excel, Google Sheets of andere spreadsheetprogramma’s. Het is universeel en ideaal voor lijsten met data, zoals bestelgeschiedenis.
  • JSON (JavaScript Object Notation): Dit is een iets technischer formaat, maar wordt veel gebruikt voor webapplicaties. Het is handig als de data complexer is (bijvoorbeeld met nestelingen).

Hier gaat het vaak mis. Je mag niet zomaar een onleesbaar bestand sturen.

De gegevens moeten in een "gestructureerd, veelvoorkomend en door de gebruiker leesbaar formaat" zitten. In de praktijk betekent dit meestal: Voor de meeste kleine webshops is een CSV-bestand de beste keuze.

4. Kosten: mag je geld vragen?

Het is simpel en voor 99% van de klanten te openen. Zorg wel dat de kolommen duidelijk zijn gelabeld (bijv. "Besteldatum", "Productnaam", "Prijs"). Niets is vervelender dan een bestand krijgen waar je niets van begrijpt.

De wet is hier helder in: je mag geen extra kosten rekenen voor het leveren van de data. Het moet gratis.

5. Beveiliging: lever de data veilig aan

Je mag wel kosten doorberekenen als de klant vraagt om een fysieke kopie op bijvoorbeeld een USB-stick, maar dat komt tegenwoordig amper voor. De meeste klanten willen digitaal.

Dus: geen excuus om geld te vragen voor een CSV-bestand. Je kunt niet zomaar een e-mail sturen met een bijlage zonder beveiliging. Zorg dat je de gegevens veilig verstuurt.

Gebruik een beveiligde link (via HTTPS) waar de klant de data kan downloaden, of versleutel het bestand met een sterk wachtwoord dat je apart verstuurt (bijvoorbeeld per SMS).

Denk ook na over de gegevens die je levert. Verwijder gevoelige informatie die niet nodig is, zoals volledige betaalgegevens (creditcardnummers mag je nooit verstrekken in een dataportabiliteitsbestand).

Een praktijkvoorbeeld: de sieradenwinkel

Stel, je hebt een kleine webshop die handgemaakte sieraden verkoopt. Een klant stuurt een e-mail: "Ik wil graag al mijn bestelgegevens hebben."

Zo pak je het aan: Klaar. De klant is blij, jij hebt voldaan aan de wet en het vertrouwen is groter.

  1. Je bevestigt ontvangst van de e-mail en vraagt om een kopie van een ID- bewijs (ter verificatie).
  2. Na ontvangst exporteer je de bestelhistorie uit je webshopsysteem (bijvoorbeeld Shopify of WooCommerce) naar een CSV-bestand.
  3. Je controleert of de kolommen duidelijk zijn: datum, product, prijs, BTW.
  4. Je stuurt het bestand op via een beveiligde link of een versleutelde e-mail, met een korte uitleg hoe het te openen.
  5. Je archiveert het verzoek en de verzonden data, voor je eigen administratie.

Waarom dit je helpt (en niet alleen maar lastig is)

Ja, het is een extra taak. Maar het bieden van dataportabiliteit is ook een kans.

Het laat zien dat je een transparante en klantgerichte webshop bent. Klanten die hun data kunnen meenemen, voelen zich minder "vastgezet" aan jouw winkel.

Dat vertrouwen zorgt ervoor dat ze eerder terugkomen of je aanraden bij anderen. Bovendien dwingt het je om je data op orde te houden, wat altijd handig is.

Conclusie

Het recht op dataportabiliteit is niet het einde van de wereld. Het is een gestructureerd recht dat ervoor zorgt dat klanten controle hebben over hun eigen informatie.

  • Duidelijk te communiceren via je privacyverklaring.
  • Een simpele verzoekprocedure te hebben.
  • Gegevens aan te leveren in een bruikbaar formaat (CSV of JSON).
  • Gratis en veilig te leveren.

Als kleine webshop kun je hieraan voldoen door: Dus, pak die CSV-exportfunctie in je webshop systeem, test het even, en je bent er klaar voor.

Het is een kleine moeite voor een groot gebaar naar je klanten.

Lees ook
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt? Wat is een inzageverzoek en hoe handel je dat correct af als klein bedrijf? Binnen hoeveel tijd moet je reageren op een inzageverzoek en wat zijn de gevolgen als je dat niet doet? Hoe identificeer je de persoon achter een inzageverzoek zonder te veel extra gegevens te vragen? Wat moet je meesturen bij een inzageverzoek: een praktisch overzicht Hoe stel je een intern proces in voor het afhandelen van inzageverzoeken?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Rechten van betrokkenen

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt?
Lees verder →