Home Kennisbank Privacyrecht Mag een webshop mijn persoonlijke gegevens verkopen? | Claim.Cafe
Privacyrecht

Mag een webshop mijn persoonlijke gegevens verkopen? | Claim.Cafe

Redactie 5 min lezen 25 mrt 2026 7 keer gelezen
Kort antwoord

Nee, een webshop mag jouw persoonlijke gegevens niet zomaar verkopen. De Algemene Verordening Gegevensbescherming (AVG) verbiedt dit tenzij je daar uitdrukkelijk toestemming voor hebt gegeven. Doe je dat niet, dan overtreedt de webshop de wet en kun je actie ondernemen.

Mag een webshop mijn persoonlijke gegevens verkopen?

Nee, een webshop mag jouw persoonlijke gegevens niet zomaar verkopen. De Algemene Verordening Gegevensbescherming (AVG) verbiedt dit tenzij je daar uitdrukkelijk toestemming voor hebt gegeven. Doe je dat niet, dan overtreedt de webshop de wet en kun je actie ondernemen.

Laatst gecontroleerd: maart 2026. Juridische informatie kan veranderen — controleer altijd de actuele wetgeving op wetten.nl.

Wat zegt de wet?

In Europa geldt een strenge privacywet: de Algemene Verordening Gegevensbescherming, ook wel de AVG genoemd. In het Engels heet dit de GDPR. Deze wet regelt hoe bedrijven omgaan met jouw persoonlijke gegevens. Denk aan je naam, adres, e-mailadres, telefoonnummer en betaalgegevens.

De kern van de AVG is simpel: een bedrijf mag jouw gegevens alleen gebruiken als daar een geldige reden voor is. Die redenen staan opgesomd in de wet. De bekendste reden is toestemming — jij geeft expliciet aan dat je het goed vindt. Maar er zijn ook andere redenen, zoals het uitvoeren van een overeenkomst (je hebt iets besteld) of een wettelijke verplichting.

Het verkopen van jouw gegevens aan een derde partij — bijvoorbeeld een marketingbedrijf of een verzekeraar — valt daar normaal gesproken niet automatisch onder. Daarvoor heeft een webshop jouw aparte, uitdrukkelijke toestemming nodig. Die toestemming moet vrij gegeven zijn. Dat betekent: je mag niet gedwongen worden. Je moet ook makkelijk je toestemming kunnen intrekken.

De AVG is vastgelegd in Europese wetgeving en verder uitgewerkt in de Nederlandse Uitvoeringswet AVG. Je kunt de tekst hiervan vinden op wetten.nl. De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder. Die AP kan boetes opleggen aan bedrijven die de AVG overtreden. Die boetes kunnen oplopen tot tientallen miljoenen euro's.

Artikel 6 van de AVG (controleer dit artikel op wetten.nl voor de meest actuele versie) omschrijft de zes grondslagen waarop verwerking van persoonsgegevens is toegestaan. Verkoop van gegevens aan derden valt hier zelden automatisch onder. Artikel 7 van de AVG (controleer dit artikel op wetten.nl voor de meest actuele versie) regelt de voorwaarden voor toestemming. Die toestemming moet aantoonbaar zijn. Een webshop moet kunnen bewijzen dat jij ja hebt gezegd.

Kortom: de wet is duidelijk. Jouw gegevens zijn van jou. Een webshop mag er niet mee doen wat het wil.

Wanneer geldt dit voor jou?

Deze regels gelden voor jou zodra je iets koopt bij een webshop die actief is in de Europese Unie. Het maakt niet uit of de webshop in Nederland of in een ander EU-land gevestigd is. Zelfs webshops buiten de EU moeten de AVG volgen als ze producten of diensten aanbieden aan mensen in Europa.

Stel: je hebt een account aangemaakt bij een Nederlandse webshop. Je hebt je naam, adres en e-mailadres ingevuld. De webshop stuurt die gegevens door naar een reclamebedrijf zonder dat je dat wist. Dat is een overtreding van de AVG, tenzij jij daarvoor toestemming had gegeven.

Maar let op: toestemming moet duidelijk zijn. Een klein vakje onderaan een registratieformulier dat al is aangevinkt, telt niet. De AVG schrijft voor dat toestemming actief moet worden gegeven. Jij moet zelf dat vinkje zetten. En je moet weten waarvoor je precies toestemming geeft.

Herken je één van deze situaties?

  • Je krijgt ineens e-mails van bedrijven waarbij je nooit iets hebt gekocht.
  • Je ziet gepersonaliseerde advertenties die verwijzen naar jouw aankopen elders.
  • Je ontvangt post van partijen die jouw adres niet zouden moeten kennen.

Dan is de kans groot dat jouw gegevens zijn gedeeld of verkocht zonder jouw toestemming. Dit is niet normaal en je hoeft dit niet te accepteren.

Ook als je wél toestemming hebt gegeven, heb je het recht die toestemming altijd in te trekken. Dat staat in artikel 7 van de AVG (controleer dit artikel op wetten.nl voor de meest actuele versie). Na intrekking mag de webshop jouw gegevens niet langer gebruiken voor dat doel.

Stappenplan — wat kun je nu doen?

  1. Controleer de privacyverklaring van de webshop. Die is verplicht en moet duidelijk uitleggen wat er met jouw gegevens gebeurt. Staat er niets over verkoop aan derden? Dan mag het ook niet.
  2. Dien een inzageverzoek in. Je hebt het recht te weten welke gegevens de webshop over jou heeft. Stuur een e-mail en vraag dit op. De webshop moet binnen één maand reageren.
  3. Trek je toestemming in. Als je ooit toestemming hebt gegeven voor het delen van gegevens, stuur dan een e-mail om die toestemming in te trekken. Bewaar een kopie van die e-mail.
  4. Vraag om verwijdering van jouw gegevens. Dit heet het "recht op vergetelheid". Je kunt vragen om jouw gegevens volledig te verwijderen. De webshop mag dit alleen weigeren als er een wettelijke reden is om de gegevens te bewaren.
  5. Dien een klacht in bij de Autoriteit Persoonsgegevens. Doe dit via autoriteitpersoonsgegevens.nl. De AP onderzoekt de klacht en kan optreden tegen de webshop. Dit is gratis voor jou.
  6. Overweeg een schadevergoeding te vragen. Als jij schade hebt geleden doordat jouw gegevens zijn verkocht, kun je de webshop aansprakelijk stellen. Denk aan reputatieschade, identiteitsfraude of financiële schade.
  7. Schakel juridische hulp in. Twijfel je of je een sterke zaak hebt? Stel je vraag via Claim.Cafe en laat een jurist meekijken.

Veelgemaakte fouten

  • Denken dat kleine lettertjes toestemming betekenen. Een privacyverklaring lezen is niet hetzelfde als toestemming geven voor gegevensverkoop. Toestemming moet actief en expliciet zijn.
  • Te lang wachten met een klacht. Hoe langer je wacht, hoe moeilijker het is bewijs te verzamelen. Handel snel als je vermoedt dat jouw gegevens zijn misbruikt.
  • Vergeten dat je toestemming kunt intrekken. Veel mensen weten niet dat dit altijd mag. Ook als je eerder ja hebt gezegd, kun je dat altijd terugdraaien.
  • Aannemen dat het normaal is. Spam en ongewenste reclame lijken normaal, maar zijn dat niet altijd. Ze kunnen een signaal zijn van illegale gegevenshandel.
  • Geen bewijs bewaren. Sla e-mails, schermafbeeldingen en correspondentie op. Dat heb je nodig als je een klacht indient of schadevergoeding eist.

Veelgestelde vragen

Mag een webshop mijn e-mailadres doorgeven aan een partnerwebshop?

Alleen als jij daar expliciet toestemming voor hebt gegeven. Een algemene privacyverklaring is niet genoeg. De webshop moet kunnen aantonen dat jij specifiek akkoord bent gegaan met het delen van jouw e-mailadres met die partnerwebshop.

Wat kan ik doen als ik spam ontvang na een aankoop?

Stuur eerst een verzoek aan de webshop om jouw gegevens te verwijderen en toestemming in te trekken. Reageert de webshop niet of lost het probleem zich niet op? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens via autoriteitpersoonsgegevens.nl.

Heb ik recht op schadevergoeding als mijn gegevens zijn verkocht?

Ja, als je kunt aantonen dat de webshop jouw gegevens onrechtmatig heeft verkocht én dat jij daar schade door hebt geleden, kun je een schadevergoeding eisen. Denk aan kosten door identiteitsfraude of aantoonbare reputatieschade. Raadpleeg een jurist om je kansen in te schatten.

Geldt de AVG ook voor buitenlandse webshops?

Ja. Als een webshop producten of diensten aanbiedt aan mensen in de EU, moet die webshop zich aan de AVG houden. Het maakt niet uit in welk land de webshop is gevestigd. Je kunt alsnog een klacht indienen bij de Nederlandse Autoriteit Persoonsgegevens.

Hoe vraag ik een webshop welke gegevens ze van mij hebben?

Stuur een schriftelijk inzageverzoek naar de klantenservice van de webshop. Vermeld duidelijk wie je bent en wat je wilt weten. De webshop is verplicht binnen één maand te reageren. Reageert de webshop niet? Dan kun je een klacht indienen bij de Autoriteit Persoonsgegevens.

Relevante wetsartikelen

  • Artikel 6 AVG — Grondslagen voor verwerking van persoonsgegevens (controleer dit artikel op wetten.nl voor de meest actuele versie)
  • Artikel 7 AVG — Voorwaarden voor toestemming (controleer dit artikel op wetten.nl voor de meest actuele versie)
  • Artikel 17 AVG — Recht op verwijdering ("recht op vergetelheid") (controleer dit artikel op wetten.nl voor de meest actuele versie)
  • Artikel 15 AVG — Recht op inzage (controleer dit artikel op wetten.nl voor de meest actuele versie)
  • Uitvoeringswet AVG — Nederlandse uitwerking van de Europese privacyregels (zie wetten.nl voor de exacte bepalingen)

Gerelateerde onderwerpen op Claim.Cafe

Heb jij een specifieke situatie? Stel je vraag gratis op Claim.Cafe en krijg antwoord van een echte jurist.