Blog

EU-compliance voor webshops

Handhaving, regelgeving, dark patterns en platformvalkuilen. Geschreven door ingenieurs die de richtlijntekst lezen.

Artikelen verschijnen voorlopig in het Engels. Nederlandse vertalingen zijn in voorbereiding.

Regulation15 Jun 2026·5 min leestijd

GPSR (Verordening 2023/988) voor webshops: wat er op 13 december 2024 is veranderd en wat u vandaag moet publiceren

Verordening (EU) 2023/988, de Algemene Productveiligheidsverordening (GPSR), heeft de Productveiligheidsrichtlijn van 2001 op 13 december 2024 vervangen. Elke online verkoper van consumentenproducten naar de EU heeft nu een aangewezen verantwoordelijke persoon in de EU, verplichte veiligheidsinformatie op elke productpagina en een gedocumenteerd incidentafhandelings­proces nodig. Wat binnen het toepassingsgebied valt, wat op een productpagina moet staan en waar Shopify- en WooCommerce-webshops het vaakst tekortschieten.

Lees artikel →
Regulation

EU AI-verordening artikel 50: de vier transparantieverplichtingen die elke EU-webshop in 2026 raken

De EU AI-verordening (Verordening 2024/1689) is op 1 augustus 2024 in werking getreden. De transparantieverplichtingen uit artikel 50, die elke EU-webshop met een chatbot of door AI gegenereerde productafbeeldingen raken, worden vanaf 2 augustus 2026 afdwingbaar. Wat elk van de vier verplichtingen feitelijk vereist, wie moet voldoen en wat „op passende wijze gemarkeerd“ in de praktijk betekent.

15 Jun 2026·6 min leestijd
Regulation

Het EU-ODR-platform is op 20 juli 2025 gesloten: elke dode verwijzing op uw webshop is nu een OHP-risico

Verordening (EU) 2024/3228 heeft het EU-platform voor onlinegeschillenbeslechting op 20 juli 2025 definitief gesloten. Elke verwijzing naar ec.europa.eu/consumers/odr die nog in een footer, een Impressum, algemene voorwaarden of een checkout-traject staat, wijst nu naar een dienst die niet meer bestaat. Consumentenautoriteiten lezen die verwijzingen als misleidende omissies op grond van de OHP. Wat er is veranderd, wat u moet verwijderen en wat u in plaats daarvan moet tonen.

15 Jun 2026·4 min leestijd
Regulation

Pay-or-OK-cookiewalls na EDPB-advies 08/2024: een heldere positie voor de Europese e-commerce

EDPB-advies 08/2024 bevestigt dat een binaire keuze tussen het accepteren van tracking en het betalen van een abonnement op grote online platforms vrijwel geen vrij gegeven toestemming onder de AVG kan opleveren. Het advies vangt niet elke webshop, maar de structurele toets is nu openbaar. Wanneer uw webshop blootstaat aan risico, wat de EDPB precies heeft gezegd en wat toezichthouders sindsdien hebben gedaan.

15 Jun 2026·5 min leestijd
Regulation

Widerrufsbutton § 356a BGB: de nieuwe herroepingsknop die vanaf 19 juni 2026 verplicht is voor Duitse webshops

Vanaf 19 juni 2026 moet elke online gesloten consumentenovereenkomst met een doorlopende betalingsverplichting in Duitsland een herroepingsknop met één klik aanbieden. Artikel 356a van het Duitse BGB, dat richtlijn (EU) 2023/2673 omzet, vereist een permanent zichtbare knop met wettelijk voorgeschreven labeltekst die zonder inloggen bereikbaar is. Wat binnen het toepassingsgebied valt, wat de knop moet doen en waar Shopify- en WooCommerce-webshops doorgaans tekortschieten.

15 Jun 2026·6 min leestijd
Merchant Playbook

Why Zalando's accessibility statement and CRD-aligned T&Cs are exemplary

We scanned en.zalando.de and found one of the cleanest CRD and EAA structures in EU e-commerce. Zalando publishes a dedicated accessibility statement, covers every CRD Article 6 disclosure in its T&Cs, and renders VAT-inclusive pricing across 15 EU languages. Here is what your storefront can copy.

4 Jun 2026·5 min read
Merchant Playbook

What Apple.de gets right: a teardown of its 14-day withdrawal disclosure

We scanned apple.com/de and the German storefront satisfies the Consumer Rights Directive disclosures most cleanly. Here is how Apple presents the 14-day withdrawal right, the model withdrawal form, and the trader identity, and what smaller stores can copy.

4 Jun 2026·5 min read
Merchant Playbook

Germany e-commerce compliance checklist before paid ads (Verbraucherzentrale-proof)

Germany has the most active enforcement of GDPR, ePrivacy, and UCPD in the EU. Before pointing Meta and Google spend at German traffic, run through this seven-item list. It catches the violations consumer associations file abmahnungen on most often.

4 Jun 2026·5 min read
Dark Patterns

UCPD dark patterns: confirmshaming, drip pricing, and forced action

Dark patterns map cleanly to specific UCPD articles. Here is the operational version: four patterns, the article they breach, and the enforcement decisions regulators have already issued.

4 Jun 2026·5 min read
Regulation

European Accessibility Act for e-commerce: what WCAG 2.1 AA requires

Directive 2019/882, the European Accessibility Act, became enforceable on 28 June 2025. For e-commerce, it incorporates WCAG 2.1 Level AA. Here is what that means for product pages, checkout, account flows, and which storefronts are exempt.

4 Jun 2026·6 min read
Platform Gotchas

Klaviyo, Mailchimp, and the pre-ticked box problem at checkout

GDPR Article 4(11) requires unambiguous, affirmative consent. A pre-ticked email opt-in at checkout fails that test. Here is how the default flow looks in two common stacks, recent enforcement, and the two configurations that work.

4 Jun 2026·5 min read
DPA Enforcement

CNIL Google Analytics decisions: what they mean for an EU storefront in 2026

France's CNIL ruled in February 2022 that Google Analytics, as deployed by most operators, breached GDPR Chapter V. The July 2023 EU-US Data Privacy Framework changed the transfer mechanism but did not solve every issue. Here is the 2026 view: what a defensible GA4 install on an EU storefront actually looks like.

4 Jun 2026·6 min read
Regulation

GDPR Article 13 checklist: the disclosures most privacy policies miss

Article 13 of GDPR lists the information a controller must provide at the point of data collection. It is more specific than "have a privacy policy." Here is the full checklist, with the four disclosures most storefronts miss.

4 Jun 2026·6 min read
Dark Patterns

Are countdown timers illegal in the EU? UCPD Annex I, explained

If a product countdown timer resets when the page reloads, the urgency it advertises is false. UCPD Annex I point 7 lists false impressions of limited availability as a blacklisted practice. Intent is not required.

4 Jun 2026·4 min read
Platform Gotchas

Shopify Meta Pixel GDPR: why a default install often fires before consent

Shopify's Meta channel injects Meta Pixel through the web pixel manager. The manager respects the Customer Privacy API only if you have enabled it. If the API is off, every visitor is treated as consented and Meta Pixel fires on the first pageview. Here is what to enable and what to verify.

4 Jun 2026·5 min read
DPA Enforcement

Pre-consent tracking GDPR fines: what DPAs are issuing in 2024 and 2025

Google Analytics, Meta Pixel, and TikTok pixel firing before a visitor accepts cookies is the single most-fined GDPR violation pattern in the EU. Here are the recent decisions with amounts, what regulators specifically cite, and the one-minute DevTools check that confirms whether your store is exposed.

4 Jun 2026·6 min read
Regulation

Omnibus Directive 30-day rule (Article 6a) explained for e-commerce

The Omnibus Directive's Article 6a requires every discounted product to display the lowest price from the 30 days before the sale began. Here is what the rule says, who enforces it, and where it breaks on Shopify and WooCommerce stores.

4 Jun 2026·5 min read

Wilt u weten welke hiervan op uw webshop van toepassing zijn?

Gratis basisscan. Geen installatie. Geen creditcard.

Start gratis scan