Elke webshopondernemer voelt dat de teugels aantrekken: vanaf 2025 gelden in Nederland én de EU strengere regels voor transparantie, consumentenbescherming, privacy, btw-afhandeling en digitale toegankelijkheid. Wat gisteren nog ‘best practice’ was, wordt morgen een wettelijke plicht – met boetes of een platgelegde shop als reëel gevolg.
Die aanscherping komt niet uit de lucht vallen. Nieuwe technologie, grensoverschrijdende verkoop en een golf aan Europese verordeningen (DSA, AI-Act, PSD3) dwingen wetgevers om kopers beter te beschermen en concurrentievervalsing te voorkomen. Ondernemers die achterblijven, riskeren niet alleen sancties tot zes procent van hun wereldwijde omzet, maar ook reputatieschade en uitfasering door betaalproviders.
Deze gids neemt je stap voor stap mee: van de basisdefinities van e-commerce-wetgeving tot een praktische checklist waarmee je direct kunt toetsen of jouw shop klaar is voor 2025. Sla hem op, vul hem aan, en voorkom onaangename verrassingen.
1. Wat valt er precies onder ‘e-commerce wetgeving’?
E-commerce wetgeving beslaat alle regels die gelden zodra je online goederen of diensten verkoopt, ongeacht of je B2C, B2B, dropshipping of platform-sales doet. Het mozaïek bestaat uit EU-richtlijnen en verordeningen (zoals de Richtlijn Consumentenrechten), Nederlandse implementatiewetten in het Burgerlijk Wetboek, en soft-law normen zoals het Thuiswinkel Waarborg. Dankzij het beginsel lex specialis > lex generalis gaan specifieke online-verkoopregels vóór algemene contract- of auteursrechtbepalingen. Conclusie voor de PAA-vraag “Is e-commerce legaal in Nederland?”: ja, mits je deze kaders respecteert.
1.1 Belangrijkste toezichthouders
- ACM – oneerlijke handelspraktijken, dark patterns
- Autoriteit Persoonsgegevens – AVG & cookies
- Belastingdienst/Douane – btw, OSS/IOSS, invoerrechten
- Kansspelautoriteit – loot boxes & prijsvragen
Bevoegdheden variëren van dwangsommen tot een site-takedown of naming-and-shaming.
1.2 Veelvoorkomende misverstanden
- “Mijn kleine webshop valt buiten scope.” Fout: regels gelden vanaf de eerste transactie.
- “Bedrijfsnaam en KVK-nummer vermelden is genoeg.” Nee, je moet óók een bezoekadres, e-mail én duidelijke verkoopvoorwaarden publiceren.
- “Online verkopen zonder KVK kan altijd.” In de meeste gevallen is inschrijving verplicht zodra er structurele winst wordt nagestreefd.
2. Transparantie- en informatieplichten die elke webshop moet naleven
Art. 3:15d BW, de Dienstenrichtlijn én de in 2022 aangescherpte Richtlijn Oneerlijke Handelspraktijken verplichten webshops om vanaf het eerste klikmoment glashelder te zijn. Deze kern van de e-commerce wetgeving draait om “duidelijke en begrijpelijke informatie vóór de aankoop”, zodat de consument geen zoekwerk hoeft te doen. Niet nakomen? De ACM kan met een last onder dwangsom of site-takedown optreden.
Minimaal moet je op elke verkooppagina vermelden:
- volledige bedrijfsgegevens: KVK-nummer, fysiek bezoekadres, btw-nummer, snel contactkanaal
- totale prijs inclusief alle bijkomende kosten vóór de check-out
- concrete levertermijnen en retourvoorwaarden
- functionele cookies- en privacyverklaring in begrijpelijke taal
Het gebruik van dark patterns—misleidende countdown-timers, verborgen kosten of ‘opt-out’ vinkjes—wordt expliciet verboden onder de Digital Services Act (art. 25).
2.1 Nieuwe labeling-eisen voor kortingen
Een “van-voor” prijs moet vanaf 2025 gebaseerd zijn op de laagste verkoopprijs in de 30 dagen ervoor. Pas je dynamische of gepersonaliseerde prijzen toe, dan ben je verplicht dit te melden: “Prijs kan variëren op basis van gebruikersprofiel”. Automatische systemen moeten dit transparant loggen voor toezichthouders.
2.2 Taal- en lokalisatieverplichtingen
Het volledige bestelproces moet begrijpelijk zijn voor de doelgroep; automatische vertalingen tellen alleen als ze leesbaar zijn. Het geoblocking-verbod laat geen IP-blokkades toe voor EU-consumenten, behalve om wettelijke redenen (bijv. alcoholverkoopleeftijd). Afrekenpagina’s moeten daarom altijd toegang en dezelfde voorwaarden bieden in alle EU-lidstaten.
3. Consumentenrechten & koop op afstand in 2025
De basis blijft het Burgerlijk Wetboek, maar per 2025 krijgt de consument merkbaar meer munitie. Voor de meeste productcategorieën verdubbelt het herroepingsrecht van 14 naar 30 dagen; maatwerk en digitale content na download blijven uitgesloten. Bij slimme apparaten verplicht de Wet Digitale Goederen & Diensten verkopers om gratis veiligheids- en feature-updates te leveren zo lang “redelijkerwijs te verwachten”. De omgekeerde bewijslast bij non-conformiteit schuift van twee naar drie jaar, wat de kans op kosteloze reparatie of vervanging vergroot. Daarnaast moet elke webshop een retourportal aanbieden en vóór aankoop duidelijk zijn over wie de retourkosten draagt—precies wat de PAA-vraag over het herroepingsrecht benadrukt.
3.1 Duurzame verkoop & refurbished regels
De nieuwe Eco-Design-verordening eist een label met repareerbaarheids- en levensduurscore. Verkoop je refurbished of tweedehands, dan gelden versoepelde herroepingsregels (meestal 14 dagen) maar blijft productaansprakelijkheid intact; een defecte accu is dus nog steeds jouw probleem.
3.2 Abonnementsmodellen en automatische verlenging
Stilzwijgende verlengingen mogen alleen na expliciete opt-in, terwijl opzeggen via één klik in de account-omgeving moet kunnen. Check dit voor je SaaS-tool of maaltijdbox:
- Toon verlengingsdatum min. 3 dagen vooraf
- Bevestig opzegging direct per mail
- Verwijder opgeslagen betaalgegevens na contracteinde
Zo voorkom je boetes én chargebacks.
4. EU-megaregels in 2025: DSA, DMA, AI-Act en beyond
Waar nationale normen versnipperen, zetten de nieuwe Europese verordeningen de standaard voor alle cross-border shops. De Digital Services Act (DSA) legt de lat hoger voor transparantie en notice-and-action, de Digital Markets Act (DMA) bewaakt eerlijke concurrentie op platforms en de AI-Act classificeert recommender-algoritmes als potentieel “hoog risico”. In de praktijk betekent dit extra documentatie- en meldplichten, zwaardere boetes en een kortere reactietijd bij klachten. Onderstaande tabel laat zien wanneer welke verplichting echt gaat bijten:
| Regel | Publicatie | Inwerkingtreding | Grace-period tot verplichting |
|---|---|---|---|
| DSA | 10-2022 | 17-02-2024 | VLOP/VLGP: 4 mnd – overige: 16 mnd |
| DMA | 11-2022 | 02-05-2023 | Gatekeepers: max. 6 mnd na aanwijzing |
| AI-Act | verwacht Q4-2024 | gefaseerd 2025 | Hoog-risico systemen: 24 mnd |
| ePrivacy-Reg. | concept | n.t.b. | waarschijnlijk 2026 |
Deze harmonisatie maakt onderdeel uit van bredere e-commerce wetgeving en verschuift de focus van “best effort” naar “bewijsbaar compliant”.
4.1 Welke bedrijven vallen onder welke drempels?
- DSA: verkoopplatformen met ≥45 miljoen EU-gebruikers kwalificeren als VLOP, maar ook kleine Shopify-shops moeten verkopers traceerbaar maken (KYC-light).
- DMA: alleen voor aangewezen “gatekeepers” (omzet >€7,5 mld én ≥45 miljoen maandelijkse gebruikers), toch kan een marktplaats die daaronder zit verplichtingen krijgen via contract met een gatekeeper.
- AI-Act: hoog-risico zodra een algoritme de aankoopbeslissing stuurt; MKB krijgt alleen verlichting bij rapportage-diepte, niet bij kernvereisten.
4.2 Handhaving & boetes
Niet naleven is kostbaar: DSA boetes tot 6 % van de wereldwijde jaaromzet, DMA zelfs 10 %. Nationale autoriteiten (ACM, AP) voeren de controles uit, bij herhaalde overtreding kan Brussel verplichten tot tijdelijke dienstopschorting. Denk aan scenario’s zoals het te laat verwijderen van counterfeit-artikelen of een ongedocumenteerd prijspersonalisatiescript; beide kunnen binnen 48 uur van melding tot sanctie leiden.
5. BTW, douane en grensoverschrijdende levering
Onder de e-commerce wetgeving van 2025 regel je buitenlandse btw via het One-Stop-Shop-loket (OSS); overschrijd je samen € 10.000 omzet, dan betaal je in de lidstaat van de klant. Voor marketplaces geldt vaak het ‘deemed-supplier’-principe, zij innen en dragen btw af. De € 22-invoervrijstelling is geschrapt: elke zending vereist ICS2-data. Dropship je buiten de EU of werk je met een fulfilment-centrum daar, zorg voor een IOSS-nummer of je pakket strandt.
5.1 Digitale diensten & btw-plaats van dienst
B2C e-diensten vallen in OSS; Nederlanders betalen 21 %, Duitsers 19 %. Bij B2B gaat de heffing over op de afnemer (verleggingsregel, 0 %).
5.2 Milieubelastingen & verpakkingen
Rapporteer jaarlijks verpakkingsgewicht; boven 50 000 kg volgt verpakkingsbelasting. De SUP-richtlijn eist statiegeld of inzameling voor single-use plastic per 2025.
6. Privacy, cookies en datatracking
Persoonsgegevens zijn de brandstof van webshops, maar de AVG houdt de kraan dicht. De Autoriteit Persoonsgegevens zag in 2024 meer trackers zonder geldige grondslag; cookiewalls die alleen ‘accept’ toestaan zijn al verboden. Verwacht wordt dat de ePrivacy-Regulation eind 2025 ingaat, waardoor ook server-side tracking vooraf toestemming vraagt. Profilering voor prijspersonalisatie valt daarnaast onder de DSA-informatieplicht.
6.1 Klantdata & marketing automation
E-mail en WhatsApp marketing mogen alleen met opt-in. De Telecommunicatiewet verplicht een werkende 1-klik afmeldlink. Automatiseer je flows? Bewaar aankoop- en gedragdata max. twee jaar en pseudonimiseer wat je niet actief gebruikt. Verbind CRM en analytics via consent-mode 2.0 zodat enkel geautoriseerde events worden gedeeld.
6.2 Dataveiligheid & datalekken
NIS2 maakt ISO 27001-achtige maatregelen verplicht voor middelgrote webshops (>50 werknemers of €10 m omzet). Encryptie, MFA en een actueel patchbeleid zijn de minimale ‘state of the art’. Gaat het toch mis, volg dit 72-uurs draaiboek: 1) identificeer het lek, 2) meld bij AP en klanten, 3) documenteer herstelacties, 4) evalueer logs.
7. Digitale toegankelijkheid en inclusie: verplicht vanaf 28 juni 2025
Vanaf 28 juni 2025 vallen alle Nederlandse webshops met meer dan tien werknemers óf > 2 miljoen omzet onder de European Accessibility Act. De wet verwijst naar WCAG 2.2 AA: voldoende kleurcontrast, volledige toetsenbordbediening, alt-teksten bij beelden en foutmeldingen die door screen-readers worden uitgesproken. Uitzondering: micro-ondernemingen blijven vrijgesteld, maar verliezen het concurrentievoordeel als de site voor blinde of slechtziende bezoekers onbruikbaar is. Ondernemers moeten uiterlijk bij live-gang een toegankelijkheidsverklaring publiceren en jaarlijks een externe auditlog toevoegen.
7.1 Klantervaring en SEO-voordelen
Snellere laadtijden, lager bouncerate-percentage en betere Core Web Vitals volgen meestal vanzelf wanneer je semantic HTML, ARIA-labels en beschrijvende linkteksten implementeert—Google beloont inclusie met hogere rankings.
8. Betalingsverkeer, PSD3 en antifraude-verplichtingen
De basis van veilig afrekenen ligt nog steeds bij PSD2: SCA (twee-stapsverificatie) en het recht van de consument op terugbetaling bij frauduleuze transacties. In 2025 voegt PSD3/Payment Services Regulation daar open-finance API’s, realtime saldochecks en hogere aansprakelijkheidslimieten toe: bij fouten boven € 1.000 draait de PSP mee voor de schade. Voor webshops betekent dit:
- creditcard- en BNPL-transacties direct monitoren op afwijkende IP- en device-patronen;
- SEPA-incasso’s binnen twee dagen storneren op verzoek;
- verdachte betalingen ≥ € 10.000 melden bij de FIU en logbestanden 5 jaar bewaren.
De AFM classificeert BNPL-modellen als consumentenkrediet; een vergunning of samenwerking met een gelicentieerde aanbieder is dus verplicht. Wie deze antifraude-plichten negeert, riskeert boetes tot € 5 mln en uitfasering door betaalproviders.
8.1 Veiligheidscertificeringen
PCI DSS v4.0 is vanaf 31 maart 2025 de norm. Vereisten: tokenization van kaartnummers, jaarlijkse pentest en 3-D Secure 2.3 voor creditcards. Koppel je PSP (Mollie, Adyen) via server-to-server-API’s en controleer in het dashboard of alle webhooks TLS 1.3 gebruiken; zo hou je je e-commerce wetgeving-proof.
9. Geschiloplossing, garanties en nalevingscheck
Ook wie netjes aan alle e-commerce wetgeving voldoet, kan te maken krijgen met klachten over levering, garantie of privacy. De wet eist daarom een duidelijke interne klachtenprocedure, vermelding van het EU-ODR-platform en heldere garantieafspraken. Goed ingerichte geschiloplossing voorkomt escalatie, reputatieschade en forse boetes.
9.1 Sanctiesamenvatting 2025
| Overtreding | Toezichthouder | Max. boete |
|---|---|---|
| Misleidende countdown-timer | ACM | € 900.000 of 1 % omzet |
| Onrechtmatige tracking-cookie | Autoriteit Persoonsgegevens | € 20 mln / 4 % omzet |
| Geen retourportal | ACM | € 450.000 |
| PCI DSS-non-compliant betaling | DNB / AFM | € 5 mln |
9.2 Stappenplan interne compliance-audit
Interne audit in zes stappen:
- Wetgevingsmatrix maken
- Verantwoordelijke aanwijzen
- Gap-analyse uitvoeren
- Risico’s prioriteren
- Acties documenteren & trainen
- Continu monitoren
In één oogopslag: checklist e-commerce compliance 2025
Gebruik de checklist om snel te zien of jouw shop 2025-proof is. Eens per jaar herzien.
- Bedrijfsgegevens compleet
- Transparante prijzen
- Geen dark-patterns
- Van-voor regels
- Herroepingsrecht 30d
- Retourportal actief
- Updateplicht devices
- WCAG 2.2
- Cookie-toestemming
- AVG register
- DSA traceerbaarheid
- OSS/IOSS btw
- Verpakkingsrapportage
- PCI DSS v4
- SCA 3-DS2
- BNPL vergunning
- NIS2 plan
- Klachten & ODR
Klaar voor compliant succes
2025 vraagt om bewijsbare compliance. Transparante prijzen, een herroepingsrecht van 30 dagen, WCAG-toegankelijkheid, strengere cookie-opt-ins, OSS-btw én PSD3-betalingsveiligheid zijn niet langer nice-to-have maar harde plichten. Wie de checklist afvinkt, documentatie op orde houdt en proactief updates implementeert, kan zonder angst voor boetes of reputatieschade groeien in heel Europa. Kom je er toch niet helemaal uit of wil je een second opinion op jouw algemene voorwaarden, privacyverklaring of DSA-procedures? Neem dan gerust contact op met Law & More voor een vrijblijvend adviesgesprek; we helpen je graag veilig én succesvol online zaken doen.
