Mag een webshop e-mails blijven sturen over mijn medische aankoop?

Een aankoop van een medisch hulpmiddel is vaak een privéaangelegenheid. Het ontvangen van opvolgmails die de aard van uw aankoop verraden, kan dan ook als een inbreuk op uw privacy aanvoelen. De Gegevensbeschermingsautoriteit (GBA) heeft op 26 september 2025 (nr. 152/2025) een belangrijke waarschuwing gegeven aan een organisatie die dergelijke e-mails verstuurde: het verwerken van gegevens over medische aankopen is niet zomaar toegestaan en een klant moet altijd de mogelijkheid hebben om zich hiertegen effectief te verzetten.

De feiten: automatische nazorgmails na aankoop medisch hulpmiddel

Een persoon kocht regelmatig een specifiek medisch hulpmiddel via de webshop van een belangengroep voor patiënten met een bepaalde aandoening. Na elke bestelling ontving deze persoon een automatische “nazorg e-mail” met de vraag om het aangekochte product te evalueren, waarbij het product expliciet werd vermeld.

Toen de klant aangaf deze e-mails niet langer te willen ontvangen, antwoordde de webshop dat dit technisch onmogelijk was. De e-mails waren onlosmakelijk verbonden met het aankoopproces en konden niet worden stopgezet voor individuele klanten. De klant voelde zich in zijn privacy geschonden en stapte naar de Gegevensbeschermingsautoriteit.

De beslissing van de GBA

De Geschillenkamer van de GBA heeft in haar beslissing van 26 september 2025 een dubbele waarschuwing gegeven aan de betrokken organisatie.

Ten eerste stelt de GBA dat de aankoopgegevens in deze specifieke context waarschijnlijk als ‘gezondheidsgegevens’ moeten worden beschouwd. De aankoop gebeurde immers bij een belangengroep voor een specifieke ziekte, waardoor uit de bestelling de gezondheidstoestand van de klant kon worden afgeleid. Voor de verwerking van dergelijke gevoelige gegevens gelden de strenge regels van artikel 9 van de Algemene Verordening Gegevensbescherming (AVG/GDPR). De webshop had dus niet alleen een geldige reden nodig (zoals de uitvoering van de verkoopovereenkomst), maar ook een specifieke uitzondering op het principiële verbod om gezondheidsgegevens te verwerken.

Ten tweede oordeelde de GBA dat het recht van bezwaar van de klant werd geschonden. De webshop baseerde het versturen van de nazorgmails op haar ‘gerechtvaardigd belang’ om de kwaliteit van haar producten te controleren. Volgens artikel 21 van de AVG moet een persoon zich te allen tijde effectief kunnen verzetten tegen een verwerking die op deze grond is gebaseerd. Doordat de organisatie stelde dat de e-mails technisch niet konden worden stopgezet, werd dit recht de klant ontnomen.

Gelukkig had de verweerder, nog voor de uitspraak, al stappen ondernomen om de praktijk aan te passen door de automatische e-mails te deactiveren en de productnamen uit de communicatie te verwijderen.

Juridische analyse en duiding

Deze beslissing benadrukt twee cruciale principes binnen de AVG.

De brede interpretatie van gezondheidsgegevens: De GBA verwijst impliciet naar recente Europese rechtspraak (zoals het Lindenapotheke-arrest) die het begrip ‘gezondheidsgegevens’ ruim interpreteert. Het gaat niet enkel om een medisch dossier bij een arts. Informatie waaruit iemands gezondheidstoestand kan worden afgeleid, valt hier ook onder. De aankoop van een specifiek hulpmiddel bij een gespecialiseerde organisatie is een schoolvoorbeeld. Dit betekent dat organisaties uiterst voorzichtig moeten zijn met het verwerken van bestelgegevens die gevoelige informatie kunnen onthullen. Het loutere ‘gerechtvaardigd belang’ is als rechtsgrond vaak onvoldoende en er moet gekeken worden naar expliciete toestemming of een andere uitzondering uit artikel 9.2 AVG.
Het recht van bezwaar is absoluut en moet technisch mogelijk zijn: Een verwerkingsverantwoordelijke kan zich niet verschuilen achter technische beperkingen om de rechten van betrokkenen te negeren. Het principe van ‘data protection by design’ vereist net dat systemen en processen zo worden ontworpen dat ze de gegevensbeschermingswetgeving respecteren. Als een organisatie persoonsgegevens verwerkt op basis van haar gerechtvaardigd belang, moet zij de technische en organisatorische maatregelen nemen om een ‘opt-out’ of bezwaar eenvoudig en effectief te maken. De bewering “het systeem laat het niet toe” is juridisch geen geldig verweer.

Wat dit concreet betekent

Voor consumenten: Wees u ervan bewust dat uw aankoopgeschiedenis gevoelige informatie kan bevatten. Wanneer u ongewenste communicatie ontvangt die gebaseerd is op uw aankopen, heeft u het recht om bezwaar te maken. Een organisatie is verplicht om dit bezwaar te respecteren en de verwerking voor dat doel (bv. marketing, kwaliteitscontrole) stop te zetten.
Voor webshops en organisaties: Analyseer de data die u verwerkt. Kunnen aankoopgegevens informatie onthullen over iemands gezondheid, religieuze overtuiging of andere gevoelige thema’s? Zo ja, dan valt u onder het strenge regime van artikel 9 AVG. Zorg ervoor dat uw systemen (bv. e-mailmarketing, CRM) flexibel genoeg zijn om de rechten van klanten, zoals het recht van bezwaar, onmiddellijk te kunnen honoreren. Een standaard ‘unsubscribe’ link volstaat vaak niet als het gaat om verschillende types van communicatie.

FAQ (Veelgestelde vragen)

Wat zijn ‘gegevens over gezondheid’ precies volgens de AVG?
Dit is een breed begrip. Het omvat alle persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een persoon, inclusief gegevens waaruit informatie over diens gezondheidstoestand kan worden afgeleid. Denk aan een doktersvoorschrift, maar dus ook aan de aankoop van een specifiek medisch product bij een gespecialiseerde leverancier.

Hoe kan ik bezwaar maken tegen ongewenste e-mails?
U kunt rechtstreeks contact opnemen met de organisatie en expliciet vermelden dat u zich verzet tegen de verwerking van uw gegevens voor dat specifieke doel (bv. marketing, enquêtes), op basis van artikel 21 AVG. De organisatie moet u informeren over de stappen die ze heeft ondernomen. Reageren ze niet of weigeren ze onterecht, dan kunt u een klacht indienen bij de Gegevensbeschermingsautoriteit.

Conclusie

Deze uitspraak van de GBA is een duidelijke herinnering dat rechten van betrokkenen onder de AVG, en in het bijzonder het recht van bezwaar, serieus moeten worden genomen. Organisaties kunnen zich niet verschuilen achter technische beperkingen om de AVG te omzeilen. Zeker wanneer het gaat om de verwerking van gevoelige gezondheidsgegevens, is de hoogste voorzichtigheid geboden.

Heeft u te maken met een complexe zaak rond de verwerking van persoonsgegevens of twijfelt u of de communicatie van uw organisatie voldoet aan de AVG? Onze advocaten, gespecialiseerd in privacy- en gegevensbeschermingsrecht, staan klaar om uw dossier te analyseren. Neem vrijblijvend contact op voor een eerste advies.

Contact

Recente berichten

Is er automatisch een schadevergoeding verschuldigd na een veroordeling door de Europese Commissie wegens een inbreuk op het kartelverbod?

Mag een beslag inzake namaak voortduren na het verval van het octrooi?

Phishing en bankfraude: wanneer moet de bank uw gestolen geld terugbetalen?

Wanneer is een mislukte investering strafbare oplichting?

Mag u een merknaam blijven gebruiken voor een plantenras na afloop van een licentie?

Persvrijheid versus reputatieschade: Hoever mag onderzoeksjournalistiek gaan bij gevoelige maatschappelijke thema’s?

Contractbreuk bij langdurige dienstencontracten: is een hoge verbrekingsvergoeding altijd geldig?

Kan het aanpassen van een Europese octrooiaanvraag de geldigheid van uw Belgisch octrooi ondermijnen?

Topics

Topics

ICT Rechtswijzer

Contactgegevens

Waar ons te vinden

Disclaimers

Mag een webshop e-mails blijven sturen over mijn medische aankoop?

De feiten: automatische nazorgmails na aankoop medisch hulpmiddel

De beslissing van de GBA

Juridische analyse en duiding

Wat dit concreet betekent

FAQ (Veelgestelde vragen)

Conclusie

Joris Deene

Misschien vind je dit ook leuk

Contact

Recente berichten

Topics

Topics

ICT Rechtswijzer

Contactgegevens

Waar ons te vinden

Disclaimers