Webshop wetgeving 2026:
alle EU richtlijnen en Nederlandse regels.

Richtlijn Consumentenrechten 2011/83/EU: de kern van webshop recht

De Richtlijn Consumentenrechten 2011/83/EU is de hoeksteen van het Europese online consumentenrecht. In Nederland is deze richtlijn geimplementeerd in Boek 6, Titel 5, Afdeling 2b van het Burgerlijk Wetboek (overeenkomsten op afstand) en in Boek 7, Titel 1, Afdeling 9A BW (koop op afstand bij consumentenkoop). De volledige Nederlandse wettekst staat op wetten.overheid.nl.

Informatieplicht voor de bestelling (Art. 6 Richtlijn 2011/83/EU)

Artikel 6 van de richtlijn somt meer dan twintig verplichte informatieonderdelen op die je aan consumenten moet verstrekken voordat ze een bestelling plaatsen. De belangrijkste voor webshops:

• Volledige identiteit en contactgegevens. Bedrijfsnaam, vestigingsadres (geen postbus), e-mailadres, telefoonnummer. Op grond van de Handelsregisterwet 2007, Art. 29 moet je ook je KVK-nummer vermelden op alle "uitgaande stukken", inclusief je webshop en e-mails. De Richtlijn Elektronische Handel 2000/31/EG, Art. 5 verplicht daarbovenop je BTW-identificatienummer.
• De totale prijs inclusief alle belastingen en bijkomende kosten. Verzendkosten, administratiekosten, toeslagen: alles moet vooraf duidelijk zijn. Kosten die je niet vooraf vermeldt, mag je niet in rekening brengen.
• De voornaamste kenmerken van het product. Voldoende gedetailleerd om een weloverwogen aankoopbeslissing mogelijk te maken.
• Het herroepingsrecht. De 14-dagenbedenktijd, hoe de consument het kan uitoefenen, het modelformulier voor herroeping en eventuele uitzonderingen.
• Garantie-informatie. De wettelijke garantie en eventuele commerciele garanties.
• Klachtenprocedure. Hoe klachten worden afgehandeld. Als je verkoopt aan consumenten in andere EU-lidstaten, moet je verwijzen naar het Europees ODR-platform (ec.europa.eu/consumers/odr).

De bestelknop: "Bestelling met betalingsverplichting" (Art. 8 lid 2)

Artikel 8, lid 2 van de Richtlijn Consumentenrechten schrijft voor dat de bestelknop "op ondubbelzinnige wijze" moet aangeven dat de bestelling een betalingsverplichting inhoudt. In Nederland is dit geimplementeerd in Art. 6:230v lid 3 BW.

De Hoge Raad heeft in oktober 2024 geoordeeld dat de tekst op de bestelknop expliciet moet verwijzen naar de betalingsverplichting. Teksten als "Bestelling plaatsen", "Bestellen", "Bestelling afronden", "Doorgaan" of "Bevestigen" voldoen niet, omdat ze geen verwijzing naar betaling bevatten. De knop moet ondubbelzinnig duidelijk maken dat er een betalingsverplichting ontstaat. "Bestellen en betalen" voldoet omdat het woord "betalen" erin staat. Het wettelijke vangnet is "Bestelling met betalingsverplichting". Alleen de tekst op de knop zelf telt: omringende tekst op de pagina is irrelevant. Als de bestelknop niet voldoet, is de overeenkomst vernietigbaar en kan de rechter de betalingsverplichting met een derde verminderen.

Bevestiging na de bestelling (Art. 8 lid 7)

Na de bestelling moet je een bevestiging sturen op een "duurzame gegevensdrager" (typisch: e-mail of PDF). Die bevestiging moet alle informatie uit Art. 6 bevatten. Een bevestigingspagina op je website die niet kan worden opgeslagen, is onvoldoende.

Herroepingsrecht: 14 dagen (Art. 9-15)

De consument heeft 14 kalenderdagen bedenktijd na ontvangst van het product. Bij diensten: 14 dagen na het sluiten van de overeenkomst. De consument hoeft geen reden te geven. Na de herroeping heb je als webshop 14 dagen om alle betalingen terug te betalen, inclusief standaard verzendkosten.

De consument mag het product uitproberen zoals in een fysieke winkel. Een kledingstuk passen met de labels erin: prima. Een laptop opstarten en bekijken: prima. Maar het product daadwerkelijk gebruiken gaat verder dan uitproberen. In dat geval mag je een waardevermindering in rekening brengen bij de terugbetaling.

De retourkosten mogen voor rekening van de consument zijn, maar alleen als je dit vooraf duidelijk hebt vermeld. Vermeld je dit niet? Dan draag jij als webshop eigenaar de retourkosten. De oorspronkelijke verzendkosten (standaard verzending) moet je altijd terugbetalen bij herroeping.

Uitzonderingen staan in Art. 16 van de richtlijn:

• Op maat gemaakte of duidelijk gepersonaliseerde producten
• Bederfelijke of beperkt houdbare producten
• Verzegelde producten die om hygieneredenen niet retour kunnen na verbreking van de verzegeling
• Digitale content (Art. 16 lid m): als de levering met uitdrukkelijke toestemming is begonnen en de consument heeft verklaard afstand te doen van het herroepingsrecht
• Audio- en video-opnamen en computerprogrammatuur met verbroken verzegeling
• Producten waarvan de prijs gebonden is aan schommelingen op de financiele markt

Informeer je niet of niet correct over het herroepingsrecht? Dan wordt de bedenktijd automatisch verlengd tot maximaal 12 maanden plus 14 dagen (Art. 10).

De herroepingsknop in e-mails: Richtlijn 2023/2673

Richtlijn 2023/2673 wijzigt de Richtlijn Consumentenrechten en voegt een nieuw vereiste toe: vanaf 19 juni 2026 moet elke bestelbevestiging per e-mail een duidelijke herroepingsknop of link bevatten waarmee de consument direct het herroepingsrecht kan uitoefenen. De knop moet leiden naar een pagina waar de herroeping met maximaal twee stappen kan worden voltooid. De ACM legt op hun website uit wat de exacte eisen zijn.

Wettelijke garantie: Richtlijn (EU) 2019/771

De Richtlijn (EU) 2019/771 stelt de regels voor de wettelijke garantie. In Nederland geimplementeerd in Art. 7:17-7:24 BW. Van toepassing sinds 1 januari 2022.

Een product moet conform zijn: het moet voldoen aan de beschrijving, geschikt zijn voor normaal gebruik en de duurzaamheid hebben die de consument redelijkerwijs mag verwachten. De verkoper is aansprakelijk voor gebreken die binnen twee jaar na levering zichtbaar worden. Het eerste jaar ligt de bewijslast bij de verkoper (Art. 11 Richtlijn 2019/771). In Nederland geldt geen vaste maximale garantietermijn.

Bij een gebrek kan de consument kiezen tussen reparatie en vervanging (Art. 13 Richtlijn 2019/771). Als dat niet lukt: prijsvermindering of ontbinding. Alle remedies zijn kosteloos.

Extra garantiejaar bij reparatie (Richtlijn 2024/1799)

De Richtlijn (EU) 2024/1799 wijzigt de garantieregeling: kiest de consument voor reparatie in plaats van vervanging, dan krijgt hij een jaar extra garantie. Geldt voor producten gekocht vanaf 31 juli 2026.

Je bent verplicht de consument te informeren over de wettelijke garantie. Veel webshops vermelden alleen de fabrieksgarantie. Dat is een schending van de informatieplicht.

Cookies en e-mail marketing: ePrivacy Richtlijn en Telecommunicatiewet

De ePrivacy Richtlijn 2002/58/EG is in Nederland geimplementeerd in Art. 11.7a Telecommunicatiewet. De ePrivacy Verordening is al sinds 2017 in onderhandeling en anno 2026 nog niet aangenomen.

Strikt noodzakelijke cookies (sessie, winkelwagen, taalvoorkeur, CSRF) mogen zonder toestemming. Alle andere (analytics, marketing, personalisatie, social media embeds) vereisen voorafgaande, actieve opt-in. Toestemming moet specifiek per categorie en vrijelijk gegeven zijn. Cookie walls zijn niet toegestaan tenzij er een gelijkwaardig betaald alternatief is. De weiger-optie moet even prominent zijn als accepteren.

De AP heeft in 2019 bij een sweep van 175 websites vastgesteld dat "vrijwel alle" gecontroleerde webshops de cookieregels overtraden. Self-hosted Matomo zonder cookies omzeilt het hele probleem: geen cookiebanner nodig. Lees ons artikel over cookiebanners.

E-mail marketing: soft opt-in (Art. 11.7 lid 3 Tw)

Voor commerciele e-mails (nieuwsbrieven, aanbiedingen, kortingsacties) heb je altijd expliciete, actieve toestemming nodig. Een vooraf aangevinkt vakje bij de checkout telt niet. De opt-in moet een bewuste handeling zijn van de ontvanger.

Er is een uitzondering: de zogenaamde soft opt-in. Als iemand al klant is en een product bij je heeft gekocht, mag je die klant e-mailen over soortgelijke producten. Maar alleen als je bij het verzamelen van het e-mailadres hebt aangegeven dat je het hiervoor zou gebruiken, en elke e-mail een eenvoudige uitschrijfmogelijkheid bevat. Een algemene nieuwsbrief met bedrijfstips of blogartikelen valt hier niet onder: dat zijn geen "soortgelijke producten".

Bewaar bij elke opt-in het tijdstip, de methode (welk formulier, welke pagina) en het IP-adres. Zonder dat bewijs ben jij degene die moet aantonen dat de toestemming geldig was.

European Accessibility Act: Richtlijn (EU) 2019/882

De EAA is sinds 28 juni 2025 van toepassing. E-commerce valt expliciet onder de reikwijdte. Micro-ondernemingen (minder dan 10 werknemers, minder dan 2 miljoen euro omzet) zijn uitgezonderd.

Technische norm: EN 301 549 / WCAG 2.1 niveau AA. Concreet: toetsenbord navigatie door de hele webshop, screenreader compatibiliteit, kleurcontrast minimaal 4.5:1, gelabelde formuliervelden met specifieke foutmeldingen, ondertiteling bij video, geen informatie alleen via kleur.

Custom gebouwde WooCommerce webshops met schone HTML zijn inherent beter voorbereid dan pagebuilder-webshops. Lees ons uitgebreide EAA-artikel.

Geoblocking en betaalregels

Geoblocking Verordening (EU) 2018/302

De Geoblocking Verordening, van toepassing sinds 3 december 2018, verbiedt discriminatie op basis van nationaliteit of woonplaats. Geen automatisch doorsturen zonder toestemming, geen locatiegebaseerde prijsverschillen, geen weigering van EU-betaalmethoden.

Je hoeft niet in alle EU-landen te leveren. Maar als een Belgische klant een NL-afleveradres opgeeft of zelf verzending regelt, mag je niet weigeren vanwege woonplaats.

PSD2: SCA en surchargeverbod (Richtlijn 2015/2366)

Tweefactorauthenticatie bij online betalingen. 3D Secure voor creditcards; iDEAL voldoet automatisch. Geen surcharges op iDEAL, Visa, Mastercard of SEPA (Art. 62 lid 4 PSD2).

Komende deadlines en recent ingevoerde wetgeving

Digital Services Act (Verordening 2022/2065)

Van toepassing sinds 17 februari 2024. Een reguliere webshop die alleen eigen producten verkoopt is geen "online platform" (Art. 3 DSA) en valt er niet onder. Wel als je een marketplace-functie hebt. Boetes tot 6% wereldwijde jaaromzet.

Consumer Credit Directive 2 (Richtlijn 2023/2225)

De oude Richtlijn Consumentenkrediet (2008/48/EG) sloot kredieten onder 200 euro en rentevrije kortetermijnkredieten uit. Daardoor vielen vrijwel alle Buy Now Pay Later diensten (Klarna, Afterpay/Riverty, in3) buiten de regulering. CCD2 sluit dat gat: vanaf 20 november 2026 valt elke vorm van uitgestelde betaling onder de kredietwetgeving, ongeacht bedrag of rente. De AFM wordt toezichthouder in Nederland.

Wat verandert er voor BNPL-aanbieders: ze moeten een kredietwaardigheidstoets uitvoeren voor elke transactie, een gestandaardiseerd informatieformulier (SECCI) verstrekken met de voorwaarden, en het 14-dagen herroepingsrecht respecteren. Ze moeten ook een vergunning hebben bij de AFM.

Wat verandert er voor jou als webshop eigenaar: de compliance-last ligt primair bij de BNPL-aanbieder, niet bij jou. Maar je hebt wel verplichtingen als je BNPL aanbiedt op je webshop:

• Reclameregels. Als je op productpagina's of in de checkout reclame maakt voor BNPL ("Betaal in 3 termijnen!", "Nu kopen, later betalen") vallen die uitingen onder de reclameregels voor consumentenkrediet. Je moet dan standaardinformatie vermelden zoals het jaarlijks kostenpercentage (JKP). In de praktijk levert de BNPL-aanbieder hiervoor conforme checkout-widgets en marketingmateriaal.
• Geen pre-contractuele informatie omzeilen. Je checkout mag de informatieverstrekking van de BNPL-aanbieder niet belemmeren. De consument moet voor het afronden van de bestelling de SECCI-informatie kunnen inzien.
• Mogelijk kredietbemiddelaar. Als je actief BNPL promoot, klanten helpt bij de aanvraag of commissie ontvangt specifiek voor het doorverwijzen naar de BNPL-aanbieder, kun je als "kredietbemiddelaar" worden aangemerkt. Dat brengt registratie- en gedragsverplichtingen met zich mee. Alleen Klarna als betaaloptie aanbieden in je checkout zonder extra promotie valt hier waarschijnlijk niet onder.

De meeste webshop eigenaren hoeven in de praktijk weinig te doen: de BNPL-aanbieder past hun checkout-integratie aan zodat die CCD2-conform is. Maar controleer dit wel bij je aanbieder voor november 2026.

Productaansprakelijkheid (Richtlijn 2024/2853)

Omzetting uiterlijk 9 december 2026. Dekt nu ook software en AI als "product". Bewijslast verschuift richting consument. Als fabrikant niet te identificeren: distributeur (webshop) aansprakelijk. Verjaringstermijn: 3 jaar vanaf ontdekking, long-stop 10 jaar.

Milieuclaims (Richtlijn 2024/825)

Omzetting uiterlijk 27 maart 2026, toepassing vanaf 27 september 2026. Verbiedt "milieuvriendelijk", "groen", "klimaatneutraal" zonder onderbouwing. Carbonoffset-claims als neutralisering worden ook verboden. De bredere Green Claims Directive (COM/2023/166) is effectief dood: de Europese Commissie heeft in juni 2025 aangekondigd het voorstel te willen intrekken.

Recht op reparatie (Richtlijn 2024/1799)

Omzetting uiterlijk 31 juli 2026. Fabrikanten moeten reparatie aanbieden voor wasmachines, koelkasten, smartphones, stofzuigers, fietsen. Onderdelen 5-10 jaar beschikbaar. Reparatie mag niet worden bemoeilijkt door hardware of software. Extra garantiejaar bij keuze voor reparatie.

EU AI Act (Verordening 2024/1689)

De AI Act is gefaseerd van toepassing: verboden AI-praktijken sinds februari 2025, transparantieverplichtingen vanaf augustus 2025, de rest vanaf augustus 2026. Voor webshops zijn twee punten relevant:

Transparantieplicht (Art. 50 lid 1). Als je een AI-chatbot op je webshop hebt (klantenservice, productadvies, FAQ-beantwoording) moet je bezoekers duidelijk informeren dat ze met een AI-systeem communiceren, niet met een mens. Een label als "Dit gesprek wordt gevoerd door een AI-assistent" volstaat. Verborgen AI-interactie is een overtreding.

AVG-risico bij AI-chatbots. Dit is misschien nog belangrijker dan de AI Act zelf. De meeste AI-chatbots draaien op API's van OpenAI (ChatGPT), Google (Gemini) of Microsoft (Copilot). Elke vraag die een klant stelt aan je chatbot wordt naar servers in de USA gestuurd, inclusief eventuele persoonsgegevens (namen, bestelnummers, klachten). Dat is een doorgifte van persoonsgegevens naar een derde land onder de AVG. Na het Schrems II-arrest en de Uber-boete van 290 miljoen euro is dat een reël risico. Je hebt minimaal een verwerkersovereenkomst nodig met de AI-provider, Standard Contractual Clauses (SCC's) en een Transfer Impact Assessment (TIA). De vraag is of dat voldoende is.

AI-productaanbevelingen ("klanten kochten ook") zijn doorgaans laag risico onder de AI Act, maar vallen wel onder de AVG als ze gebaseerd zijn op profilering.

Cyber Resilience Act (Verordening 2024/2847)

Cybersecurity-eisen voor IoT/connected producten. Volledig van toepassing 11 december 2027. Als importeur: controleer CE-markering en security updates.

Verpakkingen: PPWR (Verordening 2025/40)

E-commerce verpakkingen maximaal 50% lege ruimte. Verplichte recycleerbaarheid en labeling. Gefaseerd 2028-2030.

WooCommerce en wettelijke compliance

WooCommerce is open-source, volledig configureerbaar, maar dwingt niets af. Sterker nog: WooCommerce slaat alle persoonsgegevens (namen, adressen, e-mailadressen, telefoonnummers, IP-adressen) op elf verschillende plekken op in de database, allemaal in platte tekst zonder enige vorm van encryptie. Er is geen optie om dit aan te zetten. Plugins die met WooCommerce-orders werken lezen deze gegevens rechtstreeks uit de database, waardoor veldniveau encryptie het hele ecosysteem zou breken. Dit is een fundamenteel architectuurprobleem dat WooCommerce zelf moet oplossen. Tot die tijd kun je het risico beperken met IP-anonimisatie, strikte bewaartermijnen en goede serverbeveiliging, maar de kern van het probleem blijft.

Daarnaast mist een kale WooCommerce installatie:

• Omnibus 30-dagenprijs tracking
• Modelformulier voor herroeping
• Herroepingsknop in bestelbevestigingen (Richtlijn 2023/2673)
• Digitale content waiver checkbox (Art. 16 lid m)
• Wettelijke garantie melding
• Bedrijfsgegevens in e-mail footers (Handelsregisterwet)
• VIES-validatie voor B2B BTW-nummers
• PDF-facturen met Art. 226 velden
• GDPR-conforme abandoned cart
• GPSR fabrikantgegevens velden

Wiwi ontwikkelt Toko: een WooCommerce plugin die de belangrijkste wettelijke vereisten samenvoegt. Bestelknoptekst, PDF-facturen, 30-dagenprijs tracking, herroepingsknop met HMAC-ondertekende links, VIES-validatie, privacy hardening met IP-anonimisatie en GDPR-first abandoned cart. Een geintegreerde oplossing in plaats van tien losse plugins. (link volgt na publicatie)

Of je nu Toko gebruikt of een andere aanpak kiest: dek de wettelijke vereisten systematisch af. Lees ons vergelijkingsartikel WooCommerce vs Shopify.

Verplichte pagina's, documenten en footer-informatie

Elke website en webshop moet bepaalde informatie beschikbaar stellen. Hieronder de opsplitsing: welke pagina's zijn wettelijk verplicht, welke zijn dat alleen voor webshops, en wat moet in de footer staan.

Verplicht voor elke website

• Algemene voorwaarden. Verplicht bij verkoop op afstand. De consument moet ze kunnen inzien en opslaan voor of bij het sluiten van de overeenkomst (Art. 6:230m BW). Een checkbox met "Ik ga akkoord" zonder dat de voorwaarden daadwerkelijk toegankelijk en opslagbaar zijn, is onvoldoende.
• Privacyverklaring. Verplicht op grond van de AVG Art. 13-14. Moet bevatten: wie je bent, welke gegevens je verzamelt, op welke rechtsgrond, hoe lang je bewaart, met wie je deelt, rechten van betrokkenen en klachtprocedure bij de AP. Moet actueel gehouden worden. Bekijk onze AVG compliance checklist.
• Cookiebeleid. Wettelijk verplicht als je cookies plaatst die niet strikt noodzakelijk zijn (Telecommunicatiewet Art. 11.7a). Maar ook als je geen tracking cookies plaatst is een cookiebeleid aan te raden: je legt daarin uit dat je alleen functionele cookies gebruikt en waarom er geen cookiebanner nodig is. Dat schept vertrouwen en voorkomt vragen. Mag onderdeel zijn van de privacyverklaring maar moet dan duidelijk herkenbaar zijn als apart onderdeel. Vermeld per categorie welke cookies je plaatst, waarvoor en hoe lang ze actief zijn.

Extra verplicht voor webshops

• Retourbeleid. Je bent verplicht de consument te informeren over het herroepingsrecht: de 14-dagentermijn, de procedure, wie de retourkosten draagt en welke uitzonderingen gelden (Art. 6 lid 1 sub h-k Richtlijn 2011/83/EU). Een aparte retourbeleid pagina is de beste manier om dit duidelijk te doen.
• Modelformulier voor herroeping. Wettelijk verplicht beschikbaar te stellen (Bijlage I(B) Richtlijn 2011/83/EU). Sinds Richtlijn 2023/2673 moet dit een digitaal formulier op je website zijn dat in maximaal twee stappen is af te ronden: stap 1 identificatie (naam, bestelnummer, e-mail), stap 2 bevestiging. Een downloadbare PDF mag daarnaast nog steeds, maar vervangt de digitale functie niet.
• Herroepingsfunctie. Sinds 19 juni 2026 verplicht: een permanente, zichtbare functie op je webshop waarmee consumenten het herroepingsrecht digitaal kunnen uitoefenen (Richtlijn 2023/2673).

Aanbevolen maar niet wettelijk verplicht als aparte pagina

• Garantiebeleid. Je bent verplicht de consument te informeren over de wettelijke garantie (minimaal 2 jaar conformiteitsgarantie), maar dat hoeft niet op een aparte pagina. Het mag in de algemene voorwaarden of op productpagina's. Een aparte garantiepagina is wel duidelijker voor de consument.

Verplichte informatie in de footer

De Handelsregisterwet Art. 29 en de Richtlijn Elektronische Handel Art. 5 vereisen dat de volgende gegevens permanent en gemakkelijk vindbaar op je website staan. De footer of copyrightbalk is de gangbare plek:

• Volledige handelsnaam
• Vestigingsadres (straat, huisnummer, postcode, plaats — geen postbus)
• Telefoonnummer
• E-mailadres
• KVK-nummer
• BTW-identificatienummer (let op: gebruik je BTW-ID, niet je OB-nummer als ZZP'er)

IBAN is niet wettelijk verplicht op je website maar is standaardpraktijk en wordt wel verplicht op facturen. Bij verkoop aan consumenten in andere EU-lidstaten: link naar het EU ODR-platform. Voor BV's en NV's ook: statutaire naam (als die afwijkt van de handelsnaam), statutaire zetel en rechtsvorm.