DPP-naleving in relatie tot de AVG is het snijvlak van twee EU-regelgevingskaders — de ESPR-verplichting om productgegevens te delen via DPP's, en de AVG-verplichting om persoonsgegevens te beschermen — waardoor merken bij de implementatie van productpaspoorten met beide kaders tegelijk rekening moeten houden. De meeste DPP-gegevens zijn géén persoonsgegevens, maar op meerdere raakpunten ontstaan AVG-verplichtingen die merken niet mogen negeren. Begrijpen waar de grens tussen het Digitaal Productpaspoort en de AVG precies ligt, voorkomt zowel het overbouwen van privacymaatregelen voor productgegevens als het onderbeschermen van de persoonsgegevens die wél door het systeem stromen.
Waarom is de AVG relevant voor Digitale Productpaspoorten?
Bij een Digitaal Productpaspoort stromen gegevens langs meerdere partijen: merken leveren productgegevens aan, DPP-platforms hosten deze, consumenten scannen QR-codes om ze te raadplegen, toeleveringsketenpartners dragen eraan bij, en markttoezichthouders controleren ze. Elke gegevensstroom die persoonsgegevens bevat, activeert AVG-verplichtingen — ongeacht of het primaire doel van die gegevensstroom producttransparantie is.
De meeste DPP-gegevens zijn productinformatie: materiaalsamenstelling, CO₂-voetafdruk, recyclinginstructies, certificeringsverwijzingen. Niets hiervan identificeert een individu. Maar op meerdere raakpunten in het DPP-ecosysteem kunnen persoonsgegevens betrokken zijn, en merken moeten precies weten waar die raakpunten zitten.
Het risico is niet hypothetisch. Volgens de GDPR Enforcement Tracker (2025) hebben EU-gegevensbeschermingsautoriteiten meer dan EUR 4,5 miljard aan cumulatieve boetes opgelegd in meer dan 2000 handhavingsacties. Waar AVG-boetes kunnen oplopen tot 20 miljoen EUR of 4% van de wereldwijde jaaromzet, vereist het ESPR-sanctiekader dat iedere lidstaat zijn eigen sancties vaststelt die „doeltreffend, evenredig en afschrikkend" zijn (artikel 77). Een merk dat beide schendt, staat bloot aan cumulatieve handhavingsrisico's van twee onafhankelijke handhavingsregimes.
Welke DPP-gegevens kunnen persoonsgegevens zijn?
Contactgegevens van marktdeelnemers
De ESPR vereist dat DPP's fabrikantidentificatie bevatten: bedrijfsnaam, adres en contactinformatie van een verantwoordelijke persoon. Voor bedrijven zijn zakelijke contactgegevens doorgaans geen persoonsgegevens. Maar voor eenmanszaken — gebruikelijk onder kleine merken — identificeren de naam en het adres van de fabrikant een natuurlijk persoon en vormen daarmee persoonsgegevens in de zin van AVG-artikel 4, lid 1.
Consumentenscangegevens
Wanneer een consument een DPP-QR-code scant, kan het hostingplatform metadata vastleggen: IP-adres, apparaattype, besturingssysteem, geschatte locatie en tijdstempel. Onder de AVG zijn IP-adressen persoonsgegevens — het Hof van Justitie van de EU heeft dit bevestigd in zaak C-582/14, Breyer tegen Duitsland. Dit betekent dat analyses van consumentenscans een rechtsgrondslag vereisen, hetzij gerechtvaardigd belang, hetzij uitdrukkelijke toestemming.
Als uw DPP-platform consumentenscans bijhoudt voor analyses, heeft u een AVG-conform cookie-/trackingtoestemmingsmechanisme nodig — dezelfde verplichtingen die gelden voor elke website die bezoekers volgt, gelden voor uw DPP-hostingplatform. Ga er niet van uit dat de ESPR-verplichting voor het DPP de AVG-toestemmingsvereisten opheft.
Personen in de toeleveringsketen
Fabriekscontactpersonen, kwaliteitsinspecteurs en certificeringsauditors die in de toeleveringsketendocumentatie worden genoemd, kunnen eveneens AVG-verplichtingen activeren. Als hun namen of contactgegevens in het DPP-systeem terechtkomen — zelfs achter het beperkte toegangsniveau — is de AVG op die gegevens van toepassing. Verwerkingsovereenkomsten met toeleveringsketenpartners moeten dit dekken.
Wat uitdrukkelijk GEEN persoonsgegevens zijn
Het overgrote deel van de DPP-inhoud valt volledig buiten het AVG-toepassingsgebied:
- Materiaalsamenstelling van producten (bijv. 95,2% biologisch katoen, 4,8% elastaan)
- Milieumetrieken (bijv. 7,2 kg CO₂e CO₂-voetafdruk)
- Certificeringsverwijzingen (bijv. OEKO-TEX Standard 100, GOTS)
- Productielocatie (fabrieksadres, niet individueel contact)
- Recycling- en einde-levensduurinstructies
- Productidentificatienummers (GTIN, batchnummers, serienummers)
DPP-gegevenscategorieën: persoonsgegevens versus niet-persoonsgegevens
| Gegevenscategorie | Persoonsgegevens? | AVG van toepassing? |
|---|---|---|
| Materiaalsamenstelling | Nee | Nee |
| Milieu-impactmetrieken | Nee | Nee |
| Productidentificatienummers (GTIN, batch) | Nee | Nee |
| Fabrikantbedrijfsgegevens | Doorgaans nee | Alleen bij eenmanszaak |
| Naam/e-mail verantwoordelijke persoon | Ja (indien natuurlijk persoon) | Ja |
| Metadata consumentenscan (IP, locatie) | Ja | Ja |
| Fabriekscontactpersoon | Ja (indien met naam) | Ja |
| Certificeringen en standaarden | Nee | Nee |
| Recyclinginstructies | Nee | Nee |
Voor de meeste kleine merken is het oppervlak aan persoonsgegevens in een DPP klein — maar het is niet nul.
Wat zegt de ESPR over persoonsgegevens?
De ESPR negeert gegevensbescherming niet. De verordening adresseert de relatie tussen DPP's en persoonsgegevens op meerdere plaatsen:
- Uitsluiting van klantgegevens: Persoonsgegevens van klanten mogen niet in het DPP worden opgeslagen zonder hun uitdrukkelijke toestemming. Dit is een strengere norm dan het algemene AVG-vereiste van een "rechtsgrondslag" — de ESPR eist specifiek toestemming, niet gerechtvaardigd belang.
- Beperkingen voor dienstverleners: DPP-dienstverleners mogen paspoortgegevens niet verkopen, hergebruiken of verwerken buiten wat strikt noodzakelijk is voor hosting- en verwerkingsdiensten. Dit weerspiegelt het doelbindingsbeginsel van de AVG en is rechtstreeks in de ESPR opgenomen.
- Verificatie van toegangsgeloofsbrieven: De Commissie neemt uitvoeringshandelingen aan voor procedures om digitale geloofsbrieven van geautoriseerde gebruikers uit te geven en te verifiëren — zodat gegevens op het beperkte niveau alleen toegankelijk zijn voor partijen met een legitieme reden.
- Nauwkeurigheidsverplichtingen: Marktdeelnemers moeten ervoor zorgen dat DPP-gegevens nauwkeurig, volledig en actueel zijn — in overeenstemming met het nauwkeurigheidsbeginsel van de AVG.
Deze bepalingen betekenen dat de ESPR is ontworpen met AVG-compatibiliteit in het achterhoofd. De twee verordeningen zijn complementair, niet tegenstrijdig.
De 7 AVG-beginselen toegepast op DPP's
De zeven kernbeginselen van de AVG (artikel 5) zijn alle van toepassing wanneer persoonsgegevens het DPP-ecosysteem binnenkomen. Hier volgt hoe elk beginsel zich vertaalt naar de DPP-context:
| AVG-beginsel | Betekenis voor DPP's |
|---|---|
| 1. Rechtmatigheid, behoorlijkheid, transparantie | Identificeer een rechtsgrondslag voor elke verwerking van persoonsgegevens. Gerechtvaardigd belang kan van toepassing zijn op contactgegevens van marktdeelnemers; tracking van consumentenscans vereist doorgaans toestemming. |
| 2. Doelbinding | DPP-gegevens verzameld voor naleving van regelgeving mogen niet worden hergebruikt voor marketing zonder afzonderlijke toestemming. Een merk mag consumentenscangegevens niet gebruiken om klantprofielen op te bouwen. |
| 3. Dataminimalisatie | Verzamel alleen persoonsgegevens die strikt noodzakelijk zijn. Het drielaagse toegangssysteem ondersteunt dit door te beperken wie welke gegevens ziet. |
| 4. Nauwkeurigheid | DPP-gegevens moeten actueel worden gehouden. Verouderde persoonsgegevens (bijv. contactgegevens van een voormalig verantwoordelijke persoon) moeten worden gecorrigeerd of gewist. |
| 5. Opslagbeperking | Persoonsgegevens in een DPP-context vereisen mogelijk langere bewaring (afgestemd op de levensduur van het product), maar dit moet worden onderbouwd en gedocumenteerd. |
| 6. Integriteit en vertrouwelijkheid | Toegangscontroles, versleuteling en veilige hosting zijn vereist voor alle persoonsgegevens binnen het DPP-systeem. |
| 7. Verantwoordingsplicht | Documenteer uw AVG-nalevingsmaatregelen. Houd een register van verwerkingsactiviteiten bij (AVG-artikel 30) voor alle persoonsgegevensstromen in uw DPP-implementatie. |
Het drielaagse DPP-toegangssysteem (openbaar / toeleveringsketen / regelgevend) sluit goed aan bij het dataminimalisatiebeginsel van de AVG. Elk niveau onthult alleen de gegevens die relevant zijn voor de rol van die gebruiker — consumenten zien geen contactgegevens van leveranciers, en het publiek ziet geen eigendomsformuleringen. Deze ingebouwde toegangscontrole vereenvoudigt AVG-naleving aanzienlijk.
DPP-toegangsniveaus en dataminimalisatie
Het drielaagse toegangssysteem van de ESPR sluit rechtstreeks aan bij AVG-vereisten:
Openbaar niveau: Bevat alleen niet-persoonlijke productgegevens — materiaalsamenstelling, milieumetrieken, wasvoorschriften, certificeringen. Geen AVG-kwestie voor de bekeken gegevens zelf. Het scannen van de QR-code kan echter persoonlijke metadata genereren (IP-adres, apparaatgegevens), waarvoor wél een rechtsgrondslag nodig is.
Toeleveringsketenniveau: Kan contactgegevens van leveranciers bevatten die persoonsgegevens vormen. Vereist verwerkingsovereenkomsten tussen het merk, het DPP-platform en toeleveringsketenpartners. Toegang is beperkt tot geverifieerde partijen met een legitieme behoefte — recyclers, reparateurs, distributeurs. Voor praktijkvoorbeelden van hoe deze toegangsniveaus in de praktijk werken, zie onze geannoteerde DPP-doorloop.
Regelgevend niveau: Volledige toegang voor markttoezichthouders. De rechtsgrondslag is rechtstreeks vastgelegd in de ESPR — autoriteiten hebben expliciete wettelijke bevoegdheid om alle DPP-gegevens te raadplegen, inclusief eventuele persoonsgegevens.
Deze gelaagde structuur betekent dat merken niet hetzelfde niveau van AVG-bescherming hoeven toe te passen op alle DPP-gegevens. Richt privacymaatregelen op de gegevenscategorieën die daadwerkelijk persoonsgegevens bevatten, en laat het toegangsniveausysteem de rest afhandelen.
Hoe waarborgt u AVG-naleving bij uw DPP?
Vijf concrete stappen om ervoor te zorgen dat uw DPP-implementatie aan de AVG-vereisten voldoet:
1. Voer een gegevensbeschermingseffectbeoordeling (DPIA) uit
Breng alle persoonsgegevensstromen in uw DPP-systeem in kaart. Identificeer elk punt waar persoonsgegevens worden verzameld, verwerkt of opgeslagen — van contactgegevens van de verantwoordelijke persoon tot analyses van consumentenscans. Een DPIA is wettelijk verplicht als uw verwerking stelselmatige monitoring of grootschalige verwerking van persoonsgegevens betreft, en wordt in alle gevallen als goede praktijk aanbevolen.
2. Implementeer toestemmingsmechanismen voor consumenttracking
Als uw DPP-platform consumentenscans volgt (de meeste doen dat, voor analyses), voeg dan een AVG-conform toestemmingsmechanisme toe. Dit is identiek aan de cookietoestemmingsvereiste op elke website. Als uw platform geen individuele scans volgt — alleen geaggregeerde paginaweergaven — zijn uw toestemmingsverplichtingen aanzienlijk verminderd.
3. Sluit verwerkingsovereenkomsten af
Sluit verwerkingsovereenkomsten af met uw DPP-dienstverlener en alle toeleveringsketenpartners van wie persoonsgegevens in het systeem terechtkomen. De verwerkingsovereenkomst moet specificeren: welke persoonsgegevens worden verwerkt, het doel en de duur van de verwerking, de beveiligingsverplichtingen van de verwerker, en procedures voor rechten van betrokkenen.
4. Definieer bewaarbeleid
De ESPR vereist dat DPP-gegevens beschikbaar blijven gedurende de verwachte levensduur van het product — wat jaren of decennia kan zijn. Stem de bewaring van productgegevens af op ESPR-vereisten, maar bouw afzonderlijke evaluatieschema's in voor persoonsgegevens. Contactgegevens van een verantwoordelijke persoon uit 2027 mogen niet onaangeroerd in het systeem blijven staan tot 2040.
5. Documenteer alles
Houd een register van verwerkingsactiviteiten bij conform AVG-artikel 30. Dit omvat: categorieën van verwerkte persoonsgegevens, verwerkingsdoeleinden, categorieën ontvangers, geplande bewaartermijnen en een beschrijving van beveiligingsmaatregelen. Deze documentatie ondersteunt ook uw ESPR-verantwoordingsverplichtingen.
De DPP's van de meeste kleine merken bevatten zeer weinig persoonsgegevens. Als u een DPP-platform gebruikt dat individuele consumentenscans niet bijhoudt en uw productgegevens alleen verwijzen naar bedrijfsnamen (niet naar individuen), is uw AVG-blootstelling minimaal. Richt uw nalevingsinspanning proportioneel in — bouw geen overbodige privacymaatregelen voor gegevens die geen persoonsgegevens zijn.
DPP AVG-nalevingschecklist
Gebruik deze checklist om systematisch AVG-naleving in uw DPP-implementatie te verifiëren. Elk item sluit aan bij een specifieke AVG-verplichting. Voor de meeste kleine merken zullen de meeste van deze items snelle bevestigingen zijn — het oppervlak aan persoonsgegevens in een typisch DPP is klein.
Gegevensmapping
- Identificeer alle persoonsgegevens in uw DPP-systeem — Maak een lijst van elk gegevensveld dat een natuurlijk persoon zou kunnen identificeren (naam/e-mail verantwoordelijke persoon, eenmanszaakgegevens, fabriekscontactpersonen)
- Breng consumentenscangegevensverzameling in kaart — Documenteer welke metadata uw DPP-hostingplatform vastlegt wanneer iemand een QR-code scant (IP-adres, apparaattype, locatie, tijdstempel)
- Classificeer elk gegevensveld per ESPR-toegangsniveau — Bevestig dat persoonsgegevens beperkt zijn tot het juiste niveau (toeleveringsketen of regelgevend) en niet zonder toestemming in het openbare niveau worden blootgesteld
Rechtsgrondslag
- Stel rechtsgrondslag vast voor elke persoonsgegevenscategorie — Gerechtvaardigd belang kan van toepassing zijn op contactgegevens van marktdeelnemers; tracking van consumentenscans vereist doorgaans toestemming
- Implementeer toestemmingsmechanisme voor consumententracking — Als uw platform individuele scangegevens logt, voeg dan een AVG-conform toestemmingsbanner toe (identiek aan websitecookie-toestemmingvereisten)
- Controleer blootstelling eenmanszaak — Als u een eenmanszaak bent, vormen uw naam en adres in het DPP persoonsgegevens — bevestig dat u hiervoor een rechtsgrondslag hebt
Overeenkomsten en documentatie
- Sluit verwerkingsovereenkomsten af met uw DPP-dienstverlener — Met: welke persoonsgegevens worden verwerkt, doel, duur, beveiligingsverplichtingen verwerker, procedures rechten betrokkene
- Sluit verwerkingsovereenkomsten af met toeleveringsketenpartners van wie persoonsgegevens in het systeem terechtkomen — Fabriekscontacten, kwaliteitsinspecteurs, certificeringsauditors genoemd in DPP-gegevens
- Houd register van verwerkingsactiviteiten (ROPA) bij per AVG-artikel 30 — Categorieën persoonsgegevens, doeleinden, ontvangers, bewaartermijnen, beveiligingsmaatregelen
Rechten van betrokkenen
- Stel proces in voor verzoeken om toegang van betrokkenen — Met naam genoemde personen in uw DPP (verantwoordelijke personen, leverancierscontacten) hebben recht op toegang, correctie en verzoek tot wissing van hun persoonsgegevens
- Definieer bewaartermijnen voor persoonsgegevens — Gescheiden van productgegevensbewaring (die de ESPR-productlevensduurvereisten volgt). Evalueer persoonsgegevens jaarlijks; werk bij wanneer personen van rol veranderen.
Beveiliging
- Bevestig beveiligingsmaatregelen DPP-platform — Versleuteling, toegangscontroles, EU-dataresidentie (indien van toepassing)
- Verifieer ESPR-artikel 10-naleving — Persoonsgegevens van klanten mogen niet in het DPP worden opgeslagen zonder uitdrukkelijke toestemming. Bevestig dat uw systeem dit handhaaft.
Voor merken die al AVG-conform zijn voor hun website en klantgegevens, zijn de meeste van deze items uitbreidingen van bestaande processen, geen nieuwe capaciteiten. De incrementele AVG-inspanning voor DPP is proportioneel aan de hoeveelheid persoonsgegevens in uw systeem — die voor de meeste kleine merken minimaal is.
Wat betekent dit voor uw merk?
De overlap tussen DPP- en AVG-verplichtingen is kleiner dan het op het eerste gezicht lijkt. Het overgrote deel van de DPP-gegevens — materiaalsamenstelling, milieumetrieken, certificeringen, recyclinginstructies — zijn productgegevens, geen persoonsgegevens, en vallen volledig buiten het AVG-toepassingsgebied.
Waar de AVG wél van toepassing is — analyses van consumentenscans, contactgegevens van verantwoordelijke personen, met naam genoemde personen in de toeleveringsketen — zijn de verplichtingen beheersbaar en duidelijk omschreven. Merken die al AVG-conform zijn voor hun websites en klantgegevens, beschikken over de processen en infrastructuur om DPP-gerelateerde persoonsgegevens te verwerken zonder iets nieuws te hoeven bouwen.
De kern is dat u producttransparantie niet moet verwarren met persoonsgegevens. Een DPP dat consumenten vertelt dat een t-shirt voor 95% uit biologisch katoen bestaat en in Portugal is vervaardigd, is geen privacykwestie. Een DPP-platform dat stilzwijgend het IP-adres en de locatie van elke consument registreert wanneer deze een QR-code scant, is dat wél.
Ken het verschil, en bouw uw DPP-implementatie dienovereenkomstig. Als kosten of operationele complexiteit een zorg zijn, behandelt onze gids over DPP-uitdagingen de 7 grootste obstakels waar kleine merken mee te maken krijgen — inclusief gegevenskwaliteit. Gebruik onze DPP Readiness Checker om te beoordelen waar uw merk staat op het gebied van zowel productgegevens als nalevingsgereedheid.
Veelgestelde vragen
Wat zijn de 7 AVG-beginselen?
De 7 AVG-beginselen zijn: rechtmatigheid, behoorlijkheid en transparantie; doelbinding; dataminimalisatie; nauwkeurigheid; opslagbeperking; integriteit en vertrouwelijkheid; en verantwoordingsplicht. In een DPP-context zijn deze voornamelijk van toepassing op consumentenscangegevens (IP-adressen, apparaatinformatie), contactgegevens van marktdeelnemers (wanneer deze een natuurlijk persoon identificeren) en met naam genoemde personen in de toeleveringsketen. De meeste DPP-productgegevens — materiaalsamenstelling, milieumetrieken, certificeringen — zijn geen persoonsgegevens en vallen buiten deze beginselen.
Worden er persoonsgegevens verzameld bij het scannen van een DPP-QR-code?
Dat kan, afhankelijk van de implementatie van het hostingplatform. Wanneer een consument een QR-code scant, kan het hostingplatform het IP-adres, apparaattype, besturingssysteem en geschatte locatie vastleggen — die alle persoonsgegevens zijn onder de AVG conform het Breyer-arrest van het HvJ-EU (C-582/14). Als het platform alleen de DPP-pagina toont zonder individuele bezoekersgegevens te loggen, worden er geen persoonsgegevens verzameld. Raadpleeg de privacydocumentatie van uw DPP-aanbieder om te begrijpen wat zij vastleggen.
Kunnen persoonsgegevens van mijn leveranciers in een DPP terechtkomen?
Ja, als uw DPP-systeem met naam genoemde personen uit leveranciersorganisaties bevat — fabriekscontactpersonen, kwaliteitsinspecteurs, certificeringsauditors. Als het alleen bedrijfsnamen en fabrieksadressen vermeldt zonder specifieke personen te identificeren, zijn er geen persoonsgegevens in het geding. Waar individuele namen wél in het systeem terechtkomen, heeft u verwerkingsovereenkomsten nodig met die toeleveringsketenpartners, en moeten de gegevens beperkt blijven tot het toeleveringsketen- of regelgevend toegangsniveau — nooit zichtbaar in het openbare niveau.
Hoe lang moeten DPP-gegevens worden bewaard onder de AVG?
De ESPR vereist dat DPP-gegevens beschikbaar blijven gedurende de verwachte levensduur van het product, wat jaren of decennia kan zijn. Dit kan spanningen opleveren met het opslagbeperkingsbeginsel van de AVG. De oplossing is om productgegevens (bewaren gedurende de volledige productlevenscyclus conform de ESPR) te scheiden van persoonsgegevens (regelmatig evalueren en minimaliseren). Contactgegevens van een verantwoordelijke persoon moeten worden bijgewerkt wanneer de persoon van rol verandert; consumentenscangegevens moeten een gedefinieerde bewaartermijn hebben, doorgaans niet langer dan noodzakelijk voor analysedoeleinden.
Heb ik een DPIA nodig voor mijn DPP?
Als uw DPP-systeem persoonsgegevens op grote schaal verwerkt of stelselmatige monitoring betreft — zoals het volgen van consumentenscans over meerdere producten of regio's — is een gegevensbeschermingseffectbeoordeling wettelijk verplicht op grond van AVG-artikel 35. Voor een klein merk met een eenvoudig DPP dat alleen productgegevens en bedrijfsgegevens bevat, is een DPIA mogelijk niet wettelijk verplicht maar nog steeds aan te bevelen als goede praktijk. Het dwingt u om gegevensstromen in kaart te brengen en risico's te identificeren voordat ze problemen worden.
Wat zijn 5 voorbeelden van persoonsgegevens in een DPP?
Vijf voorbeelden van persoonsgegevens die in een DPP-context kunnen voorkomen zijn: (1) de naam en het e-mailadres van de verantwoordelijke persoon die als productcontact is vermeld, (2) het IP-adres van een consument dat wordt vastgelegd wanneer deze de QR-code scant, (3) de naam van een kwaliteitsinspecteur uit een fabriek vastgelegd in de toeleveringsketendocumentatie, (4) het woonadres van een eenmanszaak gebruikt als fabrikantadres, en (5) geolocatiegegevens van het apparaat uit analyses van consumentenscans. Hiervan worden alleen het eerste en vierde voorbeeld in het DPP zelf opgeslagen — de overige worden gegenereerd door het hostingplatform tijdens interacties.
