Retningslinjer
Formål og anvendelsesområde
e-mærket arbejder for at gøre dansk e-handel tryg og transparent. Disse retningslinjer skal sikre tydelige rammer for den digitale handel, der sker mellem køber og sælger. e-mærket sætter høje standarder, så det bliver nemmere og mere sikkert at handle på nettet. Derfor skal en e-mærket webshop ikke bare følge lovgivningen, men også gå et skridt videre.
Den juridiske kontrol sker med afsæt i forbrugeraftaleloven og e-handelsloven. Hertil kommer krav til it-sikkerhed og den generelle adfærd, som en e-mærket webshop skal efterleve. Certificering sker udelukkende ud fra de krav, der beskrives i disse retningslinjer. Enhver e-mærket webshop er desuden forpligtet til at overholde anden gældende ret. Det er den erhvervsdrivendes ansvar at overholde lovgivningen.
e-mærket kontrollerer om webshoppen overholder retningslinjerne på tidspunktet for certificeringen, og når der foretages løbende kontrol. Certificering er ikke et udtryk for godkendelse af virksomhedens markedsføring, eller en anbefaling af de varer eller ydelser, som den erhvervsdrivende udbyder.
Generel adfærd
Den erhvervsdrivende skal overholde indgåede aftaler, herunder de forpligtelser, der følger af ufravigelig lovgivning. Den erhvervsdrivende skal ligeledes handle i overensstemmelse med god markedsføringsskik og almindelig hæderlig forretningsskik.
Den erhvervsdrivende må ikke anvende vilkår, der er i strid med ufravigelige forbrugerbeskyttende regler. Den erhvervsdrivende må heller ikke anvende vilkår, som domstolene, Forbrugerombudsmanden eller et af de af Erhvervsministeriet godkendte private klagenævn har fastslået er urimelige.
Certificeringskrav, som går videre end gældende lovgivning
- Erhvervsdrivende etableret uden for EU må ikke give forbrugeren ringere rettigheder, end denne ville have haft, hvis den erhvervsdrivende havde været etableret i Danmark.
Efterlevelse af krav fra myndigheder
Forbrugerklagenævnets afgørelser, afgørelser fra de af Erhvervsministeriet godkendte private klagenævn samt eventuelle påbud eller krav fra øvrige relevante tilsynsmyndigheder, herunder Konkurrence- og Forbrugerstyrelsen, Finanstilsynet og Forbrugerombudsmanden, skal efterleves af den erhvervsdrivende, eller sagen indbringes for klageinstans eller domstolene.
Krav til udvalgte brancher
e-mærket kan i særlige tilfælde stille konkrete krav til webshops i udvalgte brancher, hvis det vurderes at være nødvendigt.
Før handlen
Oplysningspligt om virksomheden
(Lovhenvisning: e-handelslovens § 7 og forbrugeraftalelovens § 8, stk. 1. nr. 2 og nr. 5)
Den erhvervsdrivende skal på en tydelig og let tilgængelig måde oplyse om:
- Virksomhedens juridiske navn og organisationsform.
- Den fysiske adresse, hvor virksomheden er etableret samt postadresse, hvis denne adskiller sig fra den fysiske etableringsadresse.
- E-mailadresse og andre oplysninger – fx et telefonnummer.
- CVR-nummer, hvis virksomheden er registreret i Det Centrale Virksomhedsregister eller andet relevant identifikationsnummer, hvis virksomheden ikke har et dansk CVR-nummer.
Disse oplysninger skal stå samlet på forsiden eller maksimalt ét klik fra forsiden.
Certificeringskrav, som går videre end gældende lovgivning
- CVR-nummeret og det juridiske navn på virksomheden skal under alle omstændigheder fremgå af forsiden. Er virksomheden ikke dansk, skal andet officielt identifikationsnummer fremgå.
- Det skal oplyses, hvis den erhvervsdrivende ikke kan kontaktes telefonisk.
Formidlingssalg / online markedsplads
(Lovhenvisning: forbrugeraftaleloven § 8, stk. 1, nr. 4 og § 8a)
Formidler en webshop salg af varer eller ydelser på vegne af en anden erhvervsdrivende, skal webshoppen tydeligt oplyse:
- Hvem der bærer ansvaret for hvilke dele af handlen, og
- øvrige oplysninger, som online markedspladser er forpligtede til at give ifølge forbrugeraftaleloven § 8a, stk. 1, nr. 1 og 2.
Under handlen
Oplysningspligt om aftalens indhold
(Lovhenvisning: forbrugeraftalelovens § 8, stk. 1, nr. 1, 6, 7, 19, 20 og § 12, stk. 1.)
Den erhvervsdrivende skal sikre, at aftalen er tydelig for kunden, inden den bliver indgået.
Ordreopsummering
Følgende oplysninger skal gives tydeligt, i fremhævet form og umiddelbart før kunden afgiver sin bestilling:
- Varens/ydelsens vigtigste egenskaber,
- Varens/ydelsens totale pris inklusiv samtlige omkostninger,
- Relevante og nødvendige oplysninger om eventuelle abonnementer eller andre løbende aftaler.
Handelsbetingelser
(Lovhenvisning: forbrugeraftalelovens § 8, stk. 1, nr. 10, 11, 12, 13,14, 16 og 24)
Den erhvervsdrivende skal oplyse om vilkårene for aftalen forud for aftalens indgåelse, herunder:
- Vilkår for betaling, levering, opfyldelse, leveringstidspunkt, og, hvor det er relevant, den erhvervsdrivendes praksis for klagebehandling.
- Oplysning om fortrydelsesret, relevante undtagelser til fortrydelsesretten, fremgangsmåde ved udnyttelse af fortrydelsesretten, hvem der afholder udgifterne til returnering af varen samt udgifterne til returnering, såfremt varen ikke kan returneres med almindelig post.
- Oplysning om at købelovens mangelsregler kan finde anvendelse på aftalen, hvis der er tale om en forbrugeraftale.
- Oplysning om klageadgang og fremgangsmåden ved klage.
Hvor det er relevant oplysninger efter forbrugeraftalelovens § 8, stk. 1, nr. 3, 8, 9, 15, 17-20 og 22-23.
Certificeringskrav, som går videre end gældende lovgivning
- Handelsbetingelserne skal aktivt accepteres af forbrugeren, inden der indgås en aftale. Det skal være muligt at læse handelsbetingelserne dér, hvor accepten afgives. Forbrugeren skal aktivt acceptere handelsbetingelserne, hver gang forbrugeren handler på webshoppen.
- Handelsbetingelserne skal kunne tilgås fra webshoppens forside (fx nederst på siden).
- Pålægges forbrugeren yderligere afgifter af offentlige myndigheder i forbindelse med købet, herunder toldafgift, selvom varen sendes til en dansk adresse, skal dette aktivt accepteres af forbrugeren i købsforløbet.
- Fremgangsmåden ved fortrydelse skal kunne tilgås fra webshoppens forside via et selvstændigt link, hvis webshoppen sælger varer eller ydelser til forbrugere, der er omfattet af fortrydelsesretten.
- Den erhvervsdrivende skal tydeligt og i fremhævet form oplyse, hvortil der skal ske returnering, hvis returneringsadressen ikke er i Danmark.
Standardfortrydelsesformular
Hvor det er relevant, skal den lovpligtige standardfortrydelsesformular svarende til formularen angivet i forbrugeraftalelovens bilag 3 være tilgængelig på webshoppen (fx i handelsbetingelserne).
Oplysning om betalingspligt
(Lovhenvisning: forbrugeraftalelovens § 12, stk. 2.)
I forbindelse med indgåelse af aftalen skal det tydeligt fremgå på det sted, hvor bestillingen afgives (fx bestillingsknappen), hvis forbrugeren pålægges en betalingsforpligtelse.
Betaling ved kontooverførsel, girokort, og lignende må kun tilbydes forbrugere som sekundær betalingsmulighed.
Certificeringskrav, som går videre end gældende lovgivning
- Ved indgåelse af forbrugeraftaler skal det tydeligt fremgå, hvis kundens betaling ikke er dækket af indsigelsesordningen i betalingslovens § 112. Dvs. hvis kunden ikke betaler med et betalingsinstrument (fx betalingskort), men via kontooverførsel, girokort og andre betalingsløsninger, der er baseret på kontooverførsel. Oplysningen skal fremgå både i handelsbetingelserne, og der hvor forbrugeren vælger betalingsform.
Reservation af beløb
(Lovhenvisning: forbrugeraftaleloven § 8, stk. 1, nr. 21)
Hvis der betales med betalingskort, hvor beløbet reserveres på forbrugerens betalingskort, skal den erhvervsdrivende oplyse forbrugeren om, at der foretages en reservation. Oplysningen skal fremgå i forbindelse med betalingen samt i handelsbetingelserne, hvor det også skal fremgå, hvornår og på hvilke betingelser de reserverede midler bliver frigivet.
Kundens mulighed for at finde og rette indtastningsfejl
(Lovhenvisning: e-handelsloven § 11, stk. 1.)
Kunden skal have adgang til at se sine indtastede oplysninger og have mulighed for at rette i dem, inden bestillingen afgives.
Efter handlen
Oplysninger, som skal sendes til kunden, efter bestillingen er afgivet
(Lovhenvisning: e-handelslovens § 12 og forbrugeraftalelovens § 13, stk. 1, og stk. 2, jf. § 8, stk. 1.)
- Den erhvervsdrivende skal uden unødig forsinkelse elektronisk bekræfte modtagelsen af en ordre.
- Den erhvervsdrivende skal senest ved leveringen af varen, eller før leveringen af ydelsen påbegyndes bekræfte aftalen på et varigt medie. Bekræftelsen skal indeholde følgende punkter og andre punkter, der er relevante for aftalen:
- Prisen og de vigtigste informationer om den købte vare.
- Totalbeløbet.
- Kundens navn og adresse.
- Virksomhedens juridiske navn, CVR-nr., adresse, e-mail, telefonnummer og evt. andre kontaktoplysninger.
- Information om hvordan varen leveres (fx fragtfirma, med/uden omdeling/afhentning).
- Så vidt muligt oplysninger om betalingsmåden.
- Den erhvervsdrivende skal sende handelsbetingelserne på et varigt medie senest samtidig med leveringen af varen eller ydelsen.
- Den erhvervsdrivende skal, hvor det er relevant, sende standardfortrydelsesformularen til forbrugeren på et varigt medie senest samtidig med levering af varen eller ydelsen.
Hurtigt svar på spørgsmål
På webshoppen skal det fremgå, hvordan den erhvervsdrivende kan kontaktes.
Certificeringskrav, som går videre end gældende lovgivning
- Svartid på mailhenvendelser skal fremgå af webshoppen. Den erhvervsdrivende er forpligtet til at overholde den svartid, der er angivet. Svartiden må som udgangspunkt ikke overstige tre hverdage.
- Hvis webshoppen har en kontaktformular, skal kunder, der benytter formularen, have en automatisk kvittering for sin henvendelse umiddelbart efter, den er afsendt.
Sikkerhed
Krav til certificering, som går videre end gældende lovgivning:
- Den erhvervsdrivende skal have en forbindelse til domænet, der er tilstrækkeligt sikret, så oplysninger mellem website og dets besøgende er beskyttet mod aflytning og manipulation (man-in-the-middle). Det betyder, at følgende kriterier skal være opfyldt:
- DNSSEC (identitet)
1. Den erhvervsdrivende skal sikre, at der er aktiveret DNSSEC på domænet, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier). - HTTPS (sikker forbindelse)
1. Webservere skal automatisk omdirigere besøgende fra ukrypteret HTTP-forbindelse til krypteret HTTPS-forbindelse på det samme domæne.
2. Webstedet skal kun kunne tilgås via HTTPS og være konfigureret tilstrækkeligt sikkert, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier). - TLS (kryptering)
1. Webservere må udelukkende understøtte sikre TLS-versioner, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier).
2. Webservere skal understøtte sikker genforhandling (gældende for TLS-versioner ældre end 1.3), eller helt have slået mulighed for genforhandling fra.
3. Webservere skal understøtte en sikker hash-funktion, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier), til at oprette den digitale signatur under nøgleudveksling. - Webstedscertifikat (identitet)
1. Tillidskæden (certificate chain) på webstedscertifikatet skal være komplet og signeret af en betroet rodcertifikatmyndighed (root certificate authority). For en gyldig tillidskæde skal webstedscertifikatet offentliggøres af en offentligt betroet certifikatautoritet, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier).
2. Den digitale signatur på webstedscertifikatet skal bruge sikre parametre, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier).
3. Webstedscertifikat skal være signeret ved hjælp af en sikker hash-algoritme, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier).
4. Webstedets domænenavn skal matche domænenavnet på webstedscertifikatet. Der kan medtages mere end ét domæne (f.eks. domænet med og uden www), som alternativt navn på certifikatet.
- DNSSEC (identitet)
- Den erhvervsdrivende skal have ægthedsmærker for at sikre mod e-mail-forfalskning, så modtagere er i stand til pålideligt at adskille phishing og spam mails, der misbruger den erhvervsdrivendes domænes afsenderadresse, fra autentiske mails. Det betyder, at følgende kriterier skal være opfyldt:
- DMARC (godkendelsesprotokol)
1. Domænet skal indeholde en gyldig DMARC-record (Domain Message Authentication Reporting & Conformance), jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier). - DKIM (autentificering)
1. Domænet skal understøtte DKIM-records (Domain Key Identified Mail). - SPF (identitet)
1. Domænet skal have en gyldig SPF-record.
2. SPF-politik skal være tilstrækkeligt sikker ved at have en korrekt syntaks, samt indeholde en streng policy for, hvilke IP-adresser/hostnames som må afsende e-mails fra domænet, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier).
- DMARC (godkendelsesprotokol)
- Den erhvervsdrivende skal have en sikker e-mailserverforbindelse (hvis anvendt til kunderettet kommunikation før, under eller efter den digitale handel), der, ved både indgående og udgående korrespondance, sikrer mod at passive og/eller aktive angribere er i stand til at læse e-mails. Det betyder, at følgende kriterier skal være opfyldt:
- TLS (kryptering)
1. Alle indgående e-mailservere (MX) skal understøtte STARTTLS (kryptering).
2. E-mailservere (MX) må udelukkende understøtte sikre TLS-versioner, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier).
3. E-mailservere (MX) må ikke understøtte TLS-komprimering
4. E-mailservere (MX) skal understøtte sikker genforhandling (gældende for TLS-versioner ældre end 1.3), eller helt have slået mulighed for genforhandling fra.
5. E-mailservere (MX) skal understøtte en sikker hash-funktion til at oprette den digitale signatur under nøgleudveksling, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier). - E-mailservercertifikat (identitet)
1. Tillidskæden (certificate chain) på alle e-mailservercertifikater skal være komplette og signeret af en betroet myndighed for rodcertifikater (root certificate authority). For en gyldig tillidskæde skal dit e-mailservercertifikat offentliggøres af en offentligt betroet certifikatautoritet, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier), og den modtagende e-mailserver skal præsentere alle nødvendige mellemliggende certifikater.
2. Den digitale signatur på e-mailservercertifikater skal benytte sikre parametre, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier).
3. Alle e-mailservercertifikater skal være signeret med en sikker hash-algoritme, jf. særskilte specifikationer (angivet på www.emaerket.dk/sikkerhedskriterier).
4. Domænenavne tilknyttet de modtagende e-mailservere (MX) skal matche domænenavnene på de eksisterende certifikater.
- TLS (kryptering)
e-mærkets beføjelser
Løbende kontrol og vejledning
e-mærket kontrollerer løbende, at den erhvervsdrivende overholder e-mærkets retningslinjer. Alle e-mærkede webshops har adgang til juridisk vejledning om gældende ret indenfor e-handelsområdet via e-mærkets juridiske service og juridiske materialer. Den erhvervsdrivende er forpligtet til løbende at holde sig orienteret om den lovgivning og praksis, som e-mærket måtte stille til rådighed og orientere om.
Udstedelse af påbud, suspendering og fratagelse af e-mærket
e-mærket kan træffe afgørelser i sager om, hvorvidt en certificeret webshop har overholdt e-mærkets retningslinjer og gældende ret. e-mærket kan tage en sag op af egen drift eller på baggrund af eksempelvis løbende kontrol, stikprøve eller klage fra webshoppens kunder.
e-mærkets sanktionsmuligheder, herunder muligheden for fratagelse af e-mærket, fremgår af e-mærkets medlemsbetingelser pkt. 9.
e-mærkets retningslinjer af 2. kvartal 2024.