Boete van 600.000 euro voor tracking cookies op Kruidvat.nl
De Autoriteit Persoonsgegevens (AP) heeft een boete van 600.000 euro opgelegd aan het bedrijf achter drogisterij Kruidvat. De reden voor de boete is dat het bedrijf bezoekers van Kruidvat.nl volgde met tracking cookies, zonder dat zij dat wisten of daarvoor toestemming hadden gegeven. Het bedrijf verzamelde en gebruikte daarmee tegen de regels in gevoelige persoonsgegevens van miljoenen websitebezoekers.
Het bedrijf achter Kruidvat, AS Watson (Health & Beauty Continental Europe) B.V., verzamelde gegevens van websitebezoekers en kon daarmee persoonlijke profielen maken van deze mensen. Naast locatiegegevens van bezoekers ging het onder meer om welke pagina’s zij bezochten, welke producten zij aan het winkelmandje toevoegden en kochten en op welke aanbevelingen zij klikten.
Dat is heel gevoelige informatie, door het specifieke karakter van drogisterijproducten. Zoals zwangerschapstesten, voorbehoedsmiddelen of medicatie tegen allerlei kwalen. Die gevoelige informatie, gekoppeld aan de locatie (die mogelijk is te achterhalen via het IP-adres) van de unieke bezoeker, kan een zeer specifiek en invasief profiel schetsen van de mensen die Kruidvat.nl bezoeken.
Aleid Wolfsen, voorzitter van de AP: 'Met tracking cookies of volgsoftware kunnen organisaties meekijken naar jouw internetgedrag. Dat mag niet zonder toestemming en zonder dat aan je klanten te laten weten. Want wat je op internet doet, is heel persoonlijk. Een organisatie mag dat alleen bijhouden als je er expliciet mee akkoord gaat. En je moet de mogelijkheid hebben om deze volgsoftware te weigeren, zonder dat dit nadelig voor je uitpakt.'
Zonder toestemming tracking cookies
Kruidvat.nl had voor het plaatsen van tracking cookies op de computer van bezoekers toestemming aan hen moeten vragen. De privacywet AVG stelt een aantal eisen aan geldige toestemming. Die eisen zijn dat toestemming in vrijheid moet zijn gegeven, voor een specifieke verwerking van persoonsgegevens, op basis van voldoende informatie en dat er geen twijfel over mag bestaan dat er toestemming is gegeven.
In de cookiebanner op Kruidvat.nl waren de vakjes om akkoord te gaan met het plaatsen van volgsoftware standaard aangevinkt. Dat mag niet. Bezoekers die de cookies alsnog wilden weigeren, moesten veel stappen doorlopen om dit voor elkaar te krijgen. De AP heeft geconstateerd dat persoonsgegevens van websitebezoekers van Kruidvat.nl onrechtmatig zijn verwerkt.
Gelegenheid om orde op zaken te stellen
Eind 2019 is de AP een onderzoek gestart naar verschillende websites, waaronder Kruidvat.nl. De AP toetste of deze websites voldeden aan de eisen voor het plaatsen van (tracking) cookies. Daarbij ging de AP na of toestemming voor tracking cookies werd gevraagd aan websitebezoekers en zo ja, hoe dit precies gebeurde.
Kruidvat.nl bleek niet te voldoen, waarop de AP het bedrijf een brief stuurde. In april 2020 constateerde de AP dat Kruidvat.nl nog steeds niet in orde was. De AP is toen nader onderzoek gaan doen naar deze website. In oktober 2020 was deze overtreding beëindigd.
Heldere cookiebanners
Er is toenemende maatschappelijke irritatie over cookies en cookiemeldingen, uiteenlopend van hinderlijke en misleidende banners tot zorgen over het heimelijk volgen van internetgebruikers. De AP gaat in 2024 vaker controleren of websites op de juiste manier toestemming vragen voor tracking cookies of andere volgsoftware.
Het is belangrijk dat mensen bij het bezoeken van websites grip houden op hun persoonsgegevens. Met heldere informatie over het gebruik van cookies kunnen zij een weloverwogen keuze maken om toestemming te geven of niet. Organisaties moeten daarom zorgen voor een cookiebanner die voldoet aan de wettelijke eisen.
AS Watson (Health & Beauty Continental Europe) B.V. heeft bezwaar gemaakt tegen het boetebesluit.