Een cookie(boete) van eigen deeg

De AP had al aangekondigd – evenals veel andere Europese privacytoezichthouders – in 2024 vaker te gaan toezien op het vragen van toestemming voor het plaatsen van (tracking) cookies of andere volgsoftware, indien en voor zover daarmee persoonsgegevens worden verzameld. In februari dit jaar schreven wij hier ook al een blog over (zie hier). De toestemming voor cookies wordt doorgaans gevraagd via de ‘cookiebanner’. De AP geeft op haar website uitleg over hoe organisaties cookiebanners moeten inrichten om op een rechtmatige manier toestemming te vragen en geeft daarbij de nodige praktijkvoorbeelden (zie hier). In de praktijk gaat dit echter nog heel vaak niet goed.

Zo ook bij het bedrijf achter Kruidvat. De AP heeft een boete van € 600.000 opgelegd aan het bedrijf wegens een schending van de AVG. De schending betreft met name het verwerken van persoonsgegevens van de websitebezoekers zonder een geldige grondslag. Het ging om persoonsgegevens waarmee persoonlijke profielen ten aanzien van de websitebezoekers konden worden gemaakt. Dit betrof niet alleen locatiegegevens van de websitebezoekers, maar ook informatie over welke pagina's ze bezochten, welke producten ze aan hun winkelmandje toevoegden en kochten, en op welke aanbevelingen ze klikten.

Deze gegevens zijn ook nog eens bijzonder gevoelig vanwege het specifieke karakter van drogisterijproducten, zoals zwangerschapstesten, voorbehoedsmiddelen en medicatie. Wanneer deze gevoelige informatie wordt gekoppeld aan de locatie van de websitebezoeker (via het IP-adres die ook wordt verzameld met de tracking cookies), ontstaat een zeer gedetailleerd profiel van de personen die Kruidvat.nl bezoeken. Om die persoonsgegevens te mogen verwerken, had het bedrijf achter Kruidvat over een geldige grondslag moeten beschikken en dat had het niet.

De grondslag had hier toestemming van de websitebezoekers moeten zijn. De AVG stelt dat deze toestemming vrijelijk moet zijn gegeven, specifiek moet zijn voor een bepaalde verwerking, gebaseerd moet zijn op voldoende informatie, en dat zonder enige twijfel moet blijken dat er toestemming is gegeven. In de cookiebanner van Kruidvat.nl waren de vakjes om akkoord te gaan met het plaatsen van de tracking cookies al standaard aangevinkt, en dit is onder de AVG niet toegestaan. Bezoekers die de cookies wilden weigeren, moesten hiervoor meerdere stappen doorlopen. Kortom, de toestemming werd niet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig gegeven. De AP heeft dan ook vastgesteld dat de persoonsgegevens van de websitebezoekers onrechtmatig zijn verwerkt en de AP heeft Kruidvat een cookie van eigen deeg gegeven door een boete op te leggen.

Het bedrijf achter Kruidvat heeft al wel bezwaar gemaakt tegen het boetebesluit. Opvallend is overigens ook dat er een lange tijd heeft gezeten tussen het onderzoek van de AP (2019) en de oplegging van de boete (2024). Mogelijk dat dit nog een gevolg krijgt.

Dat de AP strenger is gaan toezien op het gebruik van cookies, blijkt aldus wel uit het feit dat deze boete is opgelegd. Naast toezicht door de AP geldt overigens dat de Autoriteit Consument & Markt (‘ACM’) toeziet op de naleving van de Telecommunicatiewet. Dit is de wet die onder andere de inzet van cookies reguleert (zie hier). De AP is bevoegd zover bij het gebruik van de cookies ook persoonsgegevens worden verzameld. Dit is bijvoorbeeld het geval bij tracking cookies en daarmee was de AP bevoegd om handhavend op te treden tegenover Kruidvat. Het zou echter dus ook zo kunnen zijn dat naast de AP, ook de ACM op de stoep staat indien cookies in strijd met de wet worden geplaatst. Ons advies is dan ook uw cookies, cookiebanner en cookiebeleid snel te (laten) controleren en voorkom boetes!

Vraagt u zich af of uw cookiebanner en uw cookiebeleid op orde zijn? Neem dan gerust contact met ons op, wij helpen u graag verder.