De Autoriteit Persoonsgegevens (AP) heeft een boete van 600.000 euro opgelegd aan AS Watson (Health & Beauty Continental Europe) B.V., het moederbedrijf van de bekende drogisterijketen Kruidvat. Bezoekers van Kruidvat.nl zijn gevolgd door middel van tracking cookies zonder dat zij dit wisten of hiervoor toestemming hadden gegeven. Daarmee verzamelde en gebruikte het bedrijf onrechtmatig gevoelige persoonsgegevens.
Een tracking cookie is een klein bestand dat bij een bezoek aan een website op het apparaat van de bezoeker wordt geplaatst. Met tracking cookies kunnen organisaties het internetgedrag van mensen volgen en een profiel van websitebezoekers opstellen. De data die wordt verzameld kan vervolgens worden gebruikt voor bijvoorbeeld het aanbieden van doelgerichte advertenties.
Op grond van de Algemene Verordening Gegevensbescherming (AVG) is expliciete toestemming vereist van bezoekers voor het plaatsen van dergelijke cookies. De toestemming moet vrijelijk zijn gegeven, voor een specifieke verwerking van persoonsgegevens, op basis van voldoende informatie. In geval van Kruidvat.nl bleek dat de toestemming niet correct werd verkregen.
Onderzoek Kruidvat.nl
De AP begon eind 2019 met een onderzoek naar het gebruik van cookies op diverse websites, waaronder Kruidvat.nl. Er volgde een intensiever onderzoek, waarbij werd vastgesteld dat Kruidvat.nl zonder correcte toestemming tracking cookies plaatste die gevoelige informatie verzamelden. De cookiebanner op de website had standaard aangevinkte vakjes voor toestemming. Dit is niet toegestaan. De informatie die werd verzameld bevatte onder andere de locatie van bezoekers, de pagina’s die zij bezochten, producten die zij aan hun winkelmandje toevoegden en aanbevelingen waarop zij klikten. Gezien de aard van de producten die Kruidvat verkoopt, zoals medicijnen en zwangerschapstesten, wordt deze informatie als zeer gevoelig beschouwd.
Boete opgelegd
AS Watson werd in april 2020 aangeschreven door de AP over het onrechtmatig verzamelen en gebruiken van gevoelige persoonsgegevens. In oktober 2020 bevestigde de AP dat het bedrijf de overtredingen had beëindigd. Ondanks de relatief korte periode van overtreding, achtte de AP de schending dusdanig ernstig dat zij – nu, jaren later – een aanzienlijke boete van 600.000 euro oplegt. AS Watson was verrast door de boete en heeft laten weten hiertegen in beroep te gaan.
Strengere controles in de toekomst
De AP signaleert dat de maatschappelijke irritatie over cookies en cookiemeldingen toeneemt, alsook de zorgen over het volgen van het bezoekersgedrag. De AP acht het van belang dat mensen bij het bezoeken van websites grip houden op hun persoonsgegevens. Om een weloverwogen keuze te kunnen maken voor het verlenen van toestemming, dient er duidelijk geïnformeerd te worden over het gebruik van cookies conform de AVG. Daar blijkt op dit moment nog niet altijd aan te worden voldaan. Daarom zal de toezichthouder in de toekomst vaker controleren of websites op de juiste manier toestemming vragen voor tracking cookies of andere volgsoftware.