05 mrt Boete voor Coolblue wegens fout in cookiebanner
Webwinkel Coolblue moet een boete van € 40.000 betalen omdat het in 2020 gedurende een korte periode onrechtmatig persoonsgegevens heeft verzameld. Coolblue gebruikte cookies op de verkeerde manier, constateerde de Autoriteit Persoonsgegevens (AP).
De webwinkel plaatste cookies op de apparatuur van bezoekers, zonder dat bezoekers van de site daarmee actief akkoord waren gegaan. In de cookiebanner werd gemeld dat analytische cookies werden geplaatst, gevolgd door de tekst: “Als je verdergaat op onze website gaan we ervan uit dat je dat goedvindt”. Maar dat mag zo niet. Een bedrijf moet voor het verzamelen van persoonsgegevens via cookies expliciete toestemming van bezoekers hebben. Zij moeten welbewust en met een actieve handeling kiezen voor het accepteren van cookies die leiden tot persoonsgegevensverwerking. Als bezoekers geen actieve keuze maken, hebben ze géén toestemming gegeven en mogen hun persoonsgegevens dus niet worden verwerkt.
Boete
De Autoriteit Persoonsgegevens startte eind 2019 een onderzoek naar diverse websites, om te controleren of zij voldeden aan de regels die gelden voor cookies. Coolblue bleek de toestemmingsvraag voor cookies verkeerd te hebben ingericht en kreeg daarom een brief waarin ze werd gewaarschuwd (een zogeheten ‘normoverdragende brief’). Enkele maanden later controleerde de AP opnieuw en bleek Coolblue haar cookiebanner nog niet te hebben gewijzigd. Toen werd een gericht onderzoek gestart bij Coolblue en is officieel geconstateerd dat zij in overtreding was.
Naar aanleiding van de constatering van de AP corrigeerde Coolblue haar werkwijze, maar dat kostte enige tijd. De AP is tevreden met de correcties die Coolblue heeft aangebracht, maar gedurende de zeven weken die het duurde om de werkwijze aan te passen, was er wel sprake van een vastgestelde overtreding. Voor die overtreding kreeg Coolblue een boete.
Cookiecampagne
De AP heeft van het bestrijden van ‘foute’ cookies een speerpunt gemaakt in haar beleid voor de komende jaren. De AP vindt het belangrijk om daar als toezichthouder bovenop te zitten, omdat persoonsgegevensverwerking via cookies voor betrokkenen vaak onzichtbaar blijft, maar ondertussen leidt tot enorme dataverzamelingen en grootschalige profilering van internetgebruikers. Richting burgers is de AP een campagne gestart om meer bewustzijn te creëren over de impact die cookies kunnen hebben.
Richting bedrijven gaat de AP de komende jaren door met websites controleren. De AP bekijkt niet alleen of er geen persoonsgegevensverwerkende cookies worden geplaatst zonder toestemming te vragen, maar ook of bezoekers bij de toestemmingsvraag niet worden gemanipuleerd. Mechanismen die erop gericht zijn om weigeren lastiger te maken dan accepteren (bijvoorbeeld omdat ‘alles accepteren’ met één klik kan, terwijl de bezoeker anders eerst op ‘meer informatie’ moet klikken), of om mensen per ongeluk toestemming te laten geven (een grote uitnodigende knop met ‘OK’ en daaronder een onopvallend linkje ‘klik hier om cookies te weigeren’) kunnen ook niet door de beugel. De AP heeft een aantal vuistregels opgesteld en geeft voorbeelden van hoe het wel en hoe het niet moet.