Kruidvat plaatste tracking cookies zonder voorafgaande toestemming: € 600.000,- boete

Kruidvat plaatste tracking cookies zonder voorafgaande toestemming: € 600.000,- boete

De Autoriteit Persoonsgegevens (AP) heeft het moederbedrijf van Kruidvat een bestuurlijke boete opgelegd van € 600.000. De website kruidvat.nl gebruikte zonder geldige toestemming cookies, web beacons en javascripts die persoonsgegevens verzamelen. De AP oordeelt dat de rechten en vrijheden van burgers geschonden zijn, doordat hun internetactiviteiten zonder hun toestemming gevolgd zijn.

De AP heeft eind 2019 onderzoek gedaan naar verschillende websites – waaronder kruidvat.nl – om na te gaan of die voldoen aan de eisen die aan het plaatsen van cookies (waaronder web beacons en bepaalde javascripts) worden gesteld. Voor cookies die informatie verzamelen over hoe gebruikers over de website navigeren en op welke andere websites de gebruikers komen, moet vooraf toestemming wordt gevraagd aan websitebezoekers. Kruidvat.nl bleek zulke cookies echter te plaatsen zonder actieve toestemming van gebruikers; alleen gebruikers die actief op zoek gingen naar de mogelijkheid om cookies te weigeren, konden aan de cookies ontkomen. Het moederbedrijf van Kruidvat kreeg naar aanleiding van het onderzoek uit 2019 de opdracht om haar toestemmingsprocedure voor cookies op kruidvat.nl te herzien, maar zij heeft dat niet gedaan.

Toestemmingsprocedure

De website van Kruidvat plaatste (analytische) cookies waarmee kon worden bijgehouden welke pagina’s door gebruikers werden bezocht, welke producten aan het winkelmandje werden toegevoegd, welke producten daadwerkelijk werden gekocht, op welke aanbevelingen er werd geklikt, alsmede het e-mailadres, user-ID, IP-adres en de user-agent van de gebruiker. Een deel van deze informatie werd ook gedeeld met een derde partij. Sommige cookies werden al geplaatst vóórdat de bezoeker van kruidvat.nl het venster voor de toestemmingsprocedure te zien kreeg. Voor andere cookies werd wel toestemming gevraagd, maar daarbij stond het toestemmings-schuifje standaard ingesteld op het geven van toestemming voor alle cookies. Bezoekers die zo snel mogelijk het toestemmingsvenster wegklikten, kregen alle cookies. Bezoekers die aan (een deel van) de cookies wilden ontkomen, moesten daarvoor meerdere keren voor ‘meer informatie’ kiezen en vervolgens het schuifje verplaatsten, alvorens op ‘verstuur voorkeursinstellingen’ te klikken. De cookies die al geplaatst waren voordat het toestemmingsvenster verscheen, zouden gebruikers dan nog actief via hun browser moeten weggooien.

Profielen

Een bezoeker die al eerder kruidvat.nl had bezocht, kon als gevolg van de gebruikte cookies worden geïdentificeerd met een unieke user-ID of visitor-ID en zijn IP-adres. Omdat daarnaast de gedragingen van de gebruiker op de website werden gevolgd, kon het moederbedrijf van Kruidvat precies zien in welke soorten producten een specifieke gebruiker interesse had. Omdat Kruidvat een drogisterij is, kunnen die interesses soms heel persoonlijk zijn. Bijvoorbeeld als mensen naar bepaalde medicijnen, voedingssupplementen of bijvoorbeeld zwangerschapstests kijken. Het moederbedrijf van Kruidvat verwerkte met de cookies dus gevoelige persoonsgegevens.

Geen vrije wilsuiting

De vraag was: heeft het bedrijf voor deze verwerking een grondslag? Nee, zo vond de AP – alleen toestemming kan een geldige grondslag zijn voor het plaatsen en uitlezen van cookies die persoonsgegevens verzamelen. En het moederbedrijf van Kruidvat had geen geldige toestemming voor het plaatsen van de cookies. Toestemming in de zin van de AVG vereist namelijk een actieve handeling van de gebruiker, nadat deze deugdelijk geïnformeerd is en zonder dat er op enige manier druk wordt uitgeoefend om toestemming te geven. Als een toestemmingsprocedure zo is ingericht dat het weigeren van toestemming extra moeite kost (meerdere keren doorklikken), terwijl het geven van toestemming heel makkelijk is, dan is er sprake van druk uitoefenen. Alle gegeven toestemmingen zijn dan ongeldig.

Ernstige inbreuk

Hoewel het moederbedrijf van Kruidvat na het onderzoek in 2019 de instructie had gekregen om de toestemmingsprocedure voor cookies op kruidvat.nl te verbeteren, bleek bij controle in 2020 dat dit niet was gebeurd. Daarom kreeg het moederbedrijf van Kruidvat een bestuurlijke boete opgelegd. De Boetebeleidsregels bepalen dat boetes voor dit soort overtredingen lopen tussen € 300.000 en € 750.000. De boete in deze zaak viel aan de hogere kant van die bandbreedte uit. Daar speelde in mee dat de informatie die met de cookies verzameld werd gevoelig was en dat het aantal unieke bezoekers op kruidvat.nl behoorlijk hoog was. De periode waarin de (nog immer voortdurende) inbreuk op de rechten van de websitebezoekers plaatsvond was midden in de coronatijd, toen fysieke winkels minder goed konden worden bezocht en dus veel mensen hun drogisterij-artikelen online bestelden. De inbreuk was dus ernstig en had veel mensen geraakt. Bij het bepalen van de hoogte van een boete speelt volgens de Boetebeleidsregels van de AP ook de duur van de geconstateerde inbreuk een rol. Die was in dit geval vrij kort: vijf maanden. Maar ook de economische omvang van het bedrijf dat de inbreuk begaat speelt een rol, en die werkte voor het moederbedrijf van Kruidvat juist weer boete-verhogend. De wereldwijde omzet van het concern waar Kruidvat toe behoort was namelijk € 53,5 miljard in 2022. Onder de streep kwam de AP uit op een boete van € 600.000. Het moederbedrijf van Kruidvat heeft bezwaar aangetekend.