De Autoriteit Persoonsgegevens heeft een forse boete opgelegd aan het moederbedrijf van Kruidvat voor het gebruik van tracking cookies op Kruidvat.nl zonder geldige toestemming. Dit heeft de AP vandaag bekend gemaakt. Met deze gegevens konden zogenaamde invasieve profielen worden opgebouwd over onder andere ‘gevoelig’ koopgedrag van medicatie en voorbehoedsmiddelen, aldus de toezichthouder. Er is inmiddels bezwaar ingediend tegen de boete. Maar voorkomen is beter dan genezen. In deze blog leggen we daarom uit hoe het wel moet.
Boete Kruidvat.nl
De Autoriteit Persoonsgegevens (AP) heeft een boete opgelegd van maar liefst € 600.000,- aan AS Watson Health & Beauty Continental Europe B.V. (AS Watson). Dit is het moederbedrijf achter onder andere Kruidvat, Trekpleister, Prijsmepper en ICI PARIS XL.
De reden hiervoor is dat AS Watson geen geldige toestemming had gevraagd aan Kruidvat-websitebezoekers voor het plaatsen van verschillende first party en third party cookies en de daarmee samenhangende verwerking van hun persoonsgegevens. Uit het onderzoek van de AP bleek namelijk dat het vinkje voor het akkoord geven voor (tracking) cookies standaard aangevinkt was. Websitebezoekers moesten een viertal stappen doorlopen om deze vooraf aangevinkte toestemming alsnog in te trekken.
Met deze (tracking) cookies werden verschillende gegevens verzameld, waaronder het navigatiegedrag op de webpagina’s (bekeken pagina’s) en de aan het winkelmandje toegevoegde producten en gekochte producten. Deze gegevens konden worden gekoppeld aan een unieke user-ID, visitor-ID of IP-adres waarmee ‘zeer specifieke en invasieve’ profielen kon worden opgesteld. Te meer omdat Kruidvat.nl verschillende drogisterijartikelen en babyproducten verkoopt, waardoor de profielen ‘gevoelige informatie’ bevatten zoals koopgedrag omtrent zwangerschapstests, voorbehoedsmiddelen of medicatie.
Uit vaste rechtspraak van de hoogste Europese rechter blijkt dat er bij deze werkwijze geen sprake is van rechtsgeldige toestemming zoals bedoeld in de AVG. Deze toestemming moet namelijk vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bij een vooraf aangevinkt vinkje is geen sprake van een expliciete ondubbelzinnige wilsuiting waaruit kan worden afgeleid dat een persoon akkoord gaat met een bepaalde verwerking van zijn gegevens. Hierdoor concludeert de AP dat er in dit geval sprake is van een schending van artikel 6 lid 1 sub a AVG (in samenhang met artikel 5 lid 1 sub a AVG).
Deze schending kwam aan het licht toen de AP in oktober en november 2019 een steekproef deed bij verschillende websites waaronder kruidvat.nl met het oog op de eisen die gelden voor het plaatsen van (tracking) cookies. Op 29 november 2019 heeft de AP AS Watson toen gewaarschuwd per brief. Maar uit onderzoek van de AP halverwege 2020 bleek dat AS Watson de werkwijze op kruidvat.nl (nog) niet had aangepast.
Het boetebesluit is hier te vinden.
Hoe moet het dan wel met cookies?
Er kan grofweg onderscheid worden gemaakt tussen drie type cookies:
- Functionele cookies: cookies die nodig om een website of app goed te laten functioneren. Bijvoorbeeld om de artikelen te onthouden die je in je winkelmand heb gedaan.
- Analytische cookies: cookies die worden gebruikt om bijvoorbeeld bezoekersstatistieken bij te houden.
- Tracking cookies: cookies die partijen in staat stelt gebruikers tijdens het surfen over verschillende websites te volgen en zo gebruikersprofielen op te stellen.
Websitebezoekers moeten worden geïnformeerd over alle gebruikte cookies (dit volgt uit artikel 11.7a van de Telecommunicatiewet). Deze informatieverstrekking moet voldoen aan de vereisten van de AVG. Deze informatie dient daarom worden verstrekt in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal (artikel 12 AVG). Met andere woorden, de cookie banner moet gemakkelijk leesbaar zijn en informatie omtrent o.a. de bewaartermijnen van de cookies mag niet worden weggestopt in bijvoorbeeld algemene voorwaarden of het privacystatement.
Voor analytische cookies die gevolgen hebben voor de privacy van websitebezoekers en voor tracking cookies is alleen informeren niet voldoende; er moet voor deze cookies toestemming worden gevraagd. Een voorbeeld van dergelijke analytische cookies zijn die van Google Analytics, waarmee (in bepaalde gevallen) meer kan worden gedaan dan slechts het bijhouden van bezoekersstatistieken. Deze toestemming moet wederom voldoen aan de vereisten van de AVG. Er moet sprake zijn van een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Een standaard aangekruist vakje volstaat dus niet.
Tot slot worden er bepaalde persoonsgegevens zoals een IP-adres verwerkt door middel van deze cookies. Voor deze verwerking is een grondslag vereist op grond van de AVG en websitebezoekers moeten hierover worden geïnformeerd in het privacystatement.
Meer info over cookies en de AVG?
De toon lijkt gezet. Deze boete volgt namelijk de aankondiging van de AP van afgelopen februari waarin zij aangeeft vaker te gaan controleren op het juiste gebruik van (tracking) cookies. Deze controles zijn mogelijk dankzij extra budget van het ministerie van Binnenlandse Zaken. Nieuwe tracking cookie-boetes liggen dan ook op de loer.
AS Watson heeft aangegeven de boete te betreuren en heeft bezwaar ingediend. We houden u op de hoogte over het vervolg.
Wilt u in de tussentijd meer weten over het gebruik van tracking technologieën of advies over het inrichten van cookiebanners? Neem dan gerust contact met ons op.
Neem contact op