31 jul. 2024

Kruidvat krijgt megaboete voor onrechtmatig meekijken surfgedrag van websitebezoekers

Cookiebanners zijn inmiddels niet meer weg te denken uit het digitale landschap. De pop-ups verschijnen zodra je een website bezoekt en informeren over het gebruik van cookies. Cookies zijn kleine bestanden die worden opgeslagen op een apparaat om gegevens over iemands surfgedrag te verzamelen. De Autoriteit Persoonsgegevens (AP) heeft onlangs een boete van 600.000 euro opgelegd aan het bedrijf achter drogisterijketen Kruidvat, vanwege een cookiebanner met vooraf ingevulde checkboxen. Bezoekers van website werden op deze manier gevolgd met tracking cookies, zonder dat zij dit wisten of uitdrukkelijk toestemming hadden gegeven. Het bedrijf verzamelde op deze manier (soms gevoelige) persoonsgegevens van websitebezoekers.
Cursor

Cookies en toestemming

Het plaatsen van tracking cookies kan een handige tool zijn om inzicht te krijgen in het surfgedrag van websitebezoekers. Een cookiebanner moet echter wel aan de wettelijke eisen voldoen. In een eerdere bijdrage dit jaar schreven wij over tracking cookies en het voldoen aan cookiewetgeving. Om een beter begrip te krijgen van (tracking) cookies verwijzen wij u graag door naar dit artikel.

Hoewel er verschillende soorten cookies zijn, zal een organisatie met het plaatsen van cookies op een website doorgaans persoonsgegevens verwerken. Dat betekent dat de Algemene verordening gegevensbescherming (AVG) van toepassing is. Deze regelgeving schrijft voor dat voor het verwerken van persoonsgegevens een geldige grondslag is vereist. De verwerking via cookies zal doorgaans op basis van de grondslag ‘toestemming’ plaatsvinden. In een cookiebanner kan dan vervolgens om die toestemming worden gevraagd. Websites moeten duidelijke, geïnformeerde en specifieke toestemming van bezoekers krijgen voordat ze cookies plaatsen. Deze toestemming moet vrijwillig gegeven worden, en gebruikers moeten de optie hebben om hun toestemming op elk moment in te trekken. Wanneer een checkbox vooraf automatisch al is aangevinkt, is er geen sprake van een geldige manier van toestemming vragen. De websitebezoeker moet namelijk zelf een actieve keuze maken.

‘Akkoord’?

In de cookiebanner op de Kruidvat-website waren de vakjes voor het akkoord met het plaatsen van tracking cookies standaard aangevinkt. Er werd dus niet expliciet om toestemming gevraagd. Ook konden de bezoekers de cookies niet op een eenvoudige manier weigeren, zij moesten namelijk veel stappen ondernemen om tot een weigering te komen. Met behulp van de verzamelde gegevens kon Kruidvat persoonlijk profielen van hun bezoekers opstellen. Deze profielen bevatten gedetailleerde informatie over het surfgedrag, voorkeuren en interesses van de gebruikers. De AP tikte het bedrijf op de vingers en deelt een serieuze boete uit.

Controle

Cookiebanners zijn bedoeld om transparantie en privacy van bezoekers te waarborgen, maar veelal komt het voor dat de banners te ingewikkeld of misleidend zijn. Dit leidt tot veel frustratie bij gebruikers. De AP heeft bekend gemaakt vaker te controleren of websites de regelgeving met betrekking tot toestemming vragen voor tracking cookies of andere volgsoftware naleven.

ePrivacy-verordening

Tot slot: Overigens is er in de praktijk veel discussie over de vraag of tracking cookies uitsluitend uit hoofde van de strenge toestemmings-eisen vanuit de AVG bekeken moeten worden. Er is immers ook specifieke cookiewetgeving (Telecommunicatiewet), waaruit andere mogelijk minder strenge eisen lijken te volgen. De wetgeving sluit in die zin (nog) niet goed op elkaar aan. In Europa wordt nog steeds gewerkt aan de zogenaamde ePrivacy-verordening, welke het gebruik van cookies (mede) moet reguleren. Daar is het wachten dus op.

De strenge AVG-lijn, is echter wel de lijn die de AP steeds kiest en daarin wordt zij ook wel gevolgd door rechters. Het lijkt er dus vooralsnog op dat men zich daar aan moet houden en dus dat toestemming voor het plaatsen van tracking cookies moet voldoen aan de eisen uit de AVG.

Voor meer informatie over hoe uw organisatie kan voldoen aan privacyregelgeving en het beheren van cookies en persoonsgegevens, kunt u contact op nemen met ons kantoor.

Martijn 1

Meer weten over dit onderwerp of een andere vraag?

Wij plaatsen functionele en analytische cookies. Eventueel kunnen derde partijen tracking cookies plaatsen. U dient daar dan eerst mee akkoord te gaan. Lees meer in onze Privacyverklaring