image

Kruidvat krijgt AVG-boete van 600.000 euro wegens trackingcookies

dinsdag 16 juli 2024, 10:54 door Redactie, 16 reacties
Laatst bijgewerkt: 16-07-2024, 12:04

Drogisterijketen Kruidvat heeft wegens het volgen van bezoekers van de eigen website met trackingcookies, zonder dat zij dat wisten of daarvoor toestemming hadden gegeven, een AVG-boete van 600.000 euro gekregen. "Het bedrijf verzamelde en gebruikte daarmee tegen de regels in gevoelige persoonsgegevens van miljoenen websitebezoekers", aldus de Autoriteit Persoonsgegevens (AP) dat de boete oplegde.

Kruidvat.nl had voor het plaatsen van trackingcookies toestemming aan bezoekers moeten vragen. De AVG stelt verschillende eisen waar geldige toestemming aan moet voldoen. Die eisen zijn dat toestemming in vrijheid moet zijn gegeven, voor een specifieke verwerking van persoonsgegevens, op basis van voldoende informatie en dat er geen twijfel over mag bestaan dat er toestemming is gegeven.

In de cookiebanner op Kruidvat.nl stonden de vakjes om akkoord te gaan met trackingcookies standaard aangevinkt, wat niet is toegestaan. Bezoekers die cookies alsnog wilden weigeren moesten hier veel stappen voor doorlopen. Via de trackingcookies werden gegevens van bezoekers verzameld, waarmee de drogisterijketen persoonlijke profielen van deze mensen kon maken. Naast locatiegegevens ging het ook om welke pagina’s zij bezochten, welke producten zij aan het winkelmandje toevoegden en kochten en op welke aanbevelingen zij klikten.

De AP bestempelt dit, vanwege het specifieke karakter van drogisterijproducten, al is heel gevoelige informatie. Het gaat dan bijvoorbeeld om zwangerschapstesten, voorbehoedsmiddelen of medicatie tegen allerlei kwalen. Die gevoelige informatie, gekoppeld aan de locatie, die mogelijk is te achterhalen via het ip-adres, van de unieke bezoeker, kan een zeer specifiek en 'invasief profiel' schetsen van de mensen die Kruidvat.nl bezoeken.

"Met trackingcookies of volgsoftware kunnen organisaties meekijken naar jouw internetgedrag. Dat mag niet zonder toestemming en zonder dat aan je klanten te laten weten. Want wat je op internet doet, is heel persoonlijk. Een organisatie mag dat alleen bijhouden als je er expliciet mee akkoord gaat. En je moet de mogelijkheid hebben om deze volgsoftware te weigeren, zonder dat dit nadelig voor je uitpakt", aldus AP-voorzitter Aleid Wolfsen.

Eind 2019 startte de AP onderzoek naar de manier waarop verschillende websites trackingcookies plaatsen, waaronder Kruidvat.nl. De drogisterijketen bleek niet te voldoen, waarop de AP het bedrijf een brief stuurde. In april 2020 constateerde de AP dat Kruidvat.nl nog steeds niet in orde was. De AP is toen nader onderzoek gaan doen naar deze website. In oktober 2020 werd deze overtreding beëindigd.

De privacytoezichthouder stelde vast dat persoonsgegevens van websitebezoekers van Kruidvat.nl onrechtmatig zijn verwerkt. De bandbreedte van het boetebedrag bevindt zich tussen de 300.000 tot 750.000 euro. Daarbij kwam de AP uiteindelijk uit op een boete van 600.000 euro. Kruidvat heeft aangegeven dat het tegen de boete in beroep gaat.

Reacties (16)
16-07-2024, 11:42 door Anoniem
Voor hen tien anderen.
16-07-2024, 11:49 door Anoniem
En dan geven ze na de aanpassing in de cookiedialoog in het eerste scherm een keuze tussen alles accepteren en instellen, en daarna pas de mogelijkheid om alles af te wijzen. De AP wijst in de gelinkte pagina door naar een pagina die uitlegt wat helder en misleidend is en precies dat is een van de dingen die misleidend wordt genoemd.

Ze hebben dus nog wat aan te passen. Misschien komt dat nog en hebben ze eerst met een minimale wijziging (default aan naar default uit) het grootste bezwaar verholpen, alvorens aan een wat meer bewerkelijke aanpassing te beginnen. De aanwijzingen voor duidelijke tekst mogen ze ook serieus nemen. In mijn ogen zijn ze er nog niet.
16-07-2024, 14:05 door Anoniem
Kruidvat bouwt zo'n cookiebanner niet zelf, die gebruiken waarschijnlijk hiervoor een commerciële aanbieder. Dan is het een kwestie van instellen hoe de cookiebanner werkt. Zo moeilijk is het allemaal niet.
Om moe van te worden.
16-07-2024, 14:16 door Anoniem
Kruidvat; steeds verrassend, altijd 600k nadelig..
16-07-2024, 14:18 door Anoniem
Zijn de illegaal gemaakte profielen nu ook gewist?
16-07-2024, 16:11 door Anoniem
Door Anoniem: Kruidvat bouwt zo'n cookiebanner niet zelf, die gebruiken waarschijnlijk hiervoor een commerciële aanbieder. Dan is het een kwestie van instellen hoe de cookiebanner werkt. Zo moeilijk is het allemaal niet.
Om moe van te worden.
Sterker nog ze gaan in beroep omdat het maar een geringe periode was waarbij ze exact de maanden konden vertellen.
Wat betekend ze wisten hiervan en hebben bewust gekozen om niet in actie te komen.
16-07-2024, 18:42 door Anoniem
Dat het allemaal zoveel jaar moet duren voordat er daadwerkelijk een boete wordt gegeven.
16-07-2024, 19:10 door Anoniem
Door Anoniem:
Door Anoniem: Kruidvat bouwt zo'n cookiebanner niet zelf, die gebruiken waarschijnlijk hiervoor een commerciële aanbieder. Dan is het een kwestie van instellen hoe de cookiebanner werkt. Zo moeilijk is het allemaal niet.
Om moe van te worden.
Sterker nog ze gaan in beroep omdat het maar een geringe periode was waarbij ze exact de maanden konden vertellen.
Wat betekend ze wisten hiervan en hebben bewust gekozen om niet in actie te komen.
Of betekent het dat ze het later, na de boete, hebben uitgezocht en er achter kwamen dat het om
een geringe periode ging.
17-07-2024, 08:22 door Anoniem
,l. ,l~ "Kruidvat, steeds weer verrassend -- altijd vervelend!" ,l ,l
17-07-2024, 10:16 door Anoniem
Door Anoniem: Dat het allemaal zoveel jaar moet duren voordat er daadwerkelijk een boete wordt gegeven.

- De autoriteit is onderbezet
- moet een onderzoek doen n.a.v. een klacht of vermoeden
- vraagt eventueel nadere informatie van de organisatie (wachttijd)
- moet een juridisch sluitende zaak opbouwen
- moet aan de hand van het boetebeleid en de omzet van de organisatie een boete bepalen
- informeert organisatie
- kan dan pas in de publiciteit naar buiten treden

Dat kost helaas veel tijd. De AP kan niet zomaar zeggen “we vermoeden iets en hier is de boete.” Nu gooit de drogist ook het lont in het kruidvat en gaat in beroep bij de rechter.
17-07-2024, 10:40 door Briolet
Door Anoniem: … Ze hebben dus nog wat aan te passen. …

Nee hoor, ze hoeven niets aan te passen. Het gaat hier om een feit dat eind 2019 geconstateerd is, in april 2020 nog steeds niet op orde was maar in oktober 2020 wel verholpen was.
17-07-2024, 10:44 door Briolet
Door Anoniem: Kruidvat bouwt zo'n cookiebanner niet zelf, die gebruiken waarschijnlijk hiervoor een commerciële aanbieder.

Het maakt niets uit wie de cookiebanner maakt, want Kruidvat is degene die er verantwoordelijk voor is. Zij kunnen hooguit proberen de kosten weer te verhalen op de maker van de website. (Maar daar zal niet veel te halen zijn)
17-07-2024, 11:19 door Anoniem
Door Briolet:
Door Anoniem: … Ze hebben dus nog wat aan te passen. …

Nee hoor, ze hoeven niets aan te passen. Het gaat hier om een feit dat eind 2019 geconstateerd is, in april 2020 nog steeds niet op orde was maar in oktober 2020 wel verholpen was.

De cookiebanner op dit moment is volgens mij nog niet compliant. Als je op de rode knop "Eens" klikt dan geef je toestemming voor alle cookies. Een kleinere grijze knop "Zelf cookies beheren" staat eronder, en dan kun je op het volgende schermpje "Zo is het goed" klikken en accepteer je niet de optionele cookies. Op dit 2e schermpje moet je weer de "Eens" knop negeren want anders krijg je alsnog alle cookies.

Dus 1 klik met een grote rode knop en je krijgt alle cookies, 2x klikken, een kleinere grijze knop en 2x een rode "Eens" knop negeren om zo weinig mogelijk cookies te accepteren.

Volgens mij is dit nog steeds niet Ok.

En via een cookie-banner tool is dit zo eenvoudig in te regelen, dat er totaal geen excuus is voor Kruidvat (en al die andere commerciële graaiers) om het niet goed te doen. Dit wordt bewust zo gedaan.
18-07-2024, 09:13 door Anoniem
AP zou ook onderzoeken of ze gstatic/google analytics zouden verbieden of (dwingend adviseren dat ze het) zo moesten instellen dat het moet voldoen aan de AVG zoals in Zwitserland, Oostenrijk, Denemarken & Noorwegen ook is gedaan.
Ik hoor/lees er niets meer over en kan op hun site er ook niets meer over terugvinden! Iemand?

Wat zal de percentage zijn van een bewuste interntetstruiner om noscript te hebben geïnstalleerd om een meuk aan scripting van derde tegen te gaan? En dan nog, ik die min of meer zo'n bewuste surfer denkt te zijn, er nog geen vat op kan hebben hoeveel persoonlijke gegevens er op plekken komen (en wat voor gegevens dat precies zijn) wat ik niet kon overzien.

Er wordt vanuit beleid (politiek) veelste makkelijk over gedacht en het geeft de schijn dat ze het zelfs wenselijk vinden dat mensen niet zo moeilijk moeten doen om 'wat' prive-gegevens. Iets doet mijdan herinneren aan een herhaling van de geschiedenis waarbij gemeenten zonder kwaad in zin de religie van mensen noteerde en wel zonder enig doel of functie!
Nu worden er gehele profielen opgebouwd van individuele personen met veel meer kenmerken dan alleen geloof, maar de politiek blijft lekker doorslapen of denkt dat het misschien hun misschien ook wel handig uit kan komen in de toekomst (,,What could possibly go wrong'')!
18-07-2024, 09:24 door Anoniem
Verder gezocht naar wat de AP concludeert /aanbeveelt/handhaaft(?) betreffende gstatic/...analytics :

-----
In Nederland heeft de Autoriteit Persoonsgegevens (AP) specifieke stappen ondernomen met betrekking tot het gebruik van Google Analytics en de naleving van de AVG. Hier is de huidige status en enkele belangrijke punten:

1. **Onderzoeken**:
- De AP heeft onderzoek gedaan naar het gebruik van Google Analytics door Nederlandse websites en de naleving van de AVG. Dit onderzoek richt zich vooral op de doorgifte van persoonsgegevens naar de Verenigde Staten en de maatregelen die Google heeft genomen om de gegevensbescherming te waarborgen.

2. **Waarschuwingen en Aanbevelingen**:
- In januari 2022 heeft de AP waarschuwingen afgegeven aan organisaties over het gebruik van Google Analytics. De AP gaf aan dat er significante privacyrisico's zijn verbonden aan het gebruik van deze dienst en dat het mogelijk in strijd is met de AVG.
- De AP heeft organisaties aanbevolen om alternatieve webanalysetools te overwegen die volledig voldoen aan de Europese privacywetgeving.

3. **Conclusies van Onderzoeken**:
- De AP heeft in juni 2022 aangegeven dat het gebruik van Google Analytics mogelijk niet is toegestaan onder de AVG vanwege de overdracht van gegevens naar de VS zonder adequate waarborgen.
- Er werd geconcludeerd dat de standaard configuratie van Google Analytics niet voldoet aan de AVG, en er werd aanbevolen om de instellingen te wijzigen om de gegevensbescherming te verbeteren.

#### Handhaving

- **Boetes en Sancties**:
- Tot op heden heeft de AP geen specifieke boetes aangekondigd voor het gebruik van Google Analytics, maar de waarschuwingen en aanbevelingen suggereren dat handhaving kan volgen als organisaties de aanbevelingen negeren.
- De AP heeft aangegeven dat zij het gebruik van Google Analytics en andere vergelijkbare diensten nauwlettend blijft volgen en dat er handhavingsmaatregelen kunnen worden genomen als er overtredingen van de AVG worden geconstateerd.

### Acties die Organisaties Moeten Nemen

1. **Evaluatie van Google Analytics**:
- Organisaties worden aangemoedigd om hun gebruik van Google Analytics te evalueren en te overwegen of het voldoet aan de AVG, vooral in termen van gegevensoverdracht naar de VS.

2. **Configuratieaanpassingen**:
- Aanpassingen in de configuratie van Google Analytics kunnen helpen om de naleving van de AVG te verbeteren, zoals het anonimiseren van IP-adressen en het uitschakelen van bepaalde gegevensverzamelingsfuncties.

3. **Overwegen van Alternatieven**:
- Organisaties worden geadviseerd om alternatieve webanalysetools te overwegen die volledig binnen de EU worden gehost en voldoen aan de AVG, zoals Matomo of Piwik PRO.

### Conclusie

De huidige status in Nederland met betrekking tot Google Analytics en Google-diensten onder de AVG is dat de AP heeft vastgesteld dat er significante privacyrisico's zijn, en zij hebben waarschuwingen en aanbevelingen uitgegeven. Hoewel er nog geen boetes zijn opgelegd specifiek voor het gebruik van Google Analytics, blijft de AP de situatie nauwlettend volgen en kunnen er handhavingsmaatregelen worden genomen als organisaties de aanbevelingen negeren. Organisaties worden sterk aangemoedigd om hun gebruik van Google Analytics te heroverwegen en te zorgen voor naleving van de AVG.

----

Ziet er voor mij uit als een wassen neus; "ik stond er bij en keek er naar"!
19-07-2024, 15:45 door Anoniem
Wat gaat er gebeuren met de profielen die ze van de klanten hebben gemaakt? Wat hebben ze ermee gedaan? Worden de mensen van de gemaakte profiele er wel op de hoogte gebracht?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.