Drogisterijketen Kruidvat heeft wegens het volgen van bezoekers van de eigen website met trackingcookies, zonder dat zij dat wisten of daarvoor toestemming hadden gegeven, een AVG-boete van 600.000 euro gekregen. "Het bedrijf verzamelde en gebruikte daarmee tegen de regels in gevoelige persoonsgegevens van miljoenen websitebezoekers", aldus de Autoriteit Persoonsgegevens (AP) dat de boete oplegde.
Kruidvat.nl had voor het plaatsen van trackingcookies toestemming aan bezoekers moeten vragen. De AVG stelt verschillende eisen waar geldige toestemming aan moet voldoen. Die eisen zijn dat toestemming in vrijheid moet zijn gegeven, voor een specifieke verwerking van persoonsgegevens, op basis van voldoende informatie en dat er geen twijfel over mag bestaan dat er toestemming is gegeven.
In de cookiebanner op Kruidvat.nl stonden de vakjes om akkoord te gaan met trackingcookies standaard aangevinkt, wat niet is toegestaan. Bezoekers die cookies alsnog wilden weigeren moesten hier veel stappen voor doorlopen. Via de trackingcookies werden gegevens van bezoekers verzameld, waarmee de drogisterijketen persoonlijke profielen van deze mensen kon maken. Naast locatiegegevens ging het ook om welke pagina’s zij bezochten, welke producten zij aan het winkelmandje toevoegden en kochten en op welke aanbevelingen zij klikten.
De AP bestempelt dit, vanwege het specifieke karakter van drogisterijproducten, al is heel gevoelige informatie. Het gaat dan bijvoorbeeld om zwangerschapstesten, voorbehoedsmiddelen of medicatie tegen allerlei kwalen. Die gevoelige informatie, gekoppeld aan de locatie, die mogelijk is te achterhalen via het ip-adres, van de unieke bezoeker, kan een zeer specifiek en 'invasief profiel' schetsen van de mensen die Kruidvat.nl bezoeken.
"Met trackingcookies of volgsoftware kunnen organisaties meekijken naar jouw internetgedrag. Dat mag niet zonder toestemming en zonder dat aan je klanten te laten weten. Want wat je op internet doet, is heel persoonlijk. Een organisatie mag dat alleen bijhouden als je er expliciet mee akkoord gaat. En je moet de mogelijkheid hebben om deze volgsoftware te weigeren, zonder dat dit nadelig voor je uitpakt", aldus AP-voorzitter Aleid Wolfsen.
Eind 2019 startte de AP onderzoek naar de manier waarop verschillende websites trackingcookies plaatsen, waaronder Kruidvat.nl. De drogisterijketen bleek niet te voldoen, waarop de AP het bedrijf een brief stuurde. In april 2020 constateerde de AP dat Kruidvat.nl nog steeds niet in orde was. De AP is toen nader onderzoek gaan doen naar deze website. In oktober 2020 werd deze overtreding beëindigd.
De privacytoezichthouder stelde vast dat persoonsgegevens van websitebezoekers van Kruidvat.nl onrechtmatig zijn verwerkt. De bandbreedte van het boetebedrag bevindt zich tussen de 300.000 tot 750.000 euro. Daarbij kwam de AP uiteindelijk uit op een boete van 600.000 euro. Kruidvat heeft aangegeven dat het tegen de boete in beroep gaat.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.