Cookie erbij? Autoriteit Persoonsgegevens handhaaft strenger op cookiebanners

De Autoriteit Persoonsgegevens heeft onlangs het moederbedrijf van Kruidvat, AS Watson (Health & Beauty Continental Europe) B.V. (hierna ‘AS Watson’) een boete opgelegd van € 600.000 voor het plaatsen van zogenaamde ‘tracking cookies’ zonder dat de bezoekers van de website van Kruidvat hier toestemming voor hadden gegeven.

Tracking Cookies

Tracking cookies zijn cookies die bij de bezoeker van een website worden geplaatst en waarmee de eigenaar van de website het internetgedrag van de bezoekers in de gaten kan houden. In het geval van Kruidvat leidde dit ertoe dat AS Watson kon zien wat de locatie van bezoekers van de website was, wat zij aan hun winkelwagentje toevoegden en welke andere websites werden bezocht. AS Watson gebruikte voor het plaatsen van de cookies een zogenaamde ‘cookie banner’. Dit is een pop-up waarop de bezoeker zijn toestemming voor het plaatsen van cookies geeft.

Juridisch kader

Door het plaatsen van de cookies verwerkt AS Watson persoonsgegevens van de personen bij wie deze cookies worden geplaatst. Door de cookies kan AS Watson namelijk een profiel maken van de bezoekers van de website. Voor deze verwerking van persoonsgegevens beroept AS Watson zich op toestemming van de bezoeker van de website, wat volgens de Algemene Verordening Gegevensbescherming (hierna ‘AVG’) een geldige grondslag kan zijn.

Voor de mogelijkheid om persoonsgegevens te verwerken op basis van toestemming moet de toestemming wel aan een aantal vereisten voldoen. Zo moet de toestemming ondubbelzinnig zijn gegeven. In dit geval was hier volgens de Autoriteit Persoonsgegevens geen sprake van. De cookiebanner op de website van Kruidvat was namelijk standaard aangevinkt op akkoord en het wijzigen van deze instellingen bestond uit meerdere onduidelijke stappen. Hierdoor was geen sprake van toestemming zoals bedoeld in de AVG en de verwerking van de persoonsgegevens onrechtmatig.

De onrechtmatige verwerking van persoonsgegevens komt AS Watson duur te staan; de boete bedraagt namelijk € 600.000. Hierbij is onder andere meegewogen dat door de cookies een profiel werd opgesteld van de bezoekers van Kruidvat.nl waarbij onder andere werd bijgehouden welke producten aan de winkelwagen werden toegevoegd en op welke aanbevelingen werd gereageerd. Bij een drogisterij leidt dit tot een erg persoonlijk en invasief profiel, omdat een profiel ontstaat dat veel zegt over de gezondheid en persoonlijke omstandigheden van de bezoeker.

Wees er op tijd bij!

De boete van de Autoriteit Persoonsgegevens aan AS Watson was niet onaangekondigd. Eerder had de Autoriteit Persoonsgegevens al een brief gestuurd aan AS Watson met de mededeling dat de cookiebanners van de website van Kruidvat niet aan de AVG voldeden. AS Watson werd hierbij de kans geboden dit aan te passen. Later heeft de Autoriteit Persoonsgegevens geconstateerd dat deze kans niet is benut, waarna een officieel onderzoek is gestart waaruit de boetebeschikking is gevolgd.

Het is dus van belang dat wanneer u een melding krijgt van de Autoriteit Persoonsgegevens, u hier op tijd op acteert. Dit voorkomt een boete en kosten voor een eventueel bezwaar tegen de boete.

Handhaving

Cookiebanners leiden tot steeds meer irritatie onder internetgebruikers en daarom heeft de Autoriteit Persoonsgegevens het aanpakken van misleidende en hinderlijke cookiebanners tot een van de onderwerpen genoemd waarop zij meer gaat toezien en handhaven in 2024. De verwachting is dus dat AS Watson niet de laatste zal zijn die aan een onderzoek van de Autoriteit Persoonsgegevens zal worden onderworpen ten aanzien van het gebruik van cookiebanners.

Meer informatie of vragen?

Heeft u vragen over cookies, dan wel over de AVG, neem dan gerust contact op met een van onze privacy-specialisten. Zij zijn per e-mail bereikbaar via info@pellicaan.nl en telefonisch via 088 627 22 87 of 088 627 22 20.