Boete van 600.000 euro voor Kruidvat na stiekem volgen websitebezoekers
Kruidvat heeft een boete van 600.000 euro gekregen voor het stiekem volgen van bezoekers van zijn websites met cookies. Dat maakt de Autoriteit Persoonsgegevens (AP) vandaag bekend. Bezoekers van Kruidvat.nl werden op de site gevolgd, zonder dat zij dat wisten of daarvoor toestemming hadden gegeven.
"Het bedrijf verzamelde en gebruikte daarmee tegen de regels in gevoelige persoonsgegevens van miljoenen websitebezoekers", meldt de AP. Op die manier verzamelde Kruidvat onder meer welke pagina's mensen bezochten, welke producten zij aan het winkelmandje toevoegden of hebben gekocht.
Het onderzoek van de Autoriteit Persoonsgegevens is al in het najaar van 2019 begonnen. Daarna heeft de toezichthouder meerdere malen vastgesteld dat Kruidvat niet aan de cookieregels zou voldoen. Dat was tijdens de coronapandemie, een periode waarin Kruidvat als drogisterij wel open mocht blijven, maar volgens de AP veel meer online bezoekers heeft gehad. De overtreding is eind 2020 gestopt, meldt de AP.
'Gevoelige informatie'
De Autoriteit Persoonsgegevens geeft aan dat het specifiek om een drogisterijketen om gevoeligere informatie gaat dan andere websites. "Dat is heel gevoelige informatie, door het specifieke karakter van drogisterijproducten. Zoals zwangerschapstesten, voorbehoedsmiddelen of medicatie tegen allerlei kwalen."
Kruidvat plaatste ook cookies waarmee individuele websitebezoekers een identificatienummer kregen. Met de cookies kon het bedrijf naast het gedrag op Kruidvat.nl ook het e-mailadres en IP-adres verzamelen. Dat is een uniek nummer waarmee het apparaat op basis van de internetverbinding is te identificeren. Het IP-adres geeft ook informatie over de locatie van de bezoeker. De cookies werden al geplaatst voordat de bezoeker daar toestemming voor gaf, meldt de AP.
Kruidvat maakt bezwaar
Een woordvoerder van Kruidvat laat aan RTL Nieuws weten het niet eens te zijn met boete, en dat het bedrijf deze aanvecht. "We verschillen met de AP van mening over het opleggen van deze boete en het eventueel overtreden van de regels, dus we hebben bezwaar aangetekend."
De woordvoerder wil vanwege de procedure niet inhoudelijk ingaan op de exacte argumentatie van het bedrijf.
Hoe werken cookies?
Cookies zijn kleine bestandjes die tijdens het surfen op jouw pc of telefoon worden opgeslagen. Soms zijn ze nuttig, want ze onthouden bijvoorbeeld dat je ergens bent ingelogd. Maar ze worden ook ingezet om je online te volgen: dat zijn trackingcookies.
Met die cookies kunnen bedrijven je interesses in kaart brengen, waarmee ze je persoonlijke aanbiedingen kunnen doen. Sommige mensen vinden dat de bedrijven daarmee een inbreuk op hun privacy maken, omdat ze surfgedrag gedetailleerd online volgen. Anderen vinden het juist fijn, omdat ze gepersonaliseerde advertenties relevanter vinden dan reclame voor producten die hen toch niet interesseert.
Kruidvat heeft eerder aan de AP aangegeven dat het bedrijf op basis van de cookies niet de mogelijkheden had om daadwerkelijk individuen te identificeren. De toezichthouder ziet dat anders: omdat van ingelogde gebruikers onder meer namen, adressen, e-mailadressen en de geboortedatum wordt geregistreerd. Het is onbekend welk deel van de websitebezoekers een account heeft.
Zes onderzoeken naar cookies
Het onderzoek naar Kruidvat is niet het enige onderzoek naar cookies van de AP. Een woordvoerder laat aan RTL Nieuws weten dat er inmiddels één ander onderzoek is afgerond, en dat er nog zes andere onderzoeken naar cookies lopen. De woordvoerder kan niet zeggen om welke websites het gaat, maar geeft aan dat het hier niet bij blijft. "Er volgen er meer."
In februari maakte de AP al bekend dat de toezichthouder ook in 2024 vaker gaat controleren of websites op de juiste manier toestemming vragen voor het plaatsen van cookies. "Er is toenemende maatschappelijke irritatie over cookies en cookiemeldingen, uiteenlopend van hinderlijke en misleidende banners tot zorgen over het heimelijk volgen van internetgebruikers", schrijft de toezichthouder.
De toezichthouder geeft aan dat vinkjes voor toestemming niet automatisch al aangezet mogen zijn en dat websitebezoekers niet extra moeten klikken om hun toestemming wel of niet te geven. Kruidvat is het eerste bedrijf dat door de AP vanwege cookies is beboet.