De Autoriteit Persoonsgegevens (AP) beboet het bedrijf achter Kruidvat voor het zonder toestemming verzamelen van gebruikersgegevens. De boete bedraagt 600.000 euro.
Via tracking cookies was het mogelijk om persoonlijke profielen samen te stellen van websitebezoekers. Dat kon automatisch voor alle websitebezoekers, doordat er nooit op een correcte manier toestemming werd gevraagd voor deze cookies. De verzamelde gegevens waren de locatiegegevens, de producten die zij toevoegden aan het online winkelmandje en informatie over welke aanbevelingen consumenten aanklikten.
Automatisch toestemming gegeven
De goedkeuring voor de tracking cookies was overigens wel een onderdeel van de cookiebanner. Kruidvat.nl hield zich alleen niet aan de in de privacywetgeving AVG opgestelde eisen. De toestemming voor deze cookies stond automatisch aangevinkt, terwijl dit alleen is toegestaan voor noodzakelijke cookies. Bovendien moesten bezoekers die de cookies alsnog wilden weigeren, veel stappen doorlopen om dit gedaan te krijgen.
De AP beboet deze privacyschending met een boete van 600.000 euro. De boete is voor de verantwoordelijke, AS Watson (Health & Beauty Continental Europe) B.V., het bedrijf achter Kruidvat. Aleid Wolfsen, voorzitter van de AP, geeft als argument voor deze beslissing dat “wat je op het internet doet, heel persoonlijk is.”
Boete volgt laat na feiten
De nu uitgeschreven boete volgt jaren nadat het probleem in de cookiebanner van Kruidvat.nl werd aangepakt. Sinds oktober 2020 was de overtreding namelijk beëindigd. Daarbij is het belangrijk dat de AP de drogisterij de kans heeft gegeven om zichzelf te herpakken. In een onderzoek van eind 2019 constateerde AP namelijk de fout, waarna het probleem werd aangekaart in een brief. In april 2020 werd dan geconstateerd dat het probleem nog niet was aangepakt.
Het moederbedrijf heeft aan de NOS laten weten dat het in beroep gaat tegen de beslissing. Er wordt gemeld dat het bedrijf en de autoriteit verschillen van mening over de aard en omvang van de overtreding, omdat het probleem zich alleen zou hebben gesteld tussen april en oktober 2020.
Lees ook: De Autoriteit Persoonsgegevens gaat in 2024 vaker controleren