Kruidvat's Cookiecrisis
...en de lessen die je hier als ondernemer best uit trekt
Na Amazon, Meta, Google, TikTok, H&M, en nog wel wat andere multinationals, heeft ook het moederbedrijf van Kruidvat het intussen aan de stok met haar privacywaakhond. De Nederlandse Autoriteit Persoonsgegevens (AP) ontdekte dat kruidvat.nl een periode lang gebruik maakte van zgn. tracking cookies zonder de juiste toestemming van de websitebezoekers. Het resultaat? Een bestuurlijke boete van maar liefst 600.000 EUR. De feiten waren opmerkelijk, de sanctie is fors.
Cookies
Cookies zijn kleine bestanden die op het apparaat van de gebruiker worden geplaatst tijdens het bezoek aan een website. Er zijn technische en functionele cookies die het surfen moeten vergemakkelijken, maar ook analytische cookies die het gedrag van de bezoeker registreren.
Die laatste categorie cookies vereist duidelijke toestemming van de bezoeker, welke toestemming conform de Algemene Verordening Gegevensbescherming (AVG of GDPR) “vrij en geïnformeerd” moet zijn. Vooraf aangevinkte vakjes op de cookiebanner - die opduikt bij openen van de website - zijn niet toegestaan, en een gebruiker die zulke cookies weigert, mag niet worden belemmerd in zijn digitale bezoek (door bijvoorbeeld maar een halve pagina voor ogen te krijgen).
De lont in het kruitvat
In de periode 2019 t/m oktober 2020 blijkt Kruidvat een reeks tracking cookies te hebben gebruikt op haar Nederlandse website. Deze cookies logden onder andere welke webpagina’s werden bekeken, wat er in het winkelmandje werd toegevoegd, wat uiteindelijk werd gekocht, en op welke aanbevelingen werd geklikt. Dit alles gekoppeld aan concrete IP adressen, waardoor ook fysieke lokalisatie mogelijk was. Een goudmijn aan data, die Kruidvat in staat stelde om persoonlijke profielen op te stellen en gericht te adverteren.
Niet met die cookies zelf - die immers op zich toegelaten zijn - maar wel het gebrek aan volkomen toestemming van de bezoeker voor het implementeren hiervan, had de AP een probleem. Immers:
- Liet Kruidvat na (onmiddellijke) duidelijkheid te scheppen over het gebruik van dergelijke cookies via de banner,
- Voorzag ze een vooraf aangevinkte goedkeuring van de bezoeker hierop, en dit maar liefst vier lagen diep in de banner,
- Terwijl het bovendien ook heel wat moeite - clicks - kostte om de cookies in kwestie uit te schakelen.
De inbreuk werd in november 2019 door de AP vastgesteld, waarschuwingen werden diezelfde maand uitgevaardigd, doch deze bleven t/m het voorjaar van 2020 zonder gevolg. Pas tegen oktober datzelfde jaar stelde Kruidvat zich in regel.
Ondanks de relatief korte periode van overtreding werd toch een fikse boete opgelegd. Te verklaren wellicht door enerzijds de ernst van de schending en de impact op de privacy van miljoenen gebruikers, doch anderzijds zeer waarschijnlijk ook door de potentieel gevoelige aard van heel wat gecapteerde gegevens. Zo verkoopt Kruidvat immers niet enkel speelgoed of snoep, maar ook zwangerschapstesten, voorbehoedsmiddelen, medicatie, enz. Als er al een druppel was, is het goed mogelijk dat deze de emmer deed overlopen.
En jouw bedrijf?
Het is oppassen geblazen. Sancties op de AVG komen steeds meer voor, zodat het zaak is hier als onderneming bij stil te staan. Van eenmanszaak over KMO tot multinational, allen zijn er door gevat in hun bedrijfsvoering en riskeren boetes in geval van miskenning (die op kunnen lopen tot 4 procent van de jaarlijkse omzet).
Wat in het bijzonder cookies betreft, doe je er als online ondernemer alvast goed aan om volgende vuistregels te volgen:
- Een cookiebanner te implementeren, die opduikt bij intrede op je website,
- Te verzekeren dat (m.u.v. strikt noodzakelijke functionele cookies) géén cookies geïmplementeerd worden voorafgaand aan toestemming van de bezoeker,
- Diversificatiemogelijkheid te voorzien in de aanvaardingsfase, waarbij bv. onderscheid wordt gemaakt tussen essentiële en statistische of trackingcookies (indien althans van toepassing),
- Er over te waken dat géén vakjes vooraf aangevinkt zijn (m.u.v. deze voor strikt essentiële cookies),
- Geen dubbelzinnigheden op de banner noch een sturende opbouw in te lassen (bv. door middel van bewust geaccentueerde of grotere buttons; door het voorzien van algehele acceptatie van cookies op de bovenste laag, doch voor de weigering ervan doorverwijzen naar “instellingen” (onder een tweede of nog verdere laag), enz.)
- Op de banner te verwijzen naar een concreet cookiebeleid, met daarin duiding bij de concrete cookies die worden gebruikt, alsook de mogelijkheden om de browserinstellingen hierop aan te passen,
- Ter hoogte van het cookiebeleid (bv. onderaan de webpagina gelinkt) ook een button “cookie settings” op te nemen, die de gebruiker toestaat de cookievoorkeuren opnieuw op te roepen,
- Zich omtrent dit alles te verstaan met de webbouwer, die hierin normaal immers het voortouw zal nemen (vrijwel elke webdesigner heeft hieromtrent eigen gebruiken - doch die zijn daarom nog niet noodzakelijk correct).
Ook het bredere privacybeleid blijft evenwel aandacht verdienen. Het aanleggen van de nodige protocollen, het implementeren van technische en organisatorische maatregelen, het aanstellen van een gegevensverwerkingsverantwoordelijke (en in bepaalde gevallen een onafhankelijke Data Protection Officer), het sluiten van verwerkersovereenkomsten met (gescreende) leveranciers, enz. gelden stuk voor stuk als maatregelen die compliance weten aan te scherpen.
Heb je vragen over hoe je jouw bedrijf kan beschermen tegen boetes, of wil je advies over de conformiteit van je cookiebeleid dan wel de algehele naleving van de GDPR op elk bedrijfsniveau? Neem dan contact met ons op. Wij staan klaar om je te helpen met deskundig advies en praktische oplossingen.
Yves Vandendriessche
De integrale uitspraak van de AP lees je hier. Er zou inmiddels beroep zijn aangetekend.