Kruidvat cookies zijn in strijd met de AVG, aldus de AP - € 600.000,- boete

AP 2 mei 2024, IT 4586 (AP tegen A.S. Watson). De Autoriteit Persoonsgegevens (hierna: AP) heeft besloten om aan A.S. Watson Health & Beauty Continental Europe B.V. (hierna: A.S. Watson), het moederbedrijf van onder meer Kruidvat, een bestuurlijke boete van € 600.000,- op te leggen voor de overtreding van artikel 6, eerste lid, in samenhang met artikel 5, eerste lid, onder a, van de Algemene verordening gegevensbescherming (hierna: AVG). Dit omdat A.S. Watson geen rechtmatige grondslag heeft voor het verwerken van persoonsgegevens door middel van (tracking) cookies bij het bezoeken van de website kruidvat.nl, terwijl zij wel verwerkingsverantwoordelijke is in de zin van de AVG.

Ondanks de toestemmingsprocedure die gebruikers van kruidvat.nl moeten doorlopen voor gegevensverwerking (het cookievenster), is gebleken dat er zowel voorafgaand als na het doorlopen van de toestemmingsprocedure cookies worden geplaatst. Het gaat in het bijzonder om een vijftal cookies, die als doel hebben de personalisatie van gebruikers mogelijk te maken en hun gebruikservaring te optimaliseren. De verzamelde gegevens worden verzonden aan een derde partij die de gegevens vervolgens verwerkt. Uit onderzoek van de AP is gebleken dat, zelfs als een gebruiker de gehele toestemmingsprocedure doorloopt zonder toestemming te geven voor de verzameling van 'Reclame Cookies', dergelijke cookies alsnog worden geplaatst, althans in de periode van 28 april 2020 tot 1 oktober 2020. A.S. Watson heeft als verweer gevoerd dat het onderzoek van AP onrechtmatig is geweest, nu de cookies en vergelijkbare technieken op de website kruidvat.nl niet als openbare gegevens mogen worden aangemerkt. Ook zou de wettelijke grondslag voor het onderzoek dat de AP heeft uitgevoerd ontbreken. Voorts stelt A.S. Watson dat haar rechten van verdediging zijn geschaad en dat de AP in strijd met het zorgvuldigheidsbeginsel heeft gehandeld.

In haar beoordeling benadrukt de AP allereerst dat de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens een grondrecht is, dat de AP als bevoegde toezichthoudende autoriteit dient te bewaken. Het verrichten van onderzoek naar een openbaar bereikbare website vormt in dat kader geen inmenging op het privéleven en past bij het takenpakket van de AP. De bewijsvergaring heeft in dit geval rechtmatig plaatsgevonden en het zorgvuldigheidsbeginsel is daarbij niet geschonden, gelet op de doorlopende communicatie met A.S. Watson gedurende het onderzoek. Op basis van zowel het onderzoek als het privacybeleid van A.S. Watson zelf, stelt de AP vast dat A.S. Watson de persoonsgegevens van haar gebruikers verwerkt in de zin van de AVG. Voor die verwerking heeft A.S. Watson een grondslag nodig, in het bijzonder toestemming van de betrokkene bestaande uit een vrije, specifieke geïnformeerde en ondubbelzinnige wilsuiting, in combinatie met een ondubbelzinnige actieve handeling. Dat ontbreekt hier echter, gelet op de vooraf aangevinkte cookies. Er is dan ook sprake van een overtreding van de AVG, waarvoor een boete in rekening wordt gebracht op basis van de Boetebeleidsregels.

63. Deze gepersonaliseerde ervaring samen met de unieke user-ID of visitor-ID maakt dat van de bezoekers van kruidvat.nl profielen worden gemaakt. Daarnaast kan A.S. Watson ook zelf interesseprofielen voor personalisatiedoeleinden opstellen door gegevens te verwerken waaronder het navigatiegedrag op de webpagina’s (bekeken pagina’s) en de aan het winkelmandje toegevoegde producten en gekochte producten, geolocatie en IP-adres. Kruidvat.nl biedt een zeer grote verscheidenheid aan producten aan. Het kan gaan om gezondheidsproducten, verzorgingsproducten, huishoudelijke producten, maar ook elektronica, speelgoed en babyproducten. Met name het in samenhang bezien van aan het winkelmandje toegevoegde producten, gekochte producten en de geolocatie (via IP-adres) gekoppeld aan unieke user-ID of visitor-ID kan een zeer specifiek en invasief profiel schetsen van de bezoekers van kruidvat.nl.

76. De AP stelt vast dat in dit geval dus sprake is van vooraf aangevinkte (reclame) cookies. Volgens de jurisprudentie van het Hof van Justitie van de Europese Unie32 (HvJ EU) is geen sprake van een rechtsgeldige toestemming indien voor het plaatsen van cookies op de apparatuur van de betrokkene gebruik wordt gemaakt van een standaard aangevinkt selectievakje dat de betrokkene moet uitvinken ingeval hij weigert zijn toestemming te verlenen. Nu A.S. Watson gebruik heeft gemaakt van vooraf aangevinkte (reclame) cookies is dus geen sprake is van vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige handeling hem betreffende verwerking van persoonsgegevens aanvaardt.

77. De AP concludeert ten aanzien van vooraf aangevinkte (reclame) cookies dat er sprake is van een overtreding van artikel 6, eerste lid, in samenhang met artikel 5, eerste lid, onder a, AVG omdat A.S. Watson van de betrokkene geen toestemming als hiervoor bedoelde heeft gekregen voor de verwerking van persoonsgegevens. Daaruit volgt dat A.S. Watson onrechtmatig, want in strijd met de AVG, heeft gehandeld.