De autoriteit persoonsgegevens (AP) heeft Kruidvat een boete opgelegd van 600.000 euro in juli 2024. Dit is volgens de AP omdat Kruidvat haar bezoekers volgde door middel van tracking cookies die zonder duidelijke toestemming worden geplaatst.
De autoriteit persoonsgegeven wil vanaf 2024 vaker gaan onderzoeken hoe organisaties toestemming vragen voor cookies. Heb je dit goed geregeld op je website? In dit artikel leggen we uit wat je moet weten en waar je op moet letten.
Omdat de Kruidvat onder andere ook drogisterijproducten verkoopt, wordt dit gezien als gevoelige informatie en kan het zelfs als invasief worden bestempeld. Op de website van Kruidvat was het zo dat de tracking cookies standaard aangevinkt stonden. Om die uit te zetten moest de bezoeker teveel stappen doorlopen waardoor de AP dit aanmerkt als het onrechtmatig verkrijgen van toestemming.
Wanneer krijg je een AVG cookie boete?
Vraag bij je web ontwikkelaar na of jouw website cookies plaatst en van welke soort die zijn. Zijn dit alleen functionele cookies? Dan is er niets aan de hand, maar zitten er ook analytische of tracking cookies tussen? Dan is het even opletten, lees hieronder wat dan van belang is.
Wat is een cookie?
Cookies zijn kleine tekst bestanden die een website op het apparaat van een bezoeker plaatst. Daarmee kan de eigenaar van de website informatie verzamelen of opslaan over het websitebezoek of de bezoeker.
Wat is de autoriteit persoonsgegevens?
De Autoriteit Persoonsgegevens (AP) is de Nederlandse onafhankelijke toezichthouder die ervoor moet zorgen dat iedereen zich aan de privacywetgeving (AVG/GDPR) houdt. De AP controleert websites wanneer iemand een melding heeft gedaan over een potentiële overtreding. Als de AP constateert dat die partij inderdaad in overtreding is krijgt die een brief en gelegenheid om orde op zaken te stellen. Als er na de brief geen actie is ondernomen dan kan de AP een boete opleggen. De boete is afhankelijk van de omvang van de overtreding, dus o.a. het aantal bezoekers, hoeveel en welke gegevens. Bij de Kruidvat ging het in dit geval om een boete van €600.000.
Wat zijn Tracking cookies?
Tracking cookies zijn cookies die geplaatst worden door je website, die ook weer uit te lezen zijn door andere websites om zo een profiel op te bouwen van de bezoeker. Het volgen van bezoekers tussen verschillende websites noemen we dan ook wel ‘tracking’.
Een goed voorbeeld hiervan zijn de social media cookies. Als je een website bezoekt met bijvoorbeeld Instagram posts op de website, dan plaats die website een Instagram cookie op je computer zodat Instagram jouw gedrag kan volgen. Dit houdt in dat Instagram weet dat je die website heeft bezocht en wat je daar o.a. hebt uitgevoerd.
Voor het plaatsen tracking cookies is daarom ook verplicht toestemming van de bezoeker nodig, omdat er gegevens over jou tussen verschillende bedrijven worden gedeeld. In het geval van de Kruidvat is dit extra ongewenst zijn omdat het kan gaan om gevoelige informatie zoals het aanschaffen van medicatie of andere drogisterij producten.
Wat zijn Analytische cookies?
Analytische cookies hebben als doel het bijhouden van statistieken voor de beheerder van de website en mogen geen privacy gevoelige persoonsgegevens bevatten. Als er wel privacygevoelige gegevens hiervoor worden opgeslagen dan moet dat met duidelijke toestemming van de bezoeker net als bij tracking cookies.
Wat zijn Functionele cookies?
Dit zijn cookies die nodig zijn om een website te laten functioneren. Neem bijvoorbeeld een webshop. Die kan dit type cookie nodig hebben om je bestelling of winkelwagentje bij te houden terwijl je de website bezoekt omdat het anders niet mogelijk is om af te rekenen.
Doet je cookie iets anders dan wat we in deze kop hebben beschreven? Dan geldt eigenlijk de vuistregel: Als er een cookie geplaatst wordt met privacy gevoelige informatie van een bezoeker, of wanneer een bezoeker gevolgd kan worden buitenom de huidige website. Dan is er toestemming nodig van de bezoeker.
Wanneer zijn gegevens privacy gevoelig?
Gegevens zijn gevoelig wanneer dit direct om persoonsgegevens gaat, of als met andere gegevens een profiel is op te stellen van een bezoeker en zeker wanneer dit tussen verschillende websites wordt gedeeld. Daarmee wordt de kans groter dat een bezoeker te herleiden is tot een persoon en is dit dus gevoelig.
Verantwoordelijkheid privacy wetgeving van een website
De verantwoordelijkheid voor het naleven van de privacy wetgeving ligt altijd bij het bedrijf die eigenaar is van de website. Iedere goede web ontwikkelaar licht hun klanten hierover in wanneer dit van toepassing is. Wij doen dit ook voor onze klanten.
Hoe ziet een goede cookie banner eruit?
Hoewel het moeilijk is om een algemene lijst te maken voor iedere website, zal een cookie banner hier in de basis aan moeten voldoen:
- Privacy gevoelige cookies mogen niet geplaatst worden voordat er toestemming is gegeven door de bezoeker.
- De bezoeker kan alleen toestemming geven door iets aan te klikken, het accepteren door te bezoeken is onvoldoende.
- De knop om te accepteren moet net zo makkelijk zichtbaar zijn als de knop om het te weigeren. Ook moet er geen twijfel bestaan over de betekenis van de knoppen.
- De bezoekers moeten ook hun toestemming in kunnen trekken op een even gemakkelijke manier als dat het gegeven was.
- Voor de cookies waar toestemming bij nodig is moet er duidelijk worden omschreven hoe de gegevens gebruikt worden en met welk doel. Voor ieder doel is ook apart toestemming nodig.
In het kort, wanneer krijg je een boete van de AP?
Zolang je website of plugins op je website geen tracking of cookies van derde partijen bevatten hoef je je niet druk te maken om boetes van de Autoriteit Persoonsgegevens. Mocht je wel van dit soort cookies plaatsen dan is het van belang om een heldere cookie banner te hebben, die ook meldt hoe de gegevens verwerkt worden en met welk doel.
Let vooral op bij cookies van Google Analytics, Ads en dergelijke analytica of tracking tools en plugins die je website gebruikt.
Neem bij twijfel contact op met een jurist of ga voor actuele informatie en regelgeving naar de website van de Autoriteit Persoonsgegevens of de Autoriteit Consument en Markt. Ook de Kamer van koophandel biedt voor ondernemers meer informatie. Aan dit document kunnen geen rechten worden ontleent.
Nieuwsbron: Autoriteit Persoonsgegevens (Juli, 2024)