AP verlaagt Kruidvat-boete voor cookieschending: lessen voor uw privacybeleid

Het onderzoek startte eind 2019 toen de AP constateerde dat Kruidvat.nl zonder toestemming gevoelige persoonsgegevens verzamelde van website bezoekers. De cookiebanner van Kruidvat stond standaard ingesteld op akkoord met tracking, wat in strijd is met de AVG-vereisten. Via deze cookies verzamelde Kruidvat gedetailleerde persoonlijke informatie zoals locatiegegevens, bezochte pagina’s, winkelmandje-inhoud en klikgedrag. Deze gegevens werden gebruikt voor het maken van gedetailleerde persoonlijke profielen. Na bezwaar van moederbedrijf AS Watson heeft de AP de boete herzien. Redenen voor de verlaging waren de lange proceduretijd, erkenning van de overtreding, en de relatief geringe ernst van de inbreuk. Voor organisaties die volgens de ISO27001 en/of ISO27701 werken, onderstreept deze zaak het belang van correcte cookie-implementaties en transparante toestemmingsprocedures. Het laat ook zien dat de AP oog heeft voor proportionaliteit bij het opleggen van sancties. De boeteverlaging heeft kritiek opgeleverd omdat het bedrag van 50.000 euro voor een groot bedrijf als Kruidvat, onderdeel van CK Hutchison Holdings met miljarden omzet, als verwaarloosbaar wordt gezien. AS Watson kan nog in beroep gaan tegen de nieuwe boete.

Bron: AP verlaagt boete Kruidvat voor trackingcookies van 600.000 naar 50.000 euro