AS Watson, het moederbedrijf van Kruidvat, heeft een boete van 600.000 euro gekregen van de Nederlandse privacywaakhond omdat Kruidvat.nl consumenten volgens de Autoriteit Persoonsgegevens onrechtmatig volgde, ook op andere websites.
Zonder toestemming?
Bezoekers van de Nederlandse website van Kruidvat werden met trackingcookies gevolgd “zonder dat zij dat wisten of daarvoor toestemming hadden gegeven”, meent de Nederlandse Autoriteit Persoonsgegevens (AP). Naast locatiegegevens ging het onder andere om welke pagina’s consumenten bezochten, welke producten ze aan hun winkelmandje toevoegden en op welke aanbevelingen ze klikten. Op die manier kon AS Watson persoonlijke profielen maken van miljoenen websitebezoekers.
Die tracking is op zich niet verboden, maar het probleem was dat bezoekers volgens de privacywaakhond geen (geldige) toestemming gaven. De toestemming voor de volgsoftware was standaard aangevinkt in de cookiebanner en wie wilde weigeren, moest volgens de AP “veel stappen doorlopen”. De AVG-wetgeving, ook bekend als GDPR, stelt echter dat gebruikers vrije en geïnformeerde goedkeuring moeten kunnen geven.
Eerste boete ooit
Zowel nationale als Europese consumentenautoriteiten kijken steeds meer toe op onlineprivacy en -misleiding. Uit nieuw onderzoek bleek al dat ruim 75% van de websites gebruik maakt van minstens één ‘dark pattern’. De AP kwam Kruidvat eind 2019 op het spoor, tegen oktober 2020 had de website zich in regel gesteld. Toch legt de Nederlandse instantie voor de eerste keer ooit een boete op voor onrechtmatig cookiegebruik.
De data-autoriteit tilt er in het geval van Kruidvat extra zwaar aan, omdat de drogisterij toegang heeft tot erg gevoelige persoonsgegevens, zoals “zwangerschapstesten, voorbehoedsmiddelen of medicatie tegen allerlei kwalen”. Zo zou de keten een “zeer specifiek en invasief profiel” kunnen schetsen van haar websitebezoekers. Kruidvat-moeder AS Watson tekent beroep aan, beklemtonend dat het over slechts een korte periode gaat, van april tot oktober 2020.
