De Autoriteit Persoonsgegevens verlaagt de boete die zij eerder aan Kruidvat gaf voor het plaatsen van trackingcookies van 600.000 euro naar 50.000 euro. Dat meldde Tweakers onlangs. Inderdaad, 90% eraf. De belangrijkste reden is dat de AP lang deed over het onderzoek en omdat boetes voor vergelijkbare overtredingen lager waren.
Tweakers legt uit:
Kruidvat kreeg de boete omdat het te snel trackingcookies plaatste bij bezoekers van de Kruidvat-website. In de cookiebanner stond standaard aangevinkt dat gebruikers toestemming gaven om die cookies te plaatsen. Het weigeren was volgens de toezichthouder te moeilijk, omdat gebruikers te veel stappen moesten doorlopen. Ook rekende de AP het Kruidvat aan dat er daardoor gevoelige gegevens werden verzameld, omdat de keten zaken als zwangerschapstests, voorbehoedsmiddelen en medicatie verkoopt.De hiervoor toegekende boete was dus zes ton, wat ik op zich al fors vond maar het ‘specifieke karakter van drogisterijproducten’ woog mee: bij de Kruidvat koop je ook producten als zwangerschapstests, voorbehoedsmiddelen of zelfzorgmedicatie dus dat riekt naar bijzondere persoonsgegevens over gezondheid.
In het besluit op bezwaar komt men toch een beetje terug op die enorme boete, zij het nogal kortaf. Op zich was de opgelegde boete binnen de kaders van de Europese AVG-toezichthouders, en sloot deze ook aan bij de bandbreedte die de AP zelf hanteert. Echter:
De lange duur van de procedure bij de AP,zonder dat het onderzoek en de daaropvolgende handhavingsfase deze behandelduur rechtvaardigen, de erkenning van de (volledige) overtreding door [Kruidvat-moederbedrijf] AS Watson, de geringe ernst van de overtreding en de omstandigheid dat in een vergelijkbare procedure inzake (tracking) cookies de AP tot een (in relatief opzicht) vergelijkbare boete is gekomen, zijn voor de AP aanleiding om de boete in dit besluit vast te stellen op een bedrag van € 50.000,-.In de comments wordt gereageerd dat AS Watson vorig jaar 53 miljard euro omzet had, dus dat maakt die 50k een schijntje zonder afschrikwekkende werking zeg maar. Daar wil ik wel tegenover stellen dat het bedrijf direct meegewerkt heeft (zie onderzoeksrapport) en ook nergens heeft betoogd vrij van schuld te zijn. Ik maak me vooral zorgen dat dit andere bedrijven aanmoedigt om tegen alles maar in bezwaar te gaan, want zulke korting is toch mooi meegenomen.
Arnoud
Het is vreemd om het ineens een lichte overtreding te noemen en nu ineens de argumentatie rondom de gezondheidsproducten volledig weg te laten bij de bepaling van de ernst van de overtreding.
Verder vind ik het jammer dat AP niet honderden of zelfs duizenden websites die dit soort omslachtige methodes gebruiken om cookies te weigeren boetes geeft.
Dat kon ik ook niet plaatsen inderdaad. Eerst zeggen ze “..gevoelige gegevens werden verzameld, omdat de keten zaken als zwangerschapstests, voorbehoedsmiddelen en medicatie verkoopt.”, en daarna “..de geringe ernst van de overtreding”. Als het in strijd met de wet verzamelen van gevoelige medische gegevens niet ernstig is, wanneer is een overtreding dan wel ernstig? Of zijn medische gegevens ineens niet meer gevoelig? Een van die twee moet het zijn, ik zie niet veel andere opties.
Op een absolute schaal, als je alle mogelijke overtredingen bekijkt, is het eigenlijk wel, IMHO, een relatief lichte overtreding.
Ten eerste: De cookies konden wel afgezet worden (dat was dan iets ingewikkelder dan het mocht zijn, maar ook niet per se super moeilijk)
Ten tweede: Het is slechts een klein percentage van de drogisterijartikelen die iets over gezondheid zegt,
Ten derde: die link met gezondheid is zeer indirect (immers, gewoon ‘interesse’ in een zwangerschapstest wil niet zeggen dat ik misschien zwanger ben, en zelfs als ik hem koop wil dat niet zeggen dat die voor mij is, en zelfs als die wel voor mij is blijft dat slechts een indicatie van ‘ik ben heel misschien zwanger’.)
Vergelijk het eens met, bijvoorbeeld, een kliniek die willens en wetens gezondheidsgegevens verkoopt aan de hoogste bieder. Dan heb je het over een zware overtreding.
Of iemand die NAW, geboortedatum, creditcard, emailadres + password lekt. Dat is toch wel van een andere ordegrootte, zou ik denken.
Ik heb verder geen mening over de hoogte van de boete.
In absolute zin valt het ook allemaal wel mee (zie ook het spel “Shit Happens” voor een komische lijst van problemen op een schaal van 1 tot 100) maar het wijzigen van de mening over de gevoeligheid van die gegevens begrijp ik niet. Als de AP had gezegd “Het onderzoek duurde veel te lang en het bedrijf werkte mee” dan zou ik niets gezegd hebben. Nu is het me onduidelijk, is illegaal (potentieel) gevoelige persoonsgegevens verzamelen nu wel of niet ernstig.
En ja, als een kliniek bewust medische informatie verkoopt dan zijn veel zwaardere boetes op zijn plaats, en (in mijn persoonlijke overtuiging) ook celstraffen voor de verantwoordelijken.
Vergelijk dat met de recente Finse boete van 1,1M€ (de een-na-hoogste van dat land) voor verkeerde cookie-instellingen bij een universiteitsapotheek: https://www.edpb.europa.eu/news/national-news/2025/finnish-sa-pharmacy-company-yliopiston-apteekki-issued-administrative-fine_bg