Boete CoolBlue
Eind vorig jaar heeft de Autoriteit Persoonsgegevens (AP) aan CoolBlue een boete van 40.000 euro opgelegd voor het onrechtmatig verwerken van persoonsgegevens via cookies op haar website in 2020.
Coolblue had voor het verzamelen van persoonsgegevens via cookies expliciete toestemming van haar bezoekers moeten vragen. Dat heeft CoolBlue niet gedaan, zij ging er gewoon vanuit dat bezoekers akkoord waren: de vakjes voor toestemming voor het gebruik van cookies waren vooraf aangevinkt. Dit is in strijd met de Algemene Verordening Gegevensbescherming (AVG).
De AP controleert sinds 2019 versterkt het gebruik van cookies op websites om te toetsen of voldaan wordt aan de regels die voor cookies gelden. Daarbij kijkt de AP ook naar de wijze waarop door de websites toestemming voor het gebruik van cookies wordt gevraagd. Na een bezoek aan coolblue.nl concludeerde de AP dat het bedrijf het beleid op dit vlak niet op orde had en stuurde CoolBlue daarover in november 2019 een brief. Pas in juni 2020 bleek CoolBlue haar werkwijze te hebben aangepast.
CoolBlue was niet de enige waar het mis ging. In de zomer van 2024 legde de AP een boete op aan Kruidvat-moederbedrijf AS Watson ter hoogte van 600.000 euro voor het gebruik van tracking cookies zonder toestemming van de websitebezoekers. Dat de boete zo hoog was uitgevallen hing ook samen met het feit dat er volgens de AP gevoelige persoonsgegevens via de tracking cookies werden verzameld en dat deze verwerking een groot aantal mensen had geraakt. Het betrof dus een inbreuk op de privacy van heel veel mensen.
Het voorgaande maakt duidelijk dat het voor bedrijven cruciaal is om hun cookiebeleid nog eens kritisch onder de loep te nemen.
Wat zijn cookies nou eigenlijk?
Cookies zijn kleine (tekst)bestanden, die een eigenaar van een website of app op het apparaat van de gebruiker plaatst (bijv. telefoon, computer, tablet…) wanneer deze gebruiker de website bezoekt of de app gebruikt. Cookies zijn voor websitebezoekers of appgebruikers niet zichtbaar, omdat deze zich op de ‘achtergrond’ bevinden. Daarbij kan onderscheid worden gemaakt tussen verschillende soorten cookies, waaronder functionele cookies, analytische cookies en overige cookies (waaronder tracking cookies).
Verzamelen persoonsgegevens
Door middel van cookies kan de eigenaar van een website of app informatie over de gebruiker zelf dan wel diens bezoek verzamelen en opslaan. Vaak worden hierbij ook persoonsgegevens verwerkt, maar niet alle cookies verwerken persoonsgegevens. Grofweg kan dus een scheiding worden aangebracht tussen cookies die geen of geringe gevolgen voor de privacy van bezoekers hebben en cookies die dat wel hebben. Zo zijn er bijvoorbeeld cookies die ervoor zorgen dat een website of app (technisch) goed functioneert, dat producten in een digitale winkelmand kunnen worden opgeslagen, dat inloggegevens worden onthouden en niet elke keer opnieuw moeten worden ingevoerd. Deze cookies hebben geen dan wel slechts een geringe impact op de privacy van een persoon. Bij tracking cookies is de privacy impact doorgaans veel hoger. Deze cookies worden voor langere tijd op het apparaat van de gebruiker geplaatst en kunnen door de tijd heen iemands surfgedrag nauwkeurig over meerdere (niet samenhangende) websites volgen. Op deze manier kan degene die de cookies heeft geplaatst erachter komen hoe een bezoeker zich op de site gedraagt, welke advertenties en producten hij interessant vindt, welke website hij daarna bezoekt enzovoorts. Hiermee kunnen gedetailleerde profielen van websitebezoekers over een langere tijd worden opgebouwd.
Privacy impact: niet te onderschatten!
Hoewel cookies dus op het eerste gezicht onschuldig lijken en veelal “onzichtbaar” zijn, kan de impact op de privacy van de gebruiker nogal aanzienlijk zijn, zeker in het geval van profilering zoals hiervoor beschreven.
Zoals gezegd, kunnen via cookies heel veel verschillende soorten (persoons)gegevens over een persoon verzameld. Zo kan bijvoorbeeld informatie worden verkregen over iemands locatie, koopgedrag, zoekopdrachten op internet, interesses, politieke voorkeur, persoonlijkheidskenmerken, gezinssituatie en noem maar op. Voor bedrijven is deze informatie heel aantrekkelijk: dankzij het gebruik van tracking cookies en de gedetailleerde profielen die daarmee van gebruikers gemaakt kunnen worden, kan gerichter geadverteerd worden of op maat gemaakte content worden aangeboden. Het klinkt wellicht onschuldig: gerichte advertenties, wat kan daar nou mis mee zijn? Maar men moet zich realiseren dat hiervoor een hele boel persoonsgegevens worden verzameld en vaak zonder dat mensen zich dat realiseren.
De impact van (sommige) cookies op de privacy van websitebezoekers/appgebruikers mag daarom niet onderschat worden. Dat geldt in de eerste plaats voor de websitebezoekers zelf, die bij elk websitebezoek kritisch moeten nagaan welke cookies zij al dan niet accepteren en welke gegevens zij daarmee willen prijsgeven. Maar dat geldt evenzeer ook voor de bedrijven achter de websites en apps. Zij moeten zich kritisch afvragen waarom zij bepaalde persoonsgegevens van bezoekers en gebruikers willen hebben en wat zij daarmee gaan doen. Met oog op het beginsel van gegevensminimalisatie zijn persoonsgegevens namelijk niet “nice to have”. Een bedrijf moet zich bij elk persoonsgegeven dat het wil verwerken kritisch afvragen of het persoonsgegeven daadwerkelijk noodzakelijk is voor de beoogde gegevensverwerking en dus een “must have” is. Als een persoonsgegeven geen “must have” is, dan is een bedrijf er eerder bij gebaat om van de verwerking ervan af te zien.
Informatievoorziening
De regels rondom informatievoorziening over cookies zijn (vooralsnog) te vinden in de Telecommunicatiewet en – waar het cookies betreft die persoonsgegevens verwerken – in de AVG. Bedrijven moeten websitebezoekers en appgebruikers duidelijk informeren over de cookies die zij gebruiken en hoe en waarom daarmee persoonsgegevens worden verzameld. Dat moeten zij doen via een cookiebanner. De informatie in de cookiebanner moet duidelijk en transparant zijn. Indien cookies gebruikt worden waarvoor toestemming van de websitebezoeker/appgebruiker vereist is, dan dient deze toestemming ook te voldoen aan het bepaalde in de AVG. Bezoekers en gebruikers moeten een weloverwogen keuze kunnen maken of ze wel of geen toestemming willen geven voor bepaalde cookies en de daarmee gepaard gaande gegevensverwerking.
Versterkt toezicht AP op gebruik cookies
De AP houdt toezicht op cookiebanners en doet hier ook regelmatig onderzoek naar. Zij heeft haar onderzoek sinds 2024 verder geïntensiveerd dankzij aanvullend budget: voor de jaren 2024 tot en met 2026 ontvangt de AP jaarlijks een half miljoen euro extra specifiek bedoeld voor het extra toezicht op cookies en online tracking.
De meest recente boete voor CoolBlue is daar een voorbeeld van. Het is daarom des te belangrijker dat bedrijven hun cookiebeleid nog eens goed onder de loep nemen om vervelende verrassingen zoals een mogelijke boete zijdens de AP te voorkomen. Immers, voorkomen is beter dan genezen!
Hulp nodig bij cookies?
Heeft u als bedrijf vragen over het rechtmatige gebruik van cookies en/of de correcte informatievoorziening richting uw klanten daaromtrent? Dan kunt u contact opnemen met onze collega Kim Deckers via e-mail k.deckers@paulussen.nl of telefonisch via 043 321 6640.
Zij denkt graag met u mee.
Nieuws Overzicht