Kruidvat krijgt boete voor privégegevens verzamelen zonder toestemming
Drogisterijketen Kruidvat is beboet voor het verzamelen van gegevens van websitebezoekers, zonder dat zij dit wisten of hier toestemming voor hadden gegeven. Hierdoor werd gevoelige informatie van miljoenen websitebezoekers illegaal verzameld en opgeslagen. De Autoriteit Persoonsgegevens (AP) heeft AS Watson, het moederbedrijf van Kruidvat, hiervoor een boete van 600.000 euro opgelegd.
De waakhond begon eind 2019 een onderzoek naar de manier waarop verschillende websites, waaronder die van Kruidvat, omgingen met cookies. Cookies zijn kleine bestanden die bij een bezoek aan een website of app op een computer, telefoon of tablet geplaatst worden. Met behulp daarvan kan allerlei informatie verzameld worden, van surf- en koopgedrag tot de locatie van bezoekers.
Om die bestandjes te kunnen plaatsen moeten gebruikers toestemming geven, maar dat was bij Kruidvat niet gebeurd. Zonder dat bezoekers het wisten verzamelde het bedrijf gegevens over de locatie van bezoekers, welke pagina's zij bezochten op de website, wat zij in een winkelmandje plaatsten en uiteindelijk afrekenden of op welke aanbevelingen werd geklikt.
Invasief profiel
De Autoriteit Persoonsgegevens spreekt van "gevoelige informatie", omdat Kruidvat als drogist onder meer zwangerschapstesten, voorbehoedsmiddelen en medicatie tegen allerlei kwalen verkoopt. In combinatie met de locatie kon het bedrijf een "zeer specifiek en invasief profiel" van bezoekers maken.
"Dat mag niet zonder toestemming en zonder dat aan je klanten te laten weten. Want wat je op internet doet, is heel persoonlijk", stelt Aleid Wolfsen, voorzitter van de AP, in een persbericht. "Een organisatie mag dat alleen bijhouden als je er expliciet mee akkoord gaat. En je moet de mogelijkheid hebben om deze volgsoftware te weigeren, zonder dat dit nadelig voor je uitpakt."
Na een waarschuwing van de AP werd het illegaal verzamelen van privégegevens in oktober 2020 gestopt. De boete wordt pas nu opgelegd, omdat de AP naar eigen zeggen lange tijd over te weinig personeel beschikte om alle gevonden overtredingen goed te beoordelen.
Kruidvat in beroep
Kruidvat laat tegenover de NOS weten de boete te betreuren. Het bedrijf zegt dat het om een korte periode gaat ( "van april tot en met oktober 2020") en vindt niet dat de regels zijn overtreden. Daarom gaat Kruidvat in beroep tegen de boete.
"Bezoekers van kruidvat.nl krijgen duidelijk en overzichtelijk de keuze of ze cookies en vergelijkbare trackingtechnieken willen toestaan. De veiligheid en privacy van onze klanten staan te allen tijde voorop", aldus een woordvoerder.