AP geeft Kruidvat boete voor zonder toestemming plaatsen van trackingcookies

De Autoriteit Persoonsgegevens heeft het bedrijf achter drogisterij Kruidvat een boete opgelegd van 600.000 euro omdat het een tijd lang zonder rechtmatige toestemming trackingcookies plaatste. Volgens de AP wordt daarmee de AVG-privacywet geschonden.

Op de Kruidvat-site werd wel een cookiebanner getoond, maar daarbij waren de vakjes om akkoord te gaan met het plaatsen van trackingcookies standaard aangevinkt, aldus de AP. Om de cookies vervolgens alsnog te weigeren, moesten gebruikers 'veel stappen doorlopen'. Volgens de privacytoezichthouder is dat een schending van de AVG, aangezien gebruikers daardoor niet 'in vrijheid' toestemming konden geven voor de verwerking van hun persoonsgegevens.

De AP vindt dat Kruidvat-moederbedrijf AS Watson de persoonsgegevens van klanten hierdoor onrechtmatig heeft verwerkt. Volgens de waakhond gaat het om gevoelige informatie, vanwege het 'specifieke karakter van drogisterijproducten'. Met deze cookies werd namelijk verzameld welke klanten producten als zwangerschapstests, voorbehoedsmiddelen of medicatie kochten. Deze informatie werd gekoppeld aan het IP-adres, wat volgens de Autoriteit Persoonsgegevens een 'zeer specifiek en invasief profiel' kon schetsen van bezoekers van de site.

De AP begon eind 2019 een onderzoek naar verschillende websites, waaronder die van Kruidvat, om te bepalen of ze voldeden aan de eisen voor het plaatsen van trackingcookies. Nadat bleek dat Kruidvat niet aan de eisen voldeed, stuurde de waakhond een brief naar het bedrijf. In april 2020 zou de site nog steeds niet aan de wet hebben voldaan. Volgens de toezichthouder vroeg Kruidvat vanaf oktober 2020 wel op de juiste manier toestemming aan zijn klanten.

AS Watson-woordvoerder José Mes laat aan Tweakers weten dat het bedrijf 'betreurt' dat de AP vindt dat het de AVG-wet heeft geschonden. "Het betreft slechts een korte periode, van april tot en met oktober 2020. Over of en in welke mate er in die tijd sprake zou zijn van een overtreding, verschillen wij van mening met de AP." Het Kruidvat-moederbedrijf heeft bezwaar ingediend tegen de boete. Omdat de bezwaarprocedure momenteel nog in gang is, wil Mes niet ingaan op inhoudelijke vragen over de vastgestelde overtreding. Ook wil het bedrijf niet zeggen of het in oktober 2020 uit eigen initiatief de cookiebanner heeft aangepast, of dat het dit deed op verzoek van de AP.

IT-banen

Reacties (128)

thomas_n 16 juli 2024 11:58

Nog steeds kost het meer kliks om cookies niet te accepteren dan om ze wel te accepteren (net als helaas op Tweakers tegenwoordig).

Daarnaast moet je bij Kruidvat zelf maar bedenken dat "Zo is het goed" betekent dat je alles weigert en staat er na het klikken op "zelf cookies beheren" opnieuw een knop "Eens, verder naar de website" prominent in beeld waarmee je alle cookies accepteert, terwijl niemand die alles zou willen accepteren op de knop "zelf cookies beheren" geklikt zou hebben. Ook dat is dus een dark pattern, om mensen een andere keuze te laten maken dan ze eigenlijk hadden gewild.

Hopelijk komt er snel een vervolgboete van AP.

iAR @thomas_n • 16 juli 2024 12:07

Melden, melden, melden...

En: blokkeren, blokkeren, blokkeren. Ads, trackers, (third party) cookies.

The Zep Man

Cookie
Privacy

@iAR • 16 juli 2024 13:01

De cookiewall op kruidvat.nl wordt ondersteund door Consent-O-Matic, die hem automatisch kan invullen gebaseerd op jouw voorkeuren. Dat is een goede aanvulling op alles dat je blokkeert.

Floosy @The Zep Man • 16 juli 2024 14:32

Dank voor deze tip!

Helaas lijkt het er op dat ze deze extensie hebben verwijderd uit de chrome webstore. Heeft iemand een idee hoe ik alsnog deze kan gebruiken op Vivaldi (of andere chromium-based browsers)?

Alvast veel dank

caspar0 @Floosy • 16 juli 2024 14:55

Je kan hem nog van github halen en handmatig laden.
https://github.com/cavi-au/Consent-O-Matic/releases

shady61 @Floosy • 16 juli 2024 19:23

Ik gebruik het in alle browsers maar wist niet dat hij uit de Chrome Webstore is gehaald. Enig idee waarom?

job_h

@shady61 • 18 juli 2024 09:56

Waarom Consent-O-Matic verwijderd is uit de Extensions sectie van de Chrome Web Store is nog onbekend volgens dit nieuwsbericht:
https://www.security.nl/p...ent-O-Matic+uit+Web+Store

Relevant Github ticket met reactie van de makers van Consent-O-Matic:
https://github.com/cavi-au/Consent-O-Matic/issues/468

Edit: De Chrome versie is weer terug online

https://chromewebstore.go...fknihdffpkfmmpnpoiajfjnjd

[Reactie gewijzigd door job_h op 22 juli 2024 13:23]

iAR @The Zep Man • 16 juli 2024 13:31

Draait hier inderdaad ook al!

akooijman @iAR • 17 juli 2024 00:36

Ik zit me nog elke keer te verbazen dat bedrijven duizend adverteerders als 'partner' noemen en hoeveel van die vrienden dan ook nog een 'legitiem belang ' hebben (bij mijn persoonlijke informatie).

F-I-X @akooijman • 23 juli 2024 15:38

Niet alleen dat.. maar de hoeveelheid aan verschillende bedrijven die allemaal een cookie willen zetten. Echt frustrerend als je kijkt naar die lijst bij de verschillende (grotere) websites.

blorf @thomas_n • 16 juli 2024 12:43

Browsers zitten er ook allemaal in. Het is helemaal niet ingewikkeld om elk afzonderlijk component op een pagina 100% van alle andere te isoleren en precies aangeven welke pagina's dat proberen te omzeilen voor tracking door verschillende bronnen te laten proberen dezelfde lokale data te delen. Elke browser met correcte cookie-ondersteuning kan gewoon zien dat dit gebeurt. Het vereist geen onderzoek. Bij een pagina die niet werkt omdat dat wordt tegengehouden kunnen alle tracking-pogingen gewoon geteld worden tot het punt waar het stopt met werken.

[Reactie gewijzigd door blorf op 22 juli 2024 13:23]

Ryangr0 @thomas_n • 16 juli 2024 14:30

Het is inderdaad een dark pattern, maar je hebt er geen technische term voor nodig. Het is namelijk gewoon bedrog. Onethische praktijken horen aangepakt te worden. Tweakers is helaas onder dpg een organisatie geworden waar onverdedigbare keuzes worden afgewenteld op het moederbedrijf. Toon eens wat ballen en stel je netjes op! Zo moeilijk is dat niet.

T-men @Ryangr0 • 16 juli 2024 16:09

Als die 'ballen' betekenen dat tweakers onrendabel wordt en daarmee verdwijnt heb je ook als bezoeker niet veel aan die ballen.

Het is volgens mij oprecht geprobeerd om de site te runnen zonder tracking. Het is blijkbaar zelfs op tweakers niet mogelijk/rendabel gebleken.
Hoe jammer ook, maar ik verkies liever een tweakers mét tracking dan geen tweakers.

Ryangr0 @T-men • 16 juli 2024 17:05

Als het navolgen van de wet, en het volgen van ten minste een soort van ethische code ervoor zorgt dat je bedrijf niet kan bestaan, moet je het gewoon maar opdoeken inderdaad. Maar we weten allebei dat het luiheid is. Dat mag wat mij betreft afgestraft worden dmv boetes zodat het niet navolgen van de wet, sowieso betekent dat je bedrijf kapot gaat. Je moet jouw argumentatie eens op de boeren plakken, dan kan je lachen.

T-men @Ryangr0 • 16 juli 2024 19:07

Tweakers overtreedt de wet niet!
Dat geklets over boetes en het opdoeken van de site raakt kant noch wal.

R4gnax

Cookie
Autoriteit Persoonsgegevens
Privacy

@T-men • 17 juli 2024 00:09

Tweakers overtreedt de wet niet!

Citation needed.

Ik denk dat je bedoelt te zeggen: "De advocaten van DPG zweren erbij dat Tweakers (en andere DPG sites) de wet niet overtreden."

En dat rammelt aan meer kanten dan één.

Mag ik je er ééntje geven die niets met de AVG/GDPR te maken heeft?

Een paar dagen geleden is X veroordeeld wegens 'shadow-banning' - omdat ze zonder een afnemer van de dienst daarvan te informeren, de zichtbaarheid van het door hem geplaatste materiaal richting het publiek hebben gelimiteerd.

Wat denk je dat er gebeurt als een reactie hier op Tweakers op -1 gezet wordt? Dan wordt 'ie standaard niet meer getoond. Dus de zichtbaarheid gelimiteerd. Denk je dat gebruikers op Tweakers actief benaderd en geinformeerd worden, elke keer als een reactie die ze geplaatst hebben naar -1 af zakt? (Hint: nope! )

[Reactie gewijzigd door R4gnax op 22 juli 2024 13:23]

Cheetah_777 @T-men • 16 juli 2024 19:25

Tweakers overtreedt de wet niet!

Is dat zo?

Floort

Privacy
Autoriteit Persoonsgegevens
Cookie

@T-men • 17 juli 2024 07:41

Kan je mij uitleggen hoe je, net zo makkelijk als je de toestemming hebt gegeven, toestemming voor alle tracking weer kan intrekken? Volgens artikel 7(3) AVG moet dat net zo makkelijk zijn als het geven. En betrek daarin ook of het knopje "alles weigeren" ook daadwerkelijk effectief de toestemming intrekt, dat communiceert met alle gezamenlijke verwerkingsverantwoordelijken en of er netjes gehoor aan te geven door bijvoorbeeld alle al verzamelde persoonsgegevens weer te wissen.

BlaDeKke @T-men • 16 juli 2024 19:29

Als door regels te volgen en privacy te respecteren een platform verdwijnt, zal ik er niet om malen. Hoe meer grote bonzen zo ten onder gaan, des te meer het internet terug van 'ons' wordt. Het zou jammer zijn moest dit bij tweakers gebeuren, maar eerlijk, was het het dan wel waard om het in leven te houden op een privacy schendende ongereguleerde manier?

Moest tweakers zo fantastisch waauw zijn, dan komt het geld vanzelf toch, niet?

crisp Senior Developer @T-men • 17 juli 2024 10:02

Het is volgens mij oprecht geprobeerd om de site te runnen zonder tracking. Het is blijkbaar zelfs op tweakers niet mogelijk/rendabel gebleken.

Het probleem is natuurlijk dat zolang de rest van de "markt" zich niet "netjes" gedraagt je gewoon op achterstand staat...

duderuud 16 juli 2024 11:44

Het betreft slechts een korte periode, van april tot en met oktober 2020

Doet mij denken aan

Maar agent, ik reed maar 10km te hard

SgtSpeedy @duderuud • 16 juli 2024 11:50

Inderdaad. Ik had dezelfde reflectie.

GDPR ging in 2018 in voege
Eind 2019 werd een brief verstuurd vanuit het AP.
April 2020 werd vastgesteld dat AS Watson nog steeds niet voldeed

Dus hoezo

Het betreft slechts een korte periode, van april tot en met oktober 2020

En zelfs dan nog, een half jaar nemen om vinkjes standaard uit te zetten in plaats van aan?
Da's gewoon geen prio geven aan compliancy.

LOTG @SgtSpeedy • 16 juli 2024 12:25

Ook meteen in de slachtofferrol kruipen.

het bedrijf 'betreurt' dat de AP vindt dat het de AVG-wet heeft geschonden.

Ze betreuren het niet dat ze zo lang jun klanten benadeeld hebben door niet aan de wetgeving te voldoen, nee, ze betreuren het dat het AP vind dat ze niet aan de wet voldoen.

Dus geen enkele spijtbetuiging, alleen vinden ze het heel erg vervelend dat ze betrapt zijn. Kijk eens hoe zielig Kruitvat is.

Over of en in welke mate er in die tijd sprake zou zijn van een overtreding, verschillen wij van mening met de AP.

Dat geeft dus ook al aan dat het niet om de 6 maanden gaat, er is gewoon net zo lang gesteggeld met het AP tot dat ze wel moesten.

n4m3l355 @SgtSpeedy • 16 juli 2024 17:53

Zolang straffen zoals we hier zien doorgaans uitblijven, jaren later pas worden opgelegd en geen zeer doen zul je zien dat partijen zoals Watson maar ook DPG moedwillig niet aan de geldende wetten voldoen.

Het wordt hoogtijd dat AP sneller reageert, zwaarder straft en wellicht individuen vervolgen. Hier maken leidinggevende moedwillig foute keuzes, lijkt me meer dan terecht dat die leidinggevende daarvoor zelf worden gestraft.

MicGlou @duderuud • 16 juli 2024 11:52

6 maanden vind ik niet eens een korte periode... bij een korte periode denk ik aan een aantal dagen, hooguit een aantal weken.

DigitalExorcist @duderuud • 16 juli 2024 12:05

In dat laatste voorbeeld lijken mensen te vergeten dat het een om 1) een MAXIMUMsnelheid gaat, die hóef je niet te rijden, en 2) er al een correctie af is waardoor je geen 10, maar minstens 15 km te hard gereden hebt....

Alfa1970 @DigitalExorcist • 16 juli 2024 12:31

De AVG is een wet, net zoals de verkeerswet stelt die regels aan wat wel mag en wat niet mag.

Je mag het niet onmogelijk maken, of zeer moeilijk, om data collectie te weigeren.
Dat is een wet en daar moet aan voldaan worden, net zoals het feit dat je een bepaalde maximum snelheid niet mag overschrijden.

En in analogie,
1). Een bedrijf hoeft geen data te stelen van zijn klanten om die tegen grof geld te verkopen aan eenieder die het wil hebben.
2). De periode waarover de overtreding is geconstateerd is langdurig, de omschrijving in de wet is exact genoeg om de overtreding te constateren.
De correctie bij een verkeersovertreding is noodzakelijk om te de negatieve effecten te compenseren voor afwijking in de toleranties van de apparatuur én de manier waarop die apparatuur is opgesteld.
Natuurlijk zijn bij vaste opstelling de omstandigheden beter te kalibreren, maar bij een mobiele opstelling is het een behoorlijke factor.

- peter -

@duderuud • 16 juli 2024 12:01

'Ik mishandelde hem maar een paar maanden' ...

gimbal @duderuud • 16 juli 2024 13:45

Een meer eerlijke vergelijking zou zijn "Ik reed 10km te hard voor maar 10 minuten".

kodak

Autoriteit Persoonsgegevens
Privacy

16 juli 2024 11:58

Het kost een toezichthouder ruim 4 jaar om een boete op te leggen? Terwijl men bijna 6 jaar geleden al waren begonnen met onderzoek waaruit al vrij snel duidelijk werd dat het doen van onderzoek niet zomaar een taak is en men niet zomaar doet. We kunnen er dan echt niet van op kijken als het bedrijf straks een veel lagere boete gaat krijgen doordat de toezichthouder er zo ongelofelijk jaren lang over doet om deze op te leggen.

De vragen aan het bedrijf wat men precies zelf heeft gedaan zijn terecht. Maar dit roept ook vragen op wat de toezichthouder uit zichzelf allemaal heeft nagelaten dat er zoveel jaar tussen zit.

[Reactie gewijzigd door kodak op 22 juli 2024 13:23]

Verwijderd @kodak • 16 juli 2024 12:07

Het is nochtans allang bekend dat de ap veel te onderbemand is voor haar taak. "We" willen nu eenmaal voor een dubbeltje op de eerste rang zitten.

De boete wordt pas nu opgelegd, omdat de AP naar eigen zeggen lange tijd over te weinig personeel beschikte om alle gevonden overtredingen goed te beoordelen.

Bron: https://nos.nl/artikel/25...amelen-zonder-toestemming

Alxndr

@Verwijderd • 16 juli 2024 12:34

Kan iemand me uitleggen hoeveel werk zo'n onderzoek is? De bevinding dat er cookies geplaatst worden en hoeveel stappen er nodig zijn om ze te weigeren is toch nog geen 5 minuten ongeschoold werk?

Laat een student dit doen (als het niet volledig geautomatiseerd kan) en het dan controleren door een bevoegd persoon.

jerisson @Alxndr • 16 juli 2024 13:01

Ik gok dat het vaststellen slechts één klein deel is van de gehele procedure. Waarschijnlijk moeten daar hele verslagen over opgesteld worden, met referenties naar de juiste wetsartikelen, de juiste verantwoording, etc. Een (procedure?)fout en de tegenpartij maakt er gehakt van. Zeker gezien de bedragen waar het over gaat zal die alles doornemen.

Ik denk niet dat je dit even door een student kunt laten doen. Tegen dat die zich ingewerkt heeft is die afgestudeerd.

MSalters @jerisson • 16 juli 2024 13:41

Wat je dus moet doen is één dure jurist een standaard-zaak laten opstellen, en vervolgens met een groter en goedkoper team op zoek naar websites die voldoen aan dat profiel. Dat is niet anders dan de politie die flitst langs de snelweg; die hoeven ook niet voor elke individuele auto op zoek naar het wetsartikel. Als je flitst op snelheid is dat altijd hetzelfde. En als je checkt op cookie-muren dan is dat ook altijd hetzelfde wetsartikel.

jerisson @MSalters • 16 juli 2024 14:36

En die één dure jurist kan ook niet alles afhandelen. Hoeveel verschillende "profielen" denk je te hebben? Je kan een profiel alleen herbruiken als de implementatie hetzelfde is. Is daar iets gewijzigd ten opzichte van een andere versie, dan mag je een groot deel van het werk opnieuw doen: de nieuwe versie voldoet immers mogelijk wel, of voldoet niet meer op andere punten.

De vergelijking met de snelheid van voertuigen gaat ook niet op. Dat is immers slechts één parameter die je moet meten, en de meting, vaststelling en verslag ervan is hetzelfde voor ieder type voertuig. Bij de cookie-muur is het alsof je voor ieder automerk en model een aparte template zou moeten maken: dat kost veel meer werk.

Alxndr

@jerisson • 16 juli 2024 17:20

De maximum snelheid staat tot het weigeren van cookies als de wegenverkeerswet staat tot de AVG-privacy wet.

Je kan niet ineens de hele wet erbij halen als we het over een specifieke overtreden van één artikel van die wet hebben.

Hoezo zijn het standaard aanvinken of het niet makkelijk kunnen weigeren niet gewoon 'een parameter'?

Als jij te snel rijdt en ook je gordel niet om hebt, krijg je toch ook twee afzonderlijke bonnen?

Standaard aangevinkt: standaard boete. Moeilijk (met meer dan 1 of max 2 klikken) afmelden of weigeren, een andere standaard boete.

Dit is heel simpel meetbaar, we hebben het niet over dat een ervaren jurist iedere letter van hun voorwaarden moet doorspitten.

Hoe en waarom iemand te hard rijdt is toch ook helemaal niet interessant? De overtreding is gemeten, boete. Wil je in beroep of bezwaar maken, tuurlijk mag dat, dan gaan we ook hier X euro administratie kosten in rekening brengen omdat bedrijven er net als burgers (te veel) misbruik van maken terwijl ze weten dat ze gewoon fout zitten.

jerisson @Alxndr • 16 juli 2024 19:36

Je moet naar veel meer kijken dan aangevinkt of niet. Je moet ook naar de technische implementatie kijken: werken de vinkjes?
En wat wordt er verzameld? Zoals hier: wie kocht zwangerschapstests, voorbehoedsmiddelen, ...
Misschien wil je ook kijken of dit gecombineerd wordt met andere eigen services of andere 3rd party services die niet vermeld zijn.

Dat maakt dat je snel met unieke situaties zit. Dit in tegenstelling tot een snelheidsmeting. Het lijkt me veel complexer.

Ik moet regelmatig rapporteren voor gerechtelijk onderzoek. Zelfs bij veel voorkomende situaties heb je alsnog afwijkingen waarmee je rekening moet houden en goed moet documenteren. Het idee dat studenten officieel werk doen terwijl er een expert gevraagd wordt is iets waar men niet echt blij van wordt, ook al staat die student onder toezicht van een expert. Men heeft teveel schrik dat er toch een fout insluipt en dat die niet opgemerkt wordt.

Ik gok dat dit niet echt anders bij dit soort situaties.

Hoe en waarom is bij snelheid niet interessant, maar bij dit en veel gerechtelijk onderzoek net wel. Heeft iemand een ander vermoord uit zelfverdediging of uit wraak? Hier net hetzelfde: is het een bewuste fout, of iets dat men echt over het hoofd gezien heeft?

Mogelijk dat ik het te complex bekijk. Dat kan ook

Lodd @jerisson • 16 juli 2024 13:55

Vaak is de lange procedure meer juristen werk. De partij die het vergrijp pleegt krijgt ook nog meermaals de gelegenheid om zienswijzen in te dienen en bezwaar te maken tegen (voorgenomen) besluiten. Als een kapitaalkrachtige partij er dan juristen opzet die elke strohalm aangrijpen en zoveel mogelijk vertragen, kan het flink uitlopen.

Alxndr

@Lodd • 16 juli 2024 17:07

Dat er nog steeds geen wet tegen dergelijk 'juridisch traineren' bestaat... Ja het raakt aan de kern van de rechtstaat, maar hoe dit zo vaak misbruikt door bedrijven, ten koste en op kosten, van de consument/belastingbetaler...

Alxndr

@jerisson • 16 juli 2024 17:04

Dat het slecht stap 1 is snap ik, en de student is bij wijze van spreken. Maar de referenties naar de wetsartikelen zijn voor ieder geval exact hetzelfde, dat is gewoon knippen plakken. Ik zie echt niet aan wat er - als we het alleen over cookies hebben - zo moeilijk aan kan zijn.

En wat ik zeg, laat een jurist het controleren en aftekenen voordat het de deur uitgaat. Als er al een keer een procedurefout insluipt pas je het proces aan en dat is dat. Dat is één keer werk en daarna kan je honderden of duizenden van dit soort zaken in een maand afhandelen.

Maarja, de kans dat we hier een medewerker van AP tegenkomen die inzicht kan en mag geven over hoe het precies in z'n werk gaat...

Misschien moeten er gewoon een wet komen die verplicht dat browsers standaard alle tracking cookies blokkeren en opt-in maken met een hele grote rode waarschuwing (dat bedrijven keer op keer laten zien dat ze uiteindelijk toch niet te vertrouwen zijn of het nu uit onkunde of onwil is). Dit aan bedrijven en burgers over laten gaat volgens mij nooit werken.

kodak

Autoriteit Persoonsgegevens
Privacy

@Verwijderd • 16 juli 2024 12:29

Onderbemand zijn wil zeggen dat je keuzes moet maken wat je wel of niet doet. Maar daarover is nog wel inhoudelijk verantwoording te verwachten bij de mogelijke gevolgen. Juist omdat die keuzes mogelijk tot gevolg hebben dat de boete lager uit pakt en de dader er dan nogal mee weg komt terwijl de toezichthouder niet duidelijk efficient met de middelen en onderzoek om gaat.

dasiro @kodak • 16 juli 2024 13:04

klinkt als: we pakken de gemakkelijkste en niet de zwaarste targets. Het is makkelijker om een kind van 13 tegen te houden als het door het rood loopt, dan een patsbak die tegen 150 er door rijdt.

Lodd @kodak • 16 juli 2024 13:44

Zoals de vlag er nu bij hangt zou ik graag zien dat de AP volledig gefinancierd wordt uit boetes die zij oplegt. Er zijn nu zoveel misstanden dat ze daarmee de komende jaren flink wat vlees op de botten zouden kunnen hebben.

In ieder geval is er nu wel een boete opgelegd, en niet alleen een dwangsom ofzo.

Ik hoop dat het indruk maakt.

En meteen ook de dark patterns verbieden en flink afstraffen.

karma4 @kodak • 16 juli 2024 18:04

Het wonderlijke n deze is dat de AP zelf ook in de fout ging met trackers op hun site.
Het gemakt van standaard tools standaard benaderingen.

Terrestrial 16 juli 2024 12:12

Alle ellende is pas begonnen toen de overheid een cookie wetgeving introduceerde, toen moest iedere site ineens een cookiewall implementeren. Voorheen werden er wel cookies geplaatst maar als je dat in de browser blokkeerde had je er geen last meer van en kon je altijd op een site.

Nu krijg je meteen bij elke site opnieuw meldingen die je moet accepteren, anders mag je er vaak niet eens op. En blokkeren in de browser betekend dat je telkens de melding terug krijgt.

Al die overheidsbemoeienis maakt dingen alleen maar erger.

Tc99m @Terrestrial • 16 juli 2024 12:42

Ja, want als je het aan de markt overlaat dan komt het vanzelf wel goed?

Nee dus, dan had Kruidvat gewoon hetzelfde gedaan, maar had de overheid geen middelen gehad om in te grijpen.

Cookiewalls zijn inderdaad vaak irritant, maar dat komt omdat websites deze (bewust) nodeloos complex maken zodat 99% de tracking maar accepteert uit gemak. Die complexe menu's zijn helemaal niet nodig (en soms zelfs niet toegestaan) volgens de wet- en regelgeving. Het is de datahonger van bedrijven die de cookiewalls veroorzaakt, niet de overheid.

DdeM 16 juli 2024 11:50

"Op de Kruidvat-site werd wel een cookiebanner getoond, maar daarbij waren de vakjes om akkoord te gaan met het plaatsen van trackingcookies standaard aangevinkt, aldus de AP. Om de cookies vervolgens alsnog te weigeren, moesten gebruikers 'veel stappen doorlopen'. Volgens de privacytoezichthouder is dat een schending van de AVG, aangezien gebruikers daardoor niet 'in vrijheid' toestemming konden geven voor de verwerking van hun persoonsgegevens."

Maar dit is standaard op zo veel sites. Vaak nog zo dat je niet eens 1 algemene checkbox kan uitvinken maar je voor elk tracking cookie apart moet doen, of voor elke advertiser, soms gewoon 1000+!

mischaatje2 @DdeM • 16 juli 2024 11:57

Heh, en dan vooral het overschot aan adverteerders die ineens onder het kopje "Gerechtvaardigd belang" danwel "Legal interest" zijn geplaatst. Of dat "het meten van advertenties" ineens onder het kopje 'noodzakelijk' verschijnt.

blinchik @mischaatje2 • 16 juli 2024 12:01

Nooit begrepen wat die "legal interest" eigenlijk wil zeggen. Het kost wel op sommige sites extreem veel moeite om dat af te zetten, soms is er geen "alles weigeren" knop en moet je echt door een hele resem opties gaan om ze weg te krijgen...

IStealYourGun @blinchik • 16 juli 2024 12:16

Voorbeeld van gerechtvaardigd belang, is wanneer het een noodzakelijk is om je diensten te kunnen brengen. Voorbeeld, je bent een hoteluitbater en wil de creditcard gegevens van je klanten verwerken. Dat is noodzakelijk, dus kan je dat niet weigeren.

Veel websites die draaien op advertentie inkomsten gebruiken dat excuus om te tracken, want zonder advertenties kan dat bedrijf die dienst niet aanbieden. Of dat het een terecht excuus is laat ik in het midden, maar als ik dan een lijst van tig partner zie, dan denk ik dat het eerder is om de bezoeker te pesten.

Aldy @IStealYourGun • 16 juli 2024 14:17

Of dat het een terecht excuus is laat ik in het midden, maar als ik dan een lijst van tig partner zie, dan denk ik dat het eerder is om de bezoeker te pesten.

Ik denk eigenlijk dat het nog eerder is om de bezoeker moe te maken en daarom alles maar accepteert. We zijn tegenwoordig ook veel te ongeduldig en zo'n cookie-instelling werkt niet bepaald mee aan de snelheid om een site te bezoeken.

vickypollard @IStealYourGun • 16 juli 2024 13:05

Voorbeeld van gerechtvaardigd belang, is wanneer het een noodzakelijk is om je diensten te kunnen brengen. Voorbeeld, je bent een hoteluitbater en wil de creditcard gegevens van je klanten verwerken. Dat is noodzakelijk, dus kan je dat niet weigeren.

Die kun je volgens mij gewoon onder 'Uitvoeren overeenkomst' of misschien zelfs 'Wettelijke verplichting' stoppen (afhankelijk van of er een wettelijke verplichting is dergelijke gegevens te verwerken uiteraard, wat nog wel eens het geval wil zijn met financiële zaken). Dan is het ook niet open voor de interpretatie die bij 'Gerechtvaardigd belang' komt kijken.

[Reactie gewijzigd door vickypollard op 22 juli 2024 13:23]

MSalters @vickypollard • 16 juli 2024 13:46

Er is geen wettelijke verplichting om credit cards te accepteren, dus dat gaat niet lukken. Maar het is wel dusdanig normaal, de facto noodzakelijk zelfs, dat "gerechtvaardigd belang" de juiste grond is voor de cookies bij credit cards. "Uitvoeren overeenkomt" is waarschijnlijk niet de goede grond, want de overeenkomst behelst een hotelkamer, en daarvoor is de cookie niet direct nodig.

vickypollard @MSalters • 16 juli 2024 13:47

In het genoemde voorbeeld leek het mij niet meer om cookies te gaan, maar puur om het verwerken van creditcardgegevens om de betaling voor een hotelkamer te voltooien.

vickypollard @blinchik • 16 juli 2024 12:09

Ik neem aan dat "legitimate interest" bedoeld werd. Dat is bewust een vaag begrip, omdat het afhangt van de situatie of er een gerechtvaardig belang is of niet. Wel is duidelijk dat de privacybelangen het zwaarst wegen hierin. Het plaatsen van een trackingcookie "want we willen geld" is dan ook geen gerechtvaardigd belang.

AP legt dit ook duidelijk uit op https://www.autoriteitper...isleidende-cookiebanners:

Als u met cookies persoonsgegevens verwerkt, moet u goed kijken op welke grondslag u zich baseert. Dat is bij cookies bijna nooit de grondslag gerechtvaardigd belang. Het kán wel. Maar alleen bij functionele en beperkte analytische cookies. Bijvoorbeeld als een cookie nodig is voor beveiliging van uw website.

sjettepetJR. @DdeM • 16 juli 2024 14:08

Het wordt tijd dat een boete hiervoor geven net zo makkelijk wordt als een verkeersboete. Waarom moet dit complex zijn?

In 99% van de gevallen is het gewoon niet discutabel of het aan de regelgeving voldoet. Bepaalde opties standaard aanvinken mag gewoon niet. punt.

DdeM @sjettepetJR. • 16 juli 2024 14:40

Naja dat dus. En als ik elke site die ik tegenkom die dat overtreedt moet melden dan heb ik er een dagtaak aan

Zo moeilijk kan het niet zijn om het te automatiseren. Dan zal er alsnog af en toe eentje tussendoor manoeuvreren maar als je 90% kan pakken ben je al een heel end.

Morrar @DdeM • 16 juli 2024 16:10

Behalve dan dat je als overheid - en dus ook als toezichthouder - bijna niet meer mag webscrapen, met dank aan .... jawel de AP zelf. Ik ken behoorlijk wat projecten om automatisch dark patterns op het internet te detecteren, maar die zijn vrijwel allemaal de nek omgedraaid vanwege angst voor de AP vanuit juridische zaken.

Dus toezicht is nu weer 100% afhankelijk van ingediende signalen, maar de meeste mensen:

- weten niet bij welke toezichthouder ze moeten zijn.
- weten niet hoe ze een signaal bij de toezichthouder indienen.
- nemen niet de moeite om een signaal in te dienen.

Probleem met signalen die wel ingediend worden is dat er veel ruis tussen zit, dat de verwerking veel tijd kost, dat de juridische onderbouwing / bewijsvoering niet altijd sluitend is, dat lang niet alle partijen boven komen drijven, et cetera.

[Reactie gewijzigd door Morrar op 22 juli 2024 13:23]

iew @Morrar • 16 juli 2024 18:51

En waarom zou dat nou zijn ? data is BIG $$$
Mooie extra inkomsten vanwege de boetes voor de desbetreffende instanties/toezichthouders zoals de AP.

Lijkt het net alsof ze heel goed bezig zijn, uiteindelijk gaat het toch om geld.
En op deze manier verdienen ze er allemaal goed aan.

Ik denk dat dit nooit gaat veranderen, het is wel lekker eten zo...

Morrar @iew • 16 juli 2024 19:04

FYI: Boetes van toezichthouders vloeien naar de staatskas, dus dat is niet (direct) hun verdienmodel.

matroosoft @DdeM • 16 juli 2024 14:39

Bij AutoWeek moet je akkoord gaan met alle cookies anders kun je videos niet bekijken.

DdeM @matroosoft • 16 juli 2024 14:42

Krijg niet eens een cookie melding...........

Dat kwam dus omdat ik initieel adblocker aan had staan, die blokte alle cookies en de melding, maar nadat ik die uit zette en mijn cache leegte plempten die me zonder cookie melding gewoon vol

[Reactie gewijzigd door DdeM op 22 juli 2024 13:23]

vickypollard @DdeM • 16 juli 2024 12:01

Probeer www.boldking.com eens (die van de scheermesjes). Die injecteert nog net niet een virus in je computer. "Wat is een cookiebar?" zullen ze daar gedacht hebben.

Heb ze al gerapporteerd aan de AP, maar dat duurt natuurlijk nog wel even.

[Reactie gewijzigd door vickypollard op 22 juli 2024 13:23]

Vaudtje @DdeM • 16 juli 2024 12:39

Die sites overtreden dus allemaal de AVG.
We moeten af van het idee dat als je het een ander ziet doen, dat het dan mag.
Het is juist de bedoeling dat iedereen zijn eigen afweging maakt.

Lord Anubis @DdeM • 16 juli 2024 14:45

Klopt, maar vergis je niet in app's die dan ook een lading informatie naar 100'den anderen stuurt.
Teken en foto bewerkings programma's van bekende en minder bekenden vandalen. Ze zuigen je leeg door hun Abo en dan nog je gegevens erbovenop verhandelen. Zou willen dat AVG daar even naar keek.

PdeBie @DdeM • 16 juli 2024 15:15

... je voor elk tracking cookie apart moet doen, of voor elke advertiser, soms gewoon 1000+!

Kan je nagaan hoeveel bedrijven er bestaan die je data verzamelen. En waar blijft al die data?
Zoveel opslag van gegevens kost ook enorme bakken geld/stroom/etc.
Over e-waste gesproken.

SgtElPotato @DdeM • 16 juli 2024 11:59

Ik ben benieuwd wanneer het AP eindelijk eens naar DPG gaat kijken. Schijnbaar loopt het daar ook allemaal niet zo soepel en worden / werden er ook gegevens doorgestuurd naar partijen ondanks dat je op 'alles weigeren' hebt geklikt..

Bedrijven gaan gewoon te laks om met de data van hun gebruikers. Zo ook bij het moederbedrijf van Tweakers. En dat is jammer. Je zou juist hier verwachten dat het allemaal op en top geregeld zou zijn...

R4gnax

Cookie
Autoriteit Persoonsgegevens
Privacy

@DdeM • 17 juli 2024 00:06

Ja; dat is standaard op veel sites.
En op veel sites is dat dus ook illegaal.

Als er 10 man van een brug afspringen- spring jij er dan ook achterheen?

Dauthi 16 juli 2024 11:49

Dit soort boetes moeten veel hoger zijn.

Wanneer verkeersboetes buitenproportioneel hoog zijn, zouden mensenrechtenschendingen veel en veel zwaarder bestraft moeten worden..

adje123 @Dauthi • 16 juli 2024 11:58

Het is dubbel, want die boetes betalen wij weer terug.

thomas_n @adje123 • 16 juli 2024 12:02

Als Kruidvat de boetes verwerkt in de prijzen, dan verliezen ze de concurrentiestrijd van andere drogisterijketens, dus dat gaat niet zomaar. Als ze een monopolie zouden hebben zou dat natuurlijk wel kunnen, maar dan krijgen ze een andere toezichthouder op hun dak (ACM).

CivLord

@thomas_n • 16 juli 2024 12:41

Kruidvat is groot genoeg om hun leveranciers onder druk te zetten om de prijzen te verlagen. Die verwerken dat vervolgens in de prijzen die ze aan kleinere ketens en losse winkeliers vragen. Zo verandert er door de boete voor Kruidvat niets, maar gaan we bij ander winkels meer betalen, wat de concurrentiepositie van Kruidvat versterkt.

MSalters @CivLord • 16 juli 2024 13:54

Alsof Kruidvat hun leveranciers nu niet onder druk zet (net zoals Jumbo an Albert Heijn dat doen). Dit is een standaard redenatie-fout. thomas_n snapt het wel: prijzen worden bepaald door het competieve landschap. Etos kan lagere prijzen rekenen, en klanten wegsnoepen van Kruidvat, als Kruidvat die boetes in de prijzen verwerkt.

De klassieke kostenverhoging die wel doorgerekend wordt is een belastingverhoging. Die is voor iedereen hetzelfde en heeft dus geen verschuiving in het competieve landschap tot gevolt.

CivLord

@MSalters • 17 juli 2024 10:09

Natuurlijk zet Kruidvat hun leverancier nu ook onder druk. Maar met een boete is er een extra prikkel om dat te doen, om én de concurrentiepositie gelijk te houden én de winst niet negatief te beïnvloeden. Dus de onderhandelaars worden extra gemotiveerd om nét iets verder te gaan om ook die laatste cent er uit te persen.

kamerplant @adje123 • 16 juli 2024 12:31

We krijgen de opbrengsten van de boetes ook.

Verwijderd @Dauthi • 16 juli 2024 12:05

6 ton is anders knap geld. in april 20 een brief verstuurt, paar maanden later aangepast, dus er was wel een soort van goede wil.

mjtdevries @Verwijderd • 16 juli 2024 12:53

Correctie: Die brief is al veel eerder verstuurd. In April 20 is geconstateerd dat ze zich niks van de brief hadden aangetrokken. Dus weinig goede wil.

adje123 16 juli 2024 11:47

Met zijn allen kunnen we dit soort bedrijven ook straffen vanuit een consumenten perspectief.
Ik ga voortaan langs de Kruidvat voorbij.

Tielenaar @adje123 • 16 juli 2024 12:14

Ik niet, vind het een prima winkel.

adje123 @Tielenaar • 16 juli 2024 12:50

Goed zo.

gimbal @adje123 • 16 juli 2024 13:50

Ik niet want ik probeer de context te vinden in plaats van gemakzuchtig te veroordelen. Kruidvat is helemaal geen technologie bedrijf, het zijn feitelijk dozenschuivers. Ze snappen zelf niets van dit gedoe en zijn afhankelijk van een externe partij om dit goed te regelen. Het zou me niets verbazen als de fix aan een half-jaarlijkse release cycle vast zat.

Ze zijn nog steeds prima in dozen schuiven, ik blijf gewoon zaken met ze doen.

Tintel

Privacy

@gimbal • 16 juli 2024 15:38

Ook al heb je gelijk dat ze dit misschien niet zelf zo hebben geimplementeerd dat maakt toch niet dat ze er niet voor veroordeeld zouden kunnen worden? Al dan niet door de AVG of door consumenten?

ICT wordt behoorlijk vaak uitbesteed. Maar ze moeten zelf beseffen dat zijzelf [in dit geval Kruidvat] verantwoordelijk worden gehouden.

Ze weten namelijk wel dat ze produkten verkopen die een gevoelige associatie kunnen hebben. Ook al schuiven ze dozen - ze kennen de inhoud echt wel.

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
Cookie

@gimbal • 16 juli 2024 16:20

Ik niet want ik probeer de context te vinden in plaats van gemakzuchtig te veroordelen. Kruidvat is helemaal geen technologie bedrijf, het zijn feitelijk dozenschuivers.

Dat is geen excuus. Als bedrijf zijn ze verantwoordelijk voor wat ze doen.

Ze snappen zelf niets van dit gedoe en zijn afhankelijk van een externe partij om dit goed te regelen.

Geen excuus. Het is de verantwoordelijkheid van de winkel om de juiste leverancier te vinden. Dat is hier mislukt. Wil ik dit bedrijf laten kiezen welke vitaminepillen of condooms goed zijn? Of krijg ik dan ook te horen "ach, foutje van onze leverancier, wij snappen het ook niet".

Nu zou je nog kunnen zeggen dat je bij een dozenschuiver kiest voor de producten/merken die ze aan bieden, maar kun je dit bedrijf nog vertrouwen dat de producten echt zijn? Of is het goedkope namaak?

In dit geval is dat overigens niet van toepassing want het gaat niet om iets dat ze doorverkopen, maar een dienst die ze zelf inkopen.

Zo ongeveer de enige eis die er is aan een dozenschuiver is dat er verstandig wordt ingekocht. Kruidvat heeft gefaald. Ze zijn daar bepaald niet de enige in, en een boycot is helaas vrijwel onuitvoerbaar omdat ieder bedrijf van de wereld dit soort fouten maakt, maar het is geen excuus.

darknessblade 16 juli 2024 12:38

Wanneer gaat het AP verplichten om een 1-click DENY ALL. knop op de cookie banner te hebben?

als ze dit doen zijn we van een hop cookie-gerommel af. waarbij sites liever hebben dat jij alles accepteerd en het daarbij laat. IPV met 1 knop alles kan weigeren

jwbokx @darknessblade • 16 juli 2024 13:04

En dan gelijk al die "gerechtvaardigd belang" ook op nee. Degene die dat toegelaten heeft, moeten ze een paar dagen op verschillende sites die zooi uit laten zetten.
Laatst een site die had 1500 "partners"

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
Cookie

@jwbokx • 16 juli 2024 13:25

tip: gebruik Consent-O-Matic

Dat is een browserplugin die automatisch alles voor je uitschakelt.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 13:23]

Kroesss @CAPSLOCK2000 • 16 juli 2024 13:41

Ook de "Legitimate intrest"-vinkjes? (Die je inderdaad altijd individueel moet uitvinken voor iedere partner....)

CAPSLOCK2000

Privacy
Autoriteit Persoonsgegevens
Cookie

@Kroesss • 16 juli 2024 14:27

Ook de "Legitimate intrest"-vinkjes? (Die je inderdaad altijd individueel moet uitvinken voor iedere partner....)

Ja, in principe wel.
De plugin kan niet toveren en heeft gewoon een lijstje met bekende cookie-banners en consent-pagina's.
Het is geen 100% oplossing, maar iedere coookiepesterij minder is winst.

jwbokx @CAPSLOCK2000 • 16 juli 2024 14:58

Goede tip!
Ga die ook proberen!

eriksl @darknessblade • 17 juli 2024 10:42

En zoiets bestaat al heel lang, dat heet de "Do Not Track" optie in je browser die naar elke website gestuurd wordt.

Vragen naar consent is dus helemaal niet nodig!

Hier spelen duidelijk meerdere belangen.

thetrueman2 16 juli 2024 11:48

AS Watson-woordvoerder José Mes laat aan Tweakers weten dat het bedrijf 'betreurt' dat de AP vindt dat het de AVG-wet heeft geschonden. "Het betreft slechts een korte periode, van april tot en met oktober 2020.

Deze verwoording van de woordvoerder impliceert dat deze vorm van tracking pas in April 2020 is geïntroduceerd, precies op het moment dat de AP de overtreding opmerkte. Is het niet aannemelijker dat Kruidvat dit al veel langer deed maar op dat moment pas werd betrapt op de overtreding werd gewezen?

mjtdevries @thetrueman2 • 16 juli 2024 12:48

De AP stelde het al in 2019 vast en heeft daarom toen een brief gestuurd dat ze daar mee moeten stoppen.
In April 2020 is door de AP vast gesteld dat ze nog steeds de wet overtreden en is daarom actie genomen om een boete te geven.
De periode is dus veel langer.

Beetje jammer dat de redacteur dat zelf al niet aan de woordvoorder heeft verteld en daar reactie op heeft gevraagd.

Je bent als bedrijf ook knap dom om geen actie te ondernemen als je een brief krijgt van de AP. Dan weet je dat er op je gelet word.

[Reactie gewijzigd door mjtdevries op 22 juli 2024 13:23]

StoneyVids 16 juli 2024 11:43

En dit is de rede waarom iedereen altijd gebruik zou moeten maken van extensies als "Privacy badger". Bedrijven zijn gewoon niet meer te vertrouwen wanneer het gaat om digital tracking.

adje123 @StoneyVids • 16 juli 2024 11:45

Werkt dit goed?
Ik ben al een tijdje op zoek naar zoiets....

StoneyVids @adje123 • 16 juli 2024 11:52

Naar mijn idee werkt dit erg goed. Ik gebruik het al jaren en heb gemerkt dat ik er zelden tot geen problemen mee heb om websites te openen of te gebruiken. Indien je specifieke vragen heb, raad ik aan door de FAQ te scrollen. Hier wordt duidelijk uitgelegd hoe privacy badger te werk gaat.

moonlander @StoneyVids • 16 juli 2024 11:56

En dan plaats je de bestelling online, hebben ze alsnog locatie, product, persoonsgegevens..

StoneyVids @moonlander • 16 juli 2024 11:57

Je kunt ook de website bezoeken, kijken of ze de producten in hun assortiment hebben en dan even langs de winkel gaan.

tw_gotcha

@StoneyVids • 16 juli 2024 11:44

precies, en aangezien die gegevens weer geanalyseerd worden door derden weet je totaal niet waar ze terecht komen

P1nGu1n

@sircampalot • 16 juli 2024 11:54

Privacy Badger is van een stichting: het EFF

Verwijderd @sircampalot • 16 juli 2024 11:55

Privacy Badger is ook (van) een bedrijf.

Nope. Privacy badger komt van de electronic frontier foundation, een non-profit.

Bovendien is het open source, dus er zitten meerdere ogen op en er kan eventueel gevorkt worden indien het beleid aldaar niet bevalt.

Horatius @sircampalot • 16 juli 2024 11:55

Wat een troll reactie naar mijn mening. Privacy badger is een open source gratis extensie gemaakt door een non profit stichting. Deze stichting is in 1990 opgericht om internet vrijheden te ondersteunen.

Ligt eraan welk bedrijf je vertrouwd? Bangmakerij.

Ronwiel @sircampalot • 16 juli 2024 11:59

Privacy Badger is van EFF.

The Electronic Frontier Foundation is the leading nonprofit organization defending civil liberties in the digital world. Founded in 1990, EFF champions user privacy, free expression, and innovation through impact litigation, policy analysis, grassroots activism, and technology development. EFF's mission is to ensure that technology supports freedom, justice, and innovation for all people of the world.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (128)

Sorteer op:

Weergave: