De Autoriteit Persoonsgegevens verlaagt de boete die zij eerder aan Kruidvat gaf voor het plaatsen van trackingcookies van 600.000 euro naar 50.000 euro. Dat komt deels doordat de AP lang deed over het onderzoek en omdat boetes voor vergelijkbare overtredingen lager waren.
De Nederlandse privacytoezichthouder schrijft dat in een nieuw besluit, dat hij zelf heeft genomen na een bezwaar. Het gaat om een boete van 600.000 euro die de Autoriteit Persoonsgegevens vorig jaar uitdeelde aan AS Watson, het moederbedrijf van drogisterijketen Kruidvat. AS Watson ging in bezwaar tegen die boete: het bedrijf erkent dat het de AVG overtrad, maar vond het boetebedrag te hoog. De Autoriteit Persoonsgegevens gaat daarin mee en besloot daarop de boete te verlagen.
Kruidvat kreeg de boete omdat het te snel trackingcookies plaatste bij bezoekers van de Kruidvat-website. In de cookiebanner stond standaard aangevinkt dat gebruikers toestemming gaven om die cookies te plaatsen. Het weigeren was volgens de toezichthouder te moeilijk, omdat gebruikers te veel stappen moesten doorlopen. Ook rekende de AP het Kruidvat aan dat er daardoor gevoelige gegevens werden verzameld, omdat de keten zaken als zwangerschapstests, voorbehoedsmiddelen en medicatie verkoopt.
De AP benoemt nu een aantal redenen voor het verlagen van de boete. Een daarvan is de ernst van de overtreding, die de AP nu 'gering' noemt. Verder valt op dat de AP zegt dat haar eigen traagheid een reden is voor de verlaging. De AP noemt 'de lange duur van de procedure bij de AP, zonder dat het onderzoek en de daaropvolgende handhavingsfase deze behandelduur rechtvaardigen' als een van de redenen. De privacytoezichthouder klaagt al jaren over te weinig menskracht en geld om onderzoeken adequaat af te handelen. Dat speelt nu mee: het onderzoek begon in 2019, maar werd pas eind 2024 afgerond.
Verder wijst de Autoriteit Persoonsgegevens op andere boetes die zij uitdeelde voor vergelijkbare overtredingen. "De omstandigheid dat in een vergelijkbare procedure inzake (tracking)cookies de AP tot een (in relatief opzicht) vergelijkbare boete is gekomen, is voor de AP aanleiding om de boete in dit besluit vast te stellen op een bedrag van 50.000 euro", schrijft de toezichthouder.
Europese boeteregels
Nieuwe Europese boetebeleidsregels, die er tot voor kort niet waren, spelen hier in elk geval niet mee. Toen de AVG in 2018 in werking trad, beschreef die alleen een maximale boete. Nationale toezichthouders moeten echter zelf de hoogte bepalen van een boete voor bepaalde overtredingen. De AP krijgt vaak kritiek dat zij daarbij veel te hoge boetes oplegt, maar dat lijkt hier niet het geval.
De AP volgde aanvankelijk haar eigen Boetebeleidsregels die zij in 2019 opstelde. Sindsdien zijn er vanuit Europa eenduidigere regels gekomen, de zogenoemde Richtsnoeren van de European Data Protection Board. Volgens de AP leiden die in dit geval echter niet tot een andere uitkomst. "In het nu voorliggende geval leidt de toepassing van de Boetebeleidsregels 2019 tot eenzelfde boetebedrag als toepassing van de Richtsnoeren." Dat betekent dat de AP hier niet harder oordeelde dan andere Europese toezichthouders zouden doen.