AP verlaagt Kruidvat-boete voor trackingcookies van 600.000 naar 50.000 euro

De Autoriteit Persoonsgegevens verlaagt de boete die zij eerder aan Kruidvat gaf voor het plaatsen van trackingcookies van 600.000 euro naar 50.000 euro. Dat komt deels doordat de AP lang deed over het onderzoek en omdat boetes voor vergelijkbare overtredingen lager waren.

De Nederlandse privacytoezichthouder schrijft dat in een nieuw besluit, dat hij zelf heeft genomen na een bezwaar. Het gaat om een boete van 600.000 euro die de Autoriteit Persoonsgegevens vorig jaar uitdeelde aan AS Watson, het moederbedrijf van drogisterijketen Kruidvat. AS Watson ging in bezwaar tegen die boete: het bedrijf erkent dat het de AVG overtrad, maar vond het boetebedrag te hoog. De Autoriteit Persoonsgegevens gaat daarin mee en besloot daarop de boete te verlagen.

Kruidvat kreeg de boete omdat het te snel trackingcookies plaatste bij bezoekers van de Kruidvat-website. In de cookiebanner stond standaard aangevinkt dat gebruikers toestemming gaven om die cookies te plaatsen. Het weigeren was volgens de toezichthouder te moeilijk, omdat gebruikers te veel stappen moesten doorlopen. Ook rekende de AP het Kruidvat aan dat er daardoor gevoelige gegevens werden verzameld, omdat de keten zaken als zwangerschapstests, voorbehoedsmiddelen en medicatie verkoopt.

De AP benoemt nu een aantal redenen voor het verlagen van de boete. Een daarvan is de ernst van de overtreding, die de AP nu 'gering' noemt. Verder valt op dat de AP zegt dat haar eigen traagheid een reden is voor de verlaging. De AP noemt 'de lange duur van de procedure bij de AP, zonder dat het onderzoek en de daaropvolgende handhavingsfase deze behandelduur rechtvaardigen' als een van de redenen. De privacytoezichthouder klaagt al jaren over te weinig menskracht en geld om onderzoeken adequaat af te handelen. Dat speelt nu mee: het onderzoek begon in 2019, maar werd pas eind 2024 afgerond.

Verder wijst de Autoriteit Persoonsgegevens op andere boetes die zij uitdeelde voor vergelijkbare overtredingen. "De omstandigheid dat in een vergelijkbare procedure inzake (tracking)cookies de AP tot een (in relatief opzicht) vergelijkbare boete is gekomen, is voor de AP aanleiding om de boete in dit besluit vast te stellen op een bedrag van 50.000 euro", schrijft de toezichthouder.

Europese boeteregels

Nieuwe Europese boetebeleidsregels, die er tot voor kort niet waren, spelen hier in elk geval niet mee. Toen de AVG in 2018 in werking trad, beschreef die alleen een maximale boete. Nationale toezichthouders moeten echter zelf de hoogte bepalen van een boete voor bepaalde overtredingen. De AP krijgt vaak kritiek dat zij daarbij veel te hoge boetes oplegt, maar dat lijkt hier niet het geval.

De AP volgde aanvankelijk haar eigen Boetebeleidsregels die zij in 2019 opstelde. Sindsdien zijn er vanuit Europa eenduidigere regels gekomen, de zogenoemde Richtsnoeren van de European Data Protection Board. Volgens de AP leiden die in dit geval echter niet tot een andere uitkomst. "In het nu voorliggende geval leidt de toepassing van de Boetebeleidsregels 2019 tot eenzelfde boetebedrag als toepassing van de Richtsnoeren." Dat betekent dat de AP hier niet harder oordeelde dan andere Europese toezichthouders zouden doen.

Door Tijs Hofmans

Nieuwscoördinator

13-06-2025 • 12:17

105

Reacties (105)

Sorteer op:

Weergave:

Belangrijke context hierbij is dat ik op de Kruidvat-website, na het weigeren van toestemming, nog steeds tracking cookies gebruikt zie worden.
Welke zie jij dan specifiek?
Ik zag wat Vimeo en Criteo cookies. Maar kijk wel wat verder dan de voorpagina. Ik heb vrij willekeurig een paar pagina's doorgeklikt tot ik ze zag en heb dus geen uitputtende controle gedaan.
Vimeo hoeft geen tracking cookie te zijn, ik zie hem zelf niet dus kan er niet veel over zeggen.


Criteo is echter een partij die zich juist richt op tracking (remarketing), dus dat lijkt mij wel fout.
(maar ik krijg deze zelf ook niet te zien)
De Criteo-cookie lijkt niet te worden geplaatst als je 'm nog niet hebt, maar wel uitgelezen via de requests naar Criteo die ik wel zie. Onder 11.7a Tw maakt dat niet zoveel uit omdat die over zowel plaatsen en uitlezen gaat. Voor Vimeo: fair point. Ik had moeten zeggen dat ik ook cookies zie die niet onder de uitzonderingen van het toestemmingsvereiste vallen uit 11.7a Tw. De term tracking is verder niet zo duidelijk gedefinieerd. Ik kan betogen dat het hier wel van toepassing kan zijn, maar dat is niet relevant voor het punt dat ik probeerde te maken.
Dat Criteo cookie hoeft niet per se iets met Kruidvat te maken te hebben. Ongeacht of jij dat cookie dankzij een bezoek aan hun website gekregen hebt of niet, kunnen zij het onmogelijk verwijderen.

Dit is een beetje het probleem met cookies. Cookies zijn minimaal domein-gebonden, eventueel ook nog aan een pad op dat domein en dan wellicht ook nog HTTP(S)-only. Door beveiligingsmaatregelen in browsers is het voor Kruidvat 100% onmogelijk om dat cookie uit te lezen, laat staan verwijderen, omdat het niet aan hun domein toebehoort. Sterker nog, zij kunnen niet eens zien of jouw browser een cookie voor criteo.com (of eu.criteo.com, d.eu.criteo.com) heeft.

Als jij door een bezoek aan een-andere-website.com waar men ook Criteo gebruikt dat cookie hebt gekregen, dan wordt dat door je browser automatisch meeverzonden zodra Kruidvat hun script in laadt, ook al heeft Kruidvat alles correct geconfigureerd en tracking uitgeschakeld. Criteo gebruikt voor zover ik kan zien geen klant-specifieke subdomeinen, dus cookies worden voor ál hun klanten tegelijk gezet. Nogmaals: dat komt vanuit je browser. Of je dat cookie via kruidvat hebt gekregen weet je niet.

Ik weet niet of Criteo's integratie SDK een optie heeft die Kruidvat aan kan roepen om expliciet je toestemming terug te trekken én bestaande cookies te verwijderen. Criteo zelf geeft je daar wel een optie voor: https://www.criteo.com/pr...ces-on-internet-browsers/.

Punt 3b in 11.7a dekt overigens behoorlijk veel.
Je omschrijft een lastig probleem met online tracking. Maar als Criteo en Kruidvat gezamelijk verantwoordelijk zijn voor de verwerking en Criteo maakt een fout die dan vervolgens ervoor zorgt dat ik na het weigeren van toestemming wordt getracked op de website van Kruidvat dan kunnen ze daar beiden op aangesproken worden.
Dat laatste klopt, maar ook dat is lastig. Dat cookie gaat niet per se om tracking. Dat is waar het lastig wordt. Dat cookie van Criteo kan ook een functioneel cookie voor hen zijn; ik betwijfel het, maar het kan wel. Ik heb bijvoorbeeld een klant waarvan inhoud op andere sites embedded kan worden. Ik zet dan ook cookies, puur functioneel. Heeft niets te maken met tracken tussen verschillende websites.
Bedoel je met "functioneel" dat de cookie van Criteo misschien strikt noodzakelijk is voor het leveren van de dienst die de Kruidvat-website levert zoals in 11.7a Tw, lid 3.b?
Ja. Als Kruidvat hun dienst bijvoorbeeld gebruikt om aanbevelingen bij artikelen te laten zien, kan het ook daarvoor zijn. Dat cookie van Criteo kan ook simpelweg gebruikt worden om aan te geven dat jij níet getracked wil worden.

Nogmaals, ik betwijfel of dat het geval is, maar dat is lastig te zeggen zonder in hun dienstverlening te graven.

Mijn punt is vooral dat de aanwezigheid van een cookie op zichzelf vrij weinig zegt :)
Ik weet niet of Criteo's integratie SDK een optie heeft die Kruidvat aan kan roepen om expliciet je toestemming terug te trekken én bestaande cookies te verwijderen. Criteo zelf geeft je daar wel een optie voor: https://www.criteo.com/pr...ces-on-internet-browsers/.
Natuurlijk heeft Criteo's integratie SDK (of eigenlijk: De toepassing daarvan door Kruidvat) daar een optie voor: Criteo's hele functionaliteit niet gebruiken.....

En dit is één van de grote problemen: De wet zegt helemaal niet dat de gebruiker cookies toe moet staan. De wet zegt dat de gebruiker *tracking* toe moet staan. Als een gebruiker geen tracking toestaat dan mag er niet getracked worden. Niet door cookies te plaatsen maar ook niet door ze uit te (laten) lezen. Kruidvat is hier dus in overtreding zonder dat de cookie melding daar iets aan kan veranderen.
Het gaat toch ook helemaal niet om de melding? Die melding boeit helemaal niet.


Punt is dat Kruidvat en Criteo gewoon geen tracking mogen doen als ik dat niet expliciet toe sta. Of dat nou via een cookie is of iemand die naast mij staat en alles op een blaadje opschrijft.
Natuurlijk heeft Criteo's integratie SDK (of eigenlijk: De toepassing daarvan door Kruidvat) daar een optie voor: Criteo's hele functionaliteit niet gebruiken.....
Nou...nee. Als Kruidvat Criteo nu van hun website haalt, staat dat cookie nog steeds op jouw PC en zal dat nog steeds naar Criteo gestuurd worden als jij elders met hun dienst te maken krijgt. En andersom: als zij nu naar een andere aanbieder wisselen waar jij in het verleden al eens tracking cookies van gekregen hebt, kunnen zijn dat niet vooraf weten en moeten zij er op vertrouwen dat die aanbieder daadwerkelijk niet tracked als zij dat aan geven.
En dit is één van de grote problemen: De wet zegt helemaal niet dat de gebruiker cookies toe moet staan. De wet zegt dat de gebruiker *tracking* toe moet staan. Als een gebruiker geen tracking toestaat dan mag er niet getracked worden. Niet door cookies te plaatsen maar ook niet door ze uit te (laten) lezen. Kruidvat is hier dus in overtreding zonder dat de cookie melding daar iets aan kan veranderen.
De aanwezigheid van een cookie betekent niet meteen dat het om tracking gaat. Het kan ook juist een cookie zijn om op te slaan dat je níet getracked wil worden. Ik ken Criteo niet, dus daar ga ik me niet over uit laten.

[Reactie gewijzigd door Werelds op 13 juni 2025 14:35]

Criteo is ook de adtech supplier van AS Watson (moeder bedrijf Kruidvat) als het gaat om retail media. Dit zijn advertenties die leveranciers inkopen bij de retailer of met data van de retailer. Criteo is verantwoordelijk voor Sponsored products en on-site display opties bij Kruidvat. Ik werk hier zelf ook mee.

[Reactie gewijzigd door patrickhinlopen op 13 juni 2025 13:29]

Goed punt, dat wist ik inderdaad niet.

Het is dus ook adbeheer van eigen in-house ads, want dan is het ook weer een ander verhaal en kan het zelfs volledig zonder tracking zijn (als ze dit aanbieden),
Met een boete van maar 50.000 euro gaat Kruidvat dat niet veranderen.
Een boete is geen afkoopsom voor slecht gedrag; ze zullen de volgende keer een fors hogere boete krijgen als ze nu niets veranderen.
Dat is het dus wezenlijk wel, in ieder geval tot er iemand echt fatsoenlijk op de vingers getikt wordt en dus niet zoals de huidige situatie, 50.000 is peanuts, zeker vergeleken met 600.000. Pas als een bedrijf het er echt moeilijk van krijgt, of zelfs van ten onder gaat, dan kan je dat claimen. Dat heb ik in de praktijk tot nu toe niet gezien (niet bij "grote" namen in ieder geval). Anders is het gewoon "cost of doing business" iets wat opgenomen wordt in de begroting als een kostenpost.
Pas als een bedrijf het er echt moeilijk van krijgt, of zelfs van ten onder gaat, dan kan je dat claimen.
Een alternatief is dat bij misbruik van persoonsgegevens verantwoordelijken (ook) persoonlijk aansprakelijk gesteld worden. Zie de Sarbanes–Oxley Act in de VS m.b.t. boekhouding.
en wij leven niet in de VS, dus hun wetgeving is niet echt relevant hierzo....
Het gaat als voorbeeld van wetgeving die werkt om een bepaald doel te bewerkstelligen, waar bedrijven traditioneel gezien niet graag aan meewerken.
Een alternatief is dat bij misbruik van persoonsgegevens verantwoordelijken (ook) persoonlijk aansprakelijk gesteld worden.
Hoe dan? Zolang er geen sprake is van wanbestuur (wat je eigenlijk alleen hebt als de belastingdienst erbij komt kijken), kun je helemaal niemand aansprakelijk stellen op persoonlijke titel. Dat is het hele punt van een BV/NV.


Bestuurdersaansprakelijkheid is maar tot bepaalde hoogte relevant in dit soort zaken.
Hoe dan? Zolang er geen sprake is van wanbestuur (wat je eigenlijk alleen hebt als de belastingdienst erbij komt kijken),
Het oormerk wanbestuur kan komen vanuit verschillende toezichthouders. Dat hoeft niet enkel de Belastingdienst te zijn.
Bestuurdersaansprakelijkheid is maar tot bepaalde hoogte relevant in dit soort zaken.
Ik schreef verantwoordelijken. Dat gaat vanaf de uitvoerder en de opdrachtgever tot en met het hoogste orgaan (RvB). Alleen zo kan je een cultuur creëren in bedrijven die dergelijk gedrag niet tolereert.

[Reactie gewijzigd door The Zep Man op 13 juni 2025 14:40]

Het oormerk wanbestuur kan komen vanuit verschillende toezichthouders. Dat hoeft niet enkel de Belastingdienst te zijn.
Dat kan zeker, maar in de praktijk gebeurt dat nauwelijks.
Ik schreef verantwoordelijken
Fair enough. Ik denk alleen niet dat je zomaar middle management op t matje kunt gaan roepen.
Is dat een fors hogere boete die naar jarenlang gesteggel weer verlaagd wordt, zoals deze?

Bedrijven leven in het nu, niet in de verre toekomst. De huidige leidinggevenden en investeerders doen een persoonlijke risicoanalyse, waarvan het resultaat laag is. Juristen vinden het allemaal prima, want die verdienen hier goed aan. De rest van het risico kan opgevangen worden door tussen nu en dan geld te reserveren.

[Reactie gewijzigd door The Zep Man op 13 juni 2025 21:44]

Google, Microsoft, Meta, .. allemaal nemen ze dit al op in hun budgetten voor komend jaar.

Ze weten dat ze zoveel kwijt zijn aan die boetes, maar in feite is het meer marketing budget dat je opmaakt. Zie het als een slechte reclame stunt, maar je het nog altijd meer oplevert, dan dat het je pijn doet.
Zonder dat ik het onderzoek ken.

Wat maakt de duur van het onderzoek uit?

Waar ik vanuit ga:

Kruidvat heeft website op moment 1.
Er wordt onderzoek gestart op moment 30

Je krijgt dan boete over moment 1 tot 30

Als het onderzoek tot moment 100 duurt maakt dat niet uit.

Of:
Je krijgt melding op moment 30. Je geeft op moment 31 aan dat je fout bent en dat je er mee moet stoppen.
Dat het dan tot moment 100 duurt voor het onderzoek zou risico kruidvat moeten zijn.

Nu kan ik me voorstellen dat je dan de boete 1 tot 30 voor 100% doet en 31 tot 70 voor 50%. Maar dit slaat wat mij betreft nergens op.

Vraagje: is er bewezen dat kruitvat wist dat ze dit fout deden? En dat ze het na melding niet aangepast hebben. (net als bv tweakers waar ze echt niet kunnen zeggen, we wisten het niet). Een verlaging van een cookie boote bij de overkoepelende organistaite van Tweakers slaat nergens op. (een celstraf past beter). En waarom slaat het nergens op. Het is al jaren duidelijk dat wat ze doen niet mag. Maar ze gaan gewoon door.
Dat is een aanname ben ik bang. Want als het niet exact dezelfde situatie is dan verandert ook de boete bepaling.
Het is 50,000 euro over de laatste wat, 5-10 jaar, dat is inderdaad wel degelijk een afkoopsom. En ze gaan geen fors hogere boete krijgen, want dan gaan ze in beroep en voor verschillende redenen moeten andere bedrijven en overheidsinstellingen niet zoveel betalen.

Ze kunnen gewoon naar de belastingdienst of politie wijzen die al langer tegen de AVG lamp loopt en tot vandaag is er nog niemand ontslaan en de boetes worden alsmaar uitgesteld omdat ze niet kunnen voldoen tegen een bepaalde datum (nu staat de tikker op 2030).

[Reactie gewijzigd door Guru Evi op 15 juni 2025 01:11]

Denk je? 50k is te doen alleen de maximale boetes zijn veel hoger. Als je dus niet aanpast krijg je een nieuwe boete. Die is dan gelijk een stuk hoger.
Ik werk in de e-commerce, je wilt echt niet onder een vergrootglas liggen bij controle instanties. AP / ACM / NVWA / Douane. Luisteren en direct aanpassen en je kan er licht mee wegkomen. Zit je (bewust) fout en ga je tegenwerken dan kan je er donder op zeggen dat meer controles zullen volgen en dan zullen ze niet meer mild zijn als ze wat vinden.
Als (relatief) kleine business, ja.
Of werk je in wat grotere e-commerce, ala wehkamp, of bol? Want dat maakt echt wel een verschil. Rules for thee, not for me.
Ik werk bij een vrij groot bedrijf en ik kan bevestigen dat men echt niet licht denkt over aandacht van dit soort instanties hoor... Het hoeft niet altijd heel zichtbaar te zijn van buiten maar mensen worden daar zeker wel nerveus van en gaan rennen. Het is natuurlijk wel de vraag als er serieus budget voor nodig is om het op te lossen of het hoger management uiteindelijk ook beslist dat goed te keuren maar er wordt zeker niet lacherig om gedaan (al hoeft natuurlijk niet elk bedrijf daar ook hetzelfde in te zijn).
Niet om jou aan te vallen of af te vallen. Maar wat er gebeurt is dat van de mensen binnen een bedrijf verwacht wordt dat ze het bedrijf niet op kosten jagen [dus niet in de kijker van controle instanties moeten komen]. Maar tegelijkertijd willen ze ook optimale output. Bij een overtreding is het dan "Foei, stoute medewerkers - ik had het nog zo gezegd". En dat ligt dan ook nog behoorlijk dicht bij de waarheid.
Die tracking data is bijzonder leuk natuurlijk maar liever zonder boetes, echter dat kan dus nog meevallen. Want nu wordt dus de boete zomaar even meer dan 10 maal zo laag.
Ik zeg ook niet dat er lacherig over gedaan wordt. Ik denk juist dat hier heel serieus over gediscussierd wordt, ook om dus zo'n boete te negeren. Uiteraard hebben ze liever helemaal geen boetes, en er zullen vast genoeg mensen zijn gaan rennen en zweten toen deze aanklacht in de brievenbus verscheen. Maar of er dan ook daadwerkelijk wat veranderd? Tsja ...
Er werken bij kruidvat 25000 medewerkers dus de boete per werknemer is 2 euro.
Kruidvat is onderdeel van de Watson group, met omzet van 24 miljard.
Dus per 480.000euro omzet, 1 euro aan boete.
Dit geeft ook aan dat boetes eigenlijk niet veel doen als die cookie-tracking een upper-managment beslissing is geweest. Alleen als er individueel medewerkers verantwoordelijk zijn, een bepaalde afdeling, of middel-managment dan is het misschien wel reden tot ontslag als de boetes oplopen.
Daarom moet er voor het moedwillig overtreden van de wet een andere straf komen. In mijn ogen een persoonlijke celstraf.

Dus je krijgt een waarschuwing, mogelijk een boete. Maar als management (ja dit zit altijd op management niveau) aangeeft we negeren het dan mogen deze managers wat mij betreft gewoon de cel in.

Je gaat het niet oplossen met deze mini boetes die de klanten of de werknemers "betalen".

Het strucutreel overtreden van de wet ook namens een bedrijf moet een keer persoonlijk gemaakt worden.
Dus 10 km/u te hard op de snelweg kost 81 euro, maar lekker half Nederland "per ongeluk" z'n gegevens verhandelen minder dan 10 ct op een jaarinkomen.
Helaas is dit nog voor heel veel andere sites een probleem, DPG/T.net vinden het bijvoorbeeld ook normaal om het zo moeilijk mogelijk te maken. Ik gok dat DPG ook blij is met dit nieuws (50.000 euro is een klein bedrag voor zo'n bedrijf - het levert zelfs 100x zoveel op als ze gewoon die 50.000 euro betalen), en ze zijn er al diverse keren op aangesproken.

Het gekke is ook dat er vooral gesproken wordt over cookies. Je kunt een persoon volgen met een drone (om maar een echt voorbeeld ervan te maken). Vervolgens zegt de AP/EU dat het met een drone niet meer mag en je een boete oplevert. Wat stopt je dan om iemand dan maar te volgen met een fiets (m.a.w. IP, locatie(s), WiFi-netwerken, browser-kernmerken, etc.)?

Ik vind het hele cookie-wall nergens opslaan. Om mijzelf niet gek te maken, heb je een uBlock Origin filter bijvoorbeeld die dit soort dingen blokkeert. Voor mij zou gewoon de DNT-optie gerespecteerd moeten worden, d.w.v. gebruikers niet volgen op welke manier dan ook (tenzij natuurlijk nodig voor platform - maar dan in eigen beheer).

DNT wordt nu juist misbruikt om je te volgen, want de meeste hebben deze uitstaan. Dit voelt voor mij, ook als webdeveloper, zo zinloos en moeilijk. Als je een header zou hebben (die komt dacht ik al uit DNT?), dan zou je die in je hele applicatie/pipeline/extern/CDN/.. kunnen nalezen en respecteren. Maar dat zou mijn baas (DPG in geval van T.net) niet leuk vinden gok ik.

[Reactie gewijzigd door HollowGamer op 13 juni 2025 12:35]

het levert zelfs 100x zoveel op als ze gewoon die 50.000 euro betalen),
Waar haal je dat vandaan? Je duim? Jij denk werkelijk dat ze 5 miljoen extra winst gemaakt hebben met deze overtreding?

Er is geen directie die de marketingafdeling toestemming geeft om de wet te overtreden met iets waarvan het vrijwel onmogelijk is om een positief resultaat voor het bedrijf aan te tonen. Als je eenmaal onder de loep ligt van de AP ben je voor een lange tijd de lul. Je moet externe hulp inschakelen om je eigen afdeling door te lichten etc.
Ik zou eens kijken naar bedrijven als Google, Microsoft, Amazon, Meta, DPG, etc. Het bedrag is uit mijn duim gezogen, dat bedoelde ik ook figuurlijk en is dus zeker niet onderbouwd. :)

Wat ik bedoelde met marketing, is dat het wordt meegenomen in het budget. Het zit niet in die afdeling of op papier wellicht, maar budgetten voor marktwerking wordt zeker meegenomen. Intel heeft zo jaren AMD dwars gezeten, en Microsoft hetzelfde met andere browsers. In dit geval is een boete betalen veel interessanter, dan betaal je die 50k (in dit voorbeeld), en je krijgt er veel meer voor terug.

Google betaald nog altijd boetes, ze zitten het loslaten van hun eigen onderdelen dwars (kost bakken met geld aan procederen bijvoorbeeld), maar nog altijd is dat veel beter dan ermee stoppen of te veel gedoe maken.

Er zijn mensen die zeggen dat een boete voor te hard rijden, meer oplevert, dan dat ze overal zich netjes aan de snelheid houden. Ik deel die mening niet, maar er zit ook weer een kern van waarheid in voor die persoon.

[Reactie gewijzigd door HollowGamer op 13 juni 2025 13:46]

Er is geen directie die de marketingafdeling toestemming geeft om de wet te overtreden met iets waarvan het vrijwel onmogelijk is om een positief resultaat voor het bedrijf aan te tonen.
En toch heeft DPG na 5 jaar en tientallen zo niet honderden meldingen van ons en anderen nog steeds de boel niet aangepast.

Notabene in België al boetes voor gehad en dan toch stug doorgaan.

nieuws: Mediahuis krijgt AVG-sanctie voor cookiewall met verstopte cookieweigerknop

Sterker nog, waar het daar over ging doen ze op die website zelfs nog steeds.
De kern van de klacht van de GBA is dat de cookiemuur het moeilijker maakt om cookies te weigeren dan te accepteren. Gebruikers die op de website komen, hebben de keus om alle cookies te accepteren, waaronder ook thirdpartytrackingcookies. Als ze echter cookies willen weigeren, moeten ze eerst doorklikken. "De plaatsing van niet strikt noodzakelijke cookies is enkel toegestaan op voorwaarde dat de toestemming vrij, specifiek, ondubbelzinnig en op een geïnformeerde wijze wordt verkregen", schrijft de GBA. Dat is niet het geval als het weigeren op een andere manier gaat dan het accepteren. "Ook is de toestemming niet ondubbelzinnig omdat de gebruiker niet weet dat hij cookies kan weigeren, vermits deze optie pas in een volgend informatieniveau wordt aangeboden", voegt de GBA toe.
We zijn nu zowat een jaar verder en het is nog steeds niet opgelost, ondertussen zijn de knoppen wel veranderd (andere tekst en omgedraaid), maar zijn ze inhoudelijk nog wel hetzelfde, er wordt dus wel aan gewerkt, maar niet om wel aan wetgeving te voldoen.
De uitgever moet de cookiebanner op vier websites binnen 45 dagen aanpassen, anders krijgt het een boete van 25.000 euro per dag per website. Het gaat om de cookiebanner op de websites van De Standaard, Het Belang van Limburg, Het Nieuwsblad en de Gazet van Antwerpen.
Ik kan je het screenshot mailen waaruit blijkt dat de wijzigingen nog niet zijn gedaan. Duur grapje zo DPG. totaal 280 dagen - 45 respijt en dat dan keer €25.000 dat is €5.875.000. Per website!

Iets zegt mij dat ze dit niet gaan betalen, en iets zegt mij dat er toch nog maar eens een melding moet worden gedaan.
Ik heb even gekeken, maar ik zie geen externe partijen tracking cookies plaatsen.

Ik zie wel veel cookies voorbij komen, cookies met `ga_` zijn zeer waarschijnlijk wel tracking cookies maar server side tracking cookies.

En server side tracking cookies mag momenteel dan weer wel, hoewel ik dat wel echt zie veranderen in de toekomst dat dat ook niet meer mag.
(hier wat informatie van een partij die dat aanbied)

Kruidvat laat overigens wel veel externe bronnen in (via javascript), waarvan je jezelf de vraag kan stellen of die niet alsnog tracken als 3th party partijen. Ook al is het zonder cookies.

[Reactie gewijzigd door Bender op 13 juni 2025 12:32]

Als er cookies worden geplaatst bij de client dan is de tracking niet bepaald server side :)

Uit hun cookiepopup:
Naam _ga_xxxxxxxxxx
Host folder.kruidvat.nl
Duur 399 Dagen
Type Direct
CategorieFunctioneel gebruik en onderhoud website
OmschrijvingDeze cookie stelt ons in staat om Google Analytics te gebruiken.

Naam _ga
Host kruidvat.nl
Duur 2 Jaar
Type Direct
Categorie Functioneel gebruik en onderhoud website
OmschrijvingDeze cookienaam is gekoppeld aan Google Universal Analytics. Deze cookie wordt gebruikt om gebruikers te onderscheiden en de vervaltijd van deze cookie is 2 jaar.
Ik betwijfel dat dit legaal is (Google Analytics is niet "functions gebruik en onderhoud website") maar iemand zal ze moeten aanklagen voor ze hier iets aan gaan veranderen.

Als het op deze manier moet, gaat kruidvat.nl bij mij maar volledig in de pihole. Wat een baggerbedrijf.

Edit: ze weten zelf ook niet eens wat hun cookies doen, de prutsers:
Naam _gid
Host kruidvat.nl
Duur Enkele seconden
Type Direct
Categorie Functioneel gebruik en onderhoud website
Omschrijving Deze cookienaam is gekoppeld aan Google Universal Analytics. Dit lijkt een nieuwe cookie te zijn en vanaf het voorjaar van 2017 is er geen informatie meer beschikbaar van Google. Het lijkt een unieke waarde op te slaan en bij te werken voor elke bezochte pagina.
Wat nou "lijkt", ze zet de cookie op je eigen domein, zoek maar uit hoe je eigen cookies werken voor je ze opdringt.

[Reactie gewijzigd door GertMenkel op 13 juni 2025 12:44]

Maar die GA cookies zijn dus serverside tracking.

En GA is niet per definitie verboden, als je daar alles serverside in duwt zonder enige vorm van personalisatie is daar dus ook niks mis mee.
(even uitgaande van een legale situatie)
Google noemt het wel "server-side", maar dat klopt van geen kant natuurlijk. Je applicatie zit cookies voor ze te proxyen, maar dat maakt niet dat de client niet gevolgd wordt met informatie die de client opstuurt. Als het daadwerkelijk server-side was (zoals gebruik van fingerprints en dergelijke) had je geen cookies gezien.

Wat ze hier doen is cookies door hun eigen domein heen sluizen om om de privacybeschermingsfeatures van browsers heen te komen. Ze forwarden Google's cookies heen en terug, gevuld met unieke identifiers over website en bezoeker, omdat privacytools die cookies lastiger kunnen blokkeren. Vaak sluizen websites dit door via alternatieve namen, maar kruidvat lijkt daar te lui voor te zijn.

Natuurlijk mag GA wel op deze manier, als de gebruiker daar maar expliciete toestemming voor geeft en dit uit kan zetten. Dat kan in dit geval niet.

Juist omdat Kruidvat nu volledig beheer heeft over deze cookies (ze worden niet meer door externe bedrijven geplaatst) vind ik het extra kwalijk dat ze dit doen zonder toestemming.

[Reactie gewijzigd door GertMenkel op 13 juni 2025 13:14]

Maar dan doe je de aanname dat data 1 op 1 doorgezet wordt, dus ook persoonsgegevens zoals IPs en dat hoeft helemaal niet zo te zijn.

Maar waarom zouden we dan niet de aanname doen dat Kruidvat de klantgegevens niet gewoon doorverkoopt aan een farma omdat je aambeienzalf hebt gekocht?
Als je websitebezoeken aan een unieke identifier hangt (en dat is precies wat GA met die cookies doet) dan vormt dat een persoonsgegeven. Een IP-adres is een persoonsgegeven omdat het (vaak) tot een persoon te herleiden is, niet omdat men toevallig heeft besloten dat een IP-adres in de wet opgenomen moest worden. Natuurlijk kan het zijn dat de data die ze naar Google sturen helemaal geen unieke informatie bevat, maar dan heb je ook niks aan Google Analytics.

Zelfs als Google die data niet krijgt en ze toevallig cookies gebruiken die hetzelfde heten, moeten ze alsnog geïnformeerde toestemming vragen voor de die cookies mogen plaatsen. Of Google die cookies nu krijgt of niet.

En waarom ik zou aannemen dat ze niet onder water extra moeite hebben gedaan om heel GA om te bouwen om het wel compliant te maken: ze hebben zojuist een boete van 50k gekregen voor het overtreden van de wet en nota bene zelf toegegeven dat ze de wet hebben overtreden. Waarom zou je ze nog op hun mooie blauwe ogen geloven?
Maar de cookie wordt niet gezet door Google..
en dat is precies wat GA met die cookies doet
Dat is dus niet het geval, want ik heb het specifiek over Server side cookies.

Dus de beheerder van de server (of eigenlijk de software) bepaald wat er naar Google gestuurd wordt, dus Google bepaald niet wat ze opslaan en verwerken.
En waarom ik zou aannemen dat ze niet onder water extra moeite hebben gedaan om heel GA om te bouwen om het wel compliant te maken
Omdat er gewoon software is wat inkoopt. Dus ze hoeven niks te bouwen, ze kopen software in die het van A naar B stuurt met strippen van persoonsgegevens.
Dit gebeurt allemaal op een eigen server, met eigen data, in beheer van Kruidvat.


Maar waarom geloof je dan wel dat kruidvat jouw gegevens bij bestellen niet ook doorstuurt naar een Big Pharma? Want dan is je IP toch het minste van je probleem.
Dit doen ze niet zelf ik ga er vanuit dat er echt wel iemand is die weet wat ze doen. En functioneel een opdracht heeft gegeven.
Ze maken gebruik van een truc die Google gebruikt om te voorkomen dat browsers die cookies van derden blokkeren niet meer hun gebruikers kunnen volgen. Ze pakken de cookies die Google Analytics ze voert en geven ze direct door. Daarom staat het domein ook op "kruidvat.nl" en niet "analytics.google.com". Omdat er geen inhoud direct van Google's servers wordt geladen, zet Google dit neer als een privacy-vriendelijke alternatief.

Nu moeten ze wettelijk documenteren waar hun cookies voor zijn, maar is Google niet heel duidelijk over hoe hun cookies werken. In plaats van dit uit te zoeken en na te vragen voor Kruidvat ze zet, lijken ze gewoon de cookies maar door te sturen en te gissen bij de beschrijven die hun klanten moet informeren over hun privacykeuzes.

Iemand met toegang tot kruidvat.nl zet die cookies. Als dat niet Kruidvat zelf is, hebben zij en hun klanten een groter probleem dan tracking, maar als iemand die mysterieuze cookies dan gewoon is gaan documenteren hebben ze helemaal hun plicht verzaakt.
ga_ is google analytics (en dus doorgaans clientside)

Doorgaans zou je hooguit wat gtm's mogen zien, google tag manager, die bepaald juist of de rest van de scripts en cookies geladen mogen worden aan de hand van triggers (accepteren van cookies). GA kan wel, als dat expliciet geanonimiseerd is (en volgens mij dien je er dan alsnog toestemming voor te vragen).
en dus doorgaans clientside
Maar daar zit het hem in, doorgaans, dus dat hoeft niet zo te zijn.

Want het is serverside tracking, Kruidvat is eigenaar van de data en het kan gaan om analytische statistieken.

Dus zonder personalisatie een hit in Google Analytics zetten zodat je ziet hoevaak pagina X bezocht wordt zonder dat er zichtbaar is wie dat is mag.
(maar je mag dus niet de IPs doorsturen om tracking door derde mogelijk te maken)

Zelfde als dat je serverlogs mag (moet?) bewaren van bezoekers, daar staan zelfs IP's in wat een persoonsgegeven is. Je mag ze echter niet gaan doorsturen naar derden.

[Reactie gewijzigd door Bender op 13 juni 2025 12:53]

TOch is dat niet niet zo simpel
While Google Analytics (GA) primarily relies on client-side cookies like _ga, which are stored in the user's browser, server-side tagging can allow you to collect and process data before sending it to Google Analytics, effectively bypassing traditional browser cookie limitations. However, the core principle of GA cookies, and any tracking cookies for that matter, remains: they still require user consent, even if implemented server-side.
en dat is om aan GDPR te voldoen, AVG in de EU is meestal nog wat strenger.

Zoals je zegt, het is namelijk 1 ding om statistiek te bewaren over je bezoekers en een ander om die data door te sturen naar een derde partij (wat dus bij google diensten per definitie het geval is).

En als ze zelf een cookie hebben verzonnen en die GA hebben genoemd, is dat wel erg dom, want dat legt ze sneller onder een vergrootglas omdat ervanuit gegaan zal worden dat dit Google Analytics betreft. Dus dat lijkt mij erg stug het geval te zijn.

[Reactie gewijzigd door Zoop op 13 juni 2025 13:00]

Ik weet niet waar je quote vandaan komt?
and any tracking cookies for that matter
Want juist dit stuk maakt het van belang, want zoals ik omschreef gaat het bij serverside om dat je er dus geen persoonsgegevens of andere trackbare informatie naar GA stuurt.

En uiteraard kunnen ze er voor kiezen als nog traceerbare informatie naar GA te sturen, maar ik heb het dus gericht over het niet sturen van persoonsgegevens en traceerbaar te maken.
(want zoals je zegt, dan heb je wel toestemming nodig)

[Reactie gewijzigd door Bender op 13 juni 2025 13:15]

Je hebt hoe dan ook toestemming nodig als je gaat tracken, serverside of clientside maakt dus niet uit. Een GA cookie is geen functionele cookie, die hoort niet gezet te worden zonder toestemming.
Ik geef specifiek aan dat het gaat om niet trackbare informatie...
Maar hoe weet je dat als bezoeker? En dan het bedrijf dat deze gegevens verzameld op hun blauwe ogen geloven dat ze het niet doen? Nee, zo werkt dat gelukkig niet. Daarom zijn dat soort cookies bij voorbaat verboden zonder toestemming, ongeacht of je het voor tracking gebruikt of niet. Dus zo'n GA cookie hoort er simpelweg NOOIT te staan als je geen toestemming hebt gegeven. En voor elke andere cookie dien je heel erg goed aan te geven waarvoor het dient (en dus "bewijst" dat het om een functionele cookie gaat).
Dat weet je niet, zowel als ze het wel vragen of niet vragen weet je niet wat ze doen.

Daarom gaan we uit van wetgevingen, dat er op die manier gehandeld wordt. Dus dat als je Nee zegt, ze ook nee Handelen.

Want "zo'n GA cookie" zegt helemaal niks als je niet weet wat er mee gebeurt, dat kun je simpelweg niet zien.


Anders kunnen we net zo goed gaan stellen dat ze je de informatie aan een farmaceut verkopen als je aambeienzalf koopt.
Want "zo'n GA cookie" zegt helemaal niks als je niet weet wat er mee gebeurt, dat kun je simpelweg niet zien.
Precies, en daarom mag je hem ook niet zetten zonder expliciet te vermelden waarvoor hij is (en als dat dus iets anders is dan een functionele cookie, dus toestemming vereist)
Anders kunnen we net zo goed gaan stellen dat ze je de informatie aan een farmaceut verkopen als je aambeienzalf koopt.
Tsja, gebeurd ook vast wel, wellicht niet per se hier (want, eu wetjes en regeltjes), maar zeker wel als je het van Amazon haalt.
daarom mag je hem
Wat is hem? Een cookie is een cookie, als ik een andere inhoud geef, andere naam, kan ik er hetzelfde mee maar ook hetzelfde niet mee.

Want je blijft vasthouden dat een cookie met de naam `ga_` direct 1 op 1 naar Google gaat terwijl dat helemaal niet het geval hoeft te zijn.
Nee helemaal niet, ongeacht waarvoor hij dient, dien je te omschrijven waarvoor hij is, anders mag je hem niet plaatsen, ook ongeacht hoe hij heet.
Maar er staat gewoon omschreven in de cookiemelding bij Kruitvat dat het Google Analytics is, dus ik weet niet wat voor een punt je probeert te maken, maar ook al stond er dat het iets anders is, dan nog dien je toestemming te vragen als het geen functionele cookie is (en dat dus te omschrijven). Zo simpel is het.
Nogmaals, een cookie is een stukje tekst en doet opzichzelfstaand helemaal niks.


Op de kruidvat popup staat bij _ga
Functioneel gebruik en onderhoud website
En bij FPID staat
Deze cookie wordt gebruikt ter vervanging van de normale gebruikers-ID-cookie van Google Analytics (_ga), zodat we de gegevens kunnen pseudonimiseren voordat ze aan Google worden doorgegeven.
De FPID cookie is gezet door kruidvat.nl en niet door Google.

Er wordt echter geen GA javascript geladen, dus GA leest deze cookie niet in en kan middels die cookie niet tracken.

Tenzij je standpunt is dat Kruidvat fingerprint tracking op serverside niveau doet, dat kan, maar dan gaan we aannames doen. Dan kunnen we dus net zo goed stellen dat ze hun klantenbestand verkopen want dat levert meer op....
Maar het gaat niet alleen om persoonsgegevens hè. AVG en Telecommunicatiewet zijn twee verschillende regimes. Ook zonder persoonsgegevens te verwerken kan nog steeds de toestemmingsverplichting conform Telecommunicatiewet gelden.
Toestemming voor wat, of waar heb je het specifiek over?
Niet-functionele cookies.
Moederbedrijf van Kruidvat (AS Watson) had vorige jaar 53 miljard euro omzet! Zolang AP zeer lage boetes uitdeelt zullen bedrijven zicht niet aan de wet houden. Het loont om wetten te overtreden!
Maar zo werkt dat naar mijn mening niet.
Je kunt niet op basis van de omzet van het moederbedrijf een boete gaan bepalen. De boete wordt gegeven aan het bedrijf zelf, je gaat dan ook kijken wat dat bedrijf dan fout doet en welke boete daarbij hoort.
De wet sluit die vorm van beboeten niet uit. Het zijn boetes afhankelijk van omstandigheden. Zoals omstandigheden in hoeveelheid slachtoffers waar de overtreder voordeel uit heeft gehaald voor de hoeveelheid omzet, winst en anderw bedrijfsbelangen. Natuurlijk is het niet de bedoeling om alleen naar omzet te kijken maar als je als groot bedrijf meer achtoffers maakt en hogere omzet als doel te hebben dan is het omgekeerd ook gepast om de boete daarop aan te passen.
Die vlieger gaat niet op natuurlijk, dan kun je al je shady zaakjes probleemloos in een dochteronderneming laten uitvoeren zonder enige verantwoordelijkheid af te hoeven leggen. Geen CE-markering, klanten geëlektrocuteerd, mensen vergiftigd? Ja dat was allemaal Albert Heijn Dochterbedrijf 114, die is vorige week failliet gegaan, helaas pindakaas.

In de praktijk werkt dat natuurlijk niet. WhatsApp heeft bijna geen omzet maar toch krijgt Meta een boete als ze persoonsgegevens van WhatsApp lekken.

De boete was dan ook niet voor Kruidvat, maar voor AS Watson. AS Watson heeft een omzet van 53 miljard en AS Watson kreeg een boete van 600.000.
Nee, het wil niet zeggen dat je zomaar probleemloos aan een moedermaatschappij kan voorleggen.


Dat als bedrijf X BV een omzet maakt van 100.000,- maar de moedermaatschappij maakt dankzij 500 bedrijven 1 miljard winst.
Dat je op die manier even op basis van 1 miljard een boete kan uitschrijven.
We kunnen zoveel willen maar de wet zegt dat dat wel kan ;) moederbedrijven tellen gewoon mee.
AP deelt boetes uit op basis van omzet, dus de opmerking van @Lisadr dat hij het over omzet heeft is dus terecht.

Jouw opmerking over winst is dus niet relevant in dit verhaal.
omzet != winst
En wat wil je daarmee zeggen?

Als je X omzet draait en daar gaat ineens een hoog percentage vanaf aan boetes, dan doet dat echt wel pijn, want het heeft direct impact op je winst. Ongeacht of de laatstgenoemde al heel hoog, laag of zelfs negatief was.
En wat wil je daarmee zeggen?
Stel jij verdient 3500 euro (omzet) en je houd maar 10 euro over (winst), en je krijgt een boete van 1%, dus 35 euro, dan moet je dan 3 en een half maand voor krom liggen.

Iemand anders houdt van datzelfde salaris elke maand 500 euro over, dan is 35 euro een schijntje voor die ene keer.

Dus voor persoon A is het een straf om de boete te betalen, voor persoon B niet. ALS je kan beboeten op basis van winst (dat kan net zo goed hard aankomen natuurlijk als het percentage maar groot genoeg is) zou dat imo eerlijker zijn.

Nog liever zou ik zien dat (naast een boete voor het bedrijf) de verantwoordelijke CEO een beperking krijgt voor X jaar mbt salarisverhoging bijv. Imo mist er gewoon gevoel van verantwoordelijkheid namelijk. En de eindverantwoordelijke mag imo ook daadwerkelijk verantwoordelijk gehouden worden (tenzij te bewijzen valt dat die er echt niks mee te maken had).

[Reactie gewijzigd door watercoolertje op 13 juni 2025 13:28]

Echter geeft AP boetes op basis van omzet, niet winst. Dat de persoon het dus over omzet heeft en niet winst is dus terecht.
In jouw redenering, zou een groot bedrijf, dat jarenlang geen winst draait, om marktaandeel te kopen, dan totaal geen boete mogen krijgen, dat lijkt me ook niet correct.

Ik ga wel akkoord dat een boete proportioneel moet zijn, en moet aanzetten om het foute gedrag te stoppen, door een pijnprikkel te geven zodat je zou nadenken om dat gedrag naar de toekomst toe niet meer te vertonen.

In het verkeer zou dat ook best wel nuttig zijn, want daar wordt iemand met een laag inkomen proportioneel veel zwaarder gestraft dan de politicus met een maandinkomen van 20000 euro, waarvoor een boete van 100 euro totaal geen betekenis heeft, terwijl dat voor die persoon met het lage inkomen misschien betekent dat hij die maand zijn verwarming zal moeten lager zetten, en een maand in de kou moet gaan zitten, of op een andere manier betalingsachterstand zal oplopen, wat hem dan nog extra zal kosten aan betalingsherinneringen.
Zoals @watercoolertje al zegt. HEt doel van boetes is niet om dingen KAPOT te maken, om te straffen. Dat is heel wat anders
Maar dan stel je dat de boetes van AP zijn om een bedrijf kapot te maken? Gezien die gebaseerd zijn op omzet en niet winst?
5 jaar doen over een onderzoek en dan 50k opleggen. Gaat denk ik weinig afschrikwekkende werking vanuit. Weet niet wat de jaaromzet van Kruidvat.nl is, maar denk dat ze zich rot lachen...
Ik word ook moe van bedrijven en (vooral overheid) organisaties die roepen dat er te weinig personeel of middelen zijn. Zij hebben o.a. zelf die puinhoop veroorzaakt, en veel te laat ingesprongen op de veranderingen die er plaatsvinden. Kan AP echt niet beter onderzoek naar webshops? Of is het beter om 5 jaar het maar met de losse pols te doen?

Voor het AP waren bestuurders ook belangrijker, dan echt mensen op de werkvloer. De overhead wordt uitgelegd op het personeel vaak, die dan maar ZZP moesten worden en ingehuurd wanneer nodig. Nou, zie hier het resultaat: veel kennis weg, veel mensen die goed verdienen, en weinig mensen die blijven plakken.

Ik geloof best dat er meer mensen nodig zijn, maar het lijkt een algemeen excuus ('ja, we hebben te weinig geld en mensen - niet ons probleem') te worden om je handen te wassen in onschuld. De Politie is hier goed in geworden, en de rest doet dit vrolijk na.

[Reactie gewijzigd door HollowGamer op 13 juni 2025 12:44]

Het AP heeft te veel moeilijke, grote, complexe zaken om snel te handelen. Daarnaast heeft het nogal wat tekort aan personeel, en ook is er de nodige ophef geweest over het leiderschap.

Nu is digitale privacy ook best lastig als je het perfect wil doen. In de praktijk geeft niemand er alleen om tot ze zelf slachtoffer zijn. Vraag de mensen die hun website volgooien met trackingcookies en reclame maar eens wat ze vinden dat hun zakelijke telefoonnummer platgebeld wordt sinds het in de KVK stond, dan maakt het opeens wel uit hoe er met gegevens om wordt gegaan.

Je kunt ook lastig uitleggen dat je één kleine partij pakt als je niet van plan bent alle kleine partijen te gaan monitoren, dus het gestuntel van alle kleinere bedrijven (lees: kleiner dan Microsoft) wordt niet bekeken tot het te laat is en er databases op straat liggen.
5 jaar doen over een onderzoek en dan 50k opleggen. Gaat denk ik weinig afschrikwekkende werking vanuit. Weet niet wat de jaaromzet van Kruidvat.nl is, maar denk dat ze zich rot lachen...
Dat denkt het AP ook. In het artikel kun je het min of meer zien staan:
Verder valt op dat de AP zegt dat haar eigen traagheid een reden is voor het onderzoek. De AP noemt 'de lange duur van de procedure bij de AP, zonder dat het onderzoek en de daaropvolgende handhavingsfase deze behandelduur rechtvaardigen' als een van de redenen. De privacytoezichthouder klaagt al jaren over te weinig menskracht en geld om onderzoeken adequaat af te handelen. Dat speelt nu mee: het onderzoek begon in 2019, maar werd pas eind 2024 afgerond.
Ik denk dat ik wel kan voorspellen dat de AP nu met dit onderzoek in de hand naar de minister gaat om meer geld te vragen. Als ze dat niet krijgen dan hebben de politieke tegenstanders weer iets om de minister meer onder druk te krijgen.

Dat klinkt misschien een beetje manipulatief maar dat is het niet. De organisatie ziet zelf dat het niet goed gaat en doet dus een onderzoek naar waarom het niet goed is gegaan. Als ze de problemen niet zelf kunnen oplossen dan is het aan de minister om dat te doen. Het is geen commercieel bedrijf dat nieuwe investeerders kan gaan zoeken of dure afdelingen opheffen. Ze moeten de taken uitvoeren die de minister ze heeft gegeven met het geld dat ze krijgen. (De minister zal nu natuurlijk zeggen dat de AP maar wat efficienter moet gaan werken, waarna de AP dit rapport pakt om te laten zien dat het niet kan en omdat ze al efficient werken, ofzo iets.)

Dat is nodig ook want politici hebben er een handje van om mooie oplossingen te beloven maar vervolgens niet genoeg geld te geven om het uit te voeren.
De politiek was ook voorstander van ZZP'ers, en mensen vooral pushen met 'meer vrijheden, veel dynamisch werkgebied, etc.), etc'. Alles is weggepushed en bezuinigd (laat maar aan de markt over). Bij de Zorg is dit precies hetzelfde, maar je kunt deze lijn gewoon copy/pasten op vrijwel elk gebied (Onderwijs en Infrastructuur ook goede voorbeelden).

Het is fijn dat je als overheid dan zelf het risico niet meer draagt, mensen aan hun lot worden overgelaten, maar nu komen ze er achter dat je toch wel vaste mensen nodig hebt - zeker in crisis (kuch defensie, kuch zorg).

Ik vind het wel lastig, aangezien veel van die bestuurders met deze trend meegingen, sommige werken nog altijd voor deze instanties. Het moest kleiner, het kan met AI, het kan met geen vast personeel.. dus om eerlijk te zijn vind ik deze opmerking van AP krokodillen tranen. Nu zeuren ze dat er te weinig mensen zijn of dingen niet hebben zien aankomen.. had je toen maar tegen de VVD (of wie dan ook) moeten roepen dat het geen goed idee was.

Het is nu een trend om te zeggen dat het niet je schuld is. Dat jezelf 5 jaar doet over een onderzoek, ligt misschien meer dan enkel aan middelen en prios.

[Reactie gewijzigd door HollowGamer op 13 juni 2025 13:00]

De politiek is op het hele ZZP-verhaal terug aan het komen omdat de rekeningen nu binnen zijn en al die ZZP'ers toch best duur blijken nu ze meer onderhandelingsmacht hebben. Aan de andere kant schuiven ze nu elk probleem af met "we lossen het wel op met AI", maar ik denk niet dat iemand daadwerkelijk geloofd dat ze daarmee problemen oplossen; dat is gewoon problemen op de lange baan schuiven omdat de oplossing controversieel is.

Het AP roept al een tijdje dat ze niet de middelen hebben om de gestelde doelen te behalen dus dat dit soort dingen misgaan vind ik niet bepaald verrassend. Het helpt ook niet dat een paar jaar terug een hele hoop kennis vertrokken is onder de "autoritaire" leiding van destijds. Privacyjuristen kunnen meer verdienen bij bedrijven die zich tegen het AP moeten verdedigen dan bij het AP, en de welwillende mensen die het uit principe doen zijn er destijds uitgewerkt.

Dit onderzoek is gewoon op de plank gelegd op een gegeven moment, dat kan niet anders. Heel stom, scheelt de privacyschender weer 550.000 euro, maar dat soort dingen zie je vaker bij waakhonden met veel taken en beperkte mankracht, helaas.
Ik denk dat het nu ook een manier is van de AP om de ernst van de situatie over onderbezetting aan te kaarten bij de staat. Kijk, omdat we er zo lang over doen, moeten we zelfs onze boetes verlagen.
Steeds verrassend, altijd voordelig... Ook qua boetes zo te zien! :+
Ik vraag me af waarom zulke dingen nog steeds nationaal geregeld worden, en niet door een Europese instelling.
Deze manier werkt het opbod en concurrentie tussen EU landen in de hand, bedrijven zullen zich gaan vestigen in het land met het meest lakse handhavingsbeleid, of waar het minst menskracht aanwezig is om de zaak te handhaven.
Zolang ze er zelf honderd keer meer aan verdienen, zullen ze echt niets veranderen. Dan maar wat extra belasting betalen.

Admin-edit:- Knip -
Ai output verwijderd

[Reactie gewijzigd door Bor op 16 juni 2025 08:56]

En wat zou Facebook moeten betalen volgens deze berekening?
Goed dat het AP de boete verlaagt; het moeilijk kunnen uitzetten van cookies is lastig en tegen de regels, maar een boete van meer dan een half miljoen euro valt natuurlijk ook niet te rechtvaardigen (als andere bedrijven zonder boete wegkomen bij datalekken).

En voor Kruidvat wel fijn dat ze diepe zakken hebben en in bezwaar kunnen tegen zo'n boete. Er zijn genoeg andere kleine organisaties (en individuen) waar dit niet bij is, waar claimpartijen zoals het ANP (met bijvoorbeeld 419 euro boete per foto die iemand al dan niet per ongeluk heeft gebruikt) dan weer ge/misbruik van maken:

https://www.ad.nl/hengelo/even-een-foto-van-internet-plukken-komt-hengelose-ijsclub-duur-te-staan~a0616b04/
Goed dat het AP de boete verlaagt; het moeilijk kunnen uitzetten van cookies is lastig en tegen de regels, maar een boete van meer dan een half miljoen euro valt natuurlijk ook niet te rechtvaardigen (als andere bedrijven zonder boete wegkomen bij datalekken).
Helemaal niet goed. Wat dit zegt: "je kunt privacyregels aan je laars lappen want het AP heeft geen tijd om ernaar te kijken, en als ze ernaar kijken kom je ervan af met een fooitje"... Ze zouden boetes op moeten leggen als percentage van de jaaromzet.
Dat gaat toch over copyright schending? Dat is totaal wat anders.

Ik vind het allemaal maar slap. Je hebt je gewoon aan de AVG te houden. Privacy is te belangrijk. Iedereen die de film over Snowden heeft gezien, weet waarom.

Volgens de AVG zijn alle gegevens die kunnen leiden tot identificatie van een persoon (direct of indirect) persoonsgegevens. Tracking cookies vallen hier onder. Een grote partij als Kruidvat komt hier weg met een tik op de vingers. Dat spoort niet echt aan om moeite te doen om het wel goed op te lossen.

[Reactie gewijzigd door Dekar op 13 juni 2025 12:29]

Die diepe zakken vallen waarschijnlijk wel mee. Een bezwaarschrift indienen kan in principe vrij simpel. In dergelijke gevallen is het waarschijnlijk verstandig om juridische expertise erbij in te huren, maar het is niet noodzakelijk.
Die boete is zo hoog omdat het moederbedrijf van Kruidvat de middelen heeft, en omdat het onder andere over medicijnen gaat. Als je niet in staat bent om medicijnen te verkopen zonder je bezoekers te stalken, haal je wat mij betreft die medicijnen maar van je website.

Aangezien ze de wet nog steeds overtreden is de boete duidelijk juist niet hoog genoeg. Hopelijk komt er een tweede boete achteraan om dat recht te trekken.

Dat verhaal over die foto gaat over copyright, dat heeft weinig met privacy te maken. Beetje dom van die ijsclub om een foto te stelen, maar ze zijn lang niet de eerste die hiervoor een dikke rekening gekregen heeft. Als je dingen op een website zet, maak dan je eigen foto's, koop je foto's, of zoek een foto die je expliciet het recht geeft om door jou te worden hergebruikt.

En het gaat daar ook niet om boetes, het ANP is een bedrijf, dat kan helemaal geen boetes uitschrijven. Ze kunnen je wel aanklagen voor onbetaalde rekeningen of een schadeclaim aan de rechter vragen voor gepiraat beeldmateriaal.
Ze presenteren het als een boete en richten zich specifiek op kleine partijen/individuen omdat ze weten dat deze de middelen niet hebben om hier tegen in te gaan. Als het bedrag hoog genoeg is en men denkt iets te kunnen halen, gaat het ANP wel naar de rechter en halen ze op die manier hun gelijk.

Dat je geen foto's mag stelen is net zo logisch als dat je geen cookiebanner mag plaatsen die de regels overtreed. Ik wil alleen de vergelijking trekken tussen het AP dat achter grote partijen aan gaat die zich kunnen verweren, en partijen zoals het ANP die van claims indienen tegen kleine organisaties en consumenten/burgers een verdienmodel maakt omdat ze weten dat men zich niet kan of gaat verweren.

Wat mee speelt in mijn eerste reactie dat ik het goed vind dat het bedrag is verlaagd, is dat die verlaagde bedrag dan ook van toepassing wordt op kleinere organisaties die zich wellicht niet goed aan de trackingcookieregels houden. Als de bakker bij jou om de hoek een boete van 6 ton krijgt, kan hij/zij inpakken. Bij een boete van 50.000 euro is het ook niet leuk, maar dat is nog behapbaar (en wellicht omlaag te praten door aan te tonen dat de impact lager is dan bij de Kruidvat aangezien de site minder bezoekers heeft, etc). Al met al is dit dus goed nieuws.

Dat het Kruidvat nu weer op andere manieren de wet overtreedt staat los van deze boete. Als je eerst te hard rijdt en een kilometer later door rood, zijn dat ook twee verschillende overtredingen.
Nogmaals, ANP is een bedrijf, en in het geval dat gelinkt werd is de foto gevonden door een extern bedrijf dat ze waarschijnlijk om deze reden inhuren. Ze gaan achter iedereen aan, alleen bellen grote bedrijven niet de lokale kant als ze gepakt worden.

BREIN gaat ook achter kleine partijen (individuen) aan en dat is hun goed recht, hoe ergerlijk de mediaindustrie ook is en hoe oneerlijk onze copyrightwetgeving ook mag zijn.

Als de bakker om de hoek het voor elkaar krijgt om zes ton aan privacyboetes uitgeschreven te krijgen, heeft hij het wel heel erg verpest. Het AP moet redelijke boetes uitschrijven (wat 600k op een omzet van 50 miljard in mijn ogen ook is) en neemt grootte daarbij in acht. Een bakker verwerkt minder persoonlijke gegevens dan een drogisterij die medicijnen verkoopt en medische informatie op haar website zet.

Kruidvat is op zijn vingers getikt omdat ze illegaal klanten tracken, en nu tracken ze illegaal klanten. Ik zie niet hoe dat twee verschillende feiten zijn. De boete is één ding, maar je moet ook daadwerkelijk stoppen met het ding waar je de boete voor krijgt, het is geen licentie om de wet te overtreden.
Ik vind het eerlijk gezegd vooral opvallend dat er kennelijk een bezwaar voor nodig is voordat de AP een boete oplegt die (1) aansluit bij andere boetes die zij uitdeelde voor vergelijkbare overtredingen en die (2) in verhouding staat tot de ernst van de overtreding ("die de AP nu 'gering' noemt"). Ik had gehoopt dat een instantie als de AP dat bij voorbaat zou doen, dus dat daar geen bezwaar voor nodig zou zijn (een bezwaar dat anderen onnodig op kosten jaagt en kostbare capaciteit bij de AP verspilt).

[Reactie gewijzigd door berzerker op 13 juni 2025 13:19]

Dat zal ze leren....
Gezien ze het makkelijker gemaakt hebben, ja ze hebben blijkbaar wel iets geleerd :)
Als techneut begrijp ik die hele storm rondom cookies totaal niet. Het lijkt alsof dit het grote kwaad is. Terwijl er op de achtergrond al lang veel betere manieren zijn om jou en je gedrag te volgen.

Ik ben de laatste tijd wat meer onderzoek aan het doen naar dit onderwerp. Dit kwam doordat ik letterlijk binnen 1 dag te tracken was op mijn nieuwe telefoon (met nieuw nummer, nieuwe simkaart en nieuw google account). Wordt enkel zakelijk gebruikt dus weinig houvast op het gebied van historie en cookies. Toch wisten de reclamemensen prima dat die dingen bij elkaar horen.
Vanaf hetzelfde publieke ip (wifi netwerk thuis?) het internet op geweest?
Als techneut begrijp ik die hele storm rondom cookies totaal niet. Het lijkt alsof dit het grote kwaad is. Terwijl er op de achtergrond al lang veel betere manieren zijn om jou en je gedrag te volgen.
Je hebt helemaal gelijk, cookies zijn maar één van de vele manieren van tracking.

Het is helaas te ingewikkeld voor het grote publiek en het bedrijfsleven doet heel erg z'n best om het alleen maar over cookies te hebben. De wetgever weet beter. De "cookiewet" heeft bv nooit bestaan, het is een verbod op tracking-in-het-algemeen, niet specifiek een verbod op cookies. Net zoals de industrie graag doet alsof het de schuld van de politiek is dat ze hun gebruikers waarschuwingen moeten pesten met consent pop-ups terwijl ze er zelf voor kiezen om hun gebruikers te (laten) tracken.

Het vervelende is dat die reclamemensen erg goed zijn in mooie verhaaltjes vertellen en meningen manipuleren. Liegen over hun product is zo ongeveer hun werk. Het is haast onmogelijk om met rede en logica te strijden tegen een groep die draait op onderbuikgevoelens en misleiding.

Zelfs onder techneuten wordt het flink onderschat. Ook hier op Tweakers zijn er een hoop die niet inzien hoe groot het is. Toch wordt er hier ook genoeg gepost door mensen die werken met dit soort technieken om te weten dat er veel speelt en ik denk niet dat ze hier het achterste van hun tanden laten zien.

Ik heb ook niet de illussie dat ik zelf alle methodes ken, laatstaan dat ik er iets tegen kan doen. De enige redelijk aanname is dat alles wordt getracked tenzij je extreme maatregelen neemt om dat te voorkomen. Dat betekent niet dat ik mijn verzet opgeef, ik blijf doen wat ik kan om het zo moeilijk en duur mogelijk te maken. Uiteindelijk draait het om geld. Tracking onrendabel maken is efficienter dan het verbieden want een verbod is niet werelwijd te handhaven.

Overigens zie ik zelf als grootste probleem dat mensen nog steeds vrijwillig meewerken met bedrijven als Facebook en Google en hun OS gebruiken en hun apps installeren. Als je dat soort spul op je eigen telefoon of computer gaat draaien dan wordt de situatie nogal hopeloos.
Ik snap dat mensen eigenlijk geen keuze hebben, of dat in ieder geval denken, maar met rede en logica kan ik dat niet veranderen. Ik kan gewoon niet op tegen deze psychologische manipulatie waar menig cultleider jaloers op zou zijn. Mensen blijven deze bedrijven maar verdedigen en smoesjes bedenken om het goed te praten. Het zal wel een soort overlevingsmechanisme zijn a la Stockholm-syndroom waarbij mensen zichzelf wijsmaken dat ze dit zelf willen om maar niet te hoeven erkennen dat ze gevangen zitten, mishandeld worden en een trauma hebben.

Op dit item kan niet meer gereageerd worden.