Het is bijna surrealistisch dat Kruidvat, A.S. Watson, een boete van zes ton opgelegd krijgt voor de privacy-schending die volgens de Autoriteit Persoonsgegevens plaatsvond in 2019 en in 2020 tot en met oktober, maar het feit is daar. Het bedrijf volgde bezoekers van Kruidvat.nl met tracking cookies, zonder dat zij dat wisten dat ze daarvoor toestemming hadden gegeven. De AP: ‘Het bedrijf verzamelde en gebruikte daarmee tegen de regels in gevoelige persoonsgegevens van miljoenen websitebezoekers.’ Pas na bijna vier jaar(!) wordt de drogisterijketen hiervoor aangepakt. Een woordvoerder van de AP legt uit hoe dat komt: ‘Door een groot capaciteitstekort bij de afdeling Handhaven heeft het opleggen van de boete op zich laten wachten. Na het onderzoek is een zaak namelijk niet af: de afdeling Handhaven licht het hele onderzoek juridisch gezien door, stelt de boetehoogte vast en regelt het hoor en wederhoor met de (advocaten van) de beboete partij.’ In het vervolg gaat het volgens de AP niet meer zo lang duren, want de waakhond heeft er inmiddels flink wat mensen bij op de afdeling Handhaven om achterstanden in te lopen.’
Waarom in beroep?
Het is opmerkelijk dat uitgerekend Kruidvat, een merk dat zo’n beetje alle marketingprijzen van de afgelopen jaren binnensleepte, in de fout ging met het volgen van websitebezoekers en het opbouwen van profielen, zonder dat daar expliciet toestemming voor is gegeven. Én dat het bedrijf bezwaar maakt tegen de boete. Maar een inhoudelijke reactie op het gebeurde zegt Brenda Smith, CMO van A.S. Watson niet te kunnen geven omdat de bezwaarprocedure nog loopt en er geen uitspraak is gedaan. Een officiële reactie komt wel van José Mes, de woordvoerster van A.S. Watson. Maar die geeft inhoudelijk ook weinig houvast. Ongeredigeerd:
‘Het belang van onze klanten staat altijd centraal, zowel online als in de winkels. We betreuren het dan ook zeer dat er volgens de AP sprake is van een schending van de AVG. De periode waar het om gaat beslaat een kort tijdsbestek, namelijk van april tot en met oktober 2020. Wij verschillen van mening met de AP of en in welke mate er sprake is geweest van het overtreden van regels, daarom hebben we bezwaar gemaakt tegen de boete. Bezoekers van kruidvat.nl krijgen duidelijk en overzichtelijk de keuze of ze cookies en vergelijkbare trackingtechnieken willen toestaan. De veiligheid en privacy van onze klanten staan te allen tijde voorop.’
Het gaat vooral even over de passage ‘Wij verschillen van mening met de AP of en in welke mate er sprake is geweest van het overtreden van regels (…)’ Maar op welk vlak dan? De AP zegt dat de vakjes in de cookiebanner om akkoord te gaan met het plaatsen van ‘volgsoftware’ bij Kruidvat standaard stonden aangevinkt. En dat is tegen de regels in. Is A.S. Watson van mening dat dat níet tegen de regels is? Mes onthoudt zich van verder commentaar.
Balen van de boete
IT-jurist Arnoud Engelfriet stelt dat een bezwaarprocedure een legitieme reden is om geen commentaar te geven, maar het aantekenen van het beroep zelf vindt hij niet terecht. ‘Kijk, de AP is de toezichthouder, dit is hun werk, niet zomaar een mening die eruit wordt geflapt. De wet is ook vrij duidelijk. Dus op het moment dat je over de lijntjes gaat, zou ik het verlies nemen en de zaak wat netter afhandelen. Je hoeft niet eens diep door het stof. Je kunt gewoon zeggen “we balen van de boete, maar we leren er wat van”.’
Engelfriet heeft het boetebesluit gelezen en kwam geen dingen tegen waar Kruidvat vruchtbaar verweer tegen kan aantekenen. Wat kan dan mogelijk toch de reden zijn dat A.S. Watson van mening verschilt met de AP? Het zal volgens Engelfriet waarschijnlijk gaan over de manier waarop toestemming gevraagd wordt. ‘De vraag is dan ook, hoe “dark pattern” is dit? Een button die net iets anders doet dan het belooft, en waar bedrijven later terugvallen op het feit dat er ergens wel een knop stond om te voorkomen gevolgd te worden. AP en ACM knokken al een tijdje tegen de button “alle cookies aanvaarden”, waarachter alle schuifjes omhoog gaan, ook de schuifjes die je als consument liever naar beneden laat.’
Money
Inhoudelijk heeft A.S. Watson dus geen sterke case, maar de ervaring leert volgens Engelfriet dat je er met bezwaar aantekenen nog wel een halve ton vanaf krijgt. ‘Maar meer dan dat gaat het niet opleveren. Het is voor A.S. Watson dan ook een simpele rekensom. Wat wordt de rekening van de advocaten en hoeveel euro verwacht je van de boete af te krijgen? Een groot risico loopt A.S. Watson met het bezwaar hoe dan ook niet. De boete wordt daardoor niet verhoogd naar een miljoen of zo.’
Werking
Engelfriet verwacht wel dat er een preventieve werking uitgaat van de boete aan A.S. Watson. ‘Het is niet zo dat de AP nu gaat strooien met boetes hoor, die neiging heeft de toezichthouder niet. Maar voor menig compliance officer is dit is een duidelijk signaal. Een signaal dat hij of zij zal afgeven aan de marketingafdeling. Het is echt een wake-up-call.’ Een grote reputatieknauw blijft Kruidvat wat Engelfriet betreft overigens wel bespaard. ‘De meeste mensen zijn zo cookie-moe dat ze alles blind accepteren. Het hele cookie-model blijft ook een draak van een ontwerp. Niemand zal zeggen, wat zijn dat toch een stelletje criminelen bij Kruidvat.’