Waarom heeft Coolblue een boete gekregen van de Autoriteit Persoonsgegevens?

Coolblue heeft een boete van €40.000 gekregen van de Autoriteit Persoonsgegevens (AP) vanwege het overtreden van de AVG-regels voor cookie-toestemming. Het bedrijf verzamelde persoonsgegevens via cookies zonder geldige, expliciete toestemming van websitebezoekers.

Welke cookiepraktijken leidden tot de overtreding van Coolblue?

Coolblue maakte gebruik van stilzwijgende toestemming en vooraf aangevinkte vakjes in zijn cookiebanner. Deze praktijken voldoen niet aan de AVG, die actieve en geïnformeerde toestemming vereist.

Welke veranderingen heeft Coolblue doorgevoerd om te voldoen aan de AVG?

Coolblue heeft in juni 2020 zijn cookiebanner aangepast om te voldoen aan de AVG. De nieuwe banner vereist actieve toestemming van gebruikers en maakt geen gebruik meer van vooraf aangevinkte vakjes of stilzwijgende toestemming.

Wat zijn de belangrijkste AVG-vereisten voor cookies?

De AVG vereist actieve toestemming van gebruikers voor niet-essentiële cookies, transparante informatie over het gebruik van cookies, gedetailleerde controle over voorkeuren en de mogelijkheid voor gebruikers om toestemming eenvoudig in te trekken.

Hoe kunnen bedrijven ervoor zorgen dat hun cookies voldoen aan de AVG?

Bedrijven kunnen voldoen door duidelijke en eerlijke cookiebanners te ontwerpen, misleidende praktijken te vermijden, regelmatige controles op naleving uit te voeren, te leren van juridische precedenten zoals de Planet49-zaak en advies in te winnen bij experts.

Welke factoren hebben geleid tot de verlaagde boete voor Coolblue?

De boete werd verlaagd tot €40.000 vanwege verzachtende omstandigheden, zoals de korte duur van de overtreding, de corrigerende maatregelen die Coolblue heeft genomen en de relatief lage gevoeligheid van de verwerkte gegevens.

Coolblue beboet met €40.000 voor onrechtmatige cookie tracking -

Introductie

De Autoriteit Persoonsgegevens (AP) heeft retailer Coolblue onlangs een boete van €40.000 opgelegd voor het overtreden van de AVG / General Data Protection Regulation (GDPR). Deze beslissing, beschreven in een officiële uitspraak op bezwaar, laat zien hoe organisaties aanzienlijke gevolgen kunnen ondervinden als ze verkeerd omgaan met de toestemming van gebruikers met betrekking tot cookies. Hieronder pakken we de zaak uit, leggen we uit hoe de AP tot haar beslissing is gekomen en bekijken we praktische stappen die bedrijven kunnen nemen om ervoor te zorgen dat ze voldoen aan de cookie-regelgeving.

Two people looking at the Coolblue website on a laptop. The cookie banner is shown.

Coolblue kreeg een boete van €40.000 van het College Bescherming Persoonsgegevens

De Coolblue Case begrijpen

Tussen april en juni 2020 gebruikte Coolblue tracking cookies op haar website zonder de juiste toestemming van de gebruiker te krijgen. Het onderzoek van de AP onthulde twee belangrijke problemen met Coolblue’s cookiebanner:

Impliciete toestemming: Coolblue ging ervan uit dat bezoekers toestemming gaven voor het gebruik van cookies door simpelweg verder te surfen op de site, zonder een expliciete actie te vereisen.
Vooraf aangevinkte opties: Het bedrijf gebruikte vooraf aangevinkte selectievakjes voor cookievoorkeuren, wat in strijd is met de GDPR-vereiste voor actieve toestemming.

De praktijken van Coolblue ondermijnden het GDPR-principe van rechtmatigheid (artikel 5) en ontbeerden een geldige rechtsgrondslag voor de verwerking van persoonsgegevens (artikel 6). Hoewel Coolblue zijn cookiebanner uiteindelijk in juni 2020 herzag, stelde de eerdere aanpak het bedrijf bloot aan wettelijke sancties.

Hoe de overtreding werd aangetoond

De AP bouwde haar zaak tegen Coolblue op door middel van gedetailleerd onderzoek:

Eerste audit (2019): In oktober en november 2019 beoordeelde de AP de website van Coolblue en stelde vast dat de GDPR-regels voor cookietoestemming niet werden nageleefd. Het agentschap gaf een waarschuwingsbrief uit waarin werd aangedrongen op corrigerende maatregelen.
Vervolgbezoeken (2020): Latere inspecties in april en mei 2020 bevestigden dat het bedrijf zijn praktijken niet had bijgewerkt.
Bewijs van niet-naleving: De AP documenteerde hoe Coolblue’s cookiebanner nog steeds uitging van toestemming en standaardinstellingen gebruikte, wat in strijd is met de GDPR-richtlijnen. Het Planet49-arrest van het Hof van Justitie van de Europese Unie (2019) werd aangehaald als precedent, en versterkte dat geldige toestemming een ondubbelzinnige bevestigende handeling moet inhouden.

Hoewel Coolblue de overtredingen in juni 2020 beëindigde, concludeerde de AP dat de eerdere acties van het bedrijf een financiële boete rechtvaardigden.

Belangrijke opmerkingen voor bedrijven

De gedetailleerde uitspraak van de AP benadrukt niet alleen de tekortkomingen van Coolblue, maar biedt ook richtlijnen voor bedrijven die bezig zijn met het naleven van cookies:

1. Cookiebanners ontwerpen die aan de regels voldoen

Gebruik duidelijke taal om de soorten cookies en hun functies uit te leggen.
Bied verschillende opties voor “Accepteren” en “Weigeren” zonder een van beide vooraf te selecteren.

2. Misleidende praktijken vermijden

Vertrouw niet op impliciete toestemming en verstop belangrijke informatie niet in een dichte juridische tekst.

3. Regelmatige nalevingscontroles

Voer periodieke audits uit om ervoor te zorgen dat de cookie-praktijken voldoen aan de GDPR-normen.

4. Leer van precedenten

De Planet49-zaak onderstreept dat toestemming actief en geïnformeerd moet zijn. Gebruik dit als maatstaf voor naleving.

5. Werk samen met experts

Vraag juridisch of technisch advies om robuuste cookiebeheersystemen te implementeren.

AP’s handhavingsrichtlijnen en verzachtende overwegingen

De AP hield rekening met verschillende verzachtende omstandigheden bij het vaststellen van de boete voor Coolblue:

Beperkte duur: De overtredingen duurden zeven weken, een relatief korte periode.
Corrigerende maatregelen: Coolblue heeft zijn cookie-praktijken proactief aangepast voordat het officieel werd bestraft.
Gevoeligheid van de gegevens: De verwerkte gegevens waren niet erg gevoelig, waardoor de waargenomen schade beperkt was.

Deze factoren, in combinatie met het evenredigheidsbeginsel, leidden tot een verlaagde boete van €40.000 – ver onder de standaard voor vergelijkbare overtredingen.

Waarom Cookie Compliance belangrijk is

De ervaring van Coolblue is een waarschuwing voor bedrijven in de hele EU. Naleving van de cookiewetgeving is niet alleen een wettelijke vereiste, het is ook een kans om vertrouwen op te bouwen. Door de voorkeuren van gebruikers te respecteren en gegevens te beschermen, kunnen organisaties sterkere relaties met hun publiek opbouwen en tegelijkertijd toezicht door de wetgever vermijden.

Kies voor privacy by design en maak compliance een integraal onderdeel van je bedrijfsvoering. Als het op gegevensbescherming aankomt, is voorkomen immers altijd beter dan genezen.

Coolblue beboet met €40.000 voor onrechtmatige cookie tracking

Introductie

De Coolblue Case begrijpen

Hoe de overtreding werd aangetoond

Cookie Consent Manager | Neem een 2 weken gratis proefabonnement

Probeer onze betaalde plannen 2 weken gratis uit of maak een gratis account aan …

Belangrijke opmerkingen voor bedrijven

1. Cookiebanners ontwerpen die aan de regels voldoen

2. Misleidende praktijken vermijden

3. Regelmatige nalevingscontroles

4. Leer van precedenten

5. Werk samen met experts

AP’s handhavingsrichtlijnen en verzachtende overwegingen

Waarom Cookie Compliance belangrijk is

Next PostLinkedIn krijgt €310 miljoen boete voor GDPR-overtredingen met gerichte advertenties in de EU

Product

Regio’s / Wetgeving

Alternatief voor

Legal