De webwinkel verzamelde in 2020 via cookies persoonsgegevens van bezoekers, zonder dat zij daar expliciet mee akkoord gingen. Toezichthouder Autoriteit Persoonsgegevens (AP) legt Coolblue daarom een boete van 40.000 euro op.

De handelswijze van Coolblue is in strijd met de Europese General Data Protection Regulation (GDPR). In de cookieverklaring gaf Coolblue destijds aan er automatisch vanuit te gaan dat gebruikers akkoord zijn. Ook waren de vakjes voor toestemming voor het gebruik van cookies vooraf aangevinkt. Bezoekers van de webwinkel maakten daarmee geen actieve keuze, wat volgens de regels niet mag. Hiermee ontbreekt een rechtsgeldige grondslag voor de verwerking van persoonsgegevens.

Het bedrag van 40.000 euro volgt na een bezwaar van Coolblue op het AP-besluit in deze zaak uit januari 2024. De toezichthouder verklaart het bezwaar na heroverweging gegrond, maar blijft van oordeel dat de webwinkel de GDPR heeft overtreden wegens gegevensverwerking zonder rechtsgeldige grondslag. Het primaire besluit uit januari wordt daarom deels herroepen, wat leidt tot de boete van 40.000 euro.

De sanctie volgt jaren na een onderzoek van de AP dat eind 2019 startte. Het onderzoek toetste of websites, waaronder die van Coolblue, voldoen aan de regels die gelden rond cookies. Coolblue bleek het beleid niet op orde te hebben en ontving in november 2019 een brief. In april en mei 2020 had de webwinkel de zaken nog steeds niet op orde, waarop een extra onderzoek volgde. Een maand later, in juni 2020, had Coolblue de werkwijze wel aangepast.

Cookies irriteren

Hoewel de aanpak van Coolblue die tot de boete leidde uit 2020 stamt, ziet de AP eind 2024 een algemene ergernis onder Nederlanders over websites die cookies gebruiken zonder toestemming. Ook storen Nederlanders zich aan misleidende cookiebanners waarop moeilijk ‘nee’ te zeggen is. De toezichthouder benadrukt dan ook dat het sinds dit jaar websites extra controleert op het vragen van toestemming.

