}
abonneren

Privacybeleid De Bijenkorf belicht na Cartier-zaak

Privacybeleid De Bijenkorf
De Bijenkorf was recent betrokken bij een opmerkelijke rechtszaak. Een klant had een Cartier-ketting via de website gekocht voor 402 euro, door een tikfout geplaatst voor 1 procent van de werkelijke prijs. De Bijenkorf bood aan om een onderzoek naar de cookie-gegevens te overleggen. Reden genoeg om eens een blik te werpen op het privacybeleid van het luxe warenhuis.

Uit de cookiegegevens die De Bijenkorf zeven maanden na dato aanbood, zou blijken dat vanaf het ip-adres waarvan de ketting is besteld, vaker op Cartier-producten is gezocht en daarnaast ook is gezocht op Gucci-producten binnen dezelfde prijscategorie. De vraag is hoe De Bijenkorf bijna zeven maanden later nog in staat is om dergelijke cookiegegevens te achterhalen.

Voor het bijhouden van surfgedrag via tracking cookies geldt op basis van de cookiewetgeving dat de websitebezoeker hiervoor toestemming moet geven. Zonder deze toestemming had De Bijenkorf dus geen tracking cookies mogen plaatsen. Zodoende resteert nog wel de vraag of De Bijenkorf deze toestemming ook op de juiste wijze heeft verkregen.

Toestemming moet worden verkregen voordat enige tracking cookies worden geplaatst. Bij een bezoek aan de website van De Bijenkorf verschijnt daarom direct een cookie banner. In deze banner wordt vermeld dat De Bijenkorf en derde partijen bij toestemming jouw internetgedrag binnen en mogelijk ook buiten de website kunnen volgen. Voor meer informatie verwijst het warenhuis vervolgens naar haar cookiebeleid. Indien niet akkoord wordt gegaan, blijft de website gewoon functioneren zonder dat enig surfgedrag wordt verwerkt. Dit is dus in lijn met de cookiewetgeving.

Tracking cookies

In het cookiebeleid wordt vervolgens nogmaals vermeld met welk doel de gegevens worden verzameld: surfgedrag wordt vastgelegd zodat het mogelijk is op verschillende websites gerichte aanbiedingen te doen of content te tonen.

In dat kader moet duidelijk worden gemaakt of cookies gebruikt worden om profielen op te stellen, welk type informatie wordt verzameld om dergelijke profielen op te stellen, of deze profielen worden gebruikt om gerichte reclame aan te bieden en of het surfgedrag van de gebruiker wordt gevolgd doordat de gebruiker aan de cookie op zijn computer kan worden herkend op meerdere websites. Deze informatie wordt aan de hand van het cookiebeleid niet geheel duidelijk.

Het privacybeleid van De Bijenkorf leert wel dat ip-adressen, browsergegevens, gegevens over het besturingssysteem en de door bezoeker bezochte pagina’s op de eigen website worden verwerkt. Of met deze gegevens ook profielen worden opgesteld van de websitebezoekers blijft echter onduidelijk.

Analytische cookies

De Bijenkorf maakt gebruik van analytische cookies, waaronder Google Analytics. De winkel vraagt hiervoor in haar cookiebanner geen toestemming. Dit betekent dat De Bijenkorf de cookies alleen mag gebruiken voor kwaliteitsdoeleinden. Aandachtspunt daarbij is dat de Autoriteit Persoonsgegevens een handleiding heeft gepubliceerd waarmee Google Analytics privacyvriendelijk kan worden ingesteld.

Als geen toestemming wordt gevraagd voor het plaatsen van deze analytische cookies, dienen deze stappen te worden gevolgd om aan de privacywetgeving te voldoen. De Bijenkorf moet daarom laten weten welke stappen ze heeft ondernomen om aan de handleiding van de AP te voldoen. Deze informatie ontbreekt in het privacy- en cookiebeleid. De enige informatie die het privacybeleid over analytische cookies geeft is de volgende:

Privacybeleid De Bijenkorf

“We kunnen uw gegevens ook gebruiken voor analyse- en optimalisatiedoeleinden (op niet persoonlijk niveau). De juridische grondslag hiervoor is een gerechtvaardigd belang van De Bijenkorf om te begrijpen hoe klanten onze diensten gebruiken teneinde deze te kunnen verbeteren en optimaliseren.”

De Bijenkorf lijkt dus te stellen dat gegevens die door middel van analytische cookies worden verzameld, niet worden bewaard op persoonlijk niveau. Het ip-adres is echter wel een persoonsgegeven.

Bewaartermijn cookies

In het privacybeleid van De Bijenkorf is te lezen dat zij voor geplaatste cookies een levensduur hanteert van maximaal zes maanden. De (persoons)gegevens die zijn verkregen met cookies worden eveneens voor maximaal zes maanden bewaard. Daarmee lijkt de uiterste bewaartermijn van De Bijenkorf te lang naar de mening van de AP.

In de eerdergenoemde procedure tussen De Bijenkorf en de gedaagde klant, kon De Bijenkorf opvallend genoeg surfgedrag overleggen van ruim zes maanden terug. Uit eerdere processtukken bleek dat De Bijenkorf het surfgedrag van de klant daarvoor nog niet had ingebracht. Dit betekent dat het warenhuis deze persoonsgegevens langer heeft bewaard dan zij verklaart in haar privacybeleid. Het kan niet worden uitgesloten dat De Bijenkorf al in een eerder stadium het surfgedrag wilde aanwenden als bewijs in de procedure. In dat geval is het De Bijenkorf niet kwalijk te nemen dat de gegevens voor dat specifieke doel langer zijn bewaard. De Bijenkorf stelt in het privacybeleid dat persoonsgegevens aan derden kunnen worden verstrekt indien zij daartoe genoodzaakt is als gevolg van een rechtszaak. Voor de goede orde kan De Bijenkorf hier nog wel aan toevoegen dat in een dergelijk geval van de gestelde bewaartermijnen zal worden afgeweken.

De Bijenkorf heeft met betrekking tot het gebruik van cookies al met al haar zaken dus nog niet helemaal op orde. Het warenhuis informeert de websitebezoekers onvoldoende over het gebruik van cookies. Bovendien hanteert zij een bewaringstermijn voor cookies waarvan de AP stelt dat deze in de meeste gevallen bovenmatig zal zijn.

Tekst: Lora Mourcous en Jesse Vermeij (SOLV advocaten)

Geschreven door: Redactie PCM op

Category: Nieuws, Algemeen

Tags: Cookies, Webshop, privacymeetlat

Laatste Vacatures

Uitgelicht: Technisch Applicatiebeheerder - CGI