2019 inledde den nederländska dataskyddsmyndigheten en utredning på flera hemsidor, bland annat hemsidan för det nederländska apoteket Kruidvat. Syftet var att undersöka dessa hemsidors efterlevnad av GDPR vid användning av cookies. Vid en första granskning konstaterades att hemsidan inte uppfyllde GDPR-kraven och myndigheten begärde därför att Kruidvat skulle ändra sin cookieshantering. Eftersom ingen ändring gjordes efter sex månader, inleddes en ny undersökning.
Den nederländska dataskyddsmyndigheten fann flera överträdelser av GDPR. Det framkom att hemsidan använde cookies innan de fått uttryckligt samtycke. Det visade sig även att “acceptera alla cookies” var valt som standard och kunden behövde självmant trycka bort det. Det krävdes fyra olika steg innan användaren tillslut kunde trycka bort alla cookies om den önskade det.
Myndigheten hänvisade till tidigare fall från EU-domstolen som säger att det saknar laglig grund för inhämtandet av cookies om samtycket redan är ikryssat som standard. Myndigheten hävdar därför att Kruidvat saknat samtycke, och därmed saknar laglig grund för behandlingen enligt GDPR. Av denna anledning utfärdar dataskyddsmyndigheten en straffsanktion på €600,000 till apoteket.