Marktplaats is de grootste handelswebsite van Nederland. Maandelijks bezoeken 6,5 miljoen unieke bezoekers de site. Gemiddeld staan er 5 miljoen advertenties op. Iedereen met een account kan kopen en verkopen via de site.

En om een account te openen hoef je slechts minimale informatie over jezelf achter te laten, zoals naam en mailadres. Andere gegevens, zoals postcode en telefoonnummer, zijn optioneel. De gegevens zijn niet direct inzichtelijk voor andere gebruikers van de site en Marktplaats hanteert een streng privacybeleid waarin ze beloven privégegevens niet ongevraagd met derden te delen.

Maar de praktijk is heel anders. Op basis van de verzocht ik Marktplaats tot inzage in de persoonsgegevens die zij van mij verzamelt, bewaart en verwerkt. Het bestand dat ik ontving was een overzicht van twee jaar aan interacties tussen mij en andere gebruikers van de website. Twee jaar aan biedingen op ladekastjes, computerspelletjes, kattespeeltjes enzovoorts.

Zo kon ik terugzien dat ik op 6 augustus 2012 geboden had op een ‘vintage teakhouten ladekasxt’. Marktplaats had mijn complete geschiedenis op de site, waarvan ik zelf het merendeel allang weer vergeten was, zorgvuldig bewaard. En niet alleen van mij.

In het bestand dat ik ontving stonden IP-adressen, telefoonnummers, woonplaatsen en e-mailadressen van de adverteerders

In het bestand dat ik ontving stonden namelijk ook IP-adressen, telefoonnummers, woonplaatsen en e-mailadressen van de mensen die de advertenties hadden geplaatst. Van in totaal 32 mensen waarmee ik de afgelopen twee jaar interactie heb gehad op Marktplaats − ook van degenen bij wie ik enkel een bod heb geplaatst en niet tot een koop ben overgegaan −, kreeg ik het persoonlijke e-mailadres, de woonplaats en het IP-adres van hun internetverbinding. Bij 14 personen stond ook het (mobiele) telefoonnummer vermeld.

Marktplaats schendt hiermee de eigen privacyvoorwaarden. In het privacybeleid, waarmee elke nieuwe gebruiker verplicht akkoord dient te gaan, Marktplaats duidelijk met wie ze de gegevens zullen delen. Er staat onder andere dat Marktplaats ‘persoonsgegevens niet bekend zal maken aan derden (…) zonder uw uitdrukkelijke toestemming’.

Er zijn wettelijk geregelde uitzonderingen op deze regel: als justitie met een dwangbevel komt of de belastingdienst aanklopt, moet het bedrijf meewerken. Voor het aanpakken van oplichters, helers en witwaspraktijken is het genereren en bewaren van zulke data eveneens verdedigbaar. Maar dat privégegevens van willekeurige gebruikers met andere gebruikers wordt gedeeld, valt hier duidelijk niet onder.

Mogelijke wetsovertreding

Marktplaats schendt niet alleen de eigen voorwaarden, maar overtreedt mogelijk ook de wet. Frederik Zuiderveen Borgesius van het Institute for Information Law (IViR) ziet in het handelen van Marktplaats meerdere mogelijke problemen met de Wet Bescherming Persoonsgegevens (WBP). Uit de WBP volgt dat bedrijven een duidelijk document moeten hebben waarin ze verklaren wat zij met de gegevens van hun klanten doen. Hierin moet onder andere worden uitgelegd waarvoor de gegevens worden verzameld.

Bovendien mogen gegevens niet voor een heel ander doel gebruikt worden - ook wel doelbinding genoemd. Er moet dus sprake zijn van verwantschap tussen het verwerken van de gegevens, waaronder ook het verstrekken aan anderen valt, en het verzameldoel. ‘Dit is logisch’, legt Borgesius uit, ‘Je gaat er bijvoorbeeld vanuit dat informatie die je met een dokter bespreekt, niet wordt doorverkocht. De wet eist dan ook dat gegevens niet verder worden verwerkt op een manier die onverenigbaar is met het verzameldoel.’

De gegevens in mijn dossier zijn onmiskenbaar unieke gegevens die aan specifieke individuen te koppelen zijn en daarmee persoonsgegevens. Dat deze zonder uitdrukkelijke toestemming worden verstrekt aan derden is, zegt Zuiderveen-Borgesius, moeilijk te rijmen met de wet.

Direct na het ontvangen van mijn dossier heb ik Marktplaats om opheldering gevraagd. In een reactie laat Marktplaats weten dat het absoluut niet de bedoeling was dat ik deze gegevens zou krijgen. Marktplaats stelt dat het een incident betreft, dat ze normaal strikte procedures hanteren en veel waarde hechten aan privacy. Tot slot beweert ze dat de data normaal geschoond worden voor ze gedeeld wordt met derden. ‘Wij betreuren dit incident dan ook zeer en zien erop toe dat dit soort fouten niet meer gemaakt kunnen worden.’

Volgens privacy-advocaat Ot van Daalen is het evident dat het handelen van Marktplaats in strijd is met de WBP, al is het maar omdat er een wettelijke grondslag ontbreekt en gebruikers hierover nooit geïnformeerd zijn. ‘Marktplaats lijkt dat zelf ook te vinden als ze toegeeft dat dit een incident is.’

Geen eenmalig incident

Mijn ervaring is geen eenmalig incident: uit andere inzageverzoeken die in handen zijn van De Correspondent, blijkt dat Marktplaats vaker de fout in gaat. En het is niet de enige keer dat de site beterschap belooft.

In mei 2012 stuurde Rejo Zenger, onderzoeker van , een verzoek voor inzage in zijn persoonsgegevens bij Marktplaats. Ook hij een uitgebreid overzicht met gegevens van andere gebruikers van de site. Zenger vroeg destijds ook om opheldering. Marktplaats antwoordde dat het ‘uiteraard niet de bedoeling [is] dat ook de gegevens van andere gebruikers naar u zouden worden gestuurd. Wij streven ernaar om de privacy van al onze gebruikers te waarborgen, zodat wij ervoor zullen zorgen dat een dergelijk incident niet meer voorkomt.’

De praktijk is sindsdien niet veranderd.

Want ook Sammy Hemerik, student aan de Rietveld Academie, verzocht voor haar afstudeerproject inzage in haar data bij Marktplaats. Ook in haar dossier was een riante hoeveelheid informatie over derden te vinden. De lijst bevatte 79 transacties met in totaal 23 andere gebruikers.

Daarnaast kwam er door haar inzageverzoek nog een interessant gegeven aan het licht. Hemerik is al veel langer dan Zenger en ik actief op Marktplaats. De oudste transactie in haar overzicht dateerde uit eind 2005. Hieruit kunnen we concluderen dat Marktplaats gegevens in ieder geval meer dan acht jaar bewaart.

Alles bij elkaar hebben we in deze drie gevallen (Zenger, Hemerik en ik) de woonplaats, het e-mailadres en IP-adres van ongeveer 125 Marktplaatsgebruikers gekregen door een verzoek om inzage in onze eigen gegevens. Bij 27 daarvan stond ook het telefoonnummer in de lijst.

Foto’s uit het project ‘Re(-)collect’ van Monique Scuric.
Foto’s uit het project ‘Re(-)collect’ van Monique Scuric.

Wat kan er misgaan?

Waar spullen van hand wisselen tussen wildvreemden is conflict onvermijdelijk. Maar met toegang tot iemands persoonlijke gegevens kan een conflict een onverwachte wending nemen

Het is niet moeilijk om voor te stellen dat op een website met 6,5 miljoen gebruikers dagelijks grotere en kleinere akkefietjes plaatsvinden tussen de gebruikers. Waar spullen, soms van duizenden euro’s, van hand wisselen tussen wildvreemden ligt conflict op de loer. Maar met toegang tot iemands persoonlijke gegevens kan een conflict ineens een onvoorziene wending nemen.

En in het ergste geval dient dit datalek dieven en oplichters. Na één keer bieden op dure spullen als computers of sieraden kunnen de privégegevens van de verkoper opgevraagd worden via het inzageverzoek. Vervolgens is door middel van het huisadres te achterhalen.

Via het IP-adres, of met kennis van het e-mailadres, kan bijvoorbeeld worden achterhaald welke internetprovider iemand heeft. Een crimineel kan de persoon opbellen en zich voordoen als een vertegenwoordiger van deze provider, met een interessante aanbieding. Bij interesse moeten de geboortedatum, postcode en huisnummer nog wel worden gecontroleerd, uiteraard. En dan, na een weekendje weg, zijn de dure spullen uit het huis verdwenen.

Correspondenten Maurits Martijn en Dimitri Tokmetzis, en als gastcorrespondent ikzelf, berichten vaak over manieren waarop data verspreid, verwerkt en misbruikt kunnen worden. Vaak roepen we de lezers op om op te letten, en zelfs naar te komen om tips en trucs te leren.

Marktplaats toont aan dat het probleem groter is dan we als eindgebruikers kunnen oplossen. De data die bedrijven over ons verzamelen en verwerken kunnen op vele manieren in verkeerde handen vallen. Gerichte inbraken, verloren USB-sticks, verkeerd geadresseerde poststukken; het lijkt bijna onvermijdelijk dat persoonsgegevens op een dag op straat komen te liggen.

Of het in dit geval te wijten is aan technische gebreken of dat het, zoals Marktplaats zelf beweert, ‘een menselijke fout’ betreft, maakt niet uit. De wet is namelijk vrij duidelijk, zegt Zuiderveen Borgesius: artikel 13 van de WBP verplicht de verantwoordelijke technische en organisatorische maatregelen te nemen om persoonsgegevens tegen verlies te beschermen.

Van de grootste onlinemarkt van Nederland mag worden verwacht dat ze zich houdt aan de wet, de eigen gebruikersvoorwaarden naleeft en waarschuwingen van haar gebruikers serieus neemt. Marktplaats scoort op elk van deze drie onderdelen een onvoldoende.

Foto’s uit het project ‘Re(-)collect’ van Monique Scuric.
Foto’s uit het project ‘Re(-)collect’ van Monique Scuric.

Te koop aangeboden ‘wegens overlijden’ Monique Scuric heeft foto’s verzameld van spullen die op het internet werden aangeboden ‘wegens overlijden’. Anonieme foto’s, stellig niet om artistieke redenen genomen. Zoals foto’s van woonkamers die zijn leeggehaald, met stoelen die niemand wilde hebben, pantoffels in een hoek, omgevallen fotolijstjes, leeggehaalde laatjes, een ledikant met het bijschrift ‘de overledene is niet in dit bed gestorven’. De foto's suggereren een verhaal over een heel leven, tegelijkertijd dragen ze een gevoel van leegte en ontheemding in zich. De manier waarop ze zonder opsmuk zijn gefotografeerd roept beelden op van nabestaanden tijdens het leeghalen van een huis en hun verlangen om de materiële overblijfselen niet als waardeloos te willen beschouwen. Van dit project is het fotoboek Re(-)collect verschenen. Kijk hier voor dit en andere projecten van Monique Scuric

Big Business is watching you Met geavanceerde trackers op websites slaan onbekende bedrijven talloze persoonsgegevens van ons op. Hoewel er miljarden aan worden verdiend, weet niemand wat deze bedrijven er precies mee doen. Lees het stuk over trackers op pc’s en laptops hier terug.

Dit gebeurt er allemaal onder de motorkap van je smartphone. Eerder schreven we over online trackers die ons gedrag registeren via pc’s en laptops. Hier het vervolg: wat houdt het apparaat in onze broekzak allemaal over ons bij? Na langdurig onderzoek naar 85 populaire apps wordt zichtbaar hoe de smartphone vol privacy-gevoelige lekken zit. Lees hier het artikel

Mijn datadagboekartikelen

Mormoon worden na je dood: de gemeente regelt het voor je In dit artikel probeer ik te achterhalen welke derde partijen inzicht hebben in de persoonsgegevens die bij de gemeente op liggen geslagen. Lees hier het artikel

Hoe bedrijven bepalen of ze zaken met je doen Ik bezoek een bedrijf dat me niet toestond een auto te huren. ‘Een score van elf ligt tegen het criminele aan. Daarom ben je afgewezen.’ Lees hier hoe dat bezoek verliep

Aan wie spelen gemeenten onze persoonsgegevens allemaal door? Hier beschrijf ik hoe een tweet deuren bij de gemeente wist te openen en een stichting voor deurwaarders mijn gegevens bleek te hebben opgevraagd. Lees dit stuk hier