Gratis af te halen bij Marktplaats: persoonsgegevens van derden
Wie zijn gegevens opvraagt bij Marktplaats, krijgt niet alleen inzage in de eigen transacties, maar ook in de persoonsgegevens van derden. Ik kreeg van 32 gebruikers zomaar het IP-adres toegestuurd en van 14 het mobiele telefoonnummer. Dat is in strijd met de privacyvoorwaarden van de site zelf en waarschijnlijk ook met de wet. En het blijkt geen incident, maar een structureel probleem bij de grootste koopjesmarkt van Nederland.
Marktplaats is de grootste handelswebsite van Nederland. Maandelijks bezoeken 6,5 miljoen unieke bezoekers de site. Gemiddeld staan er 5 miljoen advertenties op. Iedereen met een account kan kopen en verkopen via de site.
En om een account te openen hoef je slechts minimale informatie over jezelf achter te laten, zoals naam en mailadres. Andere gegevens, zoals postcode en telefoonnummer, zijn optioneel. De gegevens zijn niet direct inzichtelijk voor andere gebruikers van de site en Marktplaats hanteert een streng privacybeleid waarin ze beloven privégegevens niet ongevraagd met derden te delen.
Maar de praktijk is heel anders. Op basis van de Wet bescherming persoonsgegevens verzocht ik Marktplaats tot inzage in de persoonsgegevens die zij van mij verzamelt, bewaart en verwerkt. Het bestand dat ik ontving was een overzicht van twee jaar aan interacties tussen mij en andere gebruikers van de website. Twee jaar aan biedingen op ladekastjes, computerspelletjes, kattespeeltjes enzovoorts.
Zo kon ik terugzien dat ik op 6 augustus 2012 geboden had op een ‘vintage teakhouten ladekasxt’. Marktplaats had mijn complete geschiedenis op de site, waarvan ik zelf het merendeel allang weer vergeten was, zorgvuldig bewaard. En niet alleen van mij.
In het bestand dat ik ontving stonden IP-adressen, telefoonnummers, woonplaatsen en e-mailadressen van de adverteerders
In het bestand dat ik ontving stonden namelijk ook IP-adressen, telefoonnummers, woonplaatsen en e-mailadressen van de mensen die de advertenties hadden geplaatst. Van in totaal 32 mensen waarmee ik de afgelopen twee jaar interactie heb gehad op Marktplaats − ook van degenen bij wie ik enkel een bod heb geplaatst en niet tot een koop ben overgegaan −, kreeg ik het persoonlijke e-mailadres, de woonplaats en het IP-adres van hun internetverbinding. Bij 14 personen stond ook het (mobiele) telefoonnummer vermeld.
Marktplaats schendt hiermee de eigen privacyvoorwaarden. In het privacybeleid, waarmee elke nieuwe gebruiker verplicht akkoord dient te gaan, vermeldt Marktplaats duidelijk met wie ze de gegevens zullen delen. Er staat onder andere dat Marktplaats ‘persoonsgegevens niet bekend zal maken aan derden (…) zonder uw uitdrukkelijke toestemming’.
Er zijn wettelijk geregelde uitzonderingen op deze regel: als justitie met een dwangbevel komt of de belastingdienst aanklopt, moet het bedrijf meewerken. Voor het aanpakken van oplichters, helers en witwaspraktijken is het genereren en bewaren van zulke data eveneens verdedigbaar. Maar dat privégegevens van willekeurige gebruikers met andere gebruikers wordt gedeeld, valt hier duidelijk niet onder.
Mogelijke wetsovertreding
Marktplaats schendt niet alleen de eigen voorwaarden, maar overtreedt mogelijk ook de wet. Frederik Zuiderveen Borgesius van het Institute for Information Law (IViR) ziet in het handelen van Marktplaats meerdere mogelijke problemen met de Wet Bescherming Persoonsgegevens (WBP). Uit de WBP volgt dat bedrijven een duidelijk document moeten hebben waarin ze verklaren wat zij met de gegevens van hun klanten doen. Hierin moet onder andere worden uitgelegd waarvoor de gegevens worden verzameld.
Bovendien mogen gegevens niet voor een heel ander doel gebruikt worden - ook wel doelbinding genoemd. Er moet dus sprake zijn van verwantschap tussen het verwerken van de gegevens, waaronder ook het verstrekken aan anderen valt, en het verzameldoel. ‘Dit is logisch’, legt Borgesius uit, ‘Je gaat er bijvoorbeeld vanuit dat informatie die je met een dokter bespreekt, niet wordt doorverkocht. De wet eist dan ook dat gegevens niet verder worden verwerkt op een manier die onverenigbaar is met het verzameldoel.’
De gegevens in mijn dossier zijn onmiskenbaar unieke gegevens die aan specifieke individuen te koppelen zijn en daarmee persoonsgegevens. Dat deze zonder uitdrukkelijke toestemming worden verstrekt aan derden is, zegt Zuiderveen-Borgesius, moeilijk te rijmen met de wet.
Direct na het ontvangen van mijn dossier heb ik Marktplaats om opheldering gevraagd. In een reactie laat Marktplaats weten dat het absoluut niet de bedoeling was dat ik deze gegevens zou krijgen. Marktplaats stelt dat het een incident betreft, dat ze normaal strikte procedures hanteren en veel waarde hechten aan privacy. Tot slot beweert ze dat de data normaal geschoond worden voor ze gedeeld wordt met derden. ‘Wij betreuren dit incident dan ook zeer en zien erop toe dat dit soort fouten niet meer gemaakt kunnen worden.’
Volgens privacy-advocaat Ot van Daalen is het evident dat het handelen van Marktplaats in strijd is met de WBP, al is het maar omdat er een wettelijke grondslag ontbreekt en gebruikers hierover nooit geïnformeerd zijn. ‘Marktplaats lijkt dat zelf ook te vinden als ze toegeeft dat dit een incident is.’
Geen eenmalig incident
Mijn ervaring is geen eenmalig incident: uit andere inzageverzoeken die in handen zijn van De Correspondent, blijkt dat Marktplaats vaker de fout in gaat. En het is niet de enige keer dat de site beterschap belooft.
In mei 2012 stuurde Rejo Zenger, onderzoeker van Bits of Freedom , een verzoek voor inzage in zijn persoonsgegevens bij Marktplaats. Ook hij ontving een uitgebreid overzicht met gegevens van andere gebruikers van de site. Zenger vroeg destijds ook om opheldering. Marktplaats antwoordde dat het ‘uiteraard niet de bedoeling [is] dat ook de gegevens van andere gebruikers naar u zouden worden gestuurd. Wij streven ernaar om de privacy van al onze gebruikers te waarborgen, zodat wij ervoor zullen zorgen dat een dergelijk incident niet meer voorkomt.’
De praktijk is sindsdien niet veranderd.
Want ook Sammy Hemerik, student aan de Rietveld Academie, verzocht voor haar afstudeerproject inzage in haar data bij Marktplaats. Ook in haar dossier was een riante hoeveelheid informatie over derden te vinden. De lijst bevatte 79 transacties met in totaal 23 andere gebruikers.
Daarnaast kwam er door haar inzageverzoek nog een interessant gegeven aan het licht. Hemerik is al veel langer dan Zenger en ik actief op Marktplaats. De oudste transactie in haar overzicht dateerde uit eind 2005. Hieruit kunnen we concluderen dat Marktplaats gegevens in ieder geval meer dan acht jaar bewaart.
Alles bij elkaar hebben we in deze drie gevallen (Zenger, Hemerik en ik) de woonplaats, het e-mailadres en IP-adres van ongeveer 125 Marktplaatsgebruikers gekregen door een verzoek om inzage in onze eigen gegevens. Bij 27 daarvan stond ook het telefoonnummer in de lijst.
Wat kan er misgaan?
Waar spullen van hand wisselen tussen wildvreemden is conflict onvermijdelijk. Maar met toegang tot iemands persoonlijke gegevens kan een conflict een onverwachte wending nemen
Het is niet moeilijk om voor te stellen dat op een website met 6,5 miljoen gebruikers dagelijks grotere en kleinere akkefietjes plaatsvinden tussen de gebruikers. Waar spullen, soms van duizenden euro’s, van hand wisselen tussen wildvreemden ligt conflict op de loer. Maar met toegang tot iemands persoonlijke gegevens kan een conflict ineens een onvoorziene wending nemen.
En in het ergste geval dient dit datalek dieven en oplichters. Na één keer bieden op dure spullen als computers of sieraden kunnen de privégegevens van de verkoper opgevraagd worden via het inzageverzoek. Vervolgens is door middel van sociaal-engineering het huisadres te achterhalen.
Via het IP-adres, of met kennis van het e-mailadres, kan bijvoorbeeld worden achterhaald welke internetprovider iemand heeft. Een crimineel kan de persoon opbellen en zich voordoen als een vertegenwoordiger van deze provider, met een interessante aanbieding. Bij interesse moeten de geboortedatum, postcode en huisnummer nog wel worden gecontroleerd, uiteraard. En dan, na een weekendje weg, zijn de dure spullen uit het huis verdwenen.
Correspondenten Maurits Martijn en Dimitri Tokmetzis, en als gastcorrespondent ikzelf, berichten vaak over manieren waarop data verspreid, verwerkt en misbruikt kunnen worden. Vaak roepen we de lezers op om op te letten, goede wachtwoorden te gebruiken en zelfs naar onze speciale avonden te komen om tips en trucs te leren.
Marktplaats toont aan dat het probleem groter is dan we als eindgebruikers kunnen oplossen. De data die bedrijven over ons verzamelen en verwerken kunnen op vele manieren in verkeerde handen vallen. Gerichte inbraken, verloren USB-sticks, verkeerd geadresseerde poststukken; het lijkt bijna onvermijdelijk dat persoonsgegevens op een dag op straat komen te liggen.
Of het in dit geval te wijten is aan technische gebreken of dat het, zoals Marktplaats zelf beweert, ‘een menselijke fout’ betreft, maakt niet uit. De wet is namelijk vrij duidelijk, zegt Zuiderveen Borgesius: artikel 13 van de WBP verplicht de verantwoordelijke technische en organisatorische maatregelen te nemen om persoonsgegevens tegen verlies te beschermen.
Van de grootste onlinemarkt van Nederland mag worden verwacht dat ze zich houdt aan de wet, de eigen gebruikersvoorwaarden naleeft en waarschuwingen van haar gebruikers serieus neemt. Marktplaats scoort op elk van deze drie onderdelen een onvoldoende.