Marktplaats.nl geeft inzage in andersmans gegevens

Afbeelding: rommelmarkt02 van DJ Buck | Licentie: CC BY-SA 2.0

Blijkbaar was mijn eerst actieve gebruik van Marktplaats ergens in 2008. Sindsdien zijn al mijn biedingen netjes vastgelegd.

Ook Marktplaats.nl kreeg van mij een verzoek tot inzage in de persoonsgegevens. De brief is inhoudelijk gelijk aan de brief die privacy inzage machine van Bits of Freedom verstuurt. Het verzoek ging vergezeld met een kopie van mijn paspoort waarop mijn pasfoto onleesbaar is gemaakt. Na een week werd mijn verzoek beantwoord met een ontvangstbevestiging per e-mail van een medewerker van de Helpdesk Zakelijk.

Na nog een week kreeg ik een uitgebreid antwoord. Aan de brief zijn toegevoegd:

Allemaal erg overzichtelijk. Maar een paar dingen vallen op, zoals de advertenties die aan mijn account gekoppeld zijn terwijl de advertenties geplaatst zijn op een moment toen ik nog helemaal geen account had. Daarnaast worden ook de gegevens van anderen getoond.

Op de schermafdruk van de registratie van mijn account staat 10 oktober 2008 als datum van aanmelding, maar de eerste datum van de geplaatste advertentie is 9 november 2011. Dat betekent dat er gegevens die mogelijk niets met elkaar te maken hebben, gekoppeld worden. Marktplaats vertelt me daarover:

Wij kunnen advertenties die zijn geplaatst voorafgaand aan het aanmaken van uw account aan uw account koppelen, mits u hetzelfde e-mailadres daarvoor gebruikt. Aangezien u hetzelfde emailadres heeft gebruikt voor uw eerste geplaatste bieding op 11 september 2007, en met hetzelfde emailadres op 10 oktober 2008 uw account is aangemaakt, heeft ons systeem deze twee handelingen aan elkaar kunnen koppelen.

Dat gaat natuurlijk niet helemaal goed, als het e-mailadres eerder van iemand anders is geweest. Die kans is natuurlijk niet erg groot en de risico’s ervan zijn beperkt, maar het kan.

In het overzicht van mijn biedingen op de advertenties van derden zijn ook gegevens van andere gebruikers te zien, waaronder het e-mailadres, één of twee IP-adressen, het nummer van de gebruiker in de systemen van Marktplaats en diens woonplaats. Daarvan is op de website gewoonlijk alleen de woonplaats te zien, maar van een advertentie uit 2007 is ieder normaal mens dat natuurlijk allang vergeten. Toen ik dat aan Marktplaats liet zien was hun reactie:

Het overzicht met daarin opgenomen de biedingen van derden, wordt op deze wijze uit ons systeem gehaald maar het was uiteraard niet de bedoeling dat ook de gegevens van andere gebruikers naar u zouden worden toegestuurd. Wij streven ernaar om de privacy van al onze gebruikers te waarborgen, waardoor wij er voor zullen zorgen dat een dergelijk incident niet weer voorkomt.

Tenslotte valt op dat de gegevens erg lang bewaard worden. Gegevens van biedingen en advertenties van ruim vijf jaar oud staan nog in het overzicht. Marktplaats zegt zich ook te realiseren dat dat onnodig lang is:

Wij bewaren de gegevens van advertenties en biedingen van onze gebruikers voor de doeleinden die wij hebben opgenomen in ons privacybeleid. Hierbij kunt u denken aan het meten van de belangstelling van onze diensten om daarmee het gebruikersgemak op onze website te bevorderen. Ook bewaren wij gegevens met het oog op eventuele noodzaak tot het produceren van bewijs, bijvoorbeeld, bij een geschil tussen een koper en een verkoper. Wij zijn ons echter bewust van het feit dat het hier om situaties gaat die niet vaak voorkomen. Om die reden zullen wij intern nagaan of het wellicht mogelijk is om bij de migratie naar ons nieuwe platform, de bewaartermijnen terug te brengen.