Je kent het wel: je bent online aan het rondkijken, koopt een nieuwe schoenen, leest een artikel over reizen, en opeens lijkt iedere advertentie die je ziet precies over die onderwerpen te gaan. Het voelt soms alsof je telefoon je beter kent dan je beste vriend.
▶Inhoudsopgave
Dat gevoel komt niet uit de lucht vallen. Het is het werk van data brokers.
Maar wat mogen ze eigenlijk van je weten? En wat mag er wel en niet worden bewaard? Laten we dat eens helder op een rijtje zetten, zonder ingewikkelde juridische taal.
Wat zijn data brokers eigenlijk?
Stel je voor: er zijn bedrijven die geen producten verkopen en ook geen diensten leveren die jij direct afneemt. Hun handelswaar ben jij.
Data brokers zijn bedrijven die gegevens verzamelen, kopen en weer doorverkopen. Denk aan bedrijven zoals Acxiom, Experian, of Equifax.
Ze verzamelen alles wat ze kunnen vinden over jou en mij, om dat vervolgens te verkopen aan adverteerders, verzekeraars of politieke campagnes. Ze zijn de onzichtbare tussenpersonen in de digitale economie.
De basis: openbare en publieke bronnen
Veel van de gegevens die data brokers bewaren, komen uit openbare bronnen.
- Naam en adres
- Geboortedatum
- Burgerlijke staat (soms)
- Inschrijvingen bij handelsregister
Denk aan het Kadaster, de Kamer van Koophandel of openbare registers. Als je een huis koopt, komt dat in het Kadaster.
Als je een bedrijf start, kom je in de KVK. Deze informatie is vaak openbaar en mag dus worden bewaard en doorverkocht. Het gaat hier om gegevens zoals: Deze gegevens zijn niet persoonlijk gevoelig, maar ze vormen wel de basis van je profiel.
Wat mag er worden bewaard?
Er zijn drie hoofdcategorieën van gegevens die data brokers mogen bewaren, mits ze zich houden aan de regels van de Algemene Verordening Gegevensbescherming (AVG). Hieronder een overzicht. Dit zijn de kenmerken die je groep beschrijven.
1. Demografische gegevens
Denk aan leeftijd, geslacht, postcode, taal en gezinssamenstelling. Deze gegevens zijn vaak makkelijk te achterhalen en worden veel gebruikt voor marktonderzoek.
Ze zijn niet direct persoonlijk genoeg om jou als individu te identificeren, maar in combinatie met andere data wordt het wel heel specifiek. Hier wordt het interessant. Data brokers verzamelen ook wat je online doet.
2. Gedragsgegevens
Welke websites bezoek je? Wat koop je? Welke apps gebruik je? Dit zijn gedragsgegevens.
Ze mogen deze gegevens bewaren als ze anonimiseren, maar in de praktijk gebeurt dat lang niet altijd goed. Ze koppelen deze data vaak aan je persoonlijke profiel, waardoor je een uniek beeld krijgt van je interesses en gewoontes. Hoe komen data brokers aan jouw persoonlijke informatie? Bedrijven zoals Experian bewaren ook financiële data. Denk aan betaalgeschiedenissen, kredietwaardigheid en betalingsachterstanden.
3. Financiële gegevens
Deze gegevens zijn extreem gevoelig en mogen alleen onder strikte voorwaarden worden bewaard.
Ze worden bijvoorbeeld gebruikt voor kredietchecks, maar ze mogen niet zomaar worden doorverkocht aan adverteerders. Toch is de grens soms vaag, en blijven deze gegevens langer in systemen zitten dan je lief is.
Wat mag er niet worden bewaard?
Er zijn gegevens die data brokers absoluut niet mogen bewaren. Hoe de AVG-wetgeving in 2026 hierover oordeelt, is voor iedereen in de sector essentieel om te begrijpen.
- Gezondheid (medische dossiers)
- Religieuze of filosofische overtuigingen
- Politieke voorkeuren
- Strafrechtelijke verleden
- Seksuele geaardheid
Het gaat om gegevens die te maken hebben met: Toch gebeurt het wel dat deze data per ongeluk of via achterdeurtjes wordt verzameld. Bijvoorbeeld via social media of door data te koppelen die eigenlijk niet bij elkaar horen. Dit is illegaal, maar moeilijk te controleren.
Hoe lang mogen ze bewaren?
De AVG bepaalt ook hoe lang gegevens mogen worden bewaard. In principe geldt: zo kort mogelijk, maar zo lang als nodig.
Data brokers moeten een bewaartermijn hanteren. Voor veel gegevens is dat vijf jaar, maar voor financiële gegevens kan dat langer zijn.
Het probleem is dat er geen universele termijn is. Elk bedrijf mag zelf bepalen hoe lang het gegevens bewaart, zolang het maar in hun privacyverklaring staat.
Wie controleert dit?
De Autoriteit Persoonsgegevens (AP) is de toezichthouder in Nederland. Zij controleren of bedrijven zich aan de AVG houden. Maar de realiteit is dat de AP te weinig mankracht heeft om alle data brokers te controleren.
Bovendien zijn data brokers vaak internationaal actief, wat de controle bemoeilijkt. Het is dus niet zo dat elke overtreding direct wordt opgemerkt.
Wat kun je zelf doen?
Het is belangrijk om te weten dat je niet machteloos bent. Je hebt het recht om je gegevens op te vragen en te laten verwijderen.
Dit heet het recht op vergetelheid. Je kunt contact opnemen met bedrijven zoals Experian of Acxiom en vragen welke gegevens ze over je hebben. Ze zijn verplicht om dit te laten zien.
Daarnaast kun je je afmelden voor bepaalde databases. Een andere optie is het gebruik van privacytools.
Browserextensies zoals uBlock Origin of Privacy Badger helpen om trackers te blokkeren.
Ook het gebruik van een VPN kan helpen om je IP-adres te verbergen.
Conclusie
Wanneer je je afvraagt wat is een data broker precies, dan zie je dat zij veel gegevens mogen bewaren, maar niet alles. Openbare en demografische gegevens zijn vaak toegestaan, terwijl gevoelige persoonsgegevens zoals gezondheidsdata of politieke voorkeuren verboden zijn.
Toch blijft het een grijs gebied, vooral omdat de controle beperkt is. Als gebruiker heb je meer macht dan je denkt, maar het vraagt wel bewustwording en actie. Dus de volgende keer dat je online iets koopt, bedenk dan even: wie weet dit eigenlijk allemaal?