Officier van justitie Jacobien Vreekamp, die mede besloot de zaak tegen rapper Akwasi na uitspraken over zwarte piet te seponeren, werd vorige maand abrupt van een zaak gehaald tegen 25 bedreigers van journaliste Clarice Gargard. Een anoniem Twitter-account had openbaar gemaakt dat Vreekamp tegelijkertijd met Kick Out Zwarte Piet-voorman Mitchell Esajas in het bestuur van het Meldpunt Discriminatie Regio Amsterdam had gezeten.

Het delen van persoonlijke informatie over iemand op internet wordt steeds vaker gebruikt als intimidatietactiek. Mag dat zomaar, en wat kun je hier als slachtoffer tegen beginnen? Vier vragen over doxing.

Wat is doxing?

We spreken van ‘doxing’ als iemand zonder toestemming identificeerbare informatie over je online plaatst: traditioneel hebben we het dan over adresgegevens. De term is een verbastering van ‘docs’, ofwel documenten. Als je iemand ‘doxt’, dan gooi je dus documenten over ze op tafel: kijk, zeg je, dít is wie ze echt zijn.

Soms krijgen doxers hun informatie uit hacks, maar vaak is het ouderwets internetgraafwerk

Doxing is een onderdeel van een arsenaal aan online intimidatietechnieken dat in alle hoeken van het internet de kop opsteekt. Meestal behelst het dus het online zetten van namen, telefoonnummers of adressen. Maar ook andere persoonlijke informatie, zoals waar iemand werkt of hoe oud iemand is, kan tegen het beoogde doelwit worden gebruikt.

Het doel van doxers is om het slachtoffer te intimideren. Soms escaleert dat tot ‘swatting1, waarbij iemand de politie op een gedoxt adres af stuurt met een valse melding van geweldpleging. Er zijn gevallen in de Verenigde Staten bekend waarbij slachtoffers vervolgens door politiegeweld om het leven kwamen. Tot nog toe lijkt deze tactiek vooral beperkt tot de VS.

Soms krijgen doxers hun informatie uit hacks, maar vaak komt het gewoon neer op ouderwets internetgraafwerk. De meeste mensen leiden online immers complexe levens die uitgesmeerd zijn over uiteenlopende platformen, en iedereen laat een spoor van broodkruimels achter. Een Facebookfoto kan via een foto-zoekopdracht naar een datingprofiel leiden; een oude gebruikersnaam naar reacties die iemand tien jaar geleden op een website plaatste.

Ook staat veel informatie gewoon publiekelijk online. Het huisadres van een zzp’er is gemakkelijk via de Kamer van Koophandel te achterhalen, en ook het kadaster bevat persoonlijke informatie die iedereen kan opvragen.

Is het legaal om iemand te doxen?

“Vaak wordt gedacht dat wat openbaar te vinden is, vogelvrij is”, zegt ICT-jurist Arnoud Engelfriet. “Maar hier in Europa hebben we gewoon de Algemene verordening gegevensbescherming (AVG) en je moet zelf een rechtvaardiging vinden voor jouw gebruik van persoonsgegevens, ongeacht de bron van je informatie.” Dat informatie online staat, betekent nog niet dat je zomaar informatie mag herpubliceren in een andere context. KvK-gegevens mag je niet zomaar op een blog plaatsen, en je werkgever mag niet zonder geldige reden jouw Facebook-posts meenemen in besluiten.

Dat informatie online staat, betekent niet dat je het mag herpubliceren

Volgens de regels van Twitter mogen gebruikers publieke informatie echter gewoon hergebruiken in hun tweets. Het is volgens Twitter geen privé-informatie meer, omdat je het al vrijwillig ergens anders hebt gedeeld. Uitzonderingen zijn adressen, contactinformatie, bankinformatie en identiteitspapieren: die mag je nóóit op Twitter plaatsen zonder toestemming; dat toch doen kan resulteren in verwijdering of een ban.

Onder de AVG geldt echter: als je geen goede reden hebt om iets te publiceren, dan mag het niet. Voor zaken rond privé-informatie kun je dus naar de rechter als een website zoals Twitter je verzoek niet inwilligt. Er zijn zes mogelijke gronden om persoonlijke informatie te publiceren:

Wanneer is publiceren van persoonlijke informatie toegestaan?

  • Je hebt toestemming van de persoon waarvan de gegevens zijn.
  • De gegevens zijn nodig om een overeenkomst met iemand uit te voeren.
  • Het gaat om gegevens die je van de wet móet verzamelen.
  • Er is acute nood, bijvoorbeeld wanneer iemand in gevaar is.
  • Er is een ‘algemeen belang’ om de gegevens te verwerken, bijvoorbeeld de openbare veiligheid. Een gemeente mag daarvoor cameratoezicht inzetten.
  • Voor een ‘gerechtvaardigd belang’ – wat betekent dat je zelf een belang hebt dat volgens jou zo zwaar weegt dat het belangrijker is dan het privacyrecht van de ander, zoals fraudebestrijding of het onderzoeken van grensoverschrijdend gedrag op de werkvloer.

Bron: Autoriteit Persoonsgegevens

Ook kent de AVG een journalistieke uitzondering. Wie kan bewijzen vanuit een journalistieke basis te werken – dat wil zeggen: objectiviteit nastreeft, regelmatig iets publiceert voor het algemeen belang, en mensen de kans geeft om te reageren – heeft geen toestemming nodig voor het delen van persoonlijke informatie. Neem bijvoorbeeld het SBS-programma Foute Boel, dat voor een uitzending over huisjesmelkers zonder toestemming het huis van een vastgoedondernemer filmde. Dat mocht van de rechter: SBS respecteerde de ‘journalistieke beginselen’ bij het maken van de uitzending.

Juridisch is doxing een onduidelijk begrip, omdat de schade moeilijk meetbaar is

Dat de AVG duidelijkheid schept over wanneer het delen van persoonlijke informatie wel en niet is toegestaan, betekent overigens niet dat de politie bij een overtreding op de stoep van de doxer staat. Als jouw gegevens door een organisatie of website openbaar gemaakt worden, zul je doorgaans zelf moeten aankloppen bij de civiele rechter of de Autoriteit Persoonsgegevens. Die zal moeten beoordelen wiens rechten zwaarder wegen. Als een krant bijvoorbeeld persoonsgegevens verwerkt voor het plaatsen van een artikel over de verzekeringsfraude van een lokale ondernemer, dan telt in dat geval de journalistieke uitzondering en de vrijheid van meningsuiting waarschijnlijk zwaarder dan het recht op privacy van de ondernemer.

Ik ben gedoxt, kan de politie mij helpen?

Dat is lastig te zeggen. Je moet namelijk kunnen bewijzen dat je schade hebt geleden door de online publicatie van je informatie. “Juridisch gezien is doxing een onduidelijk begrip, omdat de schade moeilijk meetbaar is”, zegt Engelfriet. “Als iemand alléén een naam en adres post met iets vaags erbij, dan is niet duidelijk hoe dat strafbaar is.”

De zaak is relatief simpel als iemand je adres publiceert met daarbij een oproep tot geweld: dan heeft het Openbaar Ministerie (OM) een aanknopingspunt voor een strafzaak. Maar als iemand jouw publieke informatie herpubliceert zonder dat er een expliciete bedreiging bij staat, wordt het lastig om te bewijzen dat iemand je schade heeft berokkend.

De politie raadt mensen aan om melding te doen bij Twitter als hun informatie wordt gedeeld. Alleen als het om intimidatie gaat, is melding bij de politie zinvol. Zolang er geen directe adresgegevens of andere data worden gedeeld die onder de regels van Twitter als privé-informatie staan aangemerkt, is de kans dat het platform daar iets mee doet niet groot. Sommige gedoxte Twitteraars melden dat zij inderdaad bij de politie aangifte hebben gedaan en daarmee ligt de bal bij het OM, dat de afweging moet maken of er genoeg bewijs is om te stellen dat er een strafbaar feit gepleegd is.

Als het verspreiden van persoonlijke informatie niet (effectief) via de politie of via een platform als Twitter kan worden tegengegaan, hoe dan wel? Volgens Engelfriet is de effectiefste weg via de kortgedingrechter. “Daar eis je dat de informatie weggehaald wordt, omdat de publicist geen grond onder de AVG heeft om die te publiceren.” Zo droeg de civiele rechter eerder dit jaar een vrouw, die zonder toestemming van de ouders, foto’s van haar minderjarige kleinkinderen op Facebook plaatste, op om die weer te verwijderen.

Ook de route langs de kortgedingrechter is overigens een moeizaam proces. De tegenpartij kan bijvoorbeeld hard maken dat hij of zij als journalist heeft opgetreden. Of de strijd sleept voort, waarbij alleen maar meer persoonlijke informatie op straat komt te liggen – met alle psychologische gevolgen van dien. Slachtoffers van doxing voelen zich vaak bijzonder onveilig. In sommige gevallen moeten ze langere tijd onderduiken. De stress van zo’n proces kan dus hard inslaan.

Hoe voorkom ik dat ik gedoxt word?

Doxing bestaat bij de gratie van digitale broodkruimels. Wil je dus voorkomen dat je persoonlijke informatie zomaar ergens online komt, dan zul je in kaart moeten brengen waar die broodkruimels liggen. Dat begint met de privacy-instellingen van je sociale media-accounts: zet zoveel mogelijk op privé.

Vraag je af hoe een doxer die het op jou gemunt heeft te werk zal gaan. Zoek je naam regelmatig op in incognito-modus, niet alleen met Google, maar ook bijvoorbeeld met Bing en DuckDuckGo, twee andere zoekmachines die met iets andere algoritmen werken. Onthoud dat ook foto’s gemakkelijk kunnen rondslingeren op het internet. De meeste zoekmachines hebben tegenwoordig een functie om op een foto in plaats van een woord of frase te zoeken. Zo vind je foto’s die op jouw foto lijken terug. Het Russische Yandex.ru werkt het meest accuraat – maar in alle gevallen geldt: als je een reverse foto-search doet, dan plaats je daarmee privéfoto’s in andermans systeem.

Check bij het plaatsen van foto’s altijd of er nog ‘metadata’ aan vast zit

Onder de AVG heeft iedereen in de Europese Unie op internet het ‘recht om vergeten te worden’. Bij veel websites betekent dit dat je een schriftelijk verzoek moet indienen. Voor Google kun je terecht bij het formulier op hun website. Willigt een website je verzoek niet in, dan kun je aan de AP om bemiddeling vragen. Maar let op: er zijn websites die wettelijk verplicht zijn om je gegevens te bewaren, zoals het Nationaal Archief, en waarvoor het recht dus niet geldt.

Check bij het online plaatsen van foto’s altijd of er nog zogenaamde ‘metadata’ aan vast zit. Dat is extra informatie over bijvoorbeeld je locatie en de tijd waarop een foto is genomen, die wordt verpakt in de foto. Op je pc verwijder je deze gemakkelijk onder het kopje ‘details’ in de eigenschappen van een foto, voor smartphones is het raadzaam een EXIF-editor te downloaden.

Sommige sites slaan stilletjes het IP-adres met locatie-informatie van reagerende bezoekers op. Een Virtual Private Network (VPN) installeren, zorgt ervoor dat je internetverkeer eerst door een andere server wordt gesluisd, waardoor sites alleen het adres van die server oppikken. En nu je toch bezig bent: loop ook je wachtwoorden eens na. Zijn ze deel van een recente hack, of gebruik je hetzelfde wachtwoord op meerdere plekken? Verander ze, en gebruik als het kan een password-locker als LastPass, zodat je ze niet allemaal hoeft te onthouden.

Maar hoe goed je ook je best doet je broodkruimels op te ruimen, uiteindelijk geldt: ga er nooit van uit dat iets wat je op internet plaatst vergeten zal worden. Ook niet als je het zelf verwijdert.

videobellen 1

Hackers op je Houseparty: hoe veilig is jouw videochat?

Terwijl jij vergadert via Zoom, worden je gegevens doorverkocht aan Facebook.

illu-3a

Racisme in Nederland leidt zelden tot rechtszaak

In 2019 kwam nog geen 5 procent van de discriminatiemeldingen bij het OM terecht.

  1. Van het Amerikaanse SWAT, oftewel een gespecialiseerd arrestatieteam. ↩︎

Bewuster geworden door dit artikel?

Onze journalistiek is toegankelijk voor iedereen en dat willen we zo houden. Met een kleine bijdrage help jij ons anderen ook bewust te maken. Alvast bedankt!

Ja, ik doe graag een eenmalige donatie!
Hoeveel wil je doneren?
IMG_20200703_1055441

Over de auteur

Len Maessen is freelance journalist en schrijft voor onder andere NU.nl en NRC Handelsblad over de game-industrie en de snijvlakken tussen …
Bezoek auteurspagina

Ik wil dat OneWorld blijft bestaan

AbonneerDoneer

Lees je bewust via onze wekelijkse nieuwsbrief