Persoonlijke informatie – zoals adressen en telefoonnummers – wordt steeds vaker online verspreid als intimidatietactiek. Mag dat zomaar, en wat kun je daar als slachtoffer tegen beginnen?
Wat is doxing?
We spreken van ‘doxing’ als iemand zonder toestemming identificeerbare informatie over je online plaatst: traditioneel hebben we het dan over adresgegevens. De term is een verbastering van ‘docs’, oftewel documenten. Als je iemand ‘doxt’, dan gooi je dus documenten over ze op tafel. Kijk, zeg je, dít is wie ze echt zijn.
“
Soms krijgen doxers hun informatie uit hacks, maar vaak is het ouderwets internetgraafwerk
Doxing is een onderdeel van een arsenaal aan online intimidatietechnieken dat in alle hoeken van het internet de kop opsteekt. Meestal behelst het dus het online zetten van namen, telefoonnummers of adressen. Maar ook andere persoonlijke informatie, zoals waar iemand werkt of hoe oud iemand is, kan tegen het beoogde doelwit worden gebruikt.
Het doel van doxers is om het slachtoffer te intimideren. Soms escaleert dat tot ‘swatting’1, waarbij iemand de politie op een gedoxt adres af stuurt met een valse melding van geweldpleging. Er zijn in de Verenigde Staten gevallen bekend waarbij slachtoffers vervolgens door politiegeweld om het leven kwamen. Tot nog toe lijkt deze tactiek vooral beperkt tot de VS.
Advies Raad van State: maak doxing strafbaar (10 mei 2022)
De Raad van State adviseert het kabinet om doxing strafbaar te stellen. Daarvoor ligt een wetsvoorstel met onder meer het plan om een gevangenisstraf van maximaal een jaar voor doxing mogelijk te maken. Maar de wet moet niet alleen politie en justitie meer houvast geven, burgers zouden voortaan ook bij internetproviders kunnen eisen dat die bepaalde informatie van internet verwijderen.
“
Iedereen laat online een spoor van broodkruimels achter
Soms krijgen doxers hun informatie uit hacks, maar vaak komt het gewoon neer op ouderwets internetgraafwerk. De meeste mensen leiden online immers complexe levens die uitgesmeerd zijn over uiteenlopende platformen, en iedereen laat een spoor van broodkruimels achter. Een Facebookfoto kan via een foto-zoekopdracht naar een datingprofiel leiden; een oude gebruikersnaam naar reacties die iemand tien jaar geleden op een website plaatste.
Ook staat veel informatie gewoon publiekelijk online. Het huisadres van een zzp’er is gemakkelijk via de Kamer van Koophandel te achterhalen, en ook het kadaster registreert persoonlijke informatie die iedereen kan opvragen.
Is het legaal om iemand te doxen?
“Vaak wordt gedacht dat wat openbaar te vinden is, vogelvrij is”, zegt ICT-jurist Arnoud Engelfriet. “Maar hier in Europa hebben we gewoon de Algemene verordening gegevensbescherming (AVG) en die bepaalt dat je zelf een goede reden moet hebben voor jouw gebruik van iemands persoonsgegevens, ongeacht de bron van je informatie.” Dat informatie online staat, betekent nog niet dat je zomaar informatie mag herpubliceren in een andere context. KvK-gegevens mag je niet zomaar op een blog plaatsen, en je werkgever mag niet zonder geldige reden jouw Facebook-posts meenemen in besluiten.
“
Dat informatie online staat, betekent niet dat je het mag herpubliceren
Volgens de regels van Twitter mogen gebruikers publieke informatie echter gewoon hergebruiken in hun tweets. Het is
volgens Twitter geen privé-informatie meer, omdat je het al vrijwillig ergens anders hebt gedeeld. Uitzonderingen zijn adressen, contactinformatie, bankinformatie en identiteitspapieren: die mag je nóóit op Twitter plaatsen zonder toestemming; dat toch doen kan resulteren in verwijdering of een ban.
Onder de AVG geldt echter: als je geen goede reden hebt om iets te publiceren, dan mag het niet. Voor zaken rond privé-informatie kun je dus naar de rechter als een website zoals Twitter je verzoek niet inwilligt. Er zijn zes mogelijke gronden om persoonlijke informatie te publiceren:
Wanneer is publiceren van persoonlijke informatie toegestaan?
- Je hebt toestemming van de persoon waarvan de gegevens zijn.
- De gegevens zijn nodig om een overeenkomst met iemand uit te voeren.
- Het gaat om gegevens die je van de wet móet verzamelen.
- Er is acute nood, bijvoorbeeld wanneer iemand in gevaar is.
- Er is een ‘algemeen belang’ om de gegevens te verwerken, bijvoorbeeld de openbare veiligheid. Een gemeente mag daarvoor cameratoezicht inzetten.
- Voor een ‘gerechtvaardigd belang’ – wat betekent dat je zelf een belang hebt dat volgens jou zo zwaar weegt dat het belangrijker is dan het privacyrecht van de ander, zoals fraudebestrijding of het onderzoeken van grensoverschrijdend gedrag op de werkvloer.
Bron: Autoriteit Persoonsgegevens
Ook kent de AVG een journalistieke uitzondering. Wie kan bewijzen vanuit een journalistieke basis te werken – dat wil zeggen dat je objectiviteit nastreeft, regelmatig iets publiceert voor het algemeen belang, en dat je mensen de kans geeft om te reageren – heeft geen toestemming nodig voor het delen van persoonlijke informatie. Neem bijvoorbeeld het SBS-programma Foute Boel, dat voor een uitzending over huisjesmelkers zonder toestemming het huis van een vastgoedondernemer filmde. Dat mocht van de rechter: SBS respecteerde de ‘journalistieke beginselen’ bij het maken van de uitzending.
“
Juridisch is doxing een onduidelijk begrip, omdat de schade moeilijk meetbaar is
Dat de AVG duidelijkheid schept over wanneer het delen van persoonlijke informatie wel en niet is toegestaan, betekent overigens niet dat de politie bij een overtreding op de stoep van de doxer staat. Als jouw gegevens door een organisatie of website openbaar gemaakt worden, zul je doorgaans zelf moeten aankloppen bij de civiele rechter of de Autoriteit Persoonsgegevens. Die zal moeten beoordelen wiens rechten zwaarder wegen. Als een krant bijvoorbeeld persoonsgegevens verwerkt voor het plaatsen van een artikel over de verzekeringsfraude van een lokale ondernemer, dan telt in dat geval de journalistieke uitzondering en de vrijheid van meningsuiting waarschijnlijk zwaarder dan het recht op privacy van de ondernemer.
Ik ben gedoxt, kan de politie mij helpen?
Dat is lastig te zeggen. Je moet namelijk kunnen bewijzen dat je schade hebt geleden door de online publicatie van je informatie. “Juridisch gezien is doxing een onduidelijk begrip, omdat de schade moeilijk meetbaar is”, zegt Engelfriet. “Als iemand alléén een naam en adres post met iets vaags erbij, dan is niet duidelijk hoe dat strafbaar is.”
De zaak is relatief simpel als iemand je adres publiceert met daarbij een oproep tot geweld: dan heeft het Openbaar Ministerie (OM) een aanknopingspunt voor een strafzaak. Maar als iemand jouw publieke informatie herpubliceert zonder dat er een expliciete bedreiging bij staat, wordt het lastig om te bewijzen dat iemand je schade heeft berokkend. Mogelijk wordt dat anders met de wetgeving die het kabinet in gedachten heeft.
De politie raadt mensen aan om melding te doen bij Twitter als hun informatie wordt gedeeld. Alleen als het om intimidatie gaat, is melding bij de politie zinvol. Zolang er geen directe adresgegevens of andere data worden gedeeld die onder de regels van Twitter als privé-informatie staan aangemerkt, is de kans dat het platform daar iets mee doet niet groot. Sommige gedoxte Twitteraars melden dat zij inderdaad bij de politie aangifte hebben gedaan en daarmee ligt de bal bij het OM, dat vervolgens de afweging moet maken of er genoeg bewijs is om te stellen dat er een strafbaar feit gepleegd is.
“
Slachtoffers van doxing voelen zich vaak bijzonder onveilig
Als het verspreiden van persoonlijke informatie op dit moment nog niet via de politie of via een platform als Twitter kan worden tegengegaan, hoe dan wel? Volgens Engelfriet is de effectiefste weg via de kortgedingrechter. “Daar eis je dat de informatie weggehaald wordt, omdat de publicist volgens de AVG geen grond heeft om die te publiceren.” Zo bepaalde de civiele rechter eerder dit jaar dat een oma die zonder toestemming van de ouders foto’s van haar minderjarige kleinkinderen op Facebook plaatste, die
moest verwijderen.
Ook de route langs de kortgedingrechter is overigens een moeizaam proces. De tegenpartij kan bijvoorbeeld hardmaken dat hij of zij als journalist heeft opgetreden. Of de strijd sleept voort, waarbij alleen maar meer persoonlijke informatie op straat komt te liggen – met alle psychologische gevolgen van dien. Slachtoffers van doxing voelen zich vaak bijzonder onveilig. In sommige gevallen moeten ze langere tijd onderduiken. De stress van zo’n proces kan dus veel impact hebben.
Hoe voorkom ik dat ik gedoxt word?
Doxing bestaat bij de gratie van digitale broodkruimels. Wil je dus voorkomen dat je persoonlijke informatie zomaar ergens online komt, dan zul je in kaart moeten brengen waar die broodkruimels liggen. Dat begint met de privacy-instellingen van je sociale media-accounts: zet zoveel mogelijk op privé.
Vraag je af hoe een doxer die het op jou gemunt heeft te werk zal gaan. Zoek je naam regelmatig op in incognito-modus, niet alleen met Google, maar ook bijvoorbeeld met Bing en DuckDuckGo, twee andere zoekmachines die met iets andere algoritmen werken. Onthoud dat ook foto’s gemakkelijk kunnen rondslingeren op het internet. De meeste zoekmachines hebben tegenwoordig een functie om op een foto in plaats van een woord of frase te zoeken. Zo vind je foto’s die op jouw foto lijken terug. Het Russische Yandex.ru werkt het meest accuraat – maar in alle gevallen geldt: als je een reverse foto-search doet, dan plaats je daarmee ook weer privéfoto’s in andermans systeem.
“
Check bij het plaatsen van foto's altijd of er nog 'metadata' aan vast zit
Onder de AVG heeft iedereen in de Europese Unie op internet het ‘recht om vergeten te worden’. Bij veel websites betekent dit dat je een schriftelijk verzoek moet indienen. Voor Google kun je terecht bij het
formulier op hun website. Willigt een website je verzoek niet in, dan kun je aan de Autoriteit Persoonsgegevens om bemiddeling vragen. Maar let op: er zijn websites die wettelijk verplicht zijn om je gegevens te bewaren, zoals het Nationaal Archief, en waarvoor het recht dus niet geldt.
Check bij het online plaatsen van foto’s altijd of er nog zogenaamde ‘metadata’ aan vastzit. Dat is extra informatie over bijvoorbeeld je locatie en de tijd waarop een foto is genomen, die wordt verpakt in de foto. Op je pc verwijder je deze gemakkelijk onder het kopje ‘details’ in de eigenschappen van een foto, voor smartphones is het raadzaam een EXIF-editor te downloaden.
“
Loop je wachtwoorden eens na: zijn ze deel van een recente hack?
Sommige sites slaan stilletjes het IP-adres met locatie-informatie van reagerende bezoekers op. Een Virtual Private Network (VPN) installeren, zorgt ervoor dat je internetverkeer eerst door een andere server wordt gesluisd, waardoor sites alleen het adres van die server oppikken. En nu je toch bezig bent: loop ook je wachtwoorden eens na. Zijn ze
deel van een recente hack, of gebruik je hetzelfde wachtwoord op meerdere plekken? Verander ze, en gebruik als het kan een password-locker als LastPass, zodat je ze niet allemaal hoeft te onthouden.
Maar hoe goed je ook je best doet je broodkruimels op te ruimen, uiteindelijk geldt: ga er nooit van uit dat iets wat je op internet plaatst vergeten zal worden. Ook niet als je het zelf verwijdert.
Een eerdere versie van dit artikel verscheen op OneWorld.nl op 9 oktober 2020.
