Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Doxing: wat is het en mag het?

Wie herinnert zich nog de media-aandacht voor de ‘kopschoppers van Eindhoven’? Het OM besloot de bewakingsbeelden van de mishandeling op internet te zetten met een grote heksenjacht op Geenstijl tot gevolg. De bezoekers van Geenstijl staan erom bekend: het achterhalen van namen, adressen, facebookaccounts en e-mailadressen van iemand die (negatief) in het nieuws komt en die publiceren. Dit is een goed voorbeeld van ‘doxing’. Maar mag doxing eigenlijk wel?

Zoals je misschien al kunt raden, slaat ‘dox’ op ‘documents’. De term schijnt oorspronkelijk uit de hackerscene te komen, al hoef je bepaald geen l33t haxor te zijn om te doxen. Op internet zijn tal van handleidingen te vinden waarin wordt uitgelegd hoe je kunt doxen. Niet alleen wordt gebruik gemaakt van bekende bronnen als Google, Bing en Facebook, maar ook gespecialiseerde zoekmachines worden gebruikt voor doxing. Een paar voorbeelden: Pipl, Resolvethem en TinEye.

Is het verzamelen en publiceren van persoonsgegevens legaal?

De vraag is dus of het wel is toegestaan om persoonsgegevens van iemand te verzamelen en op internet bij elkaar te zetten. Als het klaarblijkelijk de bedoeling is dat er geweld wordt gepleegd tegen de gedoxte persoon, mag dat uiteraard in elk geval niet. Maar ook zonder aan te zetten tot geweld, kan de doxer zich op juridisch glad ijs begeven.

De Wet bescherming persoonsgegevens (Wbp) stelt immers strenge regels aan het verwerken van persoonsgegevens. En reken maar dat het bij elkaar zoeken en online (her)publiceren van iemands persoonsgegevens onder ‘verwerken’ valt. (Zo ongeveer alles wat je maar kunt doen met persoonsgegevens valt overigens onder verwerken.)

Je mag alleen op basis van een legitieme grondslag persoonsgegevens verwerken

Op grond van de wet moet voor elke verwerking van persoonsgegevens een legitieme grondslag bestaan. Ondubbelzinnige toestemming van de betrokkene is bijvoorbeeld een geldige grondslag. Ook de nakoming van een overeenkomst met de betrokkene, is een geldige reden om persoonsgegevens te verwerken.

Het zal niet verrassen dat het aan de schandpaal nagelen van ‘teringtiefustuigh’ niet als legitieme grondslag in de wet is genoemd. Dat betekent alleen niet dat het nooit zou mogen. Er bestaat namelijk een uitzondering voor de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden. (De exceptie voor activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden loopt hier wat mij betreft stuk op de giecheltoets.)

En doxing dan, wanneer is dat (il)legaal?

Die uitzondering voor journalistieke doeleinden geldt uitdrukkelijk niet alleen voor kranten, televisiezenders en mensen die ‘journalist’ op hun LinkedIn-profiel zetten. In dit digitale tijdperk kan iedereen journalist zijn. Het recht om informatie en ideeën te ontvangen, op te zoeken en te uiten, is een fundamenteel recht van iedere burger in een democratische samenleving, net als het recht op privacy. Deze grondrechten kunnen met elkaar botsen, zoals voor de rechter al vele malen is voorgekomen. Bijvoorbeeld in de zaak van Kleintje Muurkrant, die een zakenman met ‘De Hakkelaar’ in verband bracht.

Er kan in elk geval niet in het algemeen worden gezegd welk recht, privacy of vrijheid van meningsuiting, belangrijker is of zwaarder weegt. De belangenafweging moet steeds per geval worden gemaakt. Belangrijke factoren kunnen daarbij zijn:

  • Nieuwswaarde; is er bijvoorbeeld sprake van een belangrijke (maatschappelijke) misstand?
  • Hoe bekend is de persoon waar het over gaat? (Bekende personen moeten meer dulden)
  • Zijn er risico’s op (disproportionele) nadelige gevolgen voor de betrokkene, zoals het (gewelddadig) voor eigen rechter spelen?

Welke afweging maken jullie en kennen jullie nog andere voorbeelden van doxing?

Wat vinden jullie, hoe valt jullie belangenafweging uit in het geval van de ‘kopschoppers’? En wat denken jullie bijvoorbeeld van het wat meer recente geval van het door Anonimous-leden bekendmaken van persoonsgegevens van Donald Trump? Of het aanleggen en openbaar maken van een ‘IP-databank van GeenStijl ‘hufterts’? Kennen jullie nog andere voorbeelden van doxing die interessant zijn om te bespreken? Of dingen die een beetje op doxing lijken, zoals apps die publieke info van sociale media en dergelijke leegtrekken, bijvoorbeeld voor marketingdoeleinden? Neem je zelf maatregelen om te voorkomen dat je kan worden gedoxt?

Dit artikel is geschreven in samenwerking met Jasper Jansbeken.

Matthijs van Bergen

Directeur Legal ICT

Matthijs van Bergen is directeur van Legal ICT, het internationale label van ICTRecht. Hij bedient vanuit het kantoor van Legal ICT in Brussel, nationale en internationale klanten met juridisch advies.

Matthijs is specialist in het (internationaal) ICT-contractenrecht en intellectueel eigendom, en heeft daarnaast in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, breedband in buitengebieden, privacy, informatiebeveiliging en vrijheid van meningsuiting.


Er is één reactie

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie