Wie herinnert zich nog de media-aandacht voor de ‘kopschoppers van Eindhoven’? Het OM besloot de bewakingsbeelden van de mishandeling op internet te zetten met een grote heksenjacht op Geenstijl tot gevolg. De bezoekers van Geenstijl staan erom bekend: het achterhalen van namen, adressen, facebookaccounts en e-mailadressen van iemand die (negatief) in het nieuws komt en die publiceren. Dit is een goed voorbeeld van ‘doxing’. Maar mag doxing eigenlijk wel?
Zoals je misschien al kunt raden, slaat ‘dox’ op ‘documents’. De term schijnt oorspronkelijk uit de hackerscene te komen, al hoef je bepaald geen l33t haxor te zijn om te doxen. Op internet zijn tal van handleidingen te vinden waarin wordt uitgelegd hoe je kunt doxen. Niet alleen wordt gebruik gemaakt van bekende bronnen als Google, Bing en Facebook, maar ook gespecialiseerde zoekmachines worden gebruikt voor doxing. Een paar voorbeelden: Pipl, Resolvethem en TinEye.
De vraag is dus of het wel is toegestaan om persoonsgegevens van iemand te verzamelen en op internet bij elkaar te zetten. Als het klaarblijkelijk de bedoeling is dat er geweld wordt gepleegd tegen de gedoxte persoon, mag dat uiteraard in elk geval niet. Maar ook zonder aan te zetten tot geweld, kan de doxer zich op juridisch glad ijs begeven.
De Wet bescherming persoonsgegevens (Wbp) stelt immers strenge regels aan het verwerken van persoonsgegevens. En reken maar dat het bij elkaar zoeken en online (her)publiceren van iemands persoonsgegevens onder ‘verwerken’ valt. (Zo ongeveer alles wat je maar kunt doen met persoonsgegevens valt overigens onder verwerken.)
Op grond van de wet moet voor elke verwerking van persoonsgegevens een legitieme grondslag bestaan. Ondubbelzinnige toestemming van de betrokkene is bijvoorbeeld een geldige grondslag. Ook de nakoming van een overeenkomst met de betrokkene, is een geldige reden om persoonsgegevens te verwerken.
Het zal niet verrassen dat het aan de schandpaal nagelen van ‘teringtiefustuigh’ niet als legitieme grondslag in de wet is genoemd. Dat betekent alleen niet dat het nooit zou mogen. Er bestaat namelijk een uitzondering voor de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden. (De exceptie voor activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden loopt hier wat mij betreft stuk op de giecheltoets.)
Die uitzondering voor journalistieke doeleinden geldt uitdrukkelijk niet alleen voor kranten, televisiezenders en mensen die ‘journalist’ op hun LinkedIn-profiel zetten. In dit digitale tijdperk kan iedereen journalist zijn. Het recht om informatie en ideeën te ontvangen, op te zoeken en te uiten, is een fundamenteel recht van iedere burger in een democratische samenleving, net als het recht op privacy. Deze grondrechten kunnen met elkaar botsen, zoals voor de rechter al vele malen is voorgekomen. Bijvoorbeeld in de zaak van Kleintje Muurkrant, die een zakenman met ‘De Hakkelaar’ in verband bracht.
Er kan in elk geval niet in het algemeen worden gezegd welk recht, privacy of vrijheid van meningsuiting, belangrijker is of zwaarder weegt. De belangenafweging moet steeds per geval worden gemaakt. Belangrijke factoren kunnen daarbij zijn:
Wat vinden jullie, hoe valt jullie belangenafweging uit in het geval van de ‘kopschoppers’? En wat denken jullie bijvoorbeeld van het wat meer recente geval van het door Anonimous-leden bekendmaken van persoonsgegevens van Donald Trump? Of het aanleggen en openbaar maken van een 'IP-databank van GeenStijl 'hufterts'? Kennen jullie nog andere voorbeelden van doxing die interessant zijn om te bespreken? Of dingen die een beetje op doxing lijken, zoals apps die publieke info van sociale media en dergelijke leegtrekken, bijvoorbeeld voor marketingdoeleinden? Neem je zelf maatregelen om te voorkomen dat je kan worden gedoxt?
Dit artikel is geschreven in samenwerking met Jasper Jansbeken.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.