Het internet is in de loop der jaren enorm veranderd. Steeds meer nieuwe vormen van internetcriminaliteit lijken de kop op te steken, en een anonieme identiteit op het internet is nog nooit zo belangrijk geweest.
Hoewel termen als phishing en catfishing inmiddels vrij bekend zijn, hoor je de term doxing minder vaak voorbijkomen. Toch komt doxing net zo vaak voor als andere vormen van internetfraude; en brengt het allerlei mogelijke risico’s met zich mee. Maar wat is doxing nu eigenlijk? Wat voor type doxing aanvallen zijn er allemaal en welke risico’s zijn daaraan verbonden?
Doxing is een afkorting voor het Engelse ‘dropping doxs’, en is eigenlijk niets anders dan het stelen van iemands persoonlijke informatie op het internet. Deze informatie komt voort uit allerlei bronnen. Van social media profielen tot oude blogs, websites, online games en forums: informatie die dus in principe toegankelijk is voor iedereen.
Ook wanneer jij jouw eigen naam Googeld, is de kans groot dat je allerlei oude profielen, reacties en foto’s van jezelf tegenkomt. In het geval van doxing wordt deze informatie openbaar gemaakt of bijvoorbeeld gebruikt om een nepprofiel aan te maken; allemaal gebaseerd op jouw persoonlijke gegevens.
Doxing in het verleden
Hoewel we de term doxing niet al te vaak voorbij horen komen, is dit geen nieuwe vorm van internetfraude. Sinds 1990 wordt doxing al door hackers gebruikt om bepaalde (gevoelige en persoonlijke) informatie publiekelijk te maken. In veel gevallen gaat het hierbij om het publiceren van persoonlijke gegevens die normaliter niet zomaar voor het publiek zichtbaar zouden zijn. Informatie als telefoonnummers, persoonlijke foto’s, social media profielen, naam en adres zijn, wanneer je dit op het internet achterlaat, publiekelijk en hierdoor een ideaal startpakketje voor doxing.
Er zijn naast bekende zoekmachines als Google zelfs speciale zoekmachines opgezet met maar één doel voor ogen: zoveel mogelijk gegevens over specifieke personen verzamelen om deze vervolgens naar eigen wens en behoefte in te zetten op het internet.
Is het verzamelen en publiceren van persoonsgegevens legaal?
De vraag is dus of het wel is toegestaan om persoonsgegevens van iemand te verzamelen en op internet bij elkaar te zetten. Als het klaarblijkelijk de bedoeling is dat er geweld wordt gepleegd tegen de gedoxte persoon, mag dat uiteraard in elk geval niet. Maar ook zonder aan te zetten tot geweld, kan de doxer zich op juridisch glad ijs begeven.
De Wet bescherming persoonsgegevens (Wbp) stelt immers strenge regels aan het verwerken van persoonsgegevens. En reken maar dat het bij elkaar zoeken en online (her)publiceren van iemands persoonsgegevens onder ‘verwerken’ valt. (Zo ongeveer alles wat je maar kunt doen met persoonsgegevens valt overigens onder verwerken.)
Je mag alleen op basis van een legitieme grondslag persoonsgegevens verwerken
Op grond van de wet moet voor elke verwerking van persoonsgegevens een legitieme grondslag bestaan. Ondubbelzinnige toestemming van de betrokkene is bijvoorbeeld een geldige grondslag. Ook de nakoming van een overeenkomst met de betrokkene, is een geldige reden om persoonsgegevens te verwerken.
Het zal niet verrassen dat het aan de schandpaal nagelen van ‘teringtiefustuigh’ niet als legitieme grondslag in de wet is genoemd. Dat betekent alleen niet dat het nooit zou mogen. Er bestaat namelijk een uitzondering voor de verwerking van persoonsgegevens voor uitsluitend journalistieke doeleinden.
Die uitzondering voor journalistieke doeleinden geldt uitdrukkelijk niet alleen voor kranten, televisiezenders en mensen die ‘journalist’ op hun LinkedIn-profiel zetten. In dit digitale tijdperk kan iedereen journalist zijn. Het recht om informatie en ideeën te ontvangen, op te zoeken en te uiten, is een fundamenteel recht van iedere burger in een democratische samenleving, net als het recht op privacy. Deze grondrechten kunnen met elkaar botsen, zoals voor de rechter al vele malen is voorgekomen.
Er kan in elk geval niet in het algemeen worden gezegd welk recht, privacy of vrijheid van meningsuiting, belangrijker is of zwaarder weegt. De belangenafweging moet steeds per geval worden gemaakt. Belangrijke factoren kunnen daarbij zijn:
- Nieuwswaarde; is er bijvoorbeeld sprake van een belangrijke (maatschappelijke) misstand?
- Hoe bekend is de persoon waar het over gaat? (Bekende personen moeten meer dulden)
- Zijn er risico’s op (disproportionele) nadelige gevolgen voor de betrokkene, zoals het (gewelddadig) voor eigen rechter spelen?
Waarom wordt doxing gebruikt?
Wanneer al deze persoonlijke informatie aan het licht gebracht wordt, kun je jezelf voorstellen dat dit voor allerlei doeleinden gebruikt kan worden. Hackers kunnen deze informatie gebruiken om toegang te krijgen tot je bankrekening, stalkers weten direct waar je woont en iedereen heeft zomaar toegang tot je telefoonnummer, social media profielen en ga zo maar door. Je hoeft niet lang na te denken over de mogelijkheden die een persoon met slechte bedoelingen kan hebben met jouw telefoonnummer, adres en persoonlijke foto’s.
Dit maakt doxing ideaal voor hackers en internetfraudeurs. Voordat je het weet heb je abonnementen op tien verschillende tijdschriften waar je nog nooit van gehoord hebt, of blijk je ineens een nieuwe bankpas voor je bankrekening aan te hebben gevraagd.
De risico’s van doxing
Het recht in eigen hand nemen kan haast een filantropisch gevoel geven. Toch maakt dit doxing niet oké. Naast bekende, publieke personen kan ook de buurman slachtoffer worden van doxing. Ook jonge kinderen kunnen getreiterd worden omdat nep profielen aangemaakt zijn met bewerkte, onthullende foto’s. Hoewel doxing gebruikt kan worden voor goede dingen, is het duidelijk dat het vaak voor de verkeerde doeleinden wordt ingezet.
Toch is doxing niet illegaal. Alle informatie op het internet die toegankelijk is voor het publiek, mag officieel gebruikt worden. De verantwoordelijkheid tot het privé houden van gevoelige gegevens, ligt namelijk bij de internetgebruiker. Een tiener die ineens (bewerkte) onthullende foto’s van zichzelf tegenkomt op een nepprofiel heeft, juridisch gezien, waarschijnlijk geen poot om op te staan.
Wanneer is doxing illegaal?
Gelukkig zijn er wel een aantal situaties waarin doxing zeker illegaal is. Hoewel openbare online gegevens altijd ‘gebruikt’ mogen worden, mag dit gebruik niet leiden tot:
- Identiteitsfraude
- Intimidatie
- Stalken
- Toegang verkrijgen tot ontoegankelijke persoonlijke gegevens
- Financieel gewin
In deze gevallen is doxing officieel illegaal, en daardoor strafbaar. Hoewel dit deze vorm van cybercrime niet minder vervelend maakt, beschermt het internetgebruikers toch nog enigszins tegen risico’s en mogelijke gevolgen van doxing. Dit maakt het echter niet minder belangrijk om alles op alles te zetten om doxing te voorkomen. Ook een gekwetste ex-collega kan doxing namelijk gebruiken om van alles over jou op het internet te plaatsen. En voordat je het weet, ben je die nieuwe baan kwijt.
Om nu zeker te zijn van veiligheid en anonimiteit op het internet, zijn er een aantal manieren om frauderende activiteiten zoals doxing te voorkomen.
- Bescherm je wachtwoorden. Gebruik niet voor ieder account hetzelfde e-mailadres en wachtwoord. Probeer juist, vooral met wachtwoorden, zoveel mogelijk te variëren.
- Blijf anoniem op het internet. Anonimiteit op het internet is nog nooit zo belangrijk geweest. Zoals je ziet kunnen zelfs de minst gevoelige gegevens als social media profielen gebruikt worden om je het leven ontzettend moeilijk te maken. Zorg dat je internetgebruik anoniem en veilig is door een beveiligde VPN verbinding te gebruiken.
- Stel je privacy instellingen op social media in. Loop al je social media profielen na en deel de informatie op jouw profielen alleen met vrienden. Je kunt dit aanpassen in je privacy instellingen. Kijk natuurlijk ook of al je vrienden daadwerkelijk bekenden van je zijn.
- Maak doxing onmogelijk. Deel zo min mogelijk persoonlijke informatie online. Verwijder oude foto’s en profielen en zorg dat al je persoonlijke informatie veilig afgeschermd is.