Fraudevorm doxing: wat is het en hoe voorkom je het?

Cybercriminelen hebben allerlei manieren uitgevonden om je gegevens te achterhalen. Zo heb je bekende vormen als phishing, catfishing, spoofing en ransomware. Een iets minder bekende vorm van cybercriminaliteit is doxing. In dit artikel leggen we uit het wat het is en wat je ertegen kunt doen.

Het woord doxing is samengesteld uit twee Engelse woorden, namelijk ‘dropping doxs’, wat zoiets betekent als ‘achterlaten van documenten’. Het is een term die uit de hackerswereld schijnt te komen en al bestaat sinds 1990. Een kwaadwillende (een zogeheten ‘doxer’) verzamelt persoonlijke informatie dat openbaar op internet te vinden is, zoals namen, adressen, e-mailadressen en diverse sociale media-accounts. Die gegevens kunnen gebruikt worden om te intimideren, te stalken en te pesten en om identiteitsfraude te plegen.

Doxers zoeken overal op het internet naar persoonsgegevens. Ze zoeken via socialemediaplatformen zoals Facebook en Twitter, blogs, fora en bekende zoekmachines als Google, Bing en Yahoo. Ook wordt er gebruikgemaakt van gespecialiseerde zoekmachines, zoals Resolvethem, Pipl en TinEye. De stukjes informatie heb jijzelf online gezet of zijn verkregen via een gehackte website. Onlangs werd bekend dat persoonsgegevens uit systemen van de GGD werden doorverkocht.

Door allerlei losse stukjes informatie te verzamelen, kan iemand uiteindelijk genoeg informatie van jou hebben om zich voor te doen als jou. En als de kwaadwillende ook gebruikmaakt van spoofing, een vorm van oplichting waarbij een voor jou betrouwbaar telefoonnummer wordt gebruikt (bijvoorbeeld van je zus, moeder of zelfs bank), kun je als nietsvermoedende consument al snel in de val gelokt worden.

Informatie die openbaar op internet staat en toegankelijk is voor het publiek, mag je verzamelen. De verantwoordelijkheid voor het veilig houden van privégegevens ligt bij de internetgebruiker. Maar het is een ander verhaal als het gaat om (her)publiceren van persoonsgegevens.

In Nederland kennen we de Algemene verordening gegevensbescherming (AVG), een privacywet die ervoor zorgt dat de rechten van consumenten zo goed mogelijk beschermd worden. In deze wet staan strenge regels over onder andere het verwerken van persoonsgegevens. Het zoeken en verzamelen van persoonsgegevens én het online (her)publiceren worden gezien als verwerken en dit mag je alleen doen als je daar een goede reden voor hebt.

In de AVG worden zes redenen (grondslagen) genoemd:

1. Je hebt toestemming van de persoon waar je gegevens van verzamelt.
2. Je hebt de gegevens nodig om een overeenkomst uit te voeren.
3. Je hebt de gegevens nodig omdat je wettelijk verplicht bent (bijvoorbeeld een bedrijf).
4. Je hebt de gegevens nodig omdat je zogeheten ‘vitale belangen’ te beschermen (bijvoorbeeld wanneer iemand in gevaar is).
5. Je hebt de gegevens nodig om voor het algemene belang, zoals de openbare veiligheid.
6. Je hebt de gegevens nodig voor een ‘gerechtvaardigd belang’. Je hebt een belang dat volgens jou zwaarder weegt dan het privacyrecht van de andere persoon. Denk bijvoorbeeld aan fraudebestrijding.

In een heksenjacht worden soms gegevens van personen openbaar gemaakt op internet. Dit wordt natuurlijk niet gezien als legitieme grondslag en is dus verboden. Uiteraard geldt dit ook voor identiteitsfraude, intimidatie, toegang verkrijgen tot ontoegankelijke persoonsgegevens, financieel gewin en stalking en pesten.

Het spreekt voor zich om zo min mogelijk persoonlijke informatie het wereldwijde web op te slingeren. Daarnaast kun je zelf nog meer doen om doxing tegen te gaan. Bekijk het lijstje hieronder en ga gelijk aan de slag om jezelf online te beschermen!

• Ga anoniem het internet op. Zo kun je bijvoorbeeld in een incognitovenster surfen, hoewel dit ook niet helemaal anoniem is. Dat leggen we hier uit. Daarnaast kun je ook gebruikmaken van een virtueel privénetwerk (VPN). Hoe dat werkt lees je hier.
• Ga slim met je wachtwoorden om. Bescherm je wachtwoorden zo goed mogelijk door bijvoorbeeld een wachtwoordenmanager te gebruiken. We hebben er hier een paar op een rijtje gezet. Verder moet je niet voor elk account hetzelfde e-mailadres en wachtwoord gebruiken. Probeer zoveel mogelijk te variëren.
• Loop de privacy-instellingen van je sociale media na. Via sociale media deel je (on)bewust heel veel informatie. In de privacy-instellingen kun je bijvoorbeeld je account afschermen.
• Je hebt inzagerecht, maak daar gebruik van. Sinds de AVG heb je het recht om bij bedrijven en organisaties je persoonsgegevens op te vragen en in te zien. Je kunt een verzoek doen om deze gegevens te verwijderen. Lees hier hoe dat werkt.
• Verwijder oude profielen. Gebruik je een account niet meer? Verwijder dan het profiel met alle gegevens. Het kan zijn dat Google nog pagina’s indexeert waar jouw gegevens op staan. Je kunt bij Google een verzoek indienen om deze pagina’s offline te halen onder de noemer ‘recht op vergetelheid’. Hoe je dat precies moet doen lees je hier.

Bronnen: Autoriteit Persoonsgegevens, VPNGids, One World