Grapperhaus gunde De Telegraaf maandagmorgen 12 juli 2021 de primeur: Doxing wordt strafbaar: ’Privégegevens delen meer dan schofterig’. Het gaat uiteraard om de laatste term: ‘schofterig’. Klinkt goed voor een minister van justitie in een krant voor liefhebbers van wet en orde. Nog een keer in de tekst: ‘Het grote gemak waarmee sommigen denken te kunnen intimideren door privégegevens over anderen te verspreiden is meer dan schofterig’, zegt de bewindsman.

De minister kondigde in De Telegraaf de komst van een wetsvoorstel aan, en het persbericht pepert het ‘meer dan schofterig’ er nog even in. Net als in het artikel zondag over onderlinge privacy en foto’s van Peter RdV zien we schuivende waarden in de tijd. Grapperhaus’ voorgangers Donner en Hirsch Ballin horen we het nog niet zeggen.

Openbare registers

In de begintijd van internet waren ook blij met het online telefoonboek. Dat is er nog steeds, met een paar miljoen Nederlanders, alsmede KvK.nl met honderdduizenden ondernemers. Maar het gaat er bij doxing om dat privégegevens online worden gezet om wraak te laten nemen.

Er komt een maximale gevangenisstraf van één jaar op het verschaffen of verspreiden van persoonsgegevens van een derde met het oogmerk om die ander vrees aan te (laten) jagen, ernstige overlast aan te (laten) doen of ernstig te (laten) hinderen in de uitoefening van zijn ambt of beroep.

En wij zijn weer uitgesloten, bofferds, we mogen privacy beroepsmatig gewoon blijven schenden: ‘Journalisten en klokkenluiders, die nieuwsfeiten en misstanden openbaar maken, zijn niet strafbaar als de bekendmaking van gegevens noodzakelijk is in het algemeen belang. De bedoeling is immers dan niet om anderen te intimideren.’

Diezelfde journalisten, ik incluis, hadden zitten slapen, want al op 11 juni 2021, een maand geleden, stuurde Grapperhaus een brief aan de Tweede Kamer over strafbaarstelling van doxing. Het woord ‘schofterig’ ontbreekt

'We weten je te vinden'

Wikipedia noemt een paar voorbeelden van doxing, maar de kampioen van ‘we weten je te vinden’, GeenStijl, wordt niet genoemd. En Grapperhaus heeft het niet over ‘functie elders’ ongelukjes, maar wel het online plaatsen van het woonadres van de familie van Delano G. Of mag dat wel inhet kader van het ‘openbaar maken van misstanden?

In het wetsvoorstel dat gisteren op Internetconsultatie verscheen is de kern een nieuw artikel 285d in het Wetboek van Strafrecht:

1. Hij die zich identificerende persoonsgegevens van een ander of een derde verschaft, deze gegevens verspreidt of anderszins ter beschikking stelt met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen dan wel te laten hinderen, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.2. Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het zich verschaffen, verspreiden of anderszins ter beschikking stellen van de gegevens, bedoeld in het eerste lid, vereiste.

Eerst notice and take down

In de toelichting worden als voorbeelden genoemd: ‘Zo vonden mensen die actief zijn op het online berichtenplatform Twitter en daar een progressief politiek geluid laten horen een sticker van “Vizier op Links” op hun voordeur en werden zij slachtoffer van online treitercampagnes. Bij anderen werd een vuurwerkbom in de tuin gegooid. Ook politieagenten, opiniemakers, journalisten en politici hebben in toenemende mate te maken met online intimidatie en bedreiging.’

‘Met de strafbaarstelling wordt een norm gesteld die internet tussenpersonen ertoe zal bewegen ook op eigen initiatief, of anders na een melding, content te verwijderen die als doel heeft anderen te intimideren, waardoor de noodzaak van strafrechtelijk ingrijpen wordt weggenomen.’

Dus, zoals het gisteren genoemde voorbeeld van Facebook, zullen platforms en andere websites nog sneller tot verwijdering van privégegevens moeten overgaan. Dat gebeurt overigens meestal wel in de praktijk van ‘notice and take down’. Pas als verwijdering niet lukt, komt dit doxingwetje in beeld.

‘Subjectief geformuleerd’

Tot 30 augustus kunnen we reageren. Dat heeft privacy-expert Jeroen Terstegge reeds gedaan. Hij vindt het criterium ‘ernstige overlast’ voor het slachtoffer te ver gaan, omdat ‘allerlei onder de AVG tot nog toe rechtmatige gegevensverwerkingen nu opeens strafbaar kunnen worden als de betrokkene de gevolgen ervaart als “ernstige overlast”.’

Dit is een subjectieve term die kan leiden tot aangiftes vanwege rechtmatige verwerking als iemand ernstige overlast meent te ervaren. Terstegge noemt als voorbeeld het aanleggen van een ontslagdossier door een werkgever of in de ‘bemoeizorg’ of door de politie van verdachten.

Of neem het rechtmatig hanteren van een zwarte lijst waarvoor de Autoriteit Persoonsgegevens een vergunning heeft verleend, of het inzetten van een beveiligingscamera in winkels of op de openbare weg, of personeelsvolgsysteem; dit alles kan als ‘ernstige overlast’ worden aangegrepen met een aangifte.