Informatieportal voor IT-recht

Zondag 1 juli 2012

Identiteit diefstal/fraude op sociale media websites

In dit artikel zal worden ingegaan op de huidige mogelijkheden die een burger heeft indien deze het slachtoffer is geworden van identiteitdiefstal op een sociale media website. In een samenleving waarin onze gegevens steeds vaker en omvangrijker op het Internet zijn te vinden, ontstaat er  meer de behoefte om als burger handhavend op te kunnen treden tegen dit soort praktijken. Vaak zal er nog geen sprake zijn van een strafrechtelijke overtreding of misdrijf, maar zal het slachtoffer financiële, emotionele en psychische hinder ondervinden. Het slachtoffer zal zich met name in zijn persoonlijke levenssfeer geschaad voelen.

Centrale probleemstelling
De centrale vraag van dit artikel is wat je als burger in zo’n situatie tegen een dergelijke inbreuk kan doen? Ook zal er gekeken worden naar het huidige overheidsbeleid en naar de toekomstige ontwikkelingen op het gebied van handhaving tegen dit soort diefstal/fraude. 1Zie o.a. C. Prins, ‘# Twitter als rechtsobject’, NJB 2012, p. 177 en ‘De Wereld Draait Door’ VARA Nederland 3, 9 januari 2012 raadpleegbaar via <http://dewerelddraaitdoor.vara.nl/media/84443>, laatstelijk op 13 maart 2012. Zie anders A. Verhoeven, ‘Twitter-wet niet nodig’, B9 10658 en E. Thole, ‘Gesloten Twitter behoeft geen wetsaanpassing’, NRC Handelsblad 13 januari 2012, raadpleegbaar via <http://www.van-doorne.com/Global/Publicaties/2012/ElisabethTholeNRC.pdf>, laatstelijk op 13 maart 2012.  Initiatieven vanuit het bedrijfsleven zullen verder buiten beschouwing worden gelaten.

Omvang van het probleem
Uit recent onderzoek van Wong 2C.W. Wong, ‘Identiteitsfraude in Nederland’, P&I 2011, p. 12-21. blijkt dat de helft van de Nederlanders niet weten wat identiteitsfraude is. Men weet nauwelijks wat ze kunnen doen om het risico van identiteitsfraude te verkleinen of hoe ze een eventuele fraude zouden kunnen stoppen. De toename van identiteitsfraude wordt mede gevoed door technologische ontwikkelingen en digitalisering. Evenwel ontbreken tot op de dag van vandaag cijfermatige gegevens over de omvang (aantal slachtoffers en schade) van het probleem.

Wat doet de overheid?
De overheid begint steeds meer de noodzaak in te zien van een specifieke beleid met betrekking tot (online) identiteitsdiefstal. Voorstellen aan de overheid in het kader van iOverheid rapport 3Wetenschappelijk Raad voor het Regeringsbeleid, iOverheid, Amsterdam: 2011. Raadpleegbaar via < http://www.wrr.nl/content.jsp?objectid=5656>, laatstelijk op 21 februari 2012. omvatten onder andere een versteviging van het inzage- en correctierecht, het recht om vergeten te worden en het gebruik van mijnoverheid.nl als hoofdkanaal voor het beheer van persoonlijke gegevens. In het algemeen gaat het erom dat de burger meer regie over eigen gegevens verkrijgt. Een concrete uitwerking hiervan is het Centraal Meld- en Informatiepunt Identiteitsfraude.

Tijdens de behandeling van de kabinetsreactie 4Kamerstukken II 2011/12, 26 643, nr. 211. op het rapport riep toenmalig Eerste Kamer lid mevrouw Tan in haar motie 5Kamerstukken I 2010/11, 31 051, nr. C. de overheid op om te komen tot een wet inzake identiteitsmanagement. Verder zijn er door het Tweede Kamer lid Kooiman Kamervragen aan de minister Opstelten (Veiligheid en Justitie) gesteld inzake identiteitsdiefstal op sociale media. 6Zie voor antwoorden van de minister Aanhangsel Handelingen II 2011/12, nr. 1738.

In het algemeen kon worden gezegd dat de overheid uit ging van eigen risico van de gebruiker, immers ‘Veiligheid begint bij Voorkoming’. 7Kamerstukken II 2007/08, 28 684, nr. 119. De toon is echter sinds kort gematigd, waarbij de overheid haar verantwoordelijkheid neemt. Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft dit als volgt geformuleerd: ‘Burgers moeten beter bewust worden gemaakt van de risico’s van fraude en fouten met identiteiten en op welke acties zij zelf kunnen nemen om deze risico’s te verkleinen’. 8Programmaplan 2010 – medio 2011. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

Wat doet de burger en welke maatregelen kan de burger nemen?
Uit het onderzoek van Wong blijkt dat ongeveer 45% van de respondenten 9Het gaat om een representatieve populatie van 1030 respondenten (517 mannen en 513 vrouwen). hebben aangegeven zich altijd bewust te zijn van risico’s van identiteitsfraude als ze persoonlijke gegevens openbaar maken op sociale media websites zoals Hyves en Facebook. Ruim 70% van de respondenten hebben aangegeven dat ze preventief geen gevoelige en persoonlijke informatie op sociale netwerken onthullen. Daartegenover zegt ruim 10% wel gevoelige en persoonlijke informatie te onthullen en een kleine 20% zegt dit wel eens te doen. Uit het onderzoek blijkt verder dat de burgers de meeste maatregelen ter voorkoming van identiteitsfraude op digitaal gebied (online) nemen.

Ruim 70% van de onderzoekspopulatie is van mening dat voor de veiligheid op het gebied van identiteitsfraude de burger zelf ook een eigen verantwoordelijkheid heeft. Dit uitgangspunt is zowel voor de overheid als voor de burger belangrijk, omdat burgers een eerste verdedigingslinie vormen tegen identiteitsfraude. De burger moet zich dan medeverantwoordelijk voelen en bereid zijn om zelf actie te ondernemen, maar heeft daarnaast ook behoefte aan meer voorlichting zodat het voor hem duidelijk is wat voor actie hij kan ondernemen.

Het gaat met name om bewustwording van burgers over de risico’s van identiteitsdiefstal (op sociale media websites); zij moeten bewust en zorgvuldig omgaan met persoonlijke identiteitsgegevens- en documenten. Hier kleven ook nadelen aan. Het potentiële slachtoffer kan achteraf telkens op zijn eigen gedrag worden aangesproken, waardoor men andere factoren die identiteitsfraude mogelijk maken uit het oog verliest. Ook kunnen burgers paranoïde worden gemaakt met als gevolg dat ze  helemaal geen gegevens meer met elkaar gaan delen. Een dergelijke situatie is in die zin ook onwenselijk, omdat het een remmende werking heeft op de ontwikkeling van technologische dienstverlening. Het is daarom van essentieel belang dat er sprake is van een balans tussen enerzijds de gegevens die nodig zijn voor de dienstverlener om zijn diensten te kunnen blijven ontwikkelen, en anderzijds de mate van regie die een burger over zijn eigen gegevens dient te hebben.

Concreet kan de burger, die geen slachtoffer wenst te worden van identiteitsdiefstal via sociale media websites, in ieder geval de volgende zaken in acht nemen:

niet te veel privé-gegevens online zetten;
bij afwezigheid, je computer niet aan laten staan;
nooit zomaar bestanden en/of URL’s openen;
regelmatig je wachtwoord wijzigen;
maak je geen gebruik meer van een sociale netwerk, verwijder dan jouw account, of vraag de beheerder om jouw account te verwijderen;
overige technische preventieve middelen, zoals het hebben van een virus scanner en een firewall.

De toekomst
Onlangs is het EU-voorstel betreffende bescherming van persoonsgegevens door Europese Commissie bekend gemaakt. 10COM(2012) 11 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming). Hoewel het uiteindelijke voorstel (in de vorm van een verordening) waarschijnlijk pas in 2015 in werking zal treden zijn er, in het kader van dit artikel, een paar interessante onderwerpen aan te wijzen. Deze dienen louter als een vingerwijziging van wat de toekomst brengt; het is niet onwaarschijnlijk dat het voorstel nog wijzigingen ondergaat.

Art. 16 betreft het nieuwe recht om te worden vergeten en om gegevens te wissen. Hieronder valt het recht om internetlinks, kopieën en replica´s te laten verwijderen en het recht om verwerking onder omstandigheden te beperken.
Art. 18 betreft ook een nieuw recht, namelijk om gegevens van een systeem mee over te nemen naar een ander systeem.
Art. 31 betreft een meldplicht, om een datalek welke persoonsgegevens in gevaar brengt binnen 24 uur bij de toezichthoudende autoriteit te melden. De betrokkene moet op grond van art. 32 hierover geïnformeerd worden.
Op grond van art. 75, eerste lid krijgt iedere natuurlijk persoon het recht om juridisch op te treden tegen inbreuken op het gegevensbeschermingsrecht.

Conclusie
De voorlopige conclusie is dat de burger, buiten het strafrecht om, nog weinig (juridische) middelen om handen heeft om zich te weren tegen identiteitsdiefstal op sociale media websites. Het wachten is op nieuw wetgeving en implementatie van een uitgebalanceerd overheidsbeleid die de burger meer handvatten moet bieden om over zijn gegevens te kunnen beschikken. Dit, in combinatie met meer voorlichting en bewustwording van de burger zelf, moet er uiteindelijk voor zorgen dat identiteitsdiefstal minder vaak zal voorkomen.

 

   [ + ]

1. Zie o.a. C. Prins, ‘# Twitter als rechtsobject’, NJB 2012, p. 177 en ‘De Wereld Draait Door’ VARA Nederland 3, 9 januari 2012 raadpleegbaar via <http://dewerelddraaitdoor.vara.nl/media/84443>, laatstelijk op 13 maart 2012. Zie anders A. Verhoeven, ‘Twitter-wet niet nodig’, B9 10658 en E. Thole, ‘Gesloten Twitter behoeft geen wetsaanpassing’, NRC Handelsblad 13 januari 2012, raadpleegbaar via <http://www.van-doorne.com/Global/Publicaties/2012/ElisabethTholeNRC.pdf>, laatstelijk op 13 maart 2012.
2. C.W. Wong, ‘Identiteitsfraude in Nederland’, P&I 2011, p. 12-21.
3. Wetenschappelijk Raad voor het Regeringsbeleid, iOverheid, Amsterdam: 2011. Raadpleegbaar via < http://www.wrr.nl/content.jsp?objectid=5656>, laatstelijk op 21 februari 2012.
4. Kamerstukken II 2011/12, 26 643, nr. 211.
5. Kamerstukken I 2010/11, 31 051, nr. C.
6. Zie voor antwoorden van de minister Aanhangsel Handelingen II 2011/12, nr. 1738.
7. Kamerstukken II 2007/08, 28 684, nr. 119.
8. Programmaplan 2010 – medio 2011. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
9. Het gaat om een representatieve populatie van 1030 respondenten (517 mannen en 513 vrouwen).
10. COM(2012) 11 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming).