Familiezoeksite krijgt boete van half miljoen euro wegens schenden privacy

De Autoriteit Persoonsgegevens (AP) legt de website Locatefamily.com een boete op van 525.000 euro. De site publiceert adresgegevens en telefoonnummers van mensen, vaak zonder dat die mensen dat weten. Als zij hun gegevens willen laten schrappen is dat niet eenvoudig, omdat LocateFamily geen vertegenwoordiger heeft in de EU. Het ontbreken van een vertegenwoordiger in de EU is een overtreding van de privacywet en de reden van de boete, aldus de waakhond, die bij het onderzoek samenwerkte met tien andere (Europese en Canadese) privacytoezichthouders.

Al jarenlang doen Nederlanders op de fora van onder andere Klachtenkompas, Kassa, Radar of Tweakers hun beklag over online diensten die hun persoonlijke gegevens publiceren zonder toestemming. Vaak wordt daarbij ook LocateFamily genoemd, een dienst die internationaal opereert. De AP ontving naar eigen zeggen ‘tientallen klachten’ over LocateFamily.

‘Dat een site zomaar jouw naam, telefoonnummer én adres publiceert zonder dat jij dat weet, is kwalijk’, zegt AP-vicevoorzitter Monique Verdier. ‘Wat privé is, moet privé blijven. Met dit soort informatie kunnen kwaadwillenden bijvoorbeeld identiteitsfraude plegen. Of jou thuis bezoeken of per telefoon of e-mail lastigvallen.’

Aan de buitenkant ziet de site er vriendelijk uit, met foto’s en getuigenissen van blije en dankbare mensen van over de hele wereld die elkaar weer hebben gevonden. Op het platform staan de persoonsgegevens van meer dan 350 miljoen mensen over de hele wereld, waarvan ongeveer 700 duizend Nederlanders. Deze zijn voor iedereen toegankelijk.

Er is een pagina waarop mensen kunnen verzoeken hun gegevens te verwijderen, maar afgaande op alle klachten in binnen- en buitenland gaat dit niet eenvoudig. Zo klaagt iemand op het populaire forum Reddit dat LocateFamily eerst een kopie van een identiteitsbewijs wil hebben: ‘Ik vertrouw ze niet, dus dat ga ik niet doen.’ Anderen, ook in Nederland, hebben de ervaring dat gegevens kortstondig niet zichtbaar zijn, maar daarna gewoon weer terugkeren.

Informatie ‘uit verschillende bronnen’

LocateFamily en al die andere sites die adresgegevens publiceren zijn er niet duidelijk over hoe ze aan de data komen. De site geeft dat ook toe: ‘Wij beschouwen onze methoden als bedrijfsgeheim.’ In vage en algemene bewoordingen lichten de uitbaters een tipje van de sluier op en zeggen dat ze de informatie ‘uit verschillende bronnen’ verkrijgt. Zij schermen met informatie van sociale media, openbare fora, uit webwinkels en zelfs van overheden. Tot slot heeft LocateFamily het over informatie die door telecombedrijven wordt verkocht.

Volgens Frederik Zuiderveen Borgesius, hoogleraar ict & recht aan de Radboud Universiteit, is het een wijdverbreid misverstand om te denken dat gegevens die eenmaal openbaar zijn gemaakt daarna vogelvrij zijn: ‘In de Verenigde Staten misschien nog wel, maar in Europa is dat niet het geval.’ Met andere woorden: zomaar persoonsgegevens herpubliceren is niet toegestaan.

Zuiderveen Borgesius noemt het goed dat de autoriteit een schimmig opererend bedrijf van buiten de EU aanpakt. ‘Ze geeft met deze boete een duidelijke boodschap af naar andere sites die zo werken.’

Het blijft niet bij een boete. Om Locatefamily.com te dwingen een loket in de EU te openen, legt de AP ook een dwangsom op. Het bedrijf moest voor 18 maart een vertegenwoordiger in de EU hebben aangewezen. Als dat niet is gebeurd, dan moet Locatefamily.com voor elke twee weken dat hier niet aan is voldaan 20.000 euro betalen, met een maximum van 120.000 euro. Locatefamily.com heeft op dit moment nog niet bevestigd of het inmiddels een vertegenwoordiger in de EU heeft aangewezen.