‘Iemand doet alsof hij mij is’ – wordt er ooit iets gedaan aan gestolen foto’s op het internet?

‘Ik hoorde van een collega dat er op Instagram een nepaccounts met foto’s van mij ronding. Op het account stonden mijn eigen posts, met mijn foto’s, maar er stonden ook foto’s van vreemde naakte bovenlijven tussen. Het account was privé, maar als mensen een volgverzoek deden kregen ze een bericht of ze naaktfoto’s van mij wilden kopen, terwijl ik het niet eens ben op die naaktfoto’s.”

Vincent de Paauw werkt als purser bij Transavia en maakt voor het YouTube-kanaal van de vliegmaatschappij vlogs. Op zijn eigen Instagram plaatst hij voor zijn drieduizend volgers vrolijke foto’s van zijn werkdagen op Schiphol en in de lucht. „Gelukkig sturen mijn volgers mij een bericht als ze nepaccounts met mijn foto’s tegenkomen. Ik rapporteer die accounts meteen. Je weet dat dit soort dingen gebeuren dus ik ben dan ook niet echt in shock, maar het is echt heel gek om er achter te komen dat ik op andere accounts blijkbaar naaktfoto’s van mezelf verkoop.”

Eind augustus sprak NRC met influencer Demi Maric wier foto’s zonder haar weten werden gebruikt op een profiel dat Donald Trump promootte. Van datingapps tot een Turkse online-campagne – haar foto’s zijn zonder haar toestemming al op de gekste plekken terechtgekomen. Telkens wanneer zij bij Meta, het bedrijf achter Instagram en Facebook, een nepaccount rapporteert krijgt ze te horen dat er niets aan de hand lijkt te zijn en het waarschijnlijk niet om een nepaccount gaat.

Het is echt heel gek om er achter te komen dat ik blijkbaar naaktfoto’s van mezelf verkoop

Maric en De Paauw zijn geen uitzonderingen. Dat je foto’s op internet zonder toestemming worden gebruikt, lijkt voor veel internetgebruikers de normaalste zaak van de wereld. Vervelend, maar het hoort erbij. Op Instagram, bijvoorbeeld, waarschuwen gebruikers regelmatig hun volgers over nepaccounts: ‘pas op, dit ben ik niet!’ NRC sprak een tiental mensen, die niet met hun naam in de krant willen, van wie aan de lopende band foto’s worden gebruikt zonder hun toestemming. De één kreeg meerdere Tinderprofielen doorgestuurd met zijn eigen foto’s, een ander kreeg te horen dat haar hond op Facebook te koop werd aangeboden. Iemand kwam er zelfs achter dat er in zijn naam professionele opdrachten door iemand anders werden uitgevoerd. Vaak zijn de mensen achter de nepaccounts uit op geld, maar gestolen foto’s worden ook gebruikt voor het verkrijgen van naaktbeelden, in advertenties, of omdat gebruikers simpelweg hun eigen identiteit willen maskeren.

Iedereen die NRC sprak reageert op dezelfde manier; ze rapporteren het nepaccount bij het sociale netwerk waarop het account actief is en vullen daar ook het online klachtenformulier. Van X (voorheen Twitter) en Meta zeggen gebruikers niet eens meer te verwachten dat er iets met die meldingen wordt gedaan. Het werkt beter om je volgers te waarschuwen op je eigen account. „Ja, en dan moet je maar hopen dat er voor die tijd niemand is in getrapt”, zegt De Paauw. „Als de maker van het nepaccount doorheeft dat jij hem op het spoor bent, verwijderen ze het account soms zelf.”

Doordat weinig mensen buiten de platforms om nepaccounts met gestolen foto’s melden, is er geen zicht op de werkelijke schaal van het probleem, zegt de Autoriteit Persoonsgegevens (AP). De toezichthouder adviseert gedupeerden niet alleen melding te doen bij het platform zelf, maar ook bij het AP óf het Centraal Meldpunt Identiteitsfraude. „Het lijkt alsof veel mensen niet weten dat het illegaal is om een foto van iemand anders zomaar te gebruiken. Als ik mijn auto parkeer, is het strafbaar als jij die ongevraagd meeneemt voor een ritje. Dit geldt ook voor andermans foto’s online”, zegt AP-woordvoerder Caspar Itz.

Deepfake-pornografie

Nepaccounts hoeven niet eens het doel te hebben om iemand voor geld op te lichten, het stelen van iemands identiteit op zich is al strafbaar. Dit lijkt voor veel mensen toch onbekend te zijn, zegt Itz. „Toen in maart bleek dat er beelden van Kamerleden en BN’ers werden misbruikt voor deepfake-pornografie, hebben we een oproep gedaan om hier melding van te maken als je dit tegenkwam. Het aantal meldingen was echter schrikbarend laag, alsof mensen zich er niet van bewust zijn dat deze vorm van identiteitsfraude strafbaar is.”

Waarom worden de accounts bij Meta en X niet offline gehaald? Zij zijn volgens Nederlandse, Europese én Amerikaanse wetgeving verplicht illegale inhoud van hun sites te halen als zij daarvan op de hoogte worden gesteld. Hoewel beide platforms niet bereikbaar waren voor vragen van NRC, verdedigde Facebook zich in het verleden tegenover de rechter door te zeggen dat het platform al veel doet tegen nepaccounts, maar dat álle beeltenissen van een persoon weghalen „technisch onmogelijk” zou zijn en bovendien het gevaar van „overblokkering” met zich meebrengt. Tijdens een vergelijkbare zaak in het Verenigd Koninkrijk stelde Steve Hatch, Facebooks regionale directeur voor Noord-Europa, dat „we een zero tolerance beleid hebben, maar dat betekent geen zero occurrence.”

Opmerkelijk is dat Elon Musk zich in 2022 aanvankelijk terugtrok uit de overname van Twitter, omdat hij vond dat het bedrijf, waarmee hij op dat moment verwikkeld was in een juridische strijd, hem verkeerd had voorgelicht over het aantal nepaccounts op het platform. Kort na de uiteindelijke overname kondigde Musk grootschalige ontslagen aan, wat leidde tot een forse afname van het aantal medewerkers dat verantwoordelijk was voor het modereren van misinformatie en nepaccounts. Toezichthouders en ngo’s klagen nu dat X te weinig doet tegen nepaccounts op het platform


Lees ook

Voormalig hoofd veiligheid Twitter: cyberbeveiliging ligt een decennium achter

Peiter Zatko getuigt voor de Amerikaanse Senaat. Hij werd in 2020  gerekruteerd door Twitter-oprichter Jack Dorsey en werd in januari ontslagen.

TikTok is wel bereikbaar voor vragen van journalisten. Communicatiemanager Alexander Jansen laat weten dat het bedrijf „proactief zoekt naar imitatie-accounts met een team van moderators en AI. Deze worden verwijderd, en verdachte accounts worden tijdelijk geschorst of we vragen de gebruiker zijn of haar identiteit te verifiëren.” Aan dit verificatieproces zit onder andere de eis verbonden dat je moet worden genoemd in meerdere nieuwsbronnen, iets dat dus alleen voor bekendere mensen mogelijk is.

Rechtszaken en boetes

Nepaccounts met gestolen foto’s kunnen de platforms nog wel eens grote problemen gaan bezorgen, denkt Caspar Itz van de Autoriteit Persoonsgegevens. „Wanneer online platforms hun gebruikers en hun data niet goed beschermen, kunnen ze boetes krijgen.” Zo kreeg begin deze maand het omstreden gezichtsherkenningsbedrijf Clearview AI een boete van 30,5 miljoen euro van de AP. Clearview heeft een illegale database opgebouwd met meer dan vijftig miljard foto’s van gezichten, inclusief die van Nederlanders. „Maar het opleggen van boetes wordt al snel heel erg lastig wanneer een bedrijf geen Nederlands of Europees aanspreekpunt heeft”, zegt Itz.

Wie een stap naar de rechter overweegt heeft sowieso een lange adem nodig. In maart dit jaar kreeg Jort Kelder in hoger beroep gelijk in een al vier jaar slepende zaak tegen Google over nepadvertenties met zijn beeltenis. Google had te weinig gedaan om de nepadvertenties te weren, oordeelde de rechter, en legde een in een aparte procedure te bepalen schadevergoeding op.

Ook van toezichthouder Autoriteit Consument & Markt (ACM) hoeven mensen wier foto’s zijn gestolen voorlopig niet veel te verwachten. De Europese Commissie heeft in 2023 de Digital Services Act (DSA) ingevoerd die burgers beter wil beschermen tegen illegale activiteiten op het internet. Voor bedrijven die gevestigd zijn in Nederland, zoals AliExpress, Booking.com en Snapchat, is de ACM aangewezen als toezichthouder van de DSA. Problematisch hier is dat de ACM nog helemaal niet bevoegd is om deze platforms boetes op te leggen. Zodra die bevoegdheid geregeld is kan de ACM „handhavend optreden”, zo meldt de toezichthouder. „Dat is naar verwachting begin volgend jaar.”

Gelukkig sturen mijn volgers mij een bericht als ze nepaccounts met mijn foto’s tegenkomen

Voor de grote bedrijven als TikTok, X en Meta houdt de Europese Commissie (EC) zelf toezicht. Maar Thomas Regnier, woordvoerder van de EC, laat weten dat de Commissie andere prioriteiten heeft dan het aanpakken van nepaccounts en gestolen foto’s. „De focus voor de regulering van de grote platforms ligt op dit moment bij onderzoeken naar desinformatie omtrent verkiezingen en het verslavende design van de platforms voor kinderen.”

Gebruikers zullen dus de komende tijd ongetwijfeld nepaccounts van zichzelf blijven tegenkomen. De vraag rijst of deze privacyschending überhaupt te stoppen is, of dat mensen het maar moeten accepteren als onderdeel van hun online bestaan. Voor mensen die bereid zijn de portemonnee te trekken zijn er wel online reputatiemanagers, zoals het Nederlandse bedrijf White Canvas, die namens hun cliënten zaken als online indentiteitsfraude aanpakken. Zij claimen dat dankzij hun expertise en goede contacten zij het vaak wél voor elkaar krijgen dat platforms nepaccounts van hun klanten verwijderen.

Transavia-purser De Paauw heeft allang geaccepteerd dat hij af en toe zijn eigen foto’s op discutabele accounts tegenkomt. „Het is natuurlijk heel erg raar en het voelt gek, maar ik vind het geen reden om te stoppen met het plaatsen van leuke content.”