Naaktfoto’s en medische gegevens van klanten nepdatingsites door medewerkers in te zien
Nepdatingsites slaan bijzondere persoonsgegevens op zonder toestemming van hun klanten. Het gaat om informatie zoals medische geschiedenis, seksuele voorkeuren, psychische gesteldheid, religie en naaktfoto’s. Klanten delen die gegevens in de veronderstelling dat ze een privégesprek met een mogelijke online liefde hebben, maar dat blijken nepprofielen te zijn. Medewerkers van deze chatplatforms kunnen deze gegevens inzien en ze gebruiken om klanten in een gesprek betrokken te houden.
Dat blijkt uit onderzoek van Pointer (KRO-NCRV) naar nepdatingsites. Voor het opslaan en verwerken van deze bijzondere persoonsgegevens is uitdrukkelijke toestemming van klanten nodig. Op deze chatplatforms, waar klanten per verzonden bericht betalen, wordt daar niet naar gevraagd. De gegevens worden verkregen in gesprekken die voor klanten privé lijken, maar in feite met een medewerker van het bedrijf worden gevoerd. Daarmee overtreden deze websites de privacywetgeving AVG en misleiden ze klanten, concluderen juristen Sara Eskens en Martien Schaub van de Vrije Universiteit Amsterdam.
Pointer sprak met meerdere oud-medewerkers die chatberichten voor deze platforms hebben geschreven: de zogeheten chatoperators. Daarbij hebben we de handleidingen en werkinstructies van vijf chatbedrijven in handen gekregen. Daaruit blijkt dat chatoperators nergens worden geïnstrueerd over de gevoeligheid van en veilige omgang met deze persoonsgegevens.
Ook zijn we als chatoperator gaan werken voor zo'n bedrijf. Zonder enige achtergrondcheck of fysieke ontmoeting krijgen we toegang tot de gevoelige persoonsgegevens van klanten. In de chatgesprekken wordt duidelijk dat klanten overtuigd zijn dat ze met een bestaand persoon praten. In die veronderstelling delen ze hun medische gegevens, seksuele voorkeuren en naaktfoto's. De chatoperators moeten die gegevens vastleggen in logboeken, zodat andere medewerkers op een later moment het gesprek eenvoudig kunnen overnemen.
Misleiding
De Autoriteit Consument & Markt heeft in 2020 gedragsregels voor de chatplatforms opgesteld, na berichtgeving van de NOS en De Monitor (nu Pointer). Klanten moeten duidelijk worden geïnformeerd dat ze op een chatplatform zitten met nepprofielen. Chatoperators moeten eerlijk antwoord geven zodra een klant vraagt of het nep is. En kwetsbare consumenten – personen die niet lijken te begrijpen dat het om nepprofielen gaat – moeten extra beschermd worden: chatoperators moeten deze signalen oppikken en pro-actief waarschuwen.
Pointer heeft wekenlang op vier chatplatforms gesprekken gevoerd onder een fictief personage. We hebben onszelf als kwetsbare consument voorgedaan: Pim Onter, een man van 41 jaar oud, werkzaam in een sociale werkplaats, met een begeleider, woonachtig in een verzorgingshuis en op zoek naar een langdurige relatie.
Dat zouden voldoende signalen moeten zijn voor chatoperators om in te grijpen. Tijdens onze gesprekken is dat nooit gebeurd. Ook als we zeggen dat onze begeleider twijfelt aan de echtheid van het profiel, krijgen we bij alle vier de sites een ontwijkend antwoord. Volgens jurist Martien Schaub gaat het hier om 'zeer kwalijke praktijken'.
"Deze websites verdoezelen dat er fictieve profielen worden gebruikt om goedgelovige mensen zoveel mogelijk geld uit de zak te kloppen", concludeert Schaub. Op een aantal websites wordt wel gecommuniceerd dat er met fictieve profielen wordt gewerkt; in een pop-up, helemaal onderaan de website of in de algemene voorwaarden. Volgens Schaub is dat onvoldoende.
"Het staat er, dus je kunt zeggen dat die informatie beschikbaar is. Maar de wet eist dat die informatie – eigenlijk de essentiële kenmerken van de dienstverlening – op een duidelijke en begrijpelijke manier wordt verstrekt. Dat betekent dus niet dat je er zelf actief naar zou moeten zoeken."
Ik maak me op basis van de signalen die we krijgen nog steeds wel zorgen.
De ACM kan niet reageren op onze onderzoeksresultaten zonder zelf onderzoek te hebben gedaan, maar kan wel in het algemeen iets vertellen over consumentenrecht. "Je mag niet misleiden", zegt Edwin van Houten, directeur Consumenten bij de ACM. Bedrijven moeten eerlijk zijn over het product of dienst die zij aanbieden. "Zeker als je ernaar vraagt, moet je gewoon direct en duidelijk geïnformeerd worden of je te maken hebt met echte mensen of met nepprofielen waar je geen afspraak mee kunt maken."
"Er is een grens tussen verleiden en misleiden, en die is soms best ingewikkeld om te zien", aldus Van Houten. "Maar uiteindelijk voel je als chatoperator dondersgoed aan waar je mee bezig bent. Als die consument een vraag heeft aan jou, en je praat eromheen en je misleidt – ik kan niet anders dan dat woord gebruiken – dan is dat gewoon fout." Volgens hem gaat dat in deze sector nog lang niet altijd goed. “Ik maak me op basis van de signalen die we krijgen nog steeds wel zorgen.”
Pointer heeft van vijf chatbedrijven de handleidingen en werkinstructies voor nieuwe medewerkers in handen gekregen. Bij geen enkel bedrijf wordt gewezen op de ACM-gedragsregels. Dat blijkt ook uit de gesprekken die we met negen (oud-)chatoperators hebben gevoerd.
Gesolliciteerd als chatoperator
Uit die gesprekken en handleidingen wordt ook duidelijk dat chatoperators persoonlijke gegevens over klanten opslaan in een zogeheten logboek. Daarmee kunnen chatoperators eenvoudig chatgesprekken overnemen van hun collega’s, omdat ze in hoofdlijnen weten wat de klant heeft gezegd tegen het nepprofiel. Als een klant niet direct reageert op een chatbericht, worden deze persoonlijke gegevens ook gebruikt om hem weer in het gesprek te betrekken.
Wat slaan de bedrijven dan precies allemaal op in die logboeken? En voor wie is deze informatie toegankelijk? Om dat te onderzoeken, hebben we ons aangemeld als chatoperator bij zo’n bedrijf. Na een online sollicitatie en inwerkperiode van 2 uur zonder fysieke ontmoeting of achtergrondcheck worden we aangenomen bij Emdv B.V., een chatbedrijf dat minstens 22 websites in Nederland en België beheert. Ook tijdens de inwerkperiode krijgen we de bevestiging van een chatcoach (onze leidinggevende) dat klanten niet doorhebben dat het nep is. En zodra een klant vraagt of het gesprek echt is, krijgen we het advies om van onderwerp te wisselen.
Vervolgens hebben we toegang tot de chatgesprekken en logboeken van klanten. Daarin wordt duidelijk dat zij vaak in de veronderstelling zijn dat een fysieke afspraak of langdurige relatie tot de mogelijkheden behoort. Eerdere chatoperators hebben persoonlijke gegevens in de logboeken vastgelegd. Daar zitten ook zeer gevoelige gegevens bij, zoals medische geschiedenis, seksuele voorkeuren, psychische gesteldheid, religie en zelfs naaktfoto's.
We komen alleen mannen tegen tijdens de drie dagen dat we chatoperator zijn. Een man van eind vijftig bespreekt de breuk met zijn familie na de dood van zijn ouders. Hij is zo verliefd op het nepprofiel, dat hij de profielfoto als achtergrond op zijn telefoon heeft. Een andere vijftiger – naar eigen zeggen 'licht autistisch' – is sinds corona werkloos. Een man van bijna tachtig zoekt een serieuze relatie sinds zijn vrouw is overleden. Een Gelderse gehandicapte man is in gesprek met een nepprofiel dat claimt eveneens gehandicapt te zijn, ze zou in een rolstoel zitten. Alle klanten bespreken uitgebreid hun seksuele voorkeuren. En bijna allemaal hebben ze een naaktfoto gestuurd, die door alle chatoperators te zien is.
Chatplatforms mogen deze bijzondere persoonsgegevens niet verwerken, concluderen Martien Schaub en haar collega Sara Eskens. Schaub: "Dat kan alleen op basis van uitdrukkelijke toestemming. En die hebben klanten op deze websites niet gegeven." Een andere uitzondering op de privacywetgeving AVG kan zijn dat klanten het zelf openbaar hebben gemaakt. "Maar dat gebeurt hier ook niet, omdat het gebeurt in een chat waarvan klanten denken dat het een privéchat is." Ook het feit dat chatoperators bij deze zeer gevoelige gegevens kunnen, is volgens de jurist kwalijk.
We hebben de resultaten van ons onderzoek voorgelegd aan de Autoriteit Persoonsgegevens (AP). Net als de ACM kan de AP alleen reageren op zaken die zijn onderzocht en afgerond. De autoriteit heeft in het verleden nog geen sancties opgelegd aan chatplatforms die zich als datingsite voordoen.
Hoe bijzonderder de persoonsgegevens, hoe beter die bescherming moet zijn.
Over het mogelijke risico van het opslaan van zulke bijzondere persoonsgegevens kan de AP wel iets zeggen. "Wat privé is, moet privé blijven", aldus een woordvoerder. "En dat geldt voor bijzondere persoonsgegevens nog iets meer dan bij dingen zoals je mailadres of telefoonnummer. Als het gaat om je seksualiteit of gezondheid, dan wil je niet dat die gegevens zomaar op straat belanden of bij partijen die ze niet mogen hebben."
Ook de bescherming van deze gevoelige gegevens voor werknemers in een bedrijf moet goed georganiseerd zijn, vindt de AP. "Bijzondere persoonsgegevens kunnen heel veel over een mens prijsgeven. Daarom moeten ze echt heel goed beschermd worden door bedrijven. Hoe bijzonderder de persoonsgegevens, hoe beter die bescherming moet zijn."
'Niet de bedoeling'
We hebben onze bevindingen ook voorgelegd aan de vier chatplatforms waar we ons als klant hebben voorgedaan: Soulmate2U.com, Afspraak.nl, Contactmaken.nl en Flirthonk.nl. Alleen de laatste twee partijen hebben gereageerd.
Van Contactmaken.nl horen we dat de chatoperator inderdaad een waarschuwing had moeten geven aan ons fictieve klantprofiel. Er wordt ook gewezen op de waarschuwingen in de pop-up en in de kleine letters onderaan de website. "Wij doen ons best om de leden te informeren over de aard van deze dienst. Maar naar aanleiding van uw e-mail zullen wij de eerder genoemde punten extra prioriteit geven."
Een woordvoerder van Flirthonk zegt dat het 'inderdaad niet de bedoeling is' dat er geen eerlijk antwoord wordt gegeven op onze vraag of het profiel nep is. Er wordt ook verwezen naar een externe partij die de chatoperators voor de site zou aanleveren. "Wij zijn van mening dat wij onze gebruikers ruim voldoende informeren over de aard van onze dienst", zegt de Flirthonk-woordvoerder. "Het overgrote deel van onze gebruikers, komen op de website voor wat spanning en/of afleiding van de dagelijkse sleur. Ik snap dat dit door vele mensen niet begrepen wordt maar deze doelgroep is toch groter dan men in het algemeen denkt. Het neemt echter alle spanning en plezier weg bij de gebruiker als wij bijvoorbeeld bij elk verstuurd bericht van de gebruiker zouden gaan vermelden dat het antwoord dat zij krijgen volledig fictief is."
We hebben onze vragen ook voorgelegd aan Emdv B.V., het bedrijf waar we als chatoperator zijn aangenomen en dat meerdere websites beheert. De directeur van dat chatbedrijf wijst erop dat de website begin dit jaar online is gegaan, maar dat er nog technische gebreken waren. Daardoor is in alle haast een externe partij aangenomen om chatoperators te vinden en zijn er problemen ontstaan met het goed inwerken van personeel, claimt Emdv B.V. Dat verklaart volgens het bedrijf waarom meerdere chatoperators niet eerlijk antwoord geven op de vraag of een profiel fictief is.
"Dit is precies waar wij dus niet op aan willen sturen, het is ook nog eens onlogisch want als je aangeeft bij een profiel dat dit fictief is en vervolgens laat je dit ontkennen in enige wijze dan is de informatievoorziening zeer tegenstrijdig." Emdv B.V. laat weten dat het de externe partij aanspreekt om de ACM-regels voortaan duidelijk te communiceren in het sollicitatieproces.
Over de bijzondere persoonsgegevens zegt Emdv B.V. dat het een verwerkingsovereenkomst heeft gesloten met deze externe partij. Volgens jurist Schaub is dat onvoldoende om deze bijzondere persoonsgegevens te mogen opslaan en verwerken. Ook zegt het bedrijf melding te maken bij de AP, omdat de Pointer-redactie deze persoonsgegevens heeft ingezien.