Fakerslijsten

(English below)

 In Nederland zijn zowel Ugly Mugs, de Fakerslijst van Kinky, als de reviews van klanten op Hookers NIET meer toegestaan door de AP (Autoriteit Persoonsgegevens). De Fakerslijst en de reviews zijn niet meer toegankelijk, Ugly Mugs is nog niet van de grond gekomen.

Tot nu toe heeft de AP nooit een voldoende zwaarwegend belang gevonden om gegevens te mogen verwerken, hoezeer sekswerkers het ook voor hun veiligheid belangrijk vinden. Maar er zijn verschillende initiatieven ontstaan om het gat van de Fakerslijst op te vullen. Ook uit gesprekken met sekswerkers blijkt hoe ongelofelijk belangrijk sekswerkers het vinden om over een ‘zwarte lijst’ te kunnen beschikken. Waar Ugly Mugs zich vooral richt op strafbare feiten gepleegd door gevaarlijke klanten richt de Fakerslijst zich ook op, het woord zegt het al, de fakers. Dat zijn de no shows bij thuisontvangst, en de adressen die niet kloppen waar je als escort voor niks naar toe rijdt. De time wasters.

Er is onder andere gesproken met iemand van  SoaAids en met iemand die voorheen jurist bij Proud was en thuis in de AVG wetgeving en er is met 2 initiatieven ge-emaild.

Er is een goed doordacht  internationaal initiatief dat ook in Nederland goed zou kunnen werken en er zijn minstens 4 Nederlandse initiatieven bekend.

UK initiatief – Client Eye

https://www.clienteye.app/      contact@clienteye.app plus de app op Android

Client Eye is bedacht door een UK sekswerker, is vervolgens technisch uitgewerkt, en in hun team zitten in ieder geval 50% sekswerkers. Ze beschrijven zichzelf al ‘fully inclusive, incl male/female/trans, and for brothels, agencies, independent escorts and streetworkers. Ze richten zich niet alleen op gewelddadige klanten (zoals Ugly Mugs) maar ook op de ‘time wasters’,  de ‘fakers’.

Client Eye gebruikt naar eigen zeggen secure servers op UK grondgebied met encrypted databases.

De GDPR (in Nederland de AVG, in werking sinds mei 2018) geldt voor de hele EU.  Client Eye, gevestigd in de UK,  geeft aan onder de GDPR te vallen. Maar door de Brexit verandert dat. De UK wordt dan een ‘Third party’. EU data mogen slechts onder bepaalde omstandigheden naar ‘Third parties’ of internationale organisaties worden overgebracht. DE UK valt terug op de DPA 2018, die zal worden samengevoegd met GDPR regels om tot een GDPR UK te komen.  Als de EU een adequaatheidsbesluit vaststelt dan mogen data worden doorgegeven. Client Eye stelt geheel GDPR proof te zijn, en ik verwacht dat ze deze standaard blijven hanteren en dat de EU een adequaatheidsbesluit zal afgeven aan de UK.

Client Eye stelt dat ze geen blacklist zijn (zoals de Fakerslijst was) maar dat ze met hun app ‘a better informed decision on a client/date’ kunnen geven. Dat lijkt me puur semantiek.

Klanten kunnen trouwens een GDPR ‘removal request’ indienen.

De vraag is: hoe staat het met gegevens die sekswerkers op Nederlands grondgebied aanleveren over hun klanten aan een UK database? Of de AP dit wel of niet zou goedkeuren, het lijkt me ongrijpbaar.

 

Info vanuit Client Eye:

When we first started the app, and before launching, we checked with the Information Commissioner Office (ICO) https://ico.org.uk/ who regulate all aspects of GDPR in the UK, our app concept was accepted as being within GDPR guidelines and we are now fully registered with them as data controllers.

Our reporters are 100% anonymous, and if/when they decide to report, they are reporting information they have obtained and own, they can legally share that information with other app users. Just like any person can store any other persons number in their device without the “data subjects” consent.

The information in the reports only becomes personally identifiable information and subject to GDPR rules, IF, a “Data Subject” claims ownership of any reported number, up to that point the information is owned by the anonymous reporter who made it.

If a person claims ownership of a reported number then we have to follow GDPR guidelines in how we handle their request.

In regards to the issue you have faced in the Netherlands, we cannot comment as we have no knowledge of the NL GDPR governing body and how they apply their interpretation of the EU GDPR rules.

We have noticed reports appearing from NL over the past few weeks and can assure you and them that the data transfer to UK servers is 100% legal. As we have mentioned previously our users are 100% anonymous to us, we never collect any identifiable information about the user or their device so all users can safely report without repercussion.

Our apps have been designed to allow worldwide reporting and can work just as well in the UK as it can in the Netherlands, if users report their timewasters all other users of our apps get notified if that timewaster calls them. It’s collective knowledge creating greater safety.

In the coming months we are updating our apps with more language options, although we have no current plans to include Dutch if more reports started to appear from the Netherlands it would be added.

If you have any other questions, queries or if you think we can help in any other way please do let me know by email or by DM on twitter.

Regards, ClientEye Manager / Developer

 

SoaAids heeft overlegd met een juriste:

De UK is geen lid van EU meer; dus ze geven gegevens door aan een derde land waar nog geen oordeel over UK als zijnde een verantwoordelijke wetgever op dit gebeid (wat je in het begin al stelt). Dit moet eigenlijk eerst duidelijk zijn: nu is het sowieso dus eigenlijk ‘verboden’.

Bovendien gaan sekswerkers überhaupt strafrechtelijke gegevens uitwisselen / doorgeven aan elkaar, wat in principe niet mag.  De vraag is of de Nederlandse uitvoeringswet toepasselijk is op de Nederlandse sekswerkers indien ze de Britse app gebruiken. Daar zit de crux. In artikel 4 van de uitvoeringswet staat dat het afhankelijk is van uitvoering op een bepaalde vestiging = breed te interpreteren. Indien men sekswerkers als vestiging gaan interpreteren, dan wordt op hen tóch de NL uitvoeringswet van toepassing, en dan mag het dus weer niet.(Iets met individuele sekswerkers die modelcontractbepalingen moeten hebben indien ze zulke dingen individueel gaan verweken).

We vragen nu een gesprek aan bij de AP over Ugly Mugs. Als we daar echt niet uit gaan komen en er geen andere redmiddelen meer zijn gaan we vragen of een app als deze uitkomst zou kunnen bieden voor NL sekswerkers en hoe de AP daar tegenover staat (met jullie goedkleuring?).

 

Nederlandse initiatieven

Er zijn ook minstens vier andere initiatieven te zijn ontstaan, en raakt de belangrijke info nu versnipperd, terwijl je natuurlijk het liefst één goed gevuld en sterk systeem wil hebben. Niemand zit er op te wachten om in verschillende systemen te gaan zoeken of je klant daarin vermeld staat.  Op zich toont het ontstaan van alternatieven aan dat  het dringende belang van zo’n lijst groot is.

  • https://fakerslist.com/account/login/ dit is er eentje van. Geregistreerd bij TransIP op 19 december 2020. Er wordt naar een advertentieprofiel gevraagd van Kinky en Sexjob (samen met werknaam, emailadres, tel nr en leeftijd) als je je wil registreren.
  • Er is ook smuglist.com (geregistreerd sinds sept 2019, Sideways Group, op NL grondgebied)) en belooft data vanaf 2016. In de privacy verklaring zeggen ze “Verwerkt Siteways speciale en/of gevoelige persoonsgegevens? Siteways verwerkt geen speciale en/of gevoelige persoonlijke gegevens van u, tenzij Siteways uitdrukkelijke toestemming vooraf heeft aangevraagd en ontvangen. Siteways verwerkt daarom geen gegevens zoals ras, godsdienst of overtuiging, politieke of seksuele voorkeur, gegevens over uw gezondheid, kredietwaardigheid of strafblad.” (dat lijkt me AVG technisch niet houdbaar). Lang telefoongesprek over gehad, fijn dat ze een telefonische helpdesk hebben en er iemand bereikbaar is om.
  • https://fakercheck.nl/ op 20-01-2021 geregistreerd by GoDaddy.com USA. Per email bereikbaar op support@fakercheck.nl. Meest afgeschermde systeem tot nu toe (in de zin van niet weten wie er achter zit en waar je gegevens aan toe vertrouwt.
  • Ook is er een Whatsappgroep waarin sekswerkers elkaar waarschuwen, het lijkt me geen goede (juridische) structuur. Je deelt ook je eigen (werk)telefoonnr in de app en al die gegevens wil je ook niet op straat hebben liggen.

Hoe krijgen we een goede opzet die ook de toets der AVG doorstaat?

Hoe tonen we met name een zwaarwegend belang aan (en als dat al is lek geschoten, hoe doen we het beter?).   De AP kan een vergunning geven voor een zwarte lijst en er is een lijst met organisaties die die vergunning hebben gekregen op de website van de AP, zoals in de horeca of de supermarkt. En ook met seksuele intimidatie in de sport.

via jurist Proud:  Ik denk dat het geheel samen problematisch wordt. Vanuit de AVG geredeneerd moet er een goede verklaring zijn voor elke verwerking. Als een verwerking “riskanter” is (bijv. gegevens over iemands seksuele leven) moet er een betere reden zijn om die verwerking toch te mogen doen.

via SoaAids: De GDPR is dan wel overkoepelend, maar elk land gaat zelf over de bijzondere persoonsgegevens. In het geval van Ugly Mugs is het systeem wel goedgekeurd, maar heeft SoaAids geen gerechtvaardigd belang, en zelfs Proud zou de gegevens niet mogen beheren. Als derden dit opslaan moeten ze een verwerkingsverantwoordelijk beroep hebben, zoals notaris of accountant. (Art 6 AVG). Juristen vinden overigens dat de AP dit veel te streng hanteert.

Indien persoonsgegevens worden verwerkt door iemand anders ben je verplicht om een verwerkingsovereenkomst te sluiten. In die verwerkingsovereenkomst benoem je bijv doel van de verwerking, hoe te handelen bij een datalek en wat als er iemand beroep doet op het verwijderen van de gegevens (denk aan een klant die door heeft dat hij in een lijst staat).

De vraag is dus vooral hoe sekswerkers een houdbaar systeem kunnen opzetten (of dat al is opgezet) zonder het risico offline gehaald te worden omdat het de toetsen der kritiek heeft doorstaan én door iedereen wordt omarmd (om versnippering te vermijden).

 

Fakers lists

In the Netherlands, both Ugly Mugs, Kinky’s Fakers list, and customer reviews on Hookers are NOT allowed anymore by the AP (Authority Person). The Fakers list and the reviews are no longer accessible, Ugly Mugs has not yet gotten off the ground.

So far, the AP has never found a sufficiently compelling interest to be allowed to process data, no matter how much sex workers care about it for their safety. But several initiatives have emerged to fill the gap of the Fakers list. Interviews with sex workers also show how incredibly important sex workers find it to have a ‘blacklist’. Where Ugly Mugs mainly focuses on criminal acts committed by dangerous clients, the Fakers list also focuses on, as the word says, the fakers. These are the no shows at home workers, and the addresses that are not correct where you drive to as an escort. The time wasters.

There has been talk with someone from SoaAids and with someone who used to be a lawyer at Proud and who is familiar with the AVG legislation (privacy laws) , and there has been email contact with 2 initiatives.

There is a well thought out international initiative that could also work well in the Netherlands and at least 4 Dutch initiatives are known.

UK initiative – Client Eye

https://www.clienteye.app/ contact@clienteye.app plus the app on Android

Client Eye was initiated by a UK sex worker, is technically developed, and their team includes at least 50% sex workers. They already describe themselves as ‘fully inclusive, incl male/female/trans, and for brothels, agencies, independent escorts and streetworkers. They not only target violent clients (like Ugly Mugs) but also the ‘time wasters’, the ‘fakers’.

Client Eye claims to use secure servers on UK territory with encrypted databases.

The GDPR (in the Netherlands the AVG, the privacy law, in effect since May 2018) applies to the entire EU. Client Eye, based in the UK, says it is covered by the GDPR. But the Brexit has changed that. The UK has become a ‘Third Party’. EU data may only be transferred to ‘Third parties’ or international organizations under certain circumstances. THE UK falls back on the DPA 2018, which will be merged with GDPR rules to create a GDPR UK. If the EU adopts an ‘adequacy decision’ then data may be transferred. Client Eye states that they are fully GDPR proof, and I expect them to continue to use this standard and that the EU will issue an adequacy decision to the UK.

Client Eye states that they are not a blacklist (as the Fakers list was) but that their app allows them to give ‘a better informed decision on a client/date’. That seems like pure semantics to me.

By the way, clients can submit a GDPR ‘removal request’.

The question is: what about data that sex workers on Dutch territory supply about their clients to a UK database? Whether or not the AP would approve this, it seems elusive to me.

Info from Client Eye:

When we first started the app, and before launching, we checked with the Information Commissioner Office (ICO) https://ico.org.uk/ who regulate all aspects of GDPR in the UK, our app concept was accepted as being within GDPR guidelines and we are now fully registered with them as data controllers.

Our reporters are 100% anonymous, and if/when they decide to report, they are reporting information they have obtained and own, they can legally share that information with other app users. Just like any person can store any other persons number in their device without the “data subjects” consent.

The information in the reports only becomes personally identifiable information and subject to GDPR rules, IF, a “Data Subject” claims ownership of any reported number, up to that point the information is owned by the anonymous reporter who made it.

If a person claims ownership of a reported number then we have to follow GDPR guidelines in how we handle their request.

In regards to the issue you have faced in the Netherlands, we cannot comment as we have no knowledge of the NL GDPR governing body and how they apply their interpretation of the EU GDPR rules.

We have noticed reports appearing from NL over the past few weeks and can assure you and them that the data transfer to UK servers is 100% legal. As we have mentioned previously our users are 100% anonymous to us, we never collect any identifiable information about the user or their device so all users can safely report without repercussion.

Our apps have been designed to allow worldwide reporting and can work just as well in the UK as it can in the Netherlands, if users report their timewasters all other users of our apps get notified if that timewaster calls them. It’s collective knowledge creating greater safety.

In the coming months we are updating our apps with more language options, although we have no current plans to include Dutch if more reports started to appear from the Netherlands it would be added.

If you have any other questions, queries or if you think we can help in any other way please do let me know by email or by DM on twitter.

Regards, ClientEye Manager / Developer

 

SoaAids has consulted with a lawyer:

The UK is no longer a member of EU; so they are passing data to a third country where there is no judgement yet on UK as being a responsible legislator in this area (which you state at the beginning). This should actually be clear first: so now it is actually ‘forbidden’ anyway.

Moreover, sex workers are going to exchange / pass on criminal data to each other at all, which in principle is not allowed. The question is whether the Dutch implementation law is applicable to Dutch sex workers if they use the British app. Therein lies the crux. Article 4 of the implementation law states that it depends on implementation at a particular establishment = broadly interpreted. If sex workers are interpreted as an establishment, then the NL implementation law applies to them, and then it is not allowed. (Something with individual sex workers who must have model contract provisions if they are going to deviate from these things individually).

We are now requesting a meeting with the AP about Ugly Mugs. If we really can’t work it out and there are no other options left, we will ask if an app like this could offer a solution for NL sex workers and what the AP thinks about that (with your approval?).

Dutch initiatives

There are also at least four other initiatives to have emerged, and the important data is now fragmented, while of course you would prefer to have one well-filled and strong system. Nobody is waiting for searching different systems to find out if your customer is listed. In itself, the emergence of alternatives shows the urgent importance of such a list.

https://fakerslist.com/account/login/ this is one of them. Registered with TransIP on December 19, 2020. It asks for an ad profile from Kinky and Sexjob (along with work name, email address, tel nr and age) if you want to register.

There is also smuglist.com (registered since Sept 2019, Sideways Group, on NL territory)) and promises data from 2016. In the privacy statement they say “Does Siteways process special and/or sensitive personal data? Siteways does not process special and/or sensitive personal data about you, unless Siteways has requested and received explicit prior consent. Siteways therefore does not process data such as race, religion or belief, political or sexual preference, data about your health, credit rating or criminal record.” (that doesn’t seem AVG technically tenable to me). Had long phone conversation about it, nice that they have a phone help desk and someone is available to.

https://fakercheck.nl/ on 20-01-2021 registered by GoDaddy.com USA. Reachable by email at support@fakercheck.nl. Most shielded system so far (in the sense of not knowing who is behind it and where you entrust data.

There is also a Whatsapp group where sex workers warn each other, it doesn’t seem like a good (legal) structure to me. You also share your own (work) phone number in the app and you don’t want all that data on the street either.
How do we get a good structure that also stands the test of the AVG?

How do we demonstrate a compelling interest (and if it is already blown off, how do we do it better?). The AP can issue a blacklist permit and there is a list of organizations that have been granted such a permit on the AP’s website, such as in the hotels/restaurants or the supermarket. And also with sexual harassment in sports.

Via Lawyer Proud: I think the whole thing together becomes problematic. From the AVG point of view, there has to be a proper explanation for any processing. If a processing is more “risky” (e.g., data about someone’s sexual life), there needs to be a better reason to allow that processing anyway.

via SoaAids: The GDPR may be overarching, but each country deals with its own special personal data. In the case of Ugly Mugs, the system is approved, but SoaAids has no legitimate interest, and even Proud would not be allowed to manage the data. If third parties store it, they must have a processing profession, such as notary or accountant. (Art 6 AVG). Legal experts, by the way, think that the AP uses this far too strictly.

If personal data are processed by someone else, you are obliged to enter into a processing agreement. In this processing agreement you specify e.g. the purpose of the processing, how to act in case of a data leak and what if someone requests the deletion of the data (think of a client who realizes that he is on a list).

The question is therefore how sex workers can set up a sustainable system (or one that has already been set up) without the risk of being taken offline because it can withstand AP critiscism and is embraced by everyone (to avoid fragmentation).

*** Translated with www.DeepL.com/Translator