Internationale domeinbeheerder staat afschermen domeininfo toe

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer het gaat om persoonsgegevens, en ICANN lijkt daardoor nu overstag te gaan.

Domeinnamen en WHOIS bestaan al enkele decennia. In de basis is het erg nuttig dat je kunt zien wie de eigenaar is van een domeinnaam, zodat je deze bijvoorbeeld kunt contacteren in geval van misbruik van het systeem. Meestal was dat ook geen probleem voor de eigenaar, want lange tijd hadden eigenlijk alleen bedrijven en instellingen hun eigen domeinnamen.

Nadat steeds meer privépersonen domeinnamen gingen registreren, begon het ietwat te knellen. Je moest namelijk je ware en volledige gegevens invullen, inclusief je naam en privéwoonadres. Dat voelt nogal privacygevoelig en dat is het natuurlijk ook, maar zo waren de regels nu eenmaal. En zeker met de AVG in het vooruitzicht werd het tijd dat hier een knoop over werd doorgehakt.

De AP is stellig, zij het kort:

Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk, omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is.

De kern zit hem natuurlijk in die noodzaak. ICANN zei altijd dat die gegevens nodig waren, maar dat is eigenlijk een cirkelredenering: zij hadden een regel ingevoerd dat het moest, dus moest het. Maar dat is niet genoeg, je moet een objectieve noodzaak kunnen aantonen. En die is er eigenlijk niet. Het zou net zo goed kunnen werken bijvoorbeeld als de WHOIS gegevens afgeschermd zijn, en men via een opvraagprocedure gemotiveerd moet aangeven waarom men die gegevens wil hebben.

Ook is er geen sprake van toestemming, want (zeker onder de AVG) wie zegt “zonder toestemming kom je er niet in” die dwingt toestemming af, en die is dan niet rechtsgeldig. Niet meer dan logisch.

In haar verklaring zegt ICANN dat ze nu voorlopig dit vereiste los gaat laten voor persoonsgebonden domeinnamen. Een registrar die op deze manier wil gaan werken, moet wel aan ICANN uitleggen wat haar proces is om op zorgvuldige manier de werkelijke houderdata te verkrijgen en te bewaren.

Voor Nederlandse domeinnamen geldt dit niet: die worden beheerd door SIDN en die heeft al jaren een afgeschermd register. Alleen een zelfgekozen mailadres moet zichtbaar zijn bij privépersonen, de overige gegevens zijn alleen gemotiveerd op te vragen.

Arnoud

14 reacties

  1. Als registrar krijg je overigens nog wel meer gegevens te zien bij .nl domeinnamen. Overigens is het hier verhaal dat voor zover ik heb meegekregen ging over de nTLD’s, in aantallen extensies gaat het om veel. In aantallen registraties (en dan helemaal mbt het afschermen) is het beperkt.

    1. Wat het kadaster precies heeft en inzichtelijk maakt voor iedereen durf ik niet precies te zeggen. In de whois staan normaal gesproken naam/straatnaam/huisnummer/postcode/plaats/land/telefoonnummer/e-mail adres/fax nummer opgenomen. Daarnaast is deze informatie vaak op geautomatiseerde wijze te verzamelen. Wat ik zo gauw bij het kadaster zag is dat je voor veel informatie moet betalen, bij whois gegevens hoeft dat normaal niet.

      Ook als de whois geen gegevens van de houder bevat is vaak rond een domeinnaam wel een hosting bedrijf en/of registrar te vinden. Deze kun je altijd aanspreken om de gegevens van de klant vrij te geven en in bepaalde gevallen zijn ze hier ook toe verplicht of kun je hiervoor een rechtzaak starten. Daarnaast kun je de registry/registrar/hoster vragen een bericht door te sturen. Hiervoor kan in de basis gekeken worden naar de regels rond de gangbare NTD procedure om te zien waar je aan kunt/moet kloppen. De drempel om de gegevens in handen te krijgen is wel hoger.

  2. Dus als ik als privé-persoon thepiratebay.nl registreer, en daar allerlei auteursrechtinbreuken assisteer, dan kunnen auteursrechthouders niet te weten komen wie ze moeten aanklagen? Klinkt heel nuttig! 😀

    1. Als registrar kan ik het al inzien van alle .nl domeinnaamhouders op het moment. Er zijn wel andere TLDs die standaard moeilijker zijn om de gegevens van te achterhalen. En er zijn ook TLDs die makkelijker zijn. Daarnaast zullen in bepaalde gevallen de gegevens bij de registry op te geven zijn. Zodra je voor valse gegevens gaat of het op naam van je leverancier laat zetten en betaald met bitcoin (of beter nog contant) dan wordt het wel moeilijker om je te traceren/achterhalen.

  3. maar als een registrar niet meewerkt de gegevens te verstrekken, die zal dat in de regel niet doen, heeft aankloppen bij SIDN wel zin dan? wat als je bijv. eenleeg domein wil aanspreken omdat de (afgeschermde) domeinnaamhouder jouw oudere handelsnaam gebruikt. dan sta je met lege handen lijkt het.

  4. N.a.v. dit bericht heb ik mijn registrar gevraagd mijn whois-gegevens af te schermen. Ze antwoorden met onderstaande. Mag dat wel zo? “Voor het afschermen van gegevens bieden wij een extra dienst aan. Het gaat hier om Privacy protect. Hierbij vervangen wij uw gegevens door die van ons. Hier zitten kosten aan verbonden en die kosten bedragen jaarlijks EUR 12,- en eenmalig EUR 6,- aan overdrachtskosten”

    1. Een bedrijf mag zo’n dienst aanbieden, maar ook voor klanten die niet van deze extra dienst gebruik maken moeten persoonsgegevens in WHOIS worden afgeschermd. En wel zonder erom te hoeven vragen, want het niet afschermen is verboden.

      Hoe je dit verbod kunt afdwingen, weet ik helaas niet. Arnoud?

      1. Waaruit blijkt dat registrars de gegevens niet correct aan de registry hoeven te leveren? Voor zover ik na kan gaan moeten wij ze aan de registry leveren om de registratie (waar de klant om vraagt) te kunnen doen. Het afschermen moet volgens mij gedaan worden door de registry.

        @Jesper: heb je de vraag al bij de betreffende registry neergelegd?

        1. Waaruit blijkt dat registrars de gegevens niet correct aan de registry hoeven te leveren?

          Geen idee, heb ik niet gezegd.

          Voor zover ik na kan gaan moeten wij ze aan de registry leveren om de registratie (waar de klant om vraagt) te kunnen doen. Het afschermen moet volgens mij gedaan worden door de registry.
          Hoe de afscherming precies moet gebeuren is een zaak voor de registry en registrar om onderling op te lossen.

          Ik begrijp van het standpunt van ICANN dat ze de registrars voorlopig vrij spel geven.

    2. Standaard vermelden wij de gegevens die onze klant opgeeft. Dit zullen meestal de gegevens van de klant zijn. Als een klant ons vraagt om iets aan afscherming te doen zullen we enkel de werkelijke kosten doorberekenen. En afhankelijk van de extensie kunnen er kosten aan verbonden zijn (bv bij .be domeinnamen). De meeste van onze klanten zijn overigens bedrijven en het genoemde gedrag verwacht ik eerder bij grote of budget hosters/registrars.

    3. Hierbij vervangen wij uw gegevens door die van ons. Hier zitten kosten aan verbonden en die kosten bedragen jaarlijks EUR 12,- en eenmalig EUR 6,- aan overdrachtskosten”
      Dat klinkt misschien leuk, maar kan een “recipe for disaster” zijn, omdat de domeinnaam dan niet meer van jou is. Kan alleen maar vaak fout gaan in geval van disputen of faillissementen. Wie zegt dat ze willen meewerken als ik naar iemand anders wil?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.