Is het een datalek als de curator een domeinnaam opheft?

Interessante vraag via Twitter:

Interessant vraagstuk, heb navraag gedaan bij #authoriteitpersoonsgegevens. Deze kan mij niet vertellen of “als een curator tijdens faill. afhandeling de domeinnamen laat verlopen” Het een ‘datalek’ is. #zouwelmoeten

De achterliggende gedachte is dat een ander de domeinnaam dan kan registreren en bijvoorbeeld mail bestemd voor het oude bedrijf kan opvangen. Daarmee zou die ander dan persoonsgegevens te pakken krijgen, zoals gegevens van oude klanten of zelfs gevoelige dossiers die worden nagemaild.

Een datalek onder de AVG is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot misbruik of verlies van persoonsgegevens (artikel 4). Ik zie zeker wel hoe dit ‘kapen’ van de domeinnaam kan leiden tot enige vorm van misbruik va persoonsgegevens, maar ik zet mijn vraagtekens bij het element “inbreuk op de beveiliging”. Welke beveiliging wordt er immers doorbroken?

Ik kan een domeinnaam an sich moeilijk als een beveiligingsmaatregel zien, zodat het opheffen of laten verlopen daarvan (door een curator of gewoon uit slordigheid) volgens mij ook geen inbreuk of schending daarvan is. Het voelt wat creatief om te zeggen, de domeinnaam is deel van de beveiliging van de e-mail (want wie de domeinnaam beheerst, beheerst de routering van de mail) en het opheffen daarvan is dus een beveiligingsschending. Alsof de curator het mailserverwachtwoord op internet zet. Mja. Het kan, maar lekker voelt het niet.

Dat neemt niet weg dat het bepaald onzorgvuldig is om dit zomaar te doen, zelfs in een faillissement. Al is het maar omdat klanten en leveranciers gewoonlijk via de mail contact zullen zoeken, toch iets waar je rekening mee moet houden.

Arnoud

39 reacties

  1. Wanneer je beseft hoe veel technische en procedurele maatregelen normaliter worden genomen om de link tussen domeinnaam en mailserver te borgen is het wel duidelijk dat het weggeven van de domeinnaam een beveiligingsschending is. DNSSEC, DANE, SPF, DMARC, 2FA op beheer DNS records, fixeren eigenaarschap met registrar locks, blokkeren van DNS Zone Transfers… Dit is belachelijk onzorgvuldig. Met de plotselinge volledige controle over een domeinnaam ben je in staat om zeer, zeer veel handelingen namens het bedrijf te gaan doen. Denk ook aan het resetten van allerlei credentials behorend bij bedrijfsmatige accounts (evt. op naam individuele medewerkers). Het lokt ook nieuwe datalekken uit in de vorm van mailtjes die nietsvermoedend aan de nieuwe eigenaar van het domein gestuurd worden. Deze curator weet niet wat hij doet. Bovendien kost het geregistreerd houden van een naam slechts een paar euro per jaar.

  2. Gelet op de tijdsassymetry tussen het laten verlopen van een domeinnaam (t) en de eventuele daarop volgende her-registratie (t+1) en opvangen van mail etc (+2 etc.) kan ik mij niet voorstellen dat de handeling van het laten verlopen redelijkerwijsals datalek gekwalificeerd kan worden. Inmmers door die handeling vindt nog geen onrechtmatige verwerking plaats. Pas indien en zodra een nieuwe eigenaar oude email opvangt, kan mogelijkerwijs sprake zijn van ontrechtmatig verwerken. Maar, ligt dat niet aan de zender? Moet de zender zich er niet van vergewissen dat hij/zij persoonsgegeven op juiste wijze verwerkt dus ook naar de juiste geadresseerde stuurt? Faillissementen worden breed gepubliceerd dus ‘wissut niet’ lijkt geen excuus.

    Er is ook een andere vraag relevant. Namelijk is het laten verlopen van een domein naam wel in het belang van de boedel? Veel domeinnamen vertegenwoordigen immers een waarde. De curator had deze dus beter kunnen verkopen (onder gelijktijdie afsluiting van een obvereenkomst hoe om te gaan met ‘nagezonden’ mail.)

  3. Ik ben curator en las je blog en de reactie met belangstelling. Ook ik heb -mea culpa- ongetwijfeld domeinnamen laten verlopen. Wat ik niet begrijp -waarschijnlijk wegens gebrek aan technische kennis- is hoe je door bezit van een domeinnaam toegang tot mailservers met (oude) data kan krijgen. Ik stel me zo voor dat die mail ergens bij een datahoster staat. Stuurt die alles zo maar toe, of geeft die zomaar toegang, tot een ieder die een domeinnaam bezit? Anders geformuleerd: verschaft het enkele bezit van een domeinnaam je enig recht op die data? Is het misschien niet zo dat het veiligheidsprobleem eerder bij de datahoster dan bij de curator ligt? De hoster (of wie dan ook maar de data onder zich houdt) zou zich wellicht meer bewust moeten zijn van aan wie hij/zij toegang tot data geeft. Het enkele bezit van een domeinnaam lijkt mij daarvoor volstrekt onvoldoende.

    1. De persoon of organisatie die de domeinnaam weer zal registeren, zal hiermee geen toegang krijgen tot de mail die al was ontvangen/die bij de hoster staat. Wat hiermee wel mogelijk wordt, is dat deze persoon of organisatie toekomstige mail kan ontvangen. De domeinnaam kan hierbij namelijk email routeren naar de mailserver van de nieuwe eigenaar.

      Daar veel afzenders nog gewoon naar het oude emailadres zullen mailen, zal er ongetwijfeld ook vertrouwelijke informatie terecht komen bij de nieuwe eigenaar.

    2. De verwerver van de verlopen domein naam, kan nieuwe emails onder de verworven domein naam versturen en alle nieuwe emails naar dat domein naam ontvangen. Dat maakt het relatief eenvoudig om te doen alsof iemand handelt namens het nu failliete bedrijf. Daar kan misbruik van gemaakt worden. Toegang tot oude informatie is inderdaad minder waarschijnlijk, maar als de emails nog ergens bij een dienstverlener staan, zou de nieuwe eigenaar van het domein daar mogelijk aan kunnen komen (als de dienstverlener niet eerst contact zoekt met de curator). Domein namen zijn mogelijk belangrijker dan andere IE rechten in een boedel, omdat de eigenaar van een domein naam daar schijnbare legitimiteit aan kan ontlenen.

      1. Dank voor de reacties; dat biedt iets meer inzicht. Ik begrijp daaruit in elk geval dat er mogelijk misbruik gemaakt kan worden; een soort identiteitsfraude. Dat lijkt mij in elk geval geen datalek, maar bovendien ook niet iets waar de curator op aangesproken zou kunnen worden. Het faillissement wordt bovendien door publicatie (in het insolventieregister op internet) geacht algemeen bekend te zijn bij een ieder (juridische fictie, maar wel basaal uitgangspunt). Als iemand dan handelt met een failliet bedrijf (of iemand die zich als dat bedrijf voordoet) is dat ook nog zijn eigen schuld. Zie ook de reactie van Ludo hiervoor.

        1. Dit vind ik allemaal veel te kort door de bocht “niet mijn schuld… technisch gezien geen datalek… eigen schuld…“. Draai het eens om: in plaats dat klanten de faillissementsregisters bij te moeten houden zou het failliete bedrijf misschien alle email-contacten een bericht moeten sturen dat de boel opgeheven gaat worden?

          We zijn het er denk ik allemaal wel over eens dat de gevolgen groot kunnen zijn van een verlopen domeinnaam. Het lijkt me eerder voor de hand liggen dat het een standaard procedure wordt voor curators dat alle domeinnamen in eigen beheer worden overgenomen, de website aangeeft dat de boel failliet is en inactief, en de email-servers op auto-respond gaan met een soortgelijk bericht voor bijvoorbeeld 5 jaar. Dat kost dus in totaal 5 tientjes, plus een half uurtje om dit te regelen.

          1. De vraag was of het een datalek is in de zin van de wet. Jij snijdt een ander thema aan, namelijk of het wenselijk is dat er een standaard procedure komt in verband met de mogelijke gevolgen. Dat is op zich ook een interessante discussie, die gaat over wat de kerntaken van een curator zijn.

          2. Volgens mij is het niet zo simpel, want jij gaat 5 jaar lang (mogelijk) data verwerken en zult dus alle infrastructuur rondom het verwerken van data ook moeten optuigen. Privacy beleid, verwerkers overeenkomsten etc etc. Wat evt wel een mogelijkheid is om domein 5 jaar vast te houden en alle smtp/mx etc records te verwijderen. Dan kan men geen mail sturen en ziet men aan de andere kant dat het licht uit is. Zit je alleen nog met het eigenaarschap van die naam want wie beheert dat? De curator?

            1. Praktisch is dat volgens mij niet zo moeilijk: Er zijn zat registrars waar je 5 jaar registratie vooruit kunt betalen. Kost misschien 100 piek, maar dan is het ook klaar: registreren, betalen, geen MX record instellen en login gegevens van de registratie vernietigen. Na 5 jaar zal de registrar het domein wel sluiten wegens wanbetaling, in de tussentijd zal niemand mail lezen die er naar toe gestuurd werd. (want geen MX record ingesteld)

              Als het zo simpel is om mail-lekkage te voorkomen, dan kun je je inderdaad afvragen of dat niet onder de zorgplicht van de curator hoort.

        2. Stel je voor dat je een klant bent bij een bedrijf en hoort dat het in een faillissement zit. Je mailt info@datbedrijf.nl, zoals je dat altijd deed, om informatie te krijgen. Maar inmiddels is het domein al van iemand anders en krijgt die nu dus jouw mail binnen. Die persoon weet dan dat jij klant was van het failliete bedrijf. Dat is een lek en staat los van eventuele oplichting of identiteitsfraude die die persoon vervolgens kan plegen.

          Ik heb het nu over gewoon een vraag naar informatie, waarbij alleen je emailadres en naam bekend wordt, maar wat als je nog even snel een dossier wil opsturen, of een factuur, zodat je daar later aanspraak op kunt maken? Of als je een reply geeft op een mail, maar inmiddels heeft iemand anders het domein en kan dus de informatie uit eerdere mails teruglezen (omdat het mailverkeer in een reply wordt meegegeven, tenzij je het er zelf uitknipt).

          Zonder dat de nieuwe eigenaar dus maar iets hoeft te doen, kunnen ze best wat info verzamelen. Het lijkt een beetje op iemand die verhuist, maar dat nergens doorgeeft. De nieuwe huurder kan dan in feite alles over die persoon inzien dat wordt opgestuurd, inclusief eventuele informatie van verzekeraars, facturen/aanmaningen en persoonlijke reclame. Volgens mij ben je verplicht de verkeerd geadresseerde post ongeopend te laten, en misschien zelfs terug te sturen/door te sturen, maar doet iedereen dat? Bovendien is het met een domeinnaam al gauw dat iemand ter kwader trouw snel het domein overneemt (tenzij het een mooie domeinnaam is, die ze eigenlijk al wilde hebben en nu eindelijk kunnen krijgen) en is de verplichting om een datalek te melden er omdat mensen die onterecht informatie over anderen verkrijgen, daar niet altijd even netjes mee omgaan (op zijn zachtst gezegd).

          1. Je mailt info@datbedrijf.nl, zoals je dat altijd deed, om informatie te krijgen. Maar inmiddels is het domein al van iemand anders en krijgt die nu dus jouw mail binnen. Die persoon weet dan dat jij klant was van het failliete bedrijf. Dat is een lek en staat los van eventuele oplichting of identiteitsfraude die die persoon vervolgens kan plegen.

            Ik begrijp het probleem wel, maar hoe moet ik daar een inbreuk op de AVG door de curator van maken? De curator doet -letterlijk- niets. De klant mailt vervolgens zelf, waardoor diens gegevens bij een derde terechtkomen. In de niet digitale variant: de huur van het pand waarin de failliet is gevestigd, eindigt. Een klant stuurt nog steeds post naar het oude adres. Veroorzaakt de curator dan een datalek? Ik vind van niet.

            1. Niets doen kan ook een actie zijn. In dit geval laat je een domein verlopen, terwijl dat het bekende contactgegeven is met het failliete bedrijf. Daar gaan persoonsgegevens heen, en je laat je controle daarover verlopen. Dan maakt het volgens mij niet uit of iemand het domein overneemt, maar wel dat het kán en daarmee is het een datalek. Als je een contactpunt laat verlopen, die een ander kan overnemen, kunnen daar persoonsgegevens verzameld worden door derden en is het daarmee een datalek, denk ik. Ik weet niet hoe het voor de wet is (ik ben geen jurist, daar hebben we Arnoud voor nodig), maar in feite moet er iets geregeld worden voor de contactgegevens. Iets voor het adres en eventuele postbussen, telefoonnummers én emailadressen.

              Uiteindelijk denk ik dat de curator de verantwoordelijkheid van het bedrijf heeft overgenomen, en daarmee verantwoordelijk is voor het veiligstellen van de contactgegevens, zodat niemand zich zo kan plaatsen dat ze de informatie kunnen laten binnenlopen.

            2. De AVG eist dat je organisatorische en technische maatregelen neemt om ongeautoriseerde verwerking van persoonsgegevens te voorkomen. Niets doen kan dus een tekortkoming onder de AVG zijn. Ergens houdt het wel op, als iemand 20 jaar na het faillissement nog eens een mail stuurt over zijn historisch dossier en een heel ander bedrijf zit nu legitiem op die domeinnaam, dan zou ik dat geen datalek meer vinden.

              1. Maar eist de AVG dit ook van de curator? Vergeet niet dat de curator niet de vertegenwoordiger van het bedrijf is; hij is geen directeur of bedrijfsleider. Hij is iemand die vanuit het niets in een boedel wordt gedropt om te liquideren voor de gezamenlijke schuldeisers. Zijn primaire taak is -net als een deurwaarder- zaken voor zoveel mogelijk geld verkopen. Ik ben wel benieuwd; ergens heb ik de indruk dat de wetgever nooit heeft stilgestaan bij hoeveel verschillende vormen en variaties van datalekken zich kunnen voordoen onder de huidige definities. Dit is er ook zo een, waar je goed over kun discussiëren en voor beide meningen wel wat valt te zeggen.

                1. De curator is geen vertegenwoordiger van het bedrijf maar is wél de verwerkingsverantwoordelijke voor persoonsgegevens die in de boedel zitten. Hij beslist immers wat daarmee moet gebeuren (keuze van doel) en op welke manier (keuze van middelen), en voldoet daarmee aan de definitie van dat begrip uit de AVG. Om diezelfde reden kan een curator ook niet zomaar een bestand met bijvoorbeeld klantgegevens te gelde maken.

                  Deze curator op hakken biedt nog mooie inzichten voor de curatorpraktijk, al gaat ze wat snel bij de vraag of verhandelen van bestanden mag met een beroep op direct marketing. Ik meen dat doelbinding te ingewikkeld wordt.

                  1. Is dat wel zo? Het belang dat een curator heeft is om zoveel mogelijk financiële middelen uit een failliet bedrijf te trekken om de schuldeisers te betalen. Daarbij mag de curator dus diverse afspraken schenden. Volgens mij valt de AVG daar ook onder. Een curator zou dus een klantenbestand kunnen doorverkopen aan een spammer wat inkomsten genereert. Vervolgens krijgt het bedrijf een boete wat bovenop de stapel schulden komt. Als de boete lager is dan de inkomsten is het best verleidelijk…

                      1. Behoort het klanten-bestand niet ook tot de boedel? Dat is immers een database en die hebben toch weer een aparte status. Een curator zou dus het bestand tegen betaling kunnen doorsturen naar iedereen die interesse heeft zolang die personen maar niet gaan snuffelen in de prive gegevens. Een mooi, grijs gebied eigenlijk… 🙂

                  2. Arnoud, ik twijfel eraan of de curator wel zo gemakkelijk verwerkingsverantwoordelijke is. Hij heeft namelijk niet echt keuze van doel en keuze van middelen. Hij heeft een wettelijk voorgeschreven taak te vervullen en uit de uitvoering van die taak volgt onvermijdelijk wat er moet gebeuren en hoe. Hij heeft wat doel en middelen betreft slechts 1 keuze: namelijk die keuze volgt uit de vervulling van zijn taak. 1 keuze is geen keuze.

                    Het is misschien een wat gekunsteld argument, maar een curator AVG verantwoordelijke maken omdat er een mogelijkheid is dat een eerste ander een fout maakt door persoonsgegevens te mailen naar een incorrect emailadres, en een tweede ander dubieus bezig is door alle emails naar het opgezegde domein af te vangen, en er dan theoretisch een datalek is, is ook gekunsteld.

                    1. Ik vind dat wel wat kort door de bocht. Omdat je een bepaalde taak hebt, betekent niet dat er maar 1 keuze is om die uit te voeren. Dan kun je net zo goed de curator weglaten en een computerprogramma het laten uitvoeren. Er zijn veel manieren om zijn taak uit te voeren, en vast minstens een paar keuzes in het proces die beide viable zijn. Bovendien mag je er toch van uitgaan dat een curator gebonden is aan een aantal regels, bijvoorbeeld over volksgezondheid. Ik zou het niet gek vinden als hij ook verantwoordelijk is voor onderdelen van de AVG, bijvoorbeeld een emailadres. Volgens mij zijn er genoeg voorbeelden gegeven waarom iemand bij het verkeerde adres zou uitkomen, waarbij je niet zomaar de schuld in de schoenen van de klant kunt schuiven. Zoals iemand anders al zei, mensen houden niet alle faillissementen bij. Een correcte afhandeling van de email vind ik best logisch. Een automated response die een redelijke tijd aanstaat vind ik niet meer dan redelijk.

    3. Wie het domein bezit (of beheert) kan bepalen waar de DNS (https://en.wikipedia.org/wiki/DomainNameSystem) zit, en wat daarin staat. Een van de dingen die daarin kunnen staan, is een MX (mail exchange) record, dat weer naar een ander DNS-record verwijst en dat uiteindelijk naar een IP-nummer. Dat IP-nummer bepaalt de mailserver waar nieuw verzonden e-mail aan een gebruikersnaam onder het betreffende domein zal binnenkomen, en verwerkt kan worden.

    1. Uitgaande van een woonhuis en een gewone verhuizing, lijkt me niet. De persoon die verhuisd is, is verantwoordelijk. Het zijn zijn gegevens. Volgens mij zijn er wel regels over wat je met de post mag doen (niet openen, tenzij het nodig is vast te stellen dat het niet voor jou is/waar het naar terug moet, of zo). Als de persoon in kwestie is uitgezet, misschien een datalek van de verhuurder? Als de persoon in kwestie een bedrijf aan huis had, is het een datalek van dat bedrijf, denk ik. Ook kan ik me voorstellen dat als een bedrijf niet voorzichtig is met de post die het stuurt, of een slecht georganiseerd systeem heeft om adreswijzigingen door te geven, dat een datalek kan zijn (adreswijzigingen zijn moeilijk door te geven, worden niet altijd goed geregistreerd, of zijn juist veel te makkelijk te doen door derden). Als het om een bedrijfspand gaat, is het aan het uitgaande bedrijf (ook als het failliet is), om dat af te handelen, denk ik, en kan het misschien ook wel een datalek zijn.

      Daarbij mag je ervan uitgaan dat een pand opnieuw in gebruik wordt genomen. Daar zijn ze voor. In feite heeft een pand altijd een eigenaar. Bij een domein is dat anders. Ik denk dat in de meeste gevallen een snel overgenomen domeinnaam is om email te onderscheppen van de voormalige eigenaar, zeker bij een faillissement. Als een domein 3 jaar na dato wordt overgenomen en dan toch nog eens een mail van iemand ontvangt, denk ik niet dat dat expres is (hoewel het misschien nog wel gemeld moet?).

  4. Volgens mij moet je dan kijken naar de ver/bewerker van de data die “gelekt” wordt. En dat is volgens mij de zender die data naar een niet meer bestaande entiteit stuurt. Die zender moet verifiëren of ze de data naar de juiste partij sturen. Er van uit gaande dat de entiteit die failliet is niet meer bestaat.

  5. Het probleem is niet zozeer alle oude emails omdat de mailserver gewoon op slot zit. Het gaat meer om de nieuwe emails die nog steeds blijven binnenkomen nadat een domeinnaam is verhuist. Alleen komen die dan binnen bij de nieuwe eigenaar en dat kan vervelend worden…

    Het probleem wordt erger indien er allerlei accounts op andere sites zijn gemaakt met adressen van het verlopen domein. Want de nieuwe eigenaar kan al die sites gewoon langs gaan en aangeven dat hij het wachtwoord kwijt is en zo per email toegang krijgen tot de diverse accounts die aan het domein zijn gekoppeld. Denk daarbij aan Facebook, LinkedIn, Twitter, Google en andere sites.

    Nu is het wel zo dat verlopen domeinnamen veelal in quarantaine gaan en gedurende die tijd ook niet actief zijn. Als het dan meezit zijn de meeste accounts tegen die tijd wel verlopen, verouderd of alsnog verhuist naar een ander email adres. Maar als de curator een domein verkoopt in plaats van dat deze verloopt dan kunnen er dus wel problemen ontstaan…

    Naar mijn mening is het dus een datalek indien de nieuwe eigenaar emails blijft ontvangen die voor de oude eigenaar bedoeld waren.

    1. Is het niet al een datalek als je niet kunt garanderen dat het niet zo is? Ik geloof dat een bedrijf bijvoorbeeld ook moet melden dat er bij ze is ingebroken in de servers, als ze niet kunnen vaststellen of er persoonsgegevens zijn ingezien/gedownload.

    1. En hoe wil je het voor alle andere TLD’s regelen? In dit verhaal zit ik aan de kant van de hoster en als wij weten van een faillissement van een klant nemen wij contact op met de curator om uit te zoeken wat deze wil. Meestal krijg je geen reactie of pas een reactie na maanden is mijn ervaring…

  6. Op de schermpjes van geldautomaten zag je vroeger nog wel eens een melding in de trant van “vergewis u ervan dat deze afbeelding van de pasopening overeenkomt met de werkelijke pasopening”.

    Een neonbord, een pasopening en een domeinnaam kunnen wel degelijk de indruk wekken dat je nu bij bedrijf X bent. Daarmee zijn ze onderdeel van een beveiligingsmaatregel. Leidt het opheffen of laten verlopen van die maatregel – even in het midden gelaten wat de eigen verantwoordelijkheid van de bezoeker is – niet tot een datalek?

  7. De vraag van de curator ter zake de kwestie m.b.t. de domeinnaam ( domeinnamen vallen onder de eerbiedigende bescherming van art. 1 Protocol 1 EVRM kan de curator het beste neer leggen bij de Wetgever i.v.m. het feit dat Nederland geen Constitutioneel Hof heeft opgericht en artikel 120 van de Nederlandse Grondwet rechters verbieden om de Advocatenwet te toetsen.

    Een advocaat-curator staat primair onder toezicht van de Rechter-Commissaris ex art 64 Fw en daarnaast onder gedeeltelijk toezicht (als advocaat in een andere hoedanigheid) van de deken van de lokale orde van Advocaten ex art. 46 advocatenwet van 1 januari 2015. Probleem daarbij is dat de toezichthoudende dekens in Nederland tevens advocaat en ondernemer zijn en sommige dekens ook (nog) curator en sommige advocaten ook rechter-plaatsvervanger zijn. Allen hebben belang bij deze situatie want zij “houden hun broek op via hetzelfde verdienmodel”. Het zou de Nederlandse Orde van Advocaten (NOvA) sieren wanneer zij hun ex-collega mr. Grapperhaus zouden verzoeken om prejudiciële vragen te doen laten stellen aan het EU-Hof te Luxemburg omdat in de Nederlandse advocatenwet systeemfouten zitten, zodanig dat deze conflicteert met het VWEU en het Europese Handvest.

    Joke van EMLS

  8. Inderdaad lijkt me dit geen datalek. Immers, als winkel A verhuist naar een andere straat en winkel B opent een filiaal in het oude pand van winkel A, dan komt daar ook gewoon alle post binnen. En bij verhuizing van particulieren ook: ik krijg nog steeds af en toe iets in mijn brievenbus dat voor de vorige bewoonster bestemd is.

    Dus op internet lijkt het me hetzelfde: dat hoort er gewoon bij als je iets overneemt dat beschikbaar is. Als je als overnemer netjes bent, dan geef je de post gewoon af bij de juiste persoon/het juiste bedrijf of stuurt het door naar het nieuwe adres (indien bekend).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.