Internationale domeinbeheerder staat afschermen domeininfo toe

| AE 9785 | Domeinnamen, Privacy | 13 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer het gaat om persoonsgegevens, en ICANN lijkt daardoor nu overstag te gaan.

Domeinnamen en WHOIS bestaan al enkele decennia. In de basis is het erg nuttig dat je kunt zien wie de eigenaar is van een domeinnaam, zodat je deze bijvoorbeeld kunt contacteren in geval van misbruik van het systeem. Meestal was dat ook geen probleem voor de eigenaar, want lange tijd hadden eigenlijk alleen bedrijven en instellingen hun eigen domeinnamen.

Nadat steeds meer privépersonen domeinnamen gingen registreren, begon het ietwat te knellen. Je moest namelijk je ware en volledige gegevens invullen, inclusief je naam en privéwoonadres. Dat voelt nogal privacygevoelig en dat is het natuurlijk ook, maar zo waren de regels nu eenmaal. En zeker met de AVG in het vooruitzicht werd het tijd dat hier een knoop over werd doorgehakt.

De AP is stellig, zij het kort:

Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk, omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is.

De kern zit hem natuurlijk in die noodzaak. ICANN zei altijd dat die gegevens nodig waren, maar dat is eigenlijk een cirkelredenering: zij hadden een regel ingevoerd dat het moest, dus moest het. Maar dat is niet genoeg, je moet een objectieve noodzaak kunnen aantonen. En die is er eigenlijk niet. Het zou net zo goed kunnen werken bijvoorbeeld als de WHOIS gegevens afgeschermd zijn, en men via een opvraagprocedure gemotiveerd moet aangeven waarom men die gegevens wil hebben.

Ook is er geen sprake van toestemming, want (zeker onder de AVG) wie zegt “zonder toestemming kom je er niet in” die dwingt toestemming af, en die is dan niet rechtsgeldig. Niet meer dan logisch.

In haar verklaring zegt ICANN dat ze nu voorlopig dit vereiste los gaat laten voor persoonsgebonden domeinnamen. Een registrar die op deze manier wil gaan werken, moet wel aan ICANN uitleggen wat haar proces is om op zorgvuldige manier de werkelijke houderdata te verkrijgen en te bewaren.

Voor Nederlandse domeinnamen geldt dit niet: die worden beheerd door SIDN en die heeft al jaren een afgeschermd register. Alleen een zelfgekozen mailadres moet zichtbaar zijn bij privépersonen, de overige gegevens zijn alleen gemotiveerd op te vragen.

Arnoud

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Cloud, Domeinnamen | 15 reacties

Een lezer vroeg me:

Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren?

Ja, dat mag men zo weigeren en er is geen grond om die data op te eisen bij de huidige dienstverlener.

Ik blijf het zeggen: juridisch is data helemaal niets, het bestaat niet en je kunt er dus ook geen aanspraak op maken tenzij contractueel is afgesproken van wel. Heel heel soms zou je kunnen beredeneren dat dit impliciet is afgesproken, maar je zult van goeden huize moeten komen en er is geen jurisprudentie hierover.

DNS-data is best cruciaal. Steeds meer diensten autoriseren verzoeken door naar informatie in DNS te kijken. Het bekendste voorbeeld is SPF, een protocol om mailberichten te authenticeren. Wanneer iemand een mailtje verstuurt, wordt dan in de DNS op het afzender-domein gekeken of daar een record is dat toestemming geeft aan deze afzender. Als je die informatie dus niet meeverhuist, dan kun je ineens niet meer mailen naar SPF-gebruikers.

Er is niets wettelijk geregeld voor DNS data, dus zonder afspraak kun je die niet opeisen.

Ook met auteursrecht of databankrecht kom je er niet. Allereerst zit er op dit soort feitelijke informatie geen IE-recht, en ten tweede zijn dergelijke rechten verbodsrechten. Dat wil zeggen dat je de hoster zou kunnen verbieden deze informatie nog te hebben, maar niet dat hij je een kopie moet geven. Auteursrecht is geen eigendom.

De beste manier – maar dat is achteraf – is in het contract of de SLA dus opnemen dat een kopie van de data zal worden verstrekt in een bruikbaar formaat. Heb je dat niet, dan zit er dus weinig anders op dan de data reconstrueren op basis van externe bronnen, in dit geval de openbare DNS. Maar dat kan een heleboel werk zijn, zeker met subdomeinen.

Arnoud

Nee, een domeinnaam hoef je niet af te staan als je er niets mee doet

| AE 9519 | Domeinnamen | 17 reacties

Wie een nieuwe domeinnaam wil gaan gebruiken, kent de frustratie: die is al bezet. Vrijwel elke leuke Nederlandse term is al geclaimd, en in de meeste gevallen gebeurt er weinig meer mee dan een reclamepagina of een “Hier wordt een concept ontwikkeld, overname is bespreekbaar”-achtige tekst. Erg vervelend als je daar zelf al plannen voor had, en het verbaast dan ook niet dat mensen met merken of handelsnamen gaan zwaaien om ze op te eisen. Maar dan moet er echt wel meer aan de hand zijn, zoals uit een recent arrest over de domeinnaam OK.nl blijkt.

In 2015 blogde ik al over deze zaak. De domeinnaam OK.nl was toen al 15 jaar in handen van de gedaagde, en eiser Fuelplaza (handelsnaam: OK) wilde deze opeisen omdat men zelf met een onhandiger domeinnaam moest werken en de gedaagde er al jaren niets mee deed. Bovendien had men een merk én een handelsnaam, en nog in Nederland ook. Dus inbreuk, en inleveren graag. De rechtbank had de eis afgewezen, en nu is er uitspraak in hoger beroep die dit bevestigt.

Allereerst het merkenrecht. Fuelplaza heeft een merk op het woord OK voor brandstof, en meende om die reden de domeinnaam te kunnen opeisen. Maar, zo stelt het Hof, ook al is het triviaal de domeinnaamhouder Gaos dóet wel iets met die domeinnaam. Er wordt niets mee gedaan dat concurreert met of aanhaakt bij de diensten van Fuelplaza, dus gewone merkinbreuk (of handelsnaaminbreuk) is het niet.

Er is een restcategorie, “afbreuk doen aan de reputatie van het merk”. Daarvan zou sprake zijn omdat Gaos op de site bij die domeinnaam had gezet “Deze domeinnaam is geregistreerd door een van onze klanten”, en dat zou gek staan voor klanten van Fuelplaza. Waarom precies werd me niet duidelijk, mogelijk het idee dat iemand dan denkt, wat een raar bedrijf hebben die geen website of zo. Maar dat is te algemeen om rechtens overtuigend te zijn, en de mededeling is ook verder niet negatief over Fuelplaza of de tankstations met OK erop, dus dit slaagt niet.

Ook het idee dat Gaos zou wachten tot de nood Fuelplaza te hoog zou zijn gestegen en ze met geld zou gaan smijten, gaat niet op. Dat is in theorie natuurlijk denkbaar maar er zal wel iets van bewijs moeten komen. Als vaststaat dat Gaos de domeinnaam zou willen verkopen, zeker als dat met een profiteur-achtig luchtje zou zijn omgeven, dan zou een overdracht wegens merkinbreuk wellicht mogelijk zijn.

Belangrijker: de domeinnaam is al in 1999 geregistreerd, en het merk pas in 2003. Daarmee heeft Gaos een “eigen recht” verworven op die domeinnaam, dat boven de merkrechten gaat. En omdat Fuelplaza ook niet op internet geblokkeerd wordt – via okolie.nl zijn ze gewoon te vinden – is er dus geen enkele reden om die domeinnaam over te moeten dragen.

Arnoud

Is het een datalek om een domeinnaam te laten vervallen?

| AE 9491 | Domeinnamen | 29 reacties

Door het laten verlopen van een domeinnaam heeft Samsung miljoenen gebruikers risico laten lopen, zo laat de Portugese beveiligingsonderzoeker Joao Gouveia op Twitter weten. Dat las ik bij Security.nl. De domeinnaam hoort bij een door Samsung opgeheven dienst (S Suggest), die gebruikers populaire applicaties laat zien die gegarandeerd compatibel met hun apparaat zijn. De onderzoeker… Lees verder

Een Twitteraccount kapen via een verlopen domein, hoe legaal is dat?

| AE 9350 | Domeinnamen | 38 reacties

Via Twitter kreeg ik de vraag: [V]raag me af of het ook niet gewoon strafbaar is (via gekocht domein www reset en account kapen), @ictrecht? Iets meer achtergrond: het Twitteraccount voor @recensiekoning “keerde terug” met nieuwe eigenaren, waar oude eigenaar Arjan Lubach niet zo blij mee was. Hij had jarenlang een blog onder die naam,… Lees verder

Nee, een domeinnaam is geen maatwerk onder de Wet Koop op afstand

| AE 9310 | Domeinnamen | 30 reacties

Regelmatig zie ik bij domeinnaamverkopers en webhosters staan dat aangeschafte domeinnamen niet kunnen worden geannuleerd onder de Wet koop op afstand, omdat het om maatwerk zou gaan. Immers, je vult zelf in welke naam je wilt hebben. Maar een recent vonnis over maatwerkdomeinnamen laat zien dat dit écht niet klopt. Domeinnamen zijn diensten, en daarvoor… Lees verder

Wat moet ik doen met mail naar een gekocht domein?

| AE 9232 | Domeinnamen, E-mail | 7 reacties

Een lezer vroeg me: nlangs heb ik een domeinnaam overgenomen van een bedrijf. Kennelijk heeft de verkopende partij de domeinnaam overgedragen terwijl deze nog actief gebruikt werd voor e-mailaccounts. Op basis van een catch all komt er allerlei mail binnen. Moet ik deze doorsturen, bewaren of terugzenden (bouncen)? Wat zijn mijn wettelijke plichten in deze?… Lees verder

Mag je jezelf een merknaam.expert noemen?

| AE 8782 | Domeinnamen | 15 reacties

Een lezer vroeg me: Onlangs is de ‘.expert’-domeinnaamextensie vrijgekomen. Ik wil graag een paar van die domeinnamen vastleggen omdat ik als IT-specialist me best expert in diverse merken software durf te noemen. Maar mag dat of is dat merkinbreuk? Over merken en domeinnamen bestaan veel misverstanden, waarvan een hoop zijn ontstaan in de cowboytijd. Het… Lees verder

Is een disclaimer genoeg tegen het merkenrecht?

| AE 8316 | Domeinnamen, Merken | 13 reacties

Ik kan niet eens meer een wandeling maken door de stad zonder disclaimers tegen te komen: “Wij zijn geen Auping dealer!” op het etalageraam van beddenhandel Tom Smeenk in Utrecht. Ook de website van Smeenk vermeldt deze tekst in diverse groottes. Over het gebruik van merken doen veel misverstanden de ronde. De belangrijkste: het zou… Lees verder