SIDN hoeft zonefile met alle .nl-domeinnamen niet aan bedrijf te verstrekken

| AE 12649 | Regulering | 21 reacties

De Stichting Internet Domeinregistratie Nederland (SIDN) hoeft de zonefile van het .nl-domein, die alle domeinnamen eindigend op .nl bevat, niet aan het bedrijf Dataprovider te verstrekken, zo heeft de Autoriteit Consument & Markt (ACM) geoordeeld. Dat las ik bij Security.nl begin deze week. Dataprovider wilde de zonefile van het .nl-domein omdat dit behulpzaam zou zijn bij het leveren van online merkbeschermingsdiensten, en ervoer de weigering als een misbruik van de machtspositie die SIDN heeft.

Merkbewakingsdiensten zien het controleren op domeinnamen als een belangrijk deel van hun taak; regelmatig duiken er natuurlijk nepperds op met varianten op de merk-domeinnaam, en die wil je zo snel mogelijk opsporen en aanschrijven. Als je dan de volledige zonefile hebt (zeg maar een Excel met alle domeinnamen die op .nl eindigen) dan kun je daar heel makkelijk in zoeken.

Dataprovider maakte gebruik van crawlers om zo veel mogelijk domeinnamen te achterhalen, maar dat is natuurlijk niet perfect. Iemand die een domeinnaam registreert en daar helemaal niets mee doet, die krijg je op die manier niet snel gevonden. Maar met de zonefile zou je die normaal wel kunnen vinden – en dan gelijk juridisch aanpakken.

SIDN biedt zelf ook merkbewakingsdiensten, waarmee je de .nl (en andere zones die SIDN beheert) domeinnamen die lijken op je merk kunt bewaken. Dat zag Dataprovider als een oneerlijke concurrent, en ze stapte naar de ACM om deze toezichthouder een eind te laten maken aan die situatie. Want SIDN heeft de macht over .nl en zou dan het misdrijf van leveringsweigering kunnen plegen, om zo een concurrent op afstand te houden.

Zoals de ACM uitlegt, ligt de lat daarvoor alleen erg hoog:

Het aanmerken van een leveringsweigering als misbruik, vereist dat de levering van de geweigerde input objectief onmisbaar is om daadwerkelijk op de stroomafwaartse markt te kunnen concurreren. Als dit het geval is, zal een dergelijke weigering doorgaans de daadwerkelijke mededinging op de stroomafwaartse markt, onmiddellijk of na verloop van tijd, dreigen uit te schakelen. Het risico van een daadwerkelijke uitschakeling van de mededinging is over het algemeen groter naarmate het marktaandeel van de onderneming met een machtspositie, op de stroomafwaartse markt groter is. Ook is vereist dat voor de leveringsweigering geen objectieve rechtvaardiging bestaat.
Met name de eis van “onmisbaar” is natuurlijk ontzettend streng. Maar wel terecht: ook een onderneming met een machtspositie mag zijn of haar klanten kiezen. Pas wanneer er niets te kiezen valt (de machthebber is onmisbaar) dan kom je in het terrein van misbruik terecht. Enigszins tot mijn verrassing lees ik dan dat
Dataprovider heeft aan de ACM verklaard dat, ondanks dat het domein .nl in Nederland belangrijk is, het beschikken over de .nl zonefile voor haar niet noodzakelijk is om op de stroomafwaartse markt te kunnen opereren.
Ik zou wel eens willen lezen wat Dataprovider dan precies zei, want iedere jurist weet dat als je toegeeft op een kernaspect van je eis, dat je dan grote kans maakt om te verliezen. Maar goed, in de kern is het waar: met scrapen en trucs als “iedere neppert op .com even checken bij .nl” kom je ook een heel eind en je bedrijf staat niet op omvallen dus écht onmisbaar is die zonefile niet.

Het meer fundamentele bezwaar is dat SIDN zowel de .nl zone beheert als een domeinbewakingsdienst exploiteert die daarmee samenwerkt. Maar dit “blijkt echter niet een dusdanig voordeel op te leveren dat dit het aanzienlijke aantal concurrerende aanbieders van SIDN ervan weerhoudt op deze markt actief te zijn”.

Arnoud

Is het valsheid in geschrifte om andermans TTL aan te passen?

| AE 9960 | Informatiemaatschappij, Intellectuele rechten | 10 reacties

Sorry, beetje nerdtitel. Via Twitter de vraag:

DNS TTL violations is a controversial topic. It basically means a resolver overrides a TTL value provided by an authoritative server, and then serving its clients with this value. In this post, we analyse if this is happening in the wild. … is ttl violation geen valsheid in geschrifte?

Nu zie ik wel vaker de discussie of het aanpassen van elektronische informatie telt als valsheid in geschrifte, dus laten we er weer eens voor gaan zitten. In de basis is het wetsartikel vrij simpel:

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Het moet dus gaan om een geschrift. Dit mag ook elektronisch zijn, dus een digitaal document of gegevensverzameling valt er ook onder. Het geschrift moet wel een bewijsfunctie hebben, het doel van het geschrift moet zijn dat je er iets mee kunt aantonen of weerleggen. Een bioscoopkaartje voldoet aan die discussie (het bewijst dat je naar die en die film mag), een liefdesbrief niet (en nee “het bewijst je liefde” is juridisch niet goed genoeg). In de elektronische wereld zou een nep-SSL-certificaat bijvoorbeeld deze functie hebben, maar nepnieuws niet.

Dat “valselijk opmaken of vervalsen” is een brede omschrijving voor de ‘valsheid’ die je pleegt: je past dingen aan in een echt bewijsdocument, of je maakt een geheel nieuw document dat eruit ziet als echt. Beiden zijn goed genoeg om van valsheid in geschrifte te plegen. Wel is daarbij vereist dat het doel van je aanpassing is dat je het resultaat voor echt wilt laten doorgaan. Een bioscoopkaartje met Photoshop bewerken tot een ludieke uitnodiging voor je verjaardag in Star Wars-thema is dus niet strafbaar.

Goed, dan die TTL schending. Heel kort gezegd: de informatie achter domeinnamen die via nameservers wordt verspreid, heeft een houdbaarheidsdatum, de time to live of TTL. Na die TTL wordt je als ontvanger geacht die informatie opnieuw bij de bron op te vragen, zodat je niet met verouderde informatie (zoals oude IP-adressen en dus de verkeerde site) zit te werken.

De aanleiding voor de vraag was de constatering dat het voorkomt dat organisaties de TTL van andermans domeinnaaminformatie ongevraagd aanpassen. Enerzijds inkorten – zodat de bron veel vaker dan gewenst opnieuw bevraagd wordt – en anderzijds verlengen – zodat de ontvanger met mogelijk verouderde informatie werkt. Voor beide opties zijn argumenten te over.

Is dit nu valsheid in geschrifte? De makkelijke stukken: een brokje DNS informatie is een elektronisch geschrift en het wordt aangepast om het als echt door te laten gaan, want de ontvanger van de aangepaste informatie kan het niet onderscheiden van het origineel. Maar ik denk dat het hier stukloopt op de bewijsfunctie: het informatiebericht dient niet als bewijs, het is niet “wij verklaren bij deze dat onze informatie 2 dagen geldig is” maar het is een stukje informatieverstrekking met een houdbaarheidsdatum “controleer deze informatie na 2 dagen opnieuw”. Ik denk dus niet dat je er langs die route komt.

Arnoud

Internationale domeinbeheerder staat afschermen domeininfo toe

| AE 9785 | Intellectuele rechten, Privacy | 13 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer het gaat om persoonsgegevens, en ICANN lijkt daardoor nu overstag te gaan.

Domeinnamen en WHOIS bestaan al enkele decennia. In de basis is het erg nuttig dat je kunt zien wie de eigenaar is van een domeinnaam, zodat je deze bijvoorbeeld kunt contacteren in geval van misbruik van het systeem. Meestal was dat ook geen probleem voor de eigenaar, want lange tijd hadden eigenlijk alleen bedrijven en instellingen hun eigen domeinnamen.

Nadat steeds meer privépersonen domeinnamen gingen registreren, begon het ietwat te knellen. Je moest namelijk je ware en volledige gegevens invullen, inclusief je naam en privéwoonadres. Dat voelt nogal privacygevoelig en dat is het natuurlijk ook, maar zo waren de regels nu eenmaal. En zeker met de AVG in het vooruitzicht werd het tijd dat hier een knoop over werd doorgehakt.

De AP is stellig, zij het kort:

Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk, omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is.

De kern zit hem natuurlijk in die noodzaak. ICANN zei altijd dat die gegevens nodig waren, maar dat is eigenlijk een cirkelredenering: zij hadden een regel ingevoerd dat het moest, dus moest het. Maar dat is niet genoeg, je moet een objectieve noodzaak kunnen aantonen. En die is er eigenlijk niet. Het zou net zo goed kunnen werken bijvoorbeeld als de WHOIS gegevens afgeschermd zijn, en men via een opvraagprocedure gemotiveerd moet aangeven waarom men die gegevens wil hebben.

Ook is er geen sprake van toestemming, want (zeker onder de AVG) wie zegt “zonder toestemming kom je er niet in” die dwingt toestemming af, en die is dan niet rechtsgeldig. Niet meer dan logisch.

In haar verklaring zegt ICANN dat ze nu voorlopig dit vereiste los gaat laten voor persoonsgebonden domeinnamen. Een registrar die op deze manier wil gaan werken, moet wel aan ICANN uitleggen wat haar proces is om op zorgvuldige manier de werkelijke houderdata te verkrijgen en te bewaren.

Voor Nederlandse domeinnamen geldt dit niet: die worden beheerd door SIDN en die heeft al jaren een afgeschermd register. Alleen een zelfgekozen mailadres moet zichtbaar zijn bij privépersonen, de overige gegevens zijn alleen gemotiveerd op te vragen.

Arnoud

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Informatiemaatschappij, Intellectuele rechten | 15 reacties

Een lezer vroeg me: Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren? Ja, dat mag… Lees verder

Britse politie vraagt registrars om blokkade torrentsites

| AE 6017 | Intellectuele rechten, Ondernemingsvrijheid, Regulering | 22 reacties

De Britse politie heeft registrars van piraterijsites brieven gestuurd met de eis de domeinnaam te blokkeren, las ik bij Tweakers. De sites MisterTorrent, SumoTorrent en ExtraTorrent zouden volgens de auteursrechtafdeling van de Britse politie in strijd zijn met de wet, dus of men even in wilde grijpen. Met een ondertoon dat de bobbies anders even… Lees verder

Mag Spamhaus eigenlijk wel een spammerszwartelijst publiceren?

| AE 5276 | Privacy, Security | 78 reacties

De grootste DDoS-aanval uit de geschiedenis, heet het met enige retoriek. Zelfbenoemd spambestrijder Spamhaus was vijf dagen onbereikbaar door een gigantische hoeveelheid dataverkeer. De reden heeft te maken met het feit dat Spamhaus de hosters Cyberbunker en CB3ROB als spammer of spammersvriend had aangemerkt. Dit omdat deze geen maatregelen nemen als Spamhaus vindt dat hun… Lees verder