Internationale domeinbeheerder staat afschermen domeininfo toe

| AE 9785 | Domeinnamen, Privacy | 13 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer het gaat om persoonsgegevens, en ICANN lijkt daardoor nu overstag te gaan.

Domeinnamen en WHOIS bestaan al enkele decennia. In de basis is het erg nuttig dat je kunt zien wie de eigenaar is van een domeinnaam, zodat je deze bijvoorbeeld kunt contacteren in geval van misbruik van het systeem. Meestal was dat ook geen probleem voor de eigenaar, want lange tijd hadden eigenlijk alleen bedrijven en instellingen hun eigen domeinnamen.

Nadat steeds meer privépersonen domeinnamen gingen registreren, begon het ietwat te knellen. Je moest namelijk je ware en volledige gegevens invullen, inclusief je naam en privéwoonadres. Dat voelt nogal privacygevoelig en dat is het natuurlijk ook, maar zo waren de regels nu eenmaal. En zeker met de AVG in het vooruitzicht werd het tijd dat hier een knoop over werd doorgehakt.

De AP is stellig, zij het kort:

Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk, omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is.

De kern zit hem natuurlijk in die noodzaak. ICANN zei altijd dat die gegevens nodig waren, maar dat is eigenlijk een cirkelredenering: zij hadden een regel ingevoerd dat het moest, dus moest het. Maar dat is niet genoeg, je moet een objectieve noodzaak kunnen aantonen. En die is er eigenlijk niet. Het zou net zo goed kunnen werken bijvoorbeeld als de WHOIS gegevens afgeschermd zijn, en men via een opvraagprocedure gemotiveerd moet aangeven waarom men die gegevens wil hebben.

Ook is er geen sprake van toestemming, want (zeker onder de AVG) wie zegt “zonder toestemming kom je er niet in” die dwingt toestemming af, en die is dan niet rechtsgeldig. Niet meer dan logisch.

In haar verklaring zegt ICANN dat ze nu voorlopig dit vereiste los gaat laten voor persoonsgebonden domeinnamen. Een registrar die op deze manier wil gaan werken, moet wel aan ICANN uitleggen wat haar proces is om op zorgvuldige manier de werkelijke houderdata te verkrijgen en te bewaren.

Voor Nederlandse domeinnamen geldt dit niet: die worden beheerd door SIDN en die heeft al jaren een afgeschermd register. Alleen een zelfgekozen mailadres moet zichtbaar zijn bij privépersonen, de overige gegevens zijn alleen gemotiveerd op te vragen.

Arnoud

Mijn hostingprovider weigert de DNS records van mijn domeinen te overhandigen!

| AE 9527 | Cloud, Domeinnamen | 15 reacties

Een lezer vroeg me:

Voor een klant moeten we meerdere domeinnamen overnemen van de huidige hoster. Echter wil de hostingpartij huidige ingestelde DNS records niet overhandigen aan zowel de klant als ons, en er is ook geen toegang tot een online omgeving waar ik deze kan downloaden. Mag men dit zo weigeren?

Ja, dat mag men zo weigeren en er is geen grond om die data op te eisen bij de huidige dienstverlener.

Ik blijf het zeggen: juridisch is data helemaal niets, het bestaat niet en je kunt er dus ook geen aanspraak op maken tenzij contractueel is afgesproken van wel. Heel heel soms zou je kunnen beredeneren dat dit impliciet is afgesproken, maar je zult van goeden huize moeten komen en er is geen jurisprudentie hierover.

DNS-data is best cruciaal. Steeds meer diensten autoriseren verzoeken door naar informatie in DNS te kijken. Het bekendste voorbeeld is SPF, een protocol om mailberichten te authenticeren. Wanneer iemand een mailtje verstuurt, wordt dan in de DNS op het afzender-domein gekeken of daar een record is dat toestemming geeft aan deze afzender. Als je die informatie dus niet meeverhuist, dan kun je ineens niet meer mailen naar SPF-gebruikers.

Er is niets wettelijk geregeld voor DNS data, dus zonder afspraak kun je die niet opeisen.

Ook met auteursrecht of databankrecht kom je er niet. Allereerst zit er op dit soort feitelijke informatie geen IE-recht, en ten tweede zijn dergelijke rechten verbodsrechten. Dat wil zeggen dat je de hoster zou kunnen verbieden deze informatie nog te hebben, maar niet dat hij je een kopie moet geven. Auteursrecht is geen eigendom.

De beste manier – maar dat is achteraf – is in het contract of de SLA dus opnemen dat een kopie van de data zal worden verstrekt in een bruikbaar formaat. Heb je dat niet, dan zit er dus weinig anders op dan de data reconstrueren op basis van externe bronnen, in dit geval de openbare DNS. Maar dat kan een heleboel werk zijn, zeker met subdomeinen.

Arnoud

Britse politie vraagt registrars om blokkade torrentsites

| AE 6017 | Aansprakelijkheid, Domeinnamen, Strafrecht | 22 reacties

seized-domain-name-city-londen-policeDe Britse politie heeft registrars van piraterijsites brieven gestuurd met de eis de domeinnaam te blokkeren, las ik bij Tweakers. De sites MisterTorrent, SumoTorrent en ExtraTorrent zouden volgens de auteursrechtafdeling van de Britse politie in strijd zijn met de wet, dus of men even in wilde grijpen. Met een ondertoon dat de bobbies anders even hun ouders de registry (ICANN) zouden wijzen op het feit dat de registrars dan de aansluitvoorwaarden zouden overtreden en dus geschorst zouden worden als domeinnaamuitgevers. Excuse me?

Als een dienst werkelijk in strijd handelt met toepasselijke wetgeving, dan mag de politie daar natuurlijk tegen optreden. Ze kunnen dan de site-eigenaren zelf aanpakken, maar als dat niet lukt dan is aanspreken van de hostingprovider of andere tussenpersoon ook een optie.

In Nederland is dit wettelijk geregeld: een hostingprovider moet op grond van artikel 54a Strafrecht dingen offline halen als de officier van justitie dat zegt. Wel moet die officier daar een machtiging van de rechter-commissaris voor hebben. Dat is een onafhankelijke toetsing – maar de site-eigenaar of hoster wordt niet vooraf gehoord.

Hoe het zit met een domeinnaamprovider is bij mijn weten nog nooit getest. Ik gok omdat de meeste sites domeinnaam en hosting bij dezelfde partij hebben, zodat het nooit aan de orde kwam. Maar het kan natuurlijk best dat de site bij partij A ondergebracht is en de domeinnaam bij partij B.

Het is juridisch eigenlijk al onduidelijk of een domeinnaamprovider een hostingprovider is, een partij die “een telecommunicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn” zoals in dat wetsartikel staat. ‘Gegevens’ slaat eigenlijk op de inhoud van de site, als je de wetsgeschiedenis leest. Maar je kunt zeggen, de dns records van de site zijn ook gegevens (hoewel maar weinig) en die komen van de klant dus dan is dns de dienst van opslag/doorgifte van gegevens van een ander afkomstig.

Oké maar stel. Dan zou de politie dus met zo’n bevel een dns blokkade kunnen eisen, als de rechter-commissaris dat goed vindt. En dan moet je als domeinnaamregistrar daaraan gehoor geven. Je mag niet protesteren dat dit te ver gaat, dat er op de site ook legaal spul staat. Dat heeft (als het goed is) die rechter-commissaris meegenomen in de beslissing die machtiging te geven.

In deze zaak is echter geen sprake van een bevél maar van een verzoek. En dan wel een van een geniepig soort – als je niet doet wat wij zeggen dan gaan wij even jouw leverancier bellen en zeggen dat jij willens en wetens iets illegaals faciliteert. Want in zijn algemene voorwaarden staat dat jij dit niet mag, dus dan raak jij je accreditatie kwijt.

Ja, daar word ik cynisch van. Natuurlijk, áls er sprake is van overtreding van de voorwaarden dan mag de registry ingrijpen. Maar ís dat wel zo? Die agenten weten donders goed dat zij op hun blauwe uniformen vertrouwd gaan worden, en dat de dreiging van negatieve publiciteit dan genoeg kan zijn voor bot afsluiten door die registry. Een CEO die twee agenten op bezoek krijgt, heeft geen zin meer in een diepgravend juridisch onderzoek door de huisjurist – eruit met die lastpakken. En dat voelt als machtsmisbruik door die auteursrechtpolitie.

Arnoud

Mag Spamhaus eigenlijk wel een spammerszwartelijst publiceren?

| AE 5276 | Beveiliging, E-mail | 78 reacties

De grootste DDoS-aanval uit de geschiedenis, heet het met enige retoriek. Zelfbenoemd spambestrijder Spamhaus was vijf dagen onbereikbaar door een gigantische hoeveelheid dataverkeer. De reden heeft te maken met het feit dat Spamhaus de hosters Cyberbunker en CB3ROB als spammer of spammersvriend had aangemerkt. Dit omdat deze geen maatregelen nemen als Spamhaus vindt dat hun… Lees verder