Is het een datalek om een domeinnaam te laten vervallen?

| AE 9491 | Domeinnamen | 23 reacties

Door het laten verlopen van een domeinnaam heeft Samsung miljoenen gebruikers risico laten lopen, zo laat de Portugese beveiligingsonderzoeker Joao Gouveia op Twitter weten. Dat las ik bij Security.nl. De domeinnaam hoort bij een door Samsung opgeheven dienst (S Suggest), die gebruikers populaire applicaties laat zien die gegarandeerd compatibel met hun apparaat zijn. De onderzoeker ziet nu miljoenen verzoeken vanaf Samsung-telefoons naar de domeinnaam. Is dat nu ook al een datalek?

Het is natuurlijk een blunder eerste klas. Een domeinnaam kost een paar euro, en een simpele “This service is not available anymore”-autoresponder moet ook geen bakken geld kosten. Maar zelfs de domeinnaam nergens heen laten wijzen had gekund, dan waren mensen ook wel snel gestopt met die app. En nu zou een kwaadwillende het protocol kunnen reverse engineeren en nepdata sturen, bijvoorbeeld suggesties voor phishing-apps die mensen dan klakkeloos installeren “want Samsung zegt dat deze compatibel is”.

Maar of het een datalek is? Daarvoor is vereist dat via dit domein persoonsgegevens lekken. Enkel dat een telefoon verbinding maakt met een app is denk ik niet genoeg daarvoor. (Tenzij je zegt dat headers zoals X-Asid persoonsgegevens zijn.)

Als de verbinding succesvol is en er wordt dan persoonlijke informatie opgestuurd door de app, dan komt die nu dus bij een ongeautoriseerd persoon terecht. Dus dan zou ik het wel een datalek noemen. Maar dat is wel een stevige als, en bovendien eentje die zich pas ruime tijd later kan voordoen.

Desondanks kan ik er niet bij dat Samsung dit heeft laten vallen.

Arnoud

Nee, een domeinnaam is geen maatwerk onder de Wet Koop op afstand

| AE 9310 | Domeinnamen | 30 reacties

Regelmatig zie ik bij domeinnaamverkopers en webhosters staan dat aangeschafte domeinnamen niet kunnen worden geannuleerd onder de Wet koop op afstand, omdat het om maatwerk zou gaan. Immers, je vult zelf in welke naam je wilt hebben. Maar een recent vonnis over maatwerkdomeinnamen laat zien dat dit écht niet klopt. Domeinnamen zijn diensten, en daarvoor geldt een ander (complexer) regime.

In deze zaak had een particulier bij een domeinnaamdienstverlener een domeinnaam gekocht, en een dag later de overeenkomst geannuleerd met een beroep op de Wet koop op afstand. Het bedrijf erkende dat niet: een domeinnaam aanvragen is een maatwerktransactie, bovendien werd deze transactie direct uitgevoerd. Dat leidde tot een rechtszaak, waarbij de rechter dan eindelijk eens een knoop hierover door moest hakken.

De Wet koop op afstand is in 2014 vervangen door een nieuwe serie wetsartikelen, maar voor het gemak blijf ik die artikelen gewoon Wet koop op afstand noemen. In essentie blijft het systeem van annuleren hetzelfde, hoewel de praktijk veel consumentvriendelijker uitpakt: een consument mag binnen 14 dagen iedere online transactie ongedaan maken, tenzij een van de wettelijke uitzonderingen van toepassing is.

De bekendste uitzondering is denk ik die van maatwerk, of zoals de wet het nu formuleert (art. 6:230p punt f sub 1 BW):

de levering van volgens specificaties van de consument vervaardigde zaken, die niet geprefabriceerd zijn en die worden vervaardigd op basis van een individuele keuze of beslissing van de consument, of die duidelijk voor een specifieke persoon bestemd zijn;

Het standaardvoorbeeld is het t-shirt dat wordt bedrukt met een door de consument aangeleverde foto. Die ‘zaak’ bestond nog niet en wordt vervaardigd op basis van een individuele keuze: deze ene foto en geen andere. Dit is wat bedrijven bedoelen met ‘maatwerk’ als ze zeggen dat maatwerk niet mag worden geannuleerd.

Je kunt inderdaad verdedigen dat een domeinnaam “volgens specificatie van de consument” is vervaardigd. Je typt inderdaad zelf de domeinnaam in die je wilt hebben. Alleen: een domeinnaam is geen ‘zaak’, geen fysiek object zoals de wet dat definieert. Daarom kan deze uitzondering niet worden ingeroepen bij domeinnamen.

Als iets geen zaak is, dan is de transactie er omheen een dienst. Daar is ook een annuleringsregeling voor, zij het dat die ingaat binnen 14 dagen na het sluiten van de overeenkomst (en niet na de dag van levering van de zaken). Deze regeling kent ook weer een uitzondering (art. 6:230p sub d BW):

een overeenkomst tot het verrichten van diensten, na nakoming van de overeenkomst, indien:
1°. de nakoming is begonnen met uitdrukkelijke voorafgaande instemming van de consument; en
2°. de consument heeft verklaard afstand te doen van zijn recht van ontbinding zodra de handelaar de overeenkomst is nagekomen;

De aanschaf van een domeinnaam mag dus wél worden geannuleerd, tenzij aan deze twee eisen (allebei dus) is voldaan.

De eerste eis is dat er met uitdrukkelijke voorafgaande instemming van de consument is begonnen met nakoming. In deze context betekent dat: er is expliciet gezegd “graag deze domeinnaam aanvragen en wel nu”. Dat komt uit het bestelproces van het bedrijf wel naar voren.

De tweede eis zegt dat als de levering afgerond is binnen die 14 dagen, de consument niet meer alsnog mag ontbinden. Direct vragen om levering, geleverd krijgen en dán nog zeggen “oh nee laat maar, graag geld terug” was net even te oneerlijk.

Maar bij wijze van balans is wel weer vereist dat de consument apart verklaart afstand te doen van dat annuleringsrecht. En dat is waar het hier misging: nergens in het bestelproces moest de consument een vinkje zetten (of iets dergelijks, bij wijze van verklaring) bij een tekst als “Ik geef opdracht tot directe aanvraag van de domeinnaam en doe afstand van mijn recht deze aanvraag te annuleren onder de Wet koop op afstand”. Daarom mocht de consument deze aanschaf kosteloos annuleren.

Slecht nieuws dus voor het bedrijf , ze krijgen die 29 euro (aanschafprijs plus diverse kosten) waar de zaak over ging, niet terug. Ook voor andere domeinhandelaren is dit iets om zenuwachtig over te worden: ook zij kunnen dus geen beroep doen op de maatwerkuitzondering. Maar er is een sprankje hoop, want wie nu bovenstaande tekst met aanvinkvakje toevoegt in zijn bestelproces, kan een latere annulering eenvoudig pareren.

Natuurlijk geldt dit recht alleen voor consumenten; bedrijven (dus ook eenmanszaken) hebben géén rechten onder de Wet koop op afstand, en dus ook niet op het recht de aanschaf van een domeinnaam te annuleren. Tenzij ze zich kunnen beroepen op de zogeheten reflexwerking, waarbij ze kunnen aantonen dat zij voor deze transactie eigenlijk niet te onderscheiden zijn van een consument. Die zie ik eerlijk gezegd niet voor een domeinnaam, dat lijkt me typisch iets dat je écht bedrijfsmatig aanschaft.

Arnoud

Wat moet ik doen met mail naar een gekocht domein?

| AE 9232 | Domeinnamen, E-mail | 7 reacties

Een lezer vroeg me:

nlangs heb ik een domeinnaam overgenomen van een bedrijf. Kennelijk heeft de verkopende partij de domeinnaam overgedragen terwijl deze nog actief gebruikt werd voor e-mailaccounts. Op basis van een catch all komt er allerlei mail binnen. Moet ik deze doorsturen, bewaren of terugzenden (bouncen)? Wat zijn mijn wettelijke plichten in deze?

Het verstandigste (maar dat is nu wat laat) is om in het domeinverkoopcontract een afspraak te maken over mail en dergelijke. Je kunt bijvoorbeeld vastleggen dat berichten nog een maand worden doorgestuurd, of juist dat ze moeten worden teruggestuurd met een expliciete foutmelding.

De wet zegt niets over wat je moet doen hier. De enige redding die we hebben, is de heel algemene regel van redelijkheid en billijkheid: een overeenkomst wordt aangevuld door wat uit die redelijkheid vloeit (plus wat de gewoonte is in de branche).

Een gewoonterecht bestaat hier niet volgens mij, iedereen doet maar wat. Maar wat is redelijk?

Mijn eerste gedachte is: terugsturen al die mails (bouncen), zodat de afzenders merken dat dit adres niet meer werkt. Dat is relatief eenvoudig in te stellen in de mailserver, en voorkomt dat je gedoe krijgt over dat je mail zou lezen of dat een door jou doorgestuurde mail niet aankomt waarna jij daarop aangekeken wordt. Want dat risico krijg je, als jij onverplicht iets doorstuurt dan neem je er een stukje verantwoordelijkheid voor.

Wat zouden jullie doen?

Arnoud

Mag je jezelf een merknaam.expert noemen?

| AE 8782 | Domeinnamen | 15 reacties

Een lezer vroeg me: Onlangs is de ‘.expert’-domeinnaamextensie vrijgekomen. Ik wil graag een paar van die domeinnamen vastleggen omdat ik als IT-specialist me best expert in diverse merken software durf te noemen. Maar mag dat of is dat merkinbreuk? Over merken en domeinnamen bestaan veel misverstanden, waarvan een hoop zijn ontstaan in de cowboytijd. Het… Lees verder

Is een disclaimer genoeg tegen het merkenrecht?

| AE 8316 | Domeinnamen, Merken | 13 reacties

Ik kan niet eens meer een wandeling maken door de stad zonder disclaimers tegen te komen: “Wij zijn geen Auping dealer!” op het etalageraam van beddenhandel Tom Smeenk in Utrecht. Ook de website van Smeenk vermeldt deze tekst in diverse groottes. Over het gebruik van merken doen veel misverstanden de ronde. De belangrijkste: het zou… Lees verder

Wanneer mag je een productnaam in je domeinnaam opnemen?

| AE 8144 | Domeinnamen, Merken | 4 reacties

Een lezer vroeg me: Voor een nieuwe webshop wil ik Acer Aspire laptops gaan verkopen en wel onder de domeinnaam aspire-laptops punt nl. Ik weet dat je geen merknamen van bedrijven (zoals HP of Apple) in je domeinnaam mag voeren, maar geldt dat ook voor productnamen? Oftewel mag ik deze domeinnaam voeren? Het is onjuist… Lees verder

Moet je een .nl domeinnaam afstaan als een Amerikaanse merkhouder dat vraagt?

| AE 7653 | Domeinnamen | 29 reacties

Een lezer vroeg me: Ik heb al tien jaar een .nl domeinnaam geregistreerd maar nooit gebruikt. Nu krijg ik een brief van een Amerikaans bedrijf dat naar Nederland wil komen en ‘mijn’ domeinnaam al jaren als bedrijfsnaam voert in de VS. “Under current domain name jurisprudence we own the rights to the Domain Name” schrijven… Lees verder

IKEAhackers mag geen IKEAhackers meer heten als er advertenties bij staan

| AE 6745 | Domeinnamen, Merken | 11 reacties

De in 2006 opgerichte site IKEAhackers kreeg onlangs een blafbrief van de Zweedse zelfbouwmeubelgigant: bij nader inzien pleegt u merkinbreuk, want er staan sinds kort advertenties op uw site. Dat meldde Ars Technica vorige week. De brief verraste de site-eigenaar nogal, omdat men al acht jaar bestond en nooit het idee had gekregen dat IKEA… Lees verder