SIDN hoeft zonefile met alle .nl-domeinnamen niet aan bedrijf te verstrekken

| AE 12649 | Regulering | 21 reacties

De Stichting Internet Domeinregistratie Nederland (SIDN) hoeft de zonefile van het .nl-domein, die alle domeinnamen eindigend op .nl bevat, niet aan het bedrijf Dataprovider te verstrekken, zo heeft de Autoriteit Consument & Markt (ACM) geoordeeld. Dat las ik bij Security.nl begin deze week. Dataprovider wilde de zonefile van het .nl-domein omdat dit behulpzaam zou zijn bij het leveren van online merkbeschermingsdiensten, en ervoer de weigering als een misbruik van de machtspositie die SIDN heeft.

Merkbewakingsdiensten zien het controleren op domeinnamen als een belangrijk deel van hun taak; regelmatig duiken er natuurlijk nepperds op met varianten op de merk-domeinnaam, en die wil je zo snel mogelijk opsporen en aanschrijven. Als je dan de volledige zonefile hebt (zeg maar een Excel met alle domeinnamen die op .nl eindigen) dan kun je daar heel makkelijk in zoeken.

Dataprovider maakte gebruik van crawlers om zo veel mogelijk domeinnamen te achterhalen, maar dat is natuurlijk niet perfect. Iemand die een domeinnaam registreert en daar helemaal niets mee doet, die krijg je op die manier niet snel gevonden. Maar met de zonefile zou je die normaal wel kunnen vinden – en dan gelijk juridisch aanpakken.

SIDN biedt zelf ook merkbewakingsdiensten, waarmee je de .nl (en andere zones die SIDN beheert) domeinnamen die lijken op je merk kunt bewaken. Dat zag Dataprovider als een oneerlijke concurrent, en ze stapte naar de ACM om deze toezichthouder een eind te laten maken aan die situatie. Want SIDN heeft de macht over .nl en zou dan het misdrijf van leveringsweigering kunnen plegen, om zo een concurrent op afstand te houden.

Zoals de ACM uitlegt, ligt de lat daarvoor alleen erg hoog:

Het aanmerken van een leveringsweigering als misbruik, vereist dat de levering van de geweigerde input objectief onmisbaar is om daadwerkelijk op de stroomafwaartse markt te kunnen concurreren. Als dit het geval is, zal een dergelijke weigering doorgaans de daadwerkelijke mededinging op de stroomafwaartse markt, onmiddellijk of na verloop van tijd, dreigen uit te schakelen. Het risico van een daadwerkelijke uitschakeling van de mededinging is over het algemeen groter naarmate het marktaandeel van de onderneming met een machtspositie, op de stroomafwaartse markt groter is. Ook is vereist dat voor de leveringsweigering geen objectieve rechtvaardiging bestaat.
Met name de eis van “onmisbaar” is natuurlijk ontzettend streng. Maar wel terecht: ook een onderneming met een machtspositie mag zijn of haar klanten kiezen. Pas wanneer er niets te kiezen valt (de machthebber is onmisbaar) dan kom je in het terrein van misbruik terecht. Enigszins tot mijn verrassing lees ik dan dat
Dataprovider heeft aan de ACM verklaard dat, ondanks dat het domein .nl in Nederland belangrijk is, het beschikken over de .nl zonefile voor haar niet noodzakelijk is om op de stroomafwaartse markt te kunnen opereren.
Ik zou wel eens willen lezen wat Dataprovider dan precies zei, want iedere jurist weet dat als je toegeeft op een kernaspect van je eis, dat je dan grote kans maakt om te verliezen. Maar goed, in de kern is het waar: met scrapen en trucs als “iedere neppert op .com even checken bij .nl” kom je ook een heel eind en je bedrijf staat niet op omvallen dus écht onmisbaar is die zonefile niet.

Het meer fundamentele bezwaar is dat SIDN zowel de .nl zone beheert als een domeinbewakingsdienst exploiteert die daarmee samenwerkt. Maar dit “blijkt echter niet een dusdanig voordeel op te leveren dat dit het aanzienlijke aantal concurrerende aanbieders van SIDN ervan weerhoudt op deze markt actief te zijn”.

Arnoud

RTL: bsn’s van miljoenen Nederlanders online te zien door verlopen domeinnaam

| AE 12240 | Ondernemingsvrijheid | 21 reacties

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in plaintext naar die e-mailadressen gestuurd. Erg pijnlijk, en het laat maar weer eens zien hoe slecht er in de praktijk met domeinnamen wordt omgegaan.

De truc is namelijk niet nieuw: regelmatig krijg ik vragen over houders van domeinnamen die merken dat deze eerder in gebruik zijn geweest. Men krijgt dan mail voor de oude eigenaar, en dat kan variëren van babbelmails tot complete dossiers, facturen of bestellingen – en in dit geval dus medische informatie en wachtwoorden om daarbij te kunnen:
In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
De reden hierachter is even stom als simpel: Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. Daar hoort natuurlijk ook een nieuwe domeinnaam bij, en kennelijk beslist er dan iemand dat het tientje per jaar voor de oude domeinnaam het geld niet waard is, zodat die wordt opgezegd. Na enige tijd komt die dan vrij, en RTL kon deze vervolgens registreren. Computers van anderen zien niet of de domeinnaam ondertussen bij een ander in gebruik is, zodat het aanleveren van informatie gewoon doorgaat. (Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.)

Aan dit citaat heb ik niets toe te voegen:

Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: “Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus directeur Wim Hafkamp.
Helaas weet ik ook geen eenvoudige manier om dit op te lossen. Ergens een wettelijke regel toevoegen dat een zorgorganisatie overbodige domeinnamen niet meer mag opheffen, is vast te simpel?

Arnoud

Wanneer kan een gewoon woord een merknaam zijn?

| AE 12049 | Intellectuele rechten | 10 reacties

Reiswebsite Booking.com mag haar bedrijfsnaam als merk vastleggen in de VS, las ik bij Ars Technica. De Supreme Court bepaalde dat hoewel de term ‘booking’ in het Engels natuurlijk vrij generiek is, de toevoeging van ‘.com’ het tot een unieke naam maakte. Hoewel mensen inderdaad “a booking” zouden maken bij een willekeurige dienstverlener, zou niemand zeggen “I’m going to make a booking.com tonight”. Dat maakt deze combinatie geschikt om als merk te dienen. Het punt van merken is immers dat je bedrijven of producten van elkaar kunt onderscheiden. Dit is wel opvallend, omdat in Nederland juist altijd is gezegd dat een toevoeging zoals .com niets zegt, dat heeft iedereen. Ik kreeg dan ook vele vragen over hoe onderscheidend of creatief een merknaam moet zijn.

Het merkrecht is bedoeld om namen (en logo’s en zelfs vormgeving, zoals het getoonde Coca-Cola flesje) te beschermen. Dat wil zeggen: als je naam geschikt is om als merk te dienen. Het criterium daarvoor is dat je naam onderscheidend vermogen heeft, oftewel het vermogen om met de naam een product, dienst of bedrijf te onderscheiden van de concurrent. “Melk” is bijvoorbeeld geen geschikte merknaam voor dat witte goedje, maar “Boerenland melk” en “Den Eelder melk” zijn dat wel omdat je hier meteen al ziet dat dit twee aparte soorten melk zijn.

Een veelgehoord misverstand is dat gewone, bestaande woorden geen merk kunnen zijn. Daar zeg ik dan altijd op: gazelle, randstad, diesel, telegraaf, hoezo mag dat niet? Dit zijn prima merknamen – alleen niet voor de letterlijke betekenis. Die spijkerbroeken zijn geen brandstof voor dieselmotoren, dus dat gaat goed.

In het Engels geldt hetzelfde criterium, en daarom had Booking.com een probleem want “booking” is natuurlijk letterlijk de dienst die je doet bij een booking-site. Althans dat vond het USPTO, het Amerikaanse merkenbureau. Daar ging de dienstverlener tegen in beroep, en bij de hoogste rechter krijgt men nu gelijk vanwege de toevoeging “.com”. Dat maakt het een unieke naam en dus geschikt als merk. Daarbij woog zwaar mee dat mensen in een enquête “booking.com” als een verwijzing naar die ene dienstverlener zagen, en niet een algemene term voor boekingssites op internet of iets dergelijks. Een beetje zoals bij ons “marktplaats” niet meer “de plek van de markt” betekent maar “die ene oranje website waar je je oude spullen kwijt kunt”.

Het gevaar dat meteen wordt gesignaleerd is dat dit merkrecht nu gebruikt kan worden om de concurrent te verhinderen het woord “booking” te gebruiken. Dat zou wel heel onhandig zijn op een concurrerende boekingwebsite, en om die reden zou dat ook niet moeten kunnen. Ik zeg “zou moeten” want ik lees in het Ars Technica artikel al meteen afschrikwekkende voorbeelden van bijvoorbeeld het bedrijf Monster (van die slechtvoordejeugdzijnde energiedrankjes) dat uitgave van een kinderboek met als titel “Albert and the Amazing Pillow Monsters” wist te verhinderen met een stevige blafbrief. Specifiek in de reisbranche maak ik me daar minder zorgen over, want die concurrenten zijn ook héle grote jongens met navenante juridische afdelingen en die herkennen een blaf echt als zodanig.

Arnoud

Mag je corp.com registreren als je weet dat dat een Windows-fout is?

| AE 11791 | Security | 5 reacties

Een lezer vroeg me: Bij KrebsOnSecurity las ik dat het Corp.com domein te koop gezet gaat worden. Daarmee is toegang te krijgen tot allerlei credentials en nu vroeg ik me af of dat legaal is. Immers je doet niets, andere mensen configureren hun Windows-netwerk slecht. Hoe zit dat in Nederland? Het domein corp.com gaat inderdaad… Lees verder

Amerikaanse keten dwingt Utrechtse sapjesbar naam te veranderen

| AE 11173 | Intellectuele rechten | 12 reacties

De Utrechtse zaak Smood Juicebar, die nu bijna 3 jaar gevestigd zit op de Vismarkt in de binnenstad, wordt gezien als bedreiging door een soortgelijk bedrijf in de Verenigde Staten. Dat meldde stadskrant DUIC onlangs. Na een juridisch gevecht van een half jaar heeft de sapjesbar eieren voor haar geld gekozen en wordt de naam… Lees verder

Een domeinnaamhouder kan worden aangesproken op gedrag van de website-eigenaar

| AE 10942 | Intellectuele rechten | 42 reacties

Het is uitzonderlijk, maar het kan: als domeinnaamhouder aansprakelijk gesteld worden voor wat de gebruiker van je domeinnaam doet. Dat maak ik op uit een recent vonnis van de rechtbank Midden-Nederland. Zoals eigenlijk altijd in het recht is niets absoluut, ook niet de regel dat je als domeinnaamhouder geen bemoeienis en dus geen aansprakelijkheid hebt… Lees verder

Liegen over een bijna ingepikte domeinnaam is dus echt bedrog

| AE 10729 | Intellectuele rechten | 27 reacties

Hij is al vaak langsgekomen, maar nu is het echt door de rechter bevestigd: mensen een domeinregistratiecontract aansmeren met als verkooptruc “iemand anders wil hem registreren” heet bedrog, en je kunt dat contract daarmee per direct van tafel krijgen. Dat blijkt uit een rechtszaak tussen het bedrijf Trademark Office (sowieso al een dubieuze naam gezien… Lees verder

Nederlands bedrijf aangeklaagd wegens domeinnaamfraude

| AE 10439 | Intellectuele rechten | 22 reacties

Het in Amsterdam en Heerhugowaard gevestigde Trademark Office wordt door een groep van ruim dertig ondernemers aangeklaagd wegens domeinnaamfraude. Dat meldde Nu.nl vorige week. Advocatenkantoor Berntsen Mulder, dat zich al een tijd vastbijt in deze praktijken, heeft namens die ondernemers een collectieve rechtszaak aangespannen om een claim wegens acquisitiefraude te verhalen. De beschreven truc is… Lees verder

Is het valsheid in geschrifte om andermans TTL aan te passen?

| AE 9960 | Informatiemaatschappij, Intellectuele rechten | 10 reacties

Sorry, beetje nerdtitel. Via Twitter de vraag: DNS TTL violations is a controversial topic. It basically means a resolver overrides a TTL value provided by an authoritative server, and then serving its clients with this value. In this post, we analyse if this is happening in the wild. … is ttl violation geen valsheid in… Lees verder

Internationale domeinbeheerder staat afschermen domeininfo toe

| AE 9785 | Intellectuele rechten, Privacy | 13 reacties

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer… Lees verder