SIDN hoeft zonefile met alle .nl-domeinnamen niet aan bedrijf te verstrekken

De Stichting Internet Domeinregistratie Nederland (SIDN) hoeft de zonefile van het .nl-domein, die alle domeinnamen eindigend op .nl bevat, niet aan het bedrijf Dataprovider te verstrekken, zo heeft de Autoriteit Consument & Markt (ACM) geoordeeld. Dat las ik bij Security.nl begin deze week. Dataprovider wilde de zonefile van het .nl-domein omdat dit behulpzaam zou zijn bij het leveren van online merkbeschermingsdiensten, en ervoer de weigering als een misbruik van de machtspositie die SIDN heeft.

Merkbewakingsdiensten zien het controleren op domeinnamen als een belangrijk deel van hun taak; regelmatig duiken er natuurlijk nepperds op met varianten op de merk-domeinnaam, en die wil je zo snel mogelijk opsporen en aanschrijven. Als je dan de volledige zonefile hebt (zeg maar een Excel met alle domeinnamen die op .nl eindigen) dan kun je daar heel makkelijk in zoeken.

Dataprovider maakte gebruik van crawlers om zo veel mogelijk domeinnamen te achterhalen, maar dat is natuurlijk niet perfect. Iemand die een domeinnaam registreert en daar helemaal niets mee doet, die krijg je op die manier niet snel gevonden. Maar met de zonefile zou je die normaal wel kunnen vinden – en dan gelijk juridisch aanpakken.

SIDN biedt zelf ook merkbewakingsdiensten, waarmee je de .nl (en andere zones die SIDN beheert) domeinnamen die lijken op je merk kunt bewaken. Dat zag Dataprovider als een oneerlijke concurrent, en ze stapte naar de ACM om deze toezichthouder een eind te laten maken aan die situatie. Want SIDN heeft de macht over .nl en zou dan het misdrijf van leveringsweigering kunnen plegen, om zo een concurrent op afstand te houden.

Zoals de ACM uitlegt, ligt de lat daarvoor alleen erg hoog:

Het aanmerken van een leveringsweigering als misbruik, vereist dat de levering van de geweigerde input objectief onmisbaar is om daadwerkelijk op de stroomafwaartse markt te kunnen concurreren. Als dit het geval is, zal een dergelijke weigering doorgaans de daadwerkelijke mededinging op de stroomafwaartse markt, onmiddellijk of na verloop van tijd, dreigen uit te schakelen. Het risico van een daadwerkelijke uitschakeling van de mededinging is over het algemeen groter naarmate het marktaandeel van de onderneming met een machtspositie, op de stroomafwaartse markt groter is. Ook is vereist dat voor de leveringsweigering geen objectieve rechtvaardiging bestaat.
Met name de eis van “onmisbaar” is natuurlijk ontzettend streng. Maar wel terecht: ook een onderneming met een machtspositie mag zijn of haar klanten kiezen. Pas wanneer er niets te kiezen valt (de machthebber is onmisbaar) dan kom je in het terrein van misbruik terecht. Enigszins tot mijn verrassing lees ik dan dat
Dataprovider heeft aan de ACM verklaard dat, ondanks dat het domein .nl in Nederland belangrijk is, het beschikken over de .nl zonefile voor haar niet noodzakelijk is om op de stroomafwaartse markt te kunnen opereren.
Ik zou wel eens willen lezen wat Dataprovider dan precies zei, want iedere jurist weet dat als je toegeeft op een kernaspect van je eis, dat je dan grote kans maakt om te verliezen. Maar goed, in de kern is het waar: met scrapen en trucs als “iedere neppert op .com even checken bij .nl” kom je ook een heel eind en je bedrijf staat niet op omvallen dus écht onmisbaar is die zonefile niet.

Het meer fundamentele bezwaar is dat SIDN zowel de .nl zone beheert als een domeinbewakingsdienst exploiteert die daarmee samenwerkt. Maar dit “blijkt echter niet een dusdanig voordeel op te leveren dat dit het aanzienlijke aantal concurrerende aanbieders van SIDN ervan weerhoudt op deze markt actief te zijn”.

Arnoud

RTL: bsn’s van miljoenen Nederlanders online te zien door verlopen domeinnaam

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in plaintext naar die e-mailadressen gestuurd. Erg pijnlijk, en het laat maar weer eens zien hoe slecht er in de praktijk met domeinnamen wordt omgegaan.

De truc is namelijk niet nieuw: regelmatig krijg ik vragen over houders van domeinnamen die merken dat deze eerder in gebruik zijn geweest. Men krijgt dan mail voor de oude eigenaar, en dat kan variëren van babbelmails tot complete dossiers, facturen of bestellingen – en in dit geval dus medische informatie en wachtwoorden om daarbij te kunnen:
In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
De reden hierachter is even stom als simpel: Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. Daar hoort natuurlijk ook een nieuwe domeinnaam bij, en kennelijk beslist er dan iemand dat het tientje per jaar voor de oude domeinnaam het geld niet waard is, zodat die wordt opgezegd. Na enige tijd komt die dan vrij, en RTL kon deze vervolgens registreren. Computers van anderen zien niet of de domeinnaam ondertussen bij een ander in gebruik is, zodat het aanleveren van informatie gewoon doorgaat. (Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.)

Aan dit citaat heb ik niets toe te voegen:

Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: “Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus directeur Wim Hafkamp.
Helaas weet ik ook geen eenvoudige manier om dit op te lossen. Ergens een wettelijke regel toevoegen dat een zorgorganisatie overbodige domeinnamen niet meer mag opheffen, is vast te simpel?

Arnoud

Wanneer kan een gewoon woord een merknaam zijn?

Reiswebsite Booking.com mag haar bedrijfsnaam als merk vastleggen in de VS, las ik bij Ars Technica. De Supreme Court bepaalde dat hoewel de term ‘booking’ in het Engels natuurlijk vrij generiek is, de toevoeging van ‘.com’ het tot een unieke naam maakte. Hoewel mensen inderdaad “a booking” zouden maken bij een willekeurige dienstverlener, zou niemand zeggen “I’m going to make a booking.com tonight”. Dat maakt deze combinatie geschikt om als merk te dienen. Het punt van merken is immers dat je bedrijven of producten van elkaar kunt onderscheiden. Dit is wel opvallend, omdat in Nederland juist altijd is gezegd dat een toevoeging zoals .com niets zegt, dat heeft iedereen. Ik kreeg dan ook vele vragen over hoe onderscheidend of creatief een merknaam moet zijn.

Het merkrecht is bedoeld om namen (en logo’s en zelfs vormgeving, zoals het getoonde Coca-Cola flesje) te beschermen. Dat wil zeggen: als je naam geschikt is om als merk te dienen. Het criterium daarvoor is dat je naam onderscheidend vermogen heeft, oftewel het vermogen om met de naam een product, dienst of bedrijf te onderscheiden van de concurrent. “Melk” is bijvoorbeeld geen geschikte merknaam voor dat witte goedje, maar “Boerenland melk” en “Den Eelder melk” zijn dat wel omdat je hier meteen al ziet dat dit twee aparte soorten melk zijn.

Een veelgehoord misverstand is dat gewone, bestaande woorden geen merk kunnen zijn. Daar zeg ik dan altijd op: gazelle, randstad, diesel, telegraaf, hoezo mag dat niet? Dit zijn prima merknamen – alleen niet voor de letterlijke betekenis. Die spijkerbroeken zijn geen brandstof voor dieselmotoren, dus dat gaat goed.

In het Engels geldt hetzelfde criterium, en daarom had Booking.com een probleem want “booking” is natuurlijk letterlijk de dienst die je doet bij een booking-site. Althans dat vond het USPTO, het Amerikaanse merkenbureau. Daar ging de dienstverlener tegen in beroep, en bij de hoogste rechter krijgt men nu gelijk vanwege de toevoeging “.com”. Dat maakt het een unieke naam en dus geschikt als merk. Daarbij woog zwaar mee dat mensen in een enquête “booking.com” als een verwijzing naar die ene dienstverlener zagen, en niet een algemene term voor boekingssites op internet of iets dergelijks. Een beetje zoals bij ons “marktplaats” niet meer “de plek van de markt” betekent maar “die ene oranje website waar je je oude spullen kwijt kunt”.

Het gevaar dat meteen wordt gesignaleerd is dat dit merkrecht nu gebruikt kan worden om de concurrent te verhinderen het woord “booking” te gebruiken. Dat zou wel heel onhandig zijn op een concurrerende boekingwebsite, en om die reden zou dat ook niet moeten kunnen. Ik zeg “zou moeten” want ik lees in het Ars Technica artikel al meteen afschrikwekkende voorbeelden van bijvoorbeeld het bedrijf Monster (van die slechtvoordejeugdzijnde energiedrankjes) dat uitgave van een kinderboek met als titel “Albert and the Amazing Pillow Monsters” wist te verhinderen met een stevige blafbrief. Specifiek in de reisbranche maak ik me daar minder zorgen over, want die concurrenten zijn ook héle grote jongens met navenante juridische afdelingen en die herkennen een blaf echt als zodanig.

Arnoud

Mag je corp.com registreren als je weet dat dat een Windows-fout is?

Een lezer vroeg me:

Bij KrebsOnSecurity las ik dat het Corp.com domein te koop gezet gaat worden. Daarmee is toegang te krijgen tot allerlei credentials en nu vroeg ik me af of dat legaal is. Immers je doet niets, andere mensen configureren hun Windows-netwerk slecht. Hoe zit dat in Nederland?

Het domein corp.com gaat inderdaad in de verkoop als ik het goed lees, al lijkt het vooral de bedoeling dat Microsoft het koopt voor een miljoen dollar. Dat zou dan zijn omdat inderdaad veel slecht geconfigureerde Windowsnetwerken verkeer naar dit domein sturen, inclusief authenticatiemiddelen zoals wachtwoorden.

De reden hierachter is dat Windows bij het maken van een intern netwerk standaard de suffix “.corp” voorstelt, wat lang niet iedereen aanpast. Interne diensten zoals gedeelde harde schijven kun je benaderen met iets als \klantdata\ in de Explorer. Echter, ga je vervolgens ergens werken waar je andermans DNS gebruikt, dan maakt Windows van die naam eerst “klantdata.corp” en vervolgens “klantdata.corp.com” omdat .corp niet bestaat bij die ander. En dan stuurt je systeem dus inderdaad logins en dergelijke naar die website.

Op zich gebeurt dit vaker. Bedrijven die een oude domeinnaam hebben overgenomen, of blijken te hebben geregistreerd, ontvangen regelmatig mails voor de oude eigenaar bijvoorbeeld. Dat is vervelend, maar in de praktijk gooi je die mail dan weg en dan is het klaar.

Hier voelt het iets anders, omdat de bedoeling van deze domeinnaam hebben nu duidelijk lijkt te zijn dat je die logins wilt hebben. Het is moeilijk daar een legitiem doel aan te koppelen. Natuurlijk is er vast een marketingblablaverhaal te verzinnen dat je corporate dienstverlening wilt verrichten en dat corp.com dan perfect aansluit bij je merkwaardebeleving, maar om eerlijk te zijn geloof ik daar dan geen bal van.

In Nederland is het strafbaar (art. 139d Strafrecht) om wachtwoorden of dergelijke authenticatiemiddelen te verwerven, in te voeren, beschikbaar te stellen of voorhanden te hebben. Althans, als je doel daarmee is om het misdrijf computervredebreuk, denial of service of aftappen van vertrouwelijke informatie te plegen. Een wetenschapper die wil onderzoeken hoe groot dit probleem is, kan dus prima monitoren wat hier gebeurt. Een security-onderzoeker die al die bedrijven wil waarschuwen handelt ook legaal. Maar voor het overige zie ik niet hoe je iets kunt doen met die informatie.

Arnoud

Amerikaanse keten dwingt Utrechtse sapjesbar naam te veranderen

De Utrechtse zaak Smood Juicebar, die nu bijna 3 jaar gevestigd zit op de Vismarkt in de binnenstad, wordt gezien als bedreiging door een soortgelijk bedrijf in de Verenigde Staten. Dat meldde stadskrant DUIC onlangs. Na een juridisch gevecht van een half jaar heeft de sapjesbar eieren voor haar geld gekozen en wordt de naam nu verandert. Dat bevreemde een hoop lezers, want merkrechten zijn toch per land beperkt en hoezo kan een hipstercafé in New York (Dr Smood) dan in Utrecht rechten hebben?

Een merk is inderdaad per land beperkt, hoewel er bijvoorbeeld in Europa ook merken voor de hele gemeenschap ineens aangevraagd kunnen worden. Maar voorop staat dat je ergens je merk geregistreerd moet hebben (en daadwerkelijk gebruiken) om rechten uit te kunnen oefenen.

Dit speelt vaak bij internetzaken: bedrijf A in het ene land claimt een domeinnaam waar bedrijf B in een ander land haar merk in ziet, en dan worden er dure advocaten losgelaten die op hoge poten afgifte van dit Ernstig Inbreukmakende Eigendom eisen (een kenmerk van blafbrieven is Zelfbedachte Dreigende Afkortingen). Ongeacht hoe het merkenrechtelijk nu precies zit. Dat kan dus niet, tenzij bedrijf A door haar handelen daadwerkelijk in het land van B interfereert met het gedeponeerde merk. Vanuit Nederland kún je je op de VS richten en zo een merkrecht aldaar schenden, maar specifiek met een sapjesbar in Utrecht kan ik me dat moeilijk voorstellen.

Het geval wil echter dat Dr Smood een Europees merk heeft, en dan komt het natuurlijk anders te liggen. Dan gaat het dus niet over Amerikaanse claims tegen een Utrechtse bar, maar een Europees recht dat botst met een Nederlandse onderneming. Het merk is uit 2014 en de bar uit 2016, dus zo op het eerste gezicht heeft de merkhouder daar een punt. Ook als ze (nog) niet in Europa actief zijn – het merk zou dan 5 jaar na de toekenning (2016) vervallen, en daar zijn we nog niet.

Arnoud

Een domeinnaamhouder kan worden aangesproken op gedrag van de website-eigenaar

Het is uitzonderlijk, maar het kan: als domeinnaamhouder aansprakelijk gesteld worden voor wat de gebruiker van je domeinnaam doet. Dat maak ik op uit een recent vonnis van de rechtbank Midden-Nederland. Zoals eigenlijk altijd in het recht is niets absoluut, ook niet de regel dat je als domeinnaamhouder geen bemoeienis en dus geen aansprakelijkheid hebt met wat de beheerder van de daaraan gekoppelde site vervolgens doet. Alles hangt af van de omstandigheden van het geval – een ergerlijke omschrijving, maar wel eentje waar we het mee moeten doen.

De eisers in deze zaak waren ondernemers, die op een website achter een specifieke domeinnaam ineens artikelen lazen waarin zij in verband werden gebracht met ernstige misdrijven, waaronder moord. In de artikelen stonden hun namen en adressen en hun onderneming en er werden foto’s van ze getoond. Als je zoiets gebeurt, dan is het logisch dat je allereerst kijkt op de site zelf – maar daar stonden geen duidelijke contactgegevens.

Contactgegevens vind je vaak wel bij de domeinnaam, omdat daar een openbaar register van is waar dat in staat. In dit geval ging het om een .nl domeinnaam, zodat men via het SIDN register uitkwam bij de gedaagde partij. Die verweerde zich met het argument dat hij niet aansprakelijk is, omdat hij de inhoud niet zelf had geplaatst en niet aansprakelijk gehouden kan worden voor wat zijn klanten (de domeinnaam-huurder in dit geval) doen met websites achter die domeinnaam.

Dat principe gaat inderdaad op als hoofdregel, maar zoals elke hoofdregel in het recht zijn daar uitzonderingen op. In dit geval is dat het feit dat je als hostingprovider (wat een DNS-aanbieder kennelijk is, de rechter oordeelt dat vrij makkelijk) gehouden bent een effectieve notice/takedown procedure te voeren. Bij klachten over inhoud als deze zul je als hoster op zijn minst verhaal bij je klant moeten gaan halen. De klacht naast je neerleggen en een video terugmailen met een sketch uit de serie “Little Britain” met het thema “computer says no” terugsturen lijkt me op geen enkele manier een redelijke NTD procedure te noemen.

Omdat de hoster geen effectieve NTD voerde, is hij aansprakelijk voor de schade als gevolg van de onrechtmatige publicatie vanaf het moment dat hij daarop werd gewezen. Zeker nu er geen werkelijke auteur in beeld is, is dat ook niet meer dan redelijk wat mij betreft. De domeinnaambeheerder moet nu zorgen dat de betreffende artikelen ontoegankelijk wordt (regel het maar met je klant, je hebt er een zootje van gemaakt, maar dan in juridische taal) en als dat niet gebeurt dan moet hij de gehele website offline halen (en dan schadeclaims over en weer over wanprestatie met zijn klant gaan oplossen, zijn probleem).

En mocht dat alles geen effect hebben, zelfs niet met dwangsommen, dan wordt het vonnis aangemerkt als een verzoek door de domeinnaamhouder om deze offline te halen. Daarmee kunnen de eisers dan terecht bij SIDN, die dat vervolgens uit zal voeren. (Dit is de Nederlandse vertaling van “een gerechtelijk bevel”.)

Arnoud

Liegen over een bijna ingepikte domeinnaam is dus echt bedrog

Hij is al vaak langsgekomen, maar nu is het echt door de rechter bevestigd: mensen een domeinregistratiecontract aansmeren met als verkooptruc “iemand anders wil hem registreren” heet bedrog, en je kunt dat contract daarmee per direct van tafel krijgen. Dat blijkt uit een rechtszaak tussen het bedrijf Trademark Office (sowieso al een dubieuze naam gezien de kennelijke allures naar overheidsmerkinstanties) en een ondernemer die een rekening van € 425,10 voor een tienjarig domeincontract niet wilde betalen. Protip: neem als ondernemer alsjeblieft alle ongevraagde inkomende gesprekken op, als bewijs. En ja dat mag.

De feiten uit de zaak zijn zo simpel als het maar kan. Trademark Office (niet te verwarren met het US Patent and Trademark Office of het Benelux Merkenbureau) had de ondernemer gebeld om haar de dienst van registratie en doorverwijzen van een domeinnaam aan te bieden. Als verkoopbevorderend argument was daarbij gezegd dat een andere partij deze domeinnaam had geclaimd, en dat zij deze nu aanboden aan de gebelde ondernemer. Wees er snel bij want anders is ‘ie weg.

Klinkt dat bekend? Inderdaad, het doet sterk denken aan de vele alarmerende mails die ondernemers krijgen met als strekking dat iemand anders je merk als domein wilt vastleggen en dat jij nu de kans krijgt dit te voorkomen. Vaak wordt daarbij geschermd met enige autoriteit die men zou hebben (“By law we are requried to now seek your consent”). Ik ken deze truc vooral uit verre landen, omdat niemand voor een paar honderd euro naar Hongkong gaat voor een procedure om zijn geld terug te krijgen.

Trademark Office kwam onlangs ook in het nieuws vanwege een collectieve rechtszaak tegen zich namens vele gedupeerde ondernemers. Deze uitspraak staat daar los van, maar de feiten zijn wel precies hetzelfde. En voor mij is jezelf “Trademark Office” noemen net zo misleidend als schermen met verwegwetgeving die zou vereisen dat je bij een merkhouder moet navragen of hij de domeinnaam wil hebben.

In de comments werd nog verwezen (dank Wim) naar dit Vice-artikel over de schimmige praktijken van dit Groningse bedrijf, inclusief screenshots van de interne trainingsgids met daarin pareltjes als “the first registration law” en de aanduiding “handelsmerkenkantoor in de Benelux” voor het bedrijf.

Het hielp het bedrijf natuurlijk niet dat ze stilzwijgend erkenden dat dit het verkooppraatje is geweest. En dan is de rechter heel makkelijk:

Omdat Trademark Office niet heeft weersproken dat zij een ‘verkooptruc’ heeft toegepast om [gedaagde] te bewegen de overeenkomst te sluiten, door hem de onjuiste mededeling te doen dat een andere, onbekende partij de gebruikersnaam [domeinnaam] .com had geclaimd (en dat zij deze voor hem kon veiligstellen), is er sprake van bedrog. Een rechtshandeling die als gevolg van bedrog is tot stand gekomen, is vernietigbaar.

Had TO wél ontkend, dan had de ondernemer een heel stuk zwakker gestaan en waarschijnlijk de zaak verloren. Want als je een beroep doet op bedrog, moet jij bewijzen dat je bent bedrogen. Oftewel, dan moet je bewijzen dat deze club die mededeling daadwerkelijk heeft gedaan.

Er is maar één manier om dat te doen, en dat is een gespreksopname maken. Ik zou dus bij deze iedere ondernemer willen adviseren om bij ieder ongevraagd binnenkomend gesprek een telefoonopname te maken. En ja dat mag van de AVG, het gaat immers om bewijsvoering voor (toekomstige, gevreesde) rechtsvorderingen. Je hebt daarmee een legitiem belang dit te doen, zolang je de opnames maar weggooit zodra ze niet relevant blijken.

Arnoud

Nederlands bedrijf aangeklaagd wegens domeinnaamfraude

Het in Amsterdam en Heerhugowaard gevestigde Trademark Office wordt door een groep van ruim dertig ondernemers aangeklaagd wegens domeinnaamfraude. Dat meldde Nu.nl vorige week. Advocatenkantoor Berntsen Mulder, dat zich al een tijd vastbijt in deze praktijken, heeft namens die ondernemers een collectieve rechtszaak aangespannen om een claim wegens acquisitiefraude te verhalen. De beschreven truc is al vrij oud, en ik viel vooral van mijn stoel om te lezen dat een Nederlands bedrijf dit zou doen. Het leek me zodanig triviaal niet toegestaan dat ik me niet kon voorstellen dat iemand het risico wilde weten.

Kort gezegd is de truc als volgt. Het bedrijf belt organisaties met de mededeling dat iemand de .com versie van hun domeinnaam wil vastleggen, maar dat zij als controleur de organisatie nu de gelegenheid geven als eerste deze domeinnaam vast te leggen. Je hebt 24 uur om te beslissen en als je er op ingaat, blijk je een tienjarencontract voor dat domein te krijgen tegen prijzen die bepaald niet marktconform zijn.

Er is uiteraard niet daadwerkelijk iemand bezig met het vastleggen van die domeinnaam, en er is ook geen enkele wettelijke regeling dat de houder van de .nl domeinnaam (of het merk of de handelsnaam daarachter) een gelegenheid moet krijgen om die domeinnaam met .com extensie vast te leggen. Daarom riekt dit behoorlijk naar fraude. De advocaat van Berntsen Mulder motiveert het verder:

De kosten blijken ook nog eens veel hoger dan wat in de markt gebruikelijk is. Ook is er helemaal geen ander bedrijf dat de .com versie van jouw domeinnaam wilde hebben en Trademark Office is helemaal niet belast met de controle op dubbele domeinnamen. Ook het zogenaamde ‘eerste registratierecht’ bestaat alleen in de fantasiewereld van Trademark Office zelf. Door bedrijven zoals Trademark Office wordt een schijnurgentie gecreëerd, alleen om bedrijven over te halen met hen in zee te gaan.

De truc is al wijd en zijd bekend als een vorm van acquisitiefraude, alleen had ik hem dus alleen gehoord in de context van Aziatische (meestal Chinese) bedrijven die Europese domeinnaamhouders benaderen. Dat leek me logisch want gezien de afstand zou een slachtoffer niet snel naar de rechter stappen in China of Vietnam. Nu dus in Nederland, en dat vind ik raar want wij hebben een goed en snel rechtssysteem. Je neemt dus een serieus risico, of mis ik iets?

Arnoud

Is het valsheid in geschrifte om andermans TTL aan te passen?

Sorry, beetje nerdtitel. Via Twitter de vraag:

DNS TTL violations is a controversial topic. It basically means a resolver overrides a TTL value provided by an authoritative server, and then serving its clients with this value. In this post, we analyse if this is happening in the wild. … is ttl violation geen valsheid in geschrifte?

Nu zie ik wel vaker de discussie of het aanpassen van elektronische informatie telt als valsheid in geschrifte, dus laten we er weer eens voor gaan zitten. In de basis is het wetsartikel vrij simpel:

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Het moet dus gaan om een geschrift. Dit mag ook elektronisch zijn, dus een digitaal document of gegevensverzameling valt er ook onder. Het geschrift moet wel een bewijsfunctie hebben, het doel van het geschrift moet zijn dat je er iets mee kunt aantonen of weerleggen. Een bioscoopkaartje voldoet aan die discussie (het bewijst dat je naar die en die film mag), een liefdesbrief niet (en nee “het bewijst je liefde” is juridisch niet goed genoeg). In de elektronische wereld zou een nep-SSL-certificaat bijvoorbeeld deze functie hebben, maar nepnieuws niet.

Dat “valselijk opmaken of vervalsen” is een brede omschrijving voor de ‘valsheid’ die je pleegt: je past dingen aan in een echt bewijsdocument, of je maakt een geheel nieuw document dat eruit ziet als echt. Beiden zijn goed genoeg om van valsheid in geschrifte te plegen. Wel is daarbij vereist dat het doel van je aanpassing is dat je het resultaat voor echt wilt laten doorgaan. Een bioscoopkaartje met Photoshop bewerken tot een ludieke uitnodiging voor je verjaardag in Star Wars-thema is dus niet strafbaar.

Goed, dan die TTL schending. Heel kort gezegd: de informatie achter domeinnamen die via nameservers wordt verspreid, heeft een houdbaarheidsdatum, de time to live of TTL. Na die TTL wordt je als ontvanger geacht die informatie opnieuw bij de bron op te vragen, zodat je niet met verouderde informatie (zoals oude IP-adressen en dus de verkeerde site) zit te werken.

De aanleiding voor de vraag was de constatering dat het voorkomt dat organisaties de TTL van andermans domeinnaaminformatie ongevraagd aanpassen. Enerzijds inkorten – zodat de bron veel vaker dan gewenst opnieuw bevraagd wordt – en anderzijds verlengen – zodat de ontvanger met mogelijk verouderde informatie werkt. Voor beide opties zijn argumenten te over.

Is dit nu valsheid in geschrifte? De makkelijke stukken: een brokje DNS informatie is een elektronisch geschrift en het wordt aangepast om het als echt door te laten gaan, want de ontvanger van de aangepaste informatie kan het niet onderscheiden van het origineel. Maar ik denk dat het hier stukloopt op de bewijsfunctie: het informatiebericht dient niet als bewijs, het is niet “wij verklaren bij deze dat onze informatie 2 dagen geldig is” maar het is een stukje informatieverstrekking met een houdbaarheidsdatum “controleer deze informatie na 2 dagen opnieuw”. Ik denk dus niet dat je er langs die route komt.

Arnoud

Internationale domeinbeheerder staat afschermen domeininfo toe

De wereldwijde domeinnaambeheerder ICANN gaat geen stappen ondernemen tegen beheerders van domeinnaamextensies die de zogenoemde WHOIS-gegevens afschermen. Volgens de ICANN-regels moeten gegevens van domeinnaamhouders in het WHOIS register worden gepubliceerd, waar ze zonder enige restrictie toegankelijk zijn voor de hele wereld. Onze eigen Autoriteit Persoonsgegevens kwam recent tot de conclusie dat dat niet mag wanneer het gaat om persoonsgegevens, en ICANN lijkt daardoor nu overstag te gaan.

Domeinnamen en WHOIS bestaan al enkele decennia. In de basis is het erg nuttig dat je kunt zien wie de eigenaar is van een domeinnaam, zodat je deze bijvoorbeeld kunt contacteren in geval van misbruik van het systeem. Meestal was dat ook geen probleem voor de eigenaar, want lange tijd hadden eigenlijk alleen bedrijven en instellingen hun eigen domeinnamen.

Nadat steeds meer privépersonen domeinnamen gingen registreren, begon het ietwat te knellen. Je moest namelijk je ware en volledige gegevens invullen, inclusief je naam en privéwoonadres. Dat voelt nogal privacygevoelig en dat is het natuurlijk ook, maar zo waren de regels nu eenmaal. En zeker met de AVG in het vooruitzicht werd het tijd dat hier een knoop over werd doorgehakt.

De AP is stellig, zij het kort:

Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk, omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is.

De kern zit hem natuurlijk in die noodzaak. ICANN zei altijd dat die gegevens nodig waren, maar dat is eigenlijk een cirkelredenering: zij hadden een regel ingevoerd dat het moest, dus moest het. Maar dat is niet genoeg, je moet een objectieve noodzaak kunnen aantonen. En die is er eigenlijk niet. Het zou net zo goed kunnen werken bijvoorbeeld als de WHOIS gegevens afgeschermd zijn, en men via een opvraagprocedure gemotiveerd moet aangeven waarom men die gegevens wil hebben.

Ook is er geen sprake van toestemming, want (zeker onder de AVG) wie zegt “zonder toestemming kom je er niet in” die dwingt toestemming af, en die is dan niet rechtsgeldig. Niet meer dan logisch.

In haar verklaring zegt ICANN dat ze nu voorlopig dit vereiste los gaat laten voor persoonsgebonden domeinnamen. Een registrar die op deze manier wil gaan werken, moet wel aan ICANN uitleggen wat haar proces is om op zorgvuldige manier de werkelijke houderdata te verkrijgen en te bewaren.

Voor Nederlandse domeinnamen geldt dit niet: die worden beheerd door SIDN en die heeft al jaren een afgeschermd register. Alleen een zelfgekozen mailadres moet zichtbaar zijn bij privépersonen, de overige gegevens zijn alleen gemotiveerd op te vragen.

Arnoud