GDPR en WHOIS: een moeilijk huwelijk in domeinnamenland

Bijna een jaar na de inwerkingtreding van de Europese privacywetgeving GDPR wordt binnen ICANN, de non-profit die verantwoordelijk is voor het toewijzen van IP-adressen en domeinnamen, nog steeds gepalaverd over hoe die regulering nu precies moet worden toegepast op de WHOIS-database. Het einde is bovendien nog niet in zicht, weet Bart Mortelmans, eigenaar van domeinnaamregistrar bNamed.net.

WHOIS is zo oud als het internet zelf. Het protocol wordt gebruikt om informatie over de geregistreerde eigenaar van een domeinnaam of IP-adres op te vragen. Wie dat voor 25 mei 2018 probeerde, kreeg in veel gevallen een hoop persoonlijke gegevens voorgeschoteld, zoals de naam en het e-mailadres van een websitebeheerder.

Die gegevens waren tot een jaar geleden gewoon voor iedereen publiek beschikbaar. “Het idee erachter was dat je altijd moet kunnen achterhalen wie eigenaar is van een domeinnaam, en dus ook de verantwoordelijkheid heeft voor wat ermee gebeurt”, legt Mortelmans uit. De WHOIS-gegevens worden bijvoorbeeld geraadpleegd door politiediensten bij crimineel onderzoek, maar even goed door merkenorganisaties die misbruik van een intellectueel eigendom willen aanvechten of door geïnteresseerde kopers die een domeinnaam graag willen overnemen.

Dat al die informatie zomaar te grabbel lag, viel moeilijk te rijmen met de GDPR, die strikte voorwaarden oplegt voor de verwerking van persoonsgegevens. “Enerzijds had je in de WHOIS-database heel wat informatie die onder GDPR gewoon niet meer getoond mag worden”, vertelt Mortelmans. “Anderzijds had de grote meerderheid van de industrie pas rijkelijk laat door dat er iets veranderd moest worden.”

Tijdelijke richtlijn

Pas op 17 mei 2018, een week voor GDPR van kracht ging, publiceerde ICANN nieuwe richtlijnen omtrent wat mag en niet mag onder de nieuwe Europese privacyregels voor de generische topleveldomeinnamen (gTLD’s) die het in beheer heeft. “Je moet rekenen dat als ICANN nieuwe regels verzint, die doorgaans zes maanden tot een jaar op voorhand worden aangekondigd”, verduidelijkt Mortelmans. “In dit geval waren er één week op voorhand tijdelijke richtlijnen klaar. Het was allemaal last minute haastwerk en dat zie je er soms ook aan.”

Het grote probleem is dat er binnen ICANN nog steeds onenigheid bestaat tussen de verschillende partijen over hoe drastisch de maatregelen moeten zijn. Enerzijds heb je de registrars, zoals bNamed, die vooral hun klanten tevreden willen houden en niet graag door ICANN worden verplicht om dingen te doen die wettelijk volgens hen niet mogen. Aan de andere kant heb je de merkhouders en merkenorganisaties, die graag toegang willen tot alle gegevens, zodat ze kunnen ingrijpen wanneer hun merken worden misbruikt.

 

“Gegevens mogen worden verwerkt als het strikt noodzakelijk is. De discussie over wat dat precies betekent, is nog steeds aan de gang.”

 

Regulering binnen ICANN wordt bottom up bepaald, maar de twee kampen raken het onderling moeilijk eens over de kwestie, weet Mortelmans. “De wetgeving is open voor interpretatie en zegt niet expliciet wat wel en niet kan in WHOIS. Gegevens mogen worden verwerkt als het strikt noodzakelijk is. De discussie over wat dat precies betekent, is binnen ICANN nog steeds aan de gang.”

Daardoor zijn vandaag tijdelijke richtlijnen van kracht, die na 25 mei van dit jaar alweer worden aangepast. Daarin wordt een technisch systeem voorgesteld met getrapte toegang tot de WHOIS-informatie. Standaard wordt in dat geval geen persoonlijke informatie getoond, maar rechtmatige informatieverzoeken kunnen wel worden ingewilligd.

“Zo’n technisch systeem is vrij ingewikkeld. ICANN heeft daarom vooropgesteld dat het pas klaar moet zijn tegen augustus van dit jaar”, vertelt Mortelmans. “Dat is dus op basis van tijdelijke richtlijnen die aflopen in mei. De nieuwe richtlijn zal wel grotendeels hetzelfde blijven, maar het blijft een beetje onnozel. Langs de andere kant kan je ook niet wachten op definitieve regels, als je ziet hoe moeilijk het is om iedereen op één lijn te krijgen.”

Landdomeinen

Naast gTLD’s, zijn er ook nog de landgebonden topleveldomeinnamen, zoals .be en .nl. Die zijn in het beheer van de landen zelf, die weliswaar ook binnen ICANN worden vertegenwoordigd, maar hun eigen richtlijnen bepalen. Ook hier bestaat geen consensus, waardoor de invulling van de GDPR per land verschilt. “Sommige landen ver weg van Europa trekken zich momenteel nog niets aan van GDPR, maar de meeste zijn er wel vrij goed uit”, denkt Mortelmans. “Zeker de Europese landen hebben hun huiswerk goed gemaakt en zijn denk ik niet meer van plan om van gedacht te veranderen.”

De meeste Europese landen hebben beslist dat een bedrijfsnaam nog wel getoond mag worden, omdat het geen persoonsgegeven betreft. Dat klinkt logisch, maar leidt binnen ICANN nog steeds tot discussie omdat iemand per ongeluk zijn eigen naam als bedrijfsnaam zou kunnen opgeven. Een persoonlijk e-mailadres wordt dan doorgaans weer wel verborgen, maar er moet nog altijd een mogelijkheid zijn om de eigenaar te contacteren, bijvoorbeeld via een algemeen adres of formulier. Die functionaliteit ontbreekt vandaag evenwel nog vaak, omdat er geen harde deadline voor werd vastgelegd.

 

“Zeker de Europese landen hebben hun huiswerk goed gemaakt.”

 

Bovendien zijn ook hier weer verschillen. Mortelmans: “Bijna iedereen vindt dat een e-mailadres persoonlijke informatie is, maar er zijn uitzonderingen zoals IJsland en Europa zelf, die wel nog een e-mailadres tonen. In geval van .eu-domeinen is er de Europese wetgeving die verplicht dat een e-mailadres wordt getoond in de WHOIS. Dan wint die wetgeving van GDPR, want de verwerking is strikt noodzakelijk.”

Napoleon

Een ander onopgelost vraagstuk is hoe lang gegevens in de WHOIS-database mogen worden bijgehouden. Volgens ICANN, van oorsprong een Amerikaanse organisatie, moesten gegevens nagenoeg oneindig worden bewaard. “Wij hebben daar zelf ooit een uitzondering op gevraagd, omdat we die gegevens wettelijk gezien niet zo lang mochten bewaren”, vertelt Mortelmans. Sindsdien worden gegevens één jaar na het stopzetten van een contract verwijderd, maar dat is buiten Napoleon gerekend.

“In het kader van GDPR zegt de .eu-registry nu dat gegevens tot tien jaar na datum moeten worden bewaard. Er is ooit nog wetgeving door Napoleon verzonnen die zegt dat een individu tot tien jaar later mogelijk nog voor de rechter kan worden gedaagd voor bepaalde vergrijpen, die ook zouden kunnen plaatsvinden met een domeinnaam”, legt Mortelmans uit. “Die wetgeving is ook vandaag nog van toepassing in landen waar Napoleon voet aan grond heeft gezet.”

Aansprakelijkheid

Tot slot is ook de kwestie van aansprakelijkheid nog niet helemaal uitgeklaard. Enerzijds is het de registrar of registry die informatie in WHOIS publiceert, maar anderzijds is het ICANN die oplegt welke gegevens worden gepubliceerd.

“Als we wettelijk gezien denken dat we iets niet mogen publiceren, moeten we eerst bij ICANN een uitzondering vragen en die juridisch onderbouwen”, verduidelijkt Mortelmans. Hij herhaalt dat de wetgeving nergens expliciet zegt wat wel en niet mag in WHOIS, maar open staat voor interpretatie. “Uiteindelijk is het wachten tot een rechter zich uitspreekt over wat wel en niet mag, anders komen we er nooit uit.”

Mortelmans schat de kans dan ook maar klein in dat ICANN tegen 25 mei definitieve richtlijnen kan voorleggen. “De nieuwe regels zullen opnieuw tijdelijk zijn. Het is een soep omdat iedereen andere dingen wil en zoveel verschillende partijen de richtlijnen uiteindelijk elk op hun eigen manier zullen uitwerken.”