GDPR stelt veel Europese domeinbeheerders voor een keuze: de Europese regels volgen, of vasthouden aan hun contract met ICANN. Onder meer het voortbestaan van de Whois database hangt van die keuze af. Het getouwtrek heeft ondertussen zijn eerste rechtszaak opgeleverd.
ICANN klaagt in Bonn de Duitse domeinbeheerder EPGA aan voor contractbreuk. EPGA zou, bij het opstellen van zijn nieuwe privacyverklaring naar aanleiding van GDPR, de regels van ICANN niet meer volgen. Het bedrijf is bijvoorbeeld gestopt met het verzamelen van extra gegevens over admins en technische contacten van websites.
Wie is wie?
Aan de grond van de hele zaak ligt het overleven, of de toekomstige effectiviteit, van Whois. Die databank wordt uitgebaat door ICANN en ze lijst de eigenaars van alle websites ter wereld op. Standaard krijgt een bezoeker de naam, het adres, e-mail en telefoonnummer van de eigenaar, een admin en een technische medewerker te zien. Maar sinds 25 mei is veel informatie van de site gestript.
Persoonlijke informatie publiceren op het internet, zonder voorafgaande toestemming, is namelijk illegaal onder GDPR. En daar staan mogelijk zware boetes op. Een clausule in het contract van domeinnaambeheerders met ICANN voorziet echter dat die informatie verzameld en gepubliceerd moet worden, wat voor spanningen zorgt.
In België volgt DNS Belgium, dat voor .vlaanderen en .brussels bij ICANN onder contract staat, alvast de GDPR-regels, zegt Philip Du Bois van DNS Belgium aan Data News: “We moesten een moeilijke keuze maken. Ofwel volgen we het ICANN-contract en schenden we de GDPR-richtlijn, ofwel volgen we de Europese regels en schenden we het contract. We hebben uiteindelijk gekozen voor de tweede optie omdat we denken dat dat meer in het belang is van onze klanten.”
Voor .be-bedrijven is dnsbelgium zelf verantwoordelijk, dus daar worden ook de Europese regels gevolgd. “We hebben ze eigenlijk gewoon gelijk getrokken. Voor privé-personen gaven wij in het verleden al bijzonder weinig informatie. Dat was alleen een e-mailadres,” zegt Du Bois. “Maar omdat zo’n adres soms de naam van een persoon bevat, publiceren we dat niet langer. Wilt iemand met een website-eigenaar in contact treden, dan kan dat wel via een tussenweg, waarbij wij eerst toestemming vragen om het mailadres door te geven.”
Beetje laat
De legaliteit van het Whois systeem ligt al langer onder vuur (de GDPR-regels bestaan dan ook al twee jaar), maar de discussies erover zijn moeilijk. ICANN is in principe nog altijd een Amerikaans bedrijf, dat niet onderhevig zou zijn aan Europese regels. Actie kwam er dan ook laat, nadat enkele domeinnaambeheerders aangaven geen persoonlijke informatie meer te zullen publiceren op Whois.
ICANN vroeg in april (2018) aan de EU een moratorium van een jaar, om zijn regels aan te passen aan GDPR, maar kreeg daarbij het deksel op de neus. Midden mei (2018) publiceerde de organisatie dan een tijdelijke richtlijn voor Whois, en meldde het aan zijn verschillende klanten (bedrijven die internetadressen verkopen en de infrastructuur van het internet op poten houden) dat ze zich voor 25 mei in regel moesten stellen, iets wat misschien lichtjes ambitieus overkwam.
Veel domeinbeheerders hebben dan ook al eerder hun eigen maatregelen genomen. Een daarvan is het Duitse EPGA, een domeinnaambeheerder onder Tucows, ‘s werelds tweede grootste registrar. Het bedrijf bouwde op basis van GDPR zijn eigen policy uit, meldt het in een blogpost, waarbij het niet langer ‘onnodige’ informatie verzamelt. Het inzamelen van ‘alleen de informatie die je nodig hebt’ is een van de grondprincipes van GDPR, maar de definitie van welke informatie nodig is en welke niet, ligt nu aan de basis van de rechtszaak. Volgens ICANN moet EPGA contactinformatie van de registreerder, een admin en een technisch contact verzamelen, terwijl dat volgens de Duitse beheerder meestal dezelfde mens is. Volgens EPGA is alleen de informatie over de registreerder al meer dan genoeg, en zou extra informatie-inzameling de GDPR-regels breken, en zo het bedrijf kwetsbaar maken voor mogelijk erg hoge boetes.
Een rechter in Bonn moet nu uitzoeken wie er gelijk heeft, en dat heeft mogelijk grote gevolgen voor alle andere domeinnaambeheerders in Europa.
Cybercrime
De uitkomst van de rechtszaak en het uiteindelijke lot van Whois wordt niet alleen door domeinnaambeheerders opgevolgd, ook security-onderzoekers en politiediensten volgen de zaak met argusogen. Zij maken namelijk vaak gebruik van de database om uit te vissen wie er achter bepaalde (schimmige) websites en mailservers zit.
Advocaat Steven Farmer, geeft in een brief aan de Wall Street Journal aan dat de GDPR het moeilijk maakt voor politiediensten om cybercriminelen tegen te houden. Hij heeft bijvoorbeeld kritiek op de regel, omdat veel bedrijven eieren voor hun geld kiezen en liever een strengere interpretatie van GDPR volgen, dan een brede databank bij te houden. “Het is spijtig dat we geen begeleiding krijgen bij enkele belangrijke principes,” vertelt hij in een gesprek met BBC.
Volgens Du Bois loopt het echter zo’n vaart nog niet. “Die data is niet meer publiek beschikbaar maar we hebben die nog wel. In het kader van algemene veiligheid werken we samen met FOD Economie, en met bijvoorbeeld het FCCU om cybercriminalieit te bestrijden. Als die informatie in het kader van een onderzoek wordt opgevraagd, geven we die ook. Maar aan het brede publiek gaan we niet meer zomaar onmiddellijk info van private personen tonen.”
Fout opgemerkt of meer nieuws? Meld het hier