AVG en WHOIS een paar maanden later: hoe zit het?

Een paar maanden geleden was heel online land in rep en roer: de nieuwe privacywet AVG (GDPR in het Engels) ging van kracht. Vorig jaar vroeg collega Tessa zich in een blog af of daarmee het einde van de openbare WHOIS in zicht was. Inmiddels is de AVG er en de rust weer wat weergekeerd. De WHOIS ziet er inmiddels heel anders uit. De vraag is, of dat zo blijft.

WHOIS: domeinnaam geregistreerd, gegevens openbaar

Jarenlang kwamen alle nieuwe domeinregistraties terecht in de WHOIS. Registreerde je een domeinnaam, dan kwamen je naam, adresgegevens, telefoonnummer en e-mailadres hierin te staan. Dit werd verplicht door ICANN, de overkoepelende beheerder van domeinnamen wereldwijd. De WHOIS droeg bij aan een openbaar en vrij internet, was het idee erachter. Wilde je een bod doen op een domeinnaam, dan kon je eenvoudig contact opnemen met de eigenaar. Opsporingsdiensten gebruikten de WHOIS om spammers en cybercriminelen makkelijker op te sporen.

Irritante verkoop na domeinregistratie

Een groot nadeel van de openbare WHOIS, was het risico van de openbare gegevens. Veel mensen die een domeinnaam registreerden, werden overspoeld met spam en verkooptelefoontjes. Want je had een nieuwe domeinnaam aangeschaft, dus misschien had je wel interesse in product A of dienst B.

WHOIS voor bestrijding van spam

Voorstanders van de openbare WHOIS zagen toch grote risico’s in afscherming. Ze waren bang dat bedrijven die controleren of merkenrecht geschonden wordt of spam bestrijden niet goed hun werk meer konden doen en dat er juist veel meer spam, phishing en malware zou komen.

Nederland een klein gevalletje apart

In Nederland mocht dit eigenlijk al niet volgens de privacywetgeving die voor de AVG bestond. De privacywaakhond Autoriteit Persoonsgegevens (AP) oordeelde dat eind 2017 al. De Nederlandse registries dotAmsterdam en FRL Registry (de uitgevers en beheerders van .amsterdam en .frl) zetten gegevens van personen niet meer openbaar online. Iets waar ICANN ondanks de ‘lokale’ wetgeving niet blij mee was. Bij een .nl-domeinnaam was alleen het e-mailadres van de domeinnaamhouder nog zichtbaar. Ook kon je bij sommige andere domeinextensies een privacypakket aanschaffen zodat je gegevens niet meer zichtbaar waren.

En toen kwam de AVG

ICANN was ook niet blij met de verplichte afscherming van persoonsgegevens in de WHOIS en zette alles op alles om dit te voorkomen. Ze vroeg zelfs uitstel aan voor het doorvoeren van de wetgeving in de WHOIS, maar zonder succes.

ICANN verliest rechtszaak

Met de ingang van de AVG op 25 mei 2018, riskeerden registrars (domeinnaamverkopers) en registries (extensiebeheerders) forse boetes als zij persoonsgegevens openbaar in de WHOIS bleven plaatsen. Toen een Duitse registrar besloot geen risico’s te nemen en bij nieuwe domeinregistraties geen contactgegevens op te slaan, startte ICANN een rechtszaak. Na tweemaal hoger beroep bleek toch echt dat de Duitse rechter onvoldoende noodzaak zag om de WHOIS openbaar te houden.

Zo staat het er nu voor met de AVG en WHOIS

Registreer je nu een domeinnaam, dan zijn je persoonsgegevens zoals naam, adres en telefoonnummer automatisch afgeschermd. Maar: sommige landenextensies mogen afwijken van deze regels. De belangrijkste domeinextensies doen het zo:

1. .nl houdt het e-mailadres zichtbaar voor zowel particulieren als bedrijven; bij bedrijven is ook de bedrijfsnaam te zien.
2. .be laat niets zien bij particulieren, maar bij bedrijven wel naam, adres en telefoonnummer. Je kunt bij particulieren trouwens wel contact opnemen met de houder van de domeinnaam via een webformulier.
3. .de toont geen persoonlijke data. Via een semi-automatisch proces kun je de gegevens van de houder wel opvragen.
4. .eu laat wel het e-mailadres van particulieren zien, maar die kan je op verzoek wel afschermen. Heb je een legitiem verzoek, dan kan je de houdergegevens wel ontvangen.
5. .frl heeft persoonsgegevens volledig afgeschermd. Bij bedrijven is de bedrijfsnaam nog wel zichtbaar.
6. .amsterdam schermt de persoonsgegevens van privéregistraties volledig af. Bij bedrijven zijn wel de gegevens te zien.

Wil je weten hoe het zit met de andere landenextensies, kijk dan op onze helpdesk.

Voorstanders openbare WHOIS nog niet klaar

Uit de rechtszaken die ICANN aanspande blijkt dat ook de WHOIS gewoon moet voldoen aan de Europse privacywetgeving. Maar voor ICANN is nog niet duidelijk hoe precies. Daarom is er een werkgroep in het leven geroepen om een rapport te schrijven. Even afwachten wat daaruit komt. Verder zijn er nog andere voorstanders van de openbare WHOIS die in de Verenigde Staten lobbyen voor een wet die openbare WHOIS juist verplicht. Het idee erachter is dat grote registries dan niet meer standaard overal de gegevens afschermen. Het zal nog wel even duren tot hier misschien iets uitkomt.

Gevolgen van de AVG en WHOIS: het valt nog mee

Verder zijn de doemscenario’s van de voorstanders van de openbare WHOIS tot nu toe niet uitgekomen. Ja, het is moeilijker om de WHOIS te gebruiken voor spambeveiliging en merkenrecht. En ja, domeinnaamhandelaren hebben het ook wat moeilijker. Maar er is nog geen forse toename van spam, phishing en malware te bekennen. Je kunt je wel afvragen of het niet wat vroeg is om deze conclusies te trekken. Laten we het in de gaten houden. Hoe dan ook, wij zijn blij dat onze klanten geen last meer hebben van die irritante mailtjes en telefoontjes na het registreren van een domeinnaam.