SIDN verbiedt privacy protect domeinnamen

Wijzigingen voorwaarden SIDN

Per 1 oktober jl. heeft SIDN, de Stichting Internet Domeinregistratie Nederland, een belangrijke wijziging doorgevoerd in de Algemene Voorwaarden voor domeinhouders. Het is vanaf dat moment niet langer mogelijk om domeinnamen te registreren met "privacy protection" ofwel bescherming van persoonlijke gegevens. Deze aanpassing kan gevolgen hebben voor de privacy en zichtbaarheid van domeinbezitters online, en daarom laten we in dit blog artikel weten wat deze wijziging precies inhoudt, wat ons standpunt hierin is, en welke bescherming Greenhost kan blijven bieden.

Vastlegging gegevens in het WHOIS-register

Het WHOIS-register (gebaseerd op het Engelse "Who Is?") is een database met informatie over domeinnamen, inclusief gegevens over de eigenaren, contactinformatie en registratiedetails. Het fungeert als een online telefoonboek. Voor .nl domeinnamen wordt het WHOIS-register beheert door SIDN, en via https://sidn.nl/whois kan iedereen bekijken wie de houder is van een bepaalde domeinnaam.

De meeste overige gegevens zijn niet publiekelijk toegankelijk, maar zijn wel (geautomatiseerd) toegankelijk voor specifieke partijen (Politie, Gemeente, Certificaat Authoriteiten etc). Ook kan iedereen online een verzoek indienen voor inzage in het register - SIDN beoordeelt of dit verzoek aan de voorwaarden voldoet.

Privacy protection vervalt

Privacy protection, ofwel privacybescherming, is een dienst die Greenhost tijdens een domeinregistratie aanboodt om het domein anoniem te kunnen registreren. Bij deze dienst werden de persoonlijke gegevens van de eigenaar vervangen door de gegevens van Greenhost. Dit helpt de privacy van de domeinnaamhouder te waarborgen door te voorkomen dat hun persoonlijke informatie (te) gemakkelijk toegankelijk is voor externe partijen. Met de aanpassingen van de voorwaarden van SIDN, is het registreren met deze privacybescherming niet meer volledig mogelijk.

Waarom SIDN deze wijziging doorvoert

Bestrijden criminaliteit

Het internet is, net als de echte wereld, niet veilig. Op allerlei manieren proberen mensen misbruik te maken van anderen, en op oneigenlijke manier geld te verdienen. Denk hierbij aan spamming, phishing, abuse of schending van Intellectueel Eigendom.

Voor dergelijke praktijken wordt vaak gebruik gemaakt van anonieme registraties, en hier wil SIDN terecht tegen op kunnen treden. Met het verplicht stellen van een juiste tenaamstelling hopen ze het makkelijker te maken om de verantwoordelijken te achterhalen en dergelijk misbruik offline te halen.

Nieuwe wetgeving: NIS2

Verder wil SIDN zich met deze wijgiging voorbereiden op toekomstige nieuwe wetgeving. De Europese Unie heeft een nieuw richtlijn opgesteld, NIS2, welke grote gevolgen zal hebben voor de industrie. In deze richtlijnen zullen er strengere regels komen voor registratiebureaus (zoals SIDN) en DNS-providers. In een blog artikel gaat SIDN hier zelf uitgebreid op in. SIDN zal verplicht worden accurate gegevens vast te leggen, en met de aanpassing die SIDN nu doet, doen zij vast een zet in de richting die NIS2 beoogt.

Privacy Domains
Private Sidn (Unsplash license - Tim Mossholder)

Waarom Greenhost het hier niet mee eens is

Schijnveiligheid

Greenhost staat uiteraard volledig achter het bestrijden van de criminele activiteiten zoals eerder genoemd. Wij denken echter niet dat deze wijziging daaraan bijdraagt. Het is voor een registrant van een domeinnaam namelijk nog altijd mogelijk te kiezen voor een pseudoniem en/of valse contactgegevens. Er is geen actieve controle van de gebruikte gegevens, dus zal iemand met kwade bedoelingen heus niet het adres van zijn moeder opgeven. Wat resteert is een legale basis om een domeinnaam te blokkeren omdat de geregistreerde houdergegevens niet overeenkomen met de werkelijkheid.

Hoewel dit betekent dat een gebruiker die valse gegevens gebruikt het risico loopt de domeinnaam te verliezen, zal dit vrijwel altijd zijn nadat het kwaad al geschied is. De toegevoegde waarde is naar onze mening minimaal, en dit doel kan ook op andere manieren bereikt worden.

NIS2

Met betrekking tot voorbereiden op nieuwe wetgeving zijn wij van mening dat SIDN wel erg ver voor de troepen uit loopt. Er is op dit moment nog geen nationale wetgeving, en er is ook nog niet duidelijk hoe dergelijke wetgeving er uit gaat zien. Hoewel de wetgeving in voorbereiding is moet er nog gestart worden met een consultatieronde. Op basis hiervan al wijzigingen implementeren vinden wij dus nog niet gepast, zeker omdat de uiteindelijke belanghebbenden, de domeinnaamhouders, hierbij niet zijn geconsulteerd. Wij zouden liever zien dat SIDN als belangrijke partij het gesprek over de implementatie van NIS2 aangaat en daarbij de belangen van alle partijen, met name die van domeinnaamhouders, meeneemt.

Privacy wordt genegeerd

Greenhost heeft privacy altijd belangrijk gevonden en hecht er waarde aan dat de eindgebruiker in controle is over hun gegevens. Voor veel klanten van Greenhost is dit ook een belangrijk aspect in hun keuze voor Greenhost.

Het massaal opslaan van grote hoeveelheden persoonsgegevens is daarin gewoon een onverantwoord risico. Het is in de recente geschiedenis al meerdere keren gebeurd dat adressen van particulieren en/of bedrijven op straat lagen, zowel door technische mankementen als door organisatorische fouten. Recente voorbeelden zijn het datalek bij de GGD tijdens COVID 19, of het zeer recente lek in de database van het Kadaster. In beide gevallen lag een grote hoeveelheid persoonsgegevens op straat. Dit risico wordt beperkt en gespreid door anonieme registraties toe te staan.

Wat deze wetgeving voor Greenhost extra ingrijpend maakt is dat er onder onze klanten veel partijen zijn waarbij het gevolg van lekken van de contactgegevens zware gevolgen kan hebben.

Voorbeeld: Media in excile

Nederland kent relatief veel media in ballingschap (media in excile). Dit komt door verschillende historische, politieke en sociale factoren. Mede door de vrijheid van meningsuiting, de goede internationale verbondenheid, de stabiliteit van het land en de aanwezigheid van internationale organisaties zoals het Internationaal Strafhof kiezen media in excile regelmatig voor Nederland. Daarmee zijn deze organisaties echter niet gevrijwaard van bemoeienis van thuis. Sommige media zitten daarom ook in Nederland op verborgen adressen of plaatsen, om te ontkomen aan buitenlandse druk en intimidatie.

Om vergelijkbare redenen kiezen ook andere buitenlandse NGO's vaak voor een basis in Nederland. Denk bijvoorbeeld aan organisaties die strijden voor LGBTQ+ rechten of religieuze of ethnische minderheden onder minder tolerante regimes. Dergelijke organisaties verdienen onze bescherming en door registratie van adressen en/of telefoonnummers in de WHOIS-database wordt er een voor deze partijen onaanvaardbaar risico genomen.

En de Opt-OUT regeling dan?

Om hieraan tegemoet te komen biedt SIDN inderdaad een mogelijkheid voor Opt-OUT. In Opt-OUT zal een gebruiker moeten beargumenteren waarom deze de gegevens niet in het register opvraagbaar wilt hebben. Als deze argumentatie door SIDN geaccepteerd wordt, zal de registratie niet automatisch op te vragen zijn door authoriteiten en andere diensten. SIDN eist echter wel nog steeds dat de gegevens overgedragen worden aan SIDN, en SIDN slaat deze ook gewoon op in het register. Het is niet volledige transparant hoe dat gebeurd en wie er onder welke voorwaarden alsnog bij deze gegevens kan.

Bovendien kan informatie die eenmaal is verspreid niet meer verwijderd worden. Een organisatie die eerst in relatief rustig water verkeert kan opeens een target worden wanneer de omstandigheden wijzigen. Op dat moment is het niet meer te achterhalen waar de gevoelige contactgegevens allemaal terecht zijn gekomen.

Wij zien de Opt-OUT dan ook niet als een sluitende oplossing. Wij zijn van mening dat gegevens in zijn geheel niet meer bij SIDN bekend zouden moeten zijn in een dergelijk geval, en dat iedereen voor de bijbehorende bescherming in aanmerking moet kunnen komen.

Hoe heeft Greenhost hierop gereageerd

Uiteraard zijn wij direct in gesprek gegaan met SIDN. Wij hebben in een uitgebreid gesprek met SIDN onze standpunten op tafel gelegd, en hoewel we niet twijfelen aan de goede bedoelingen, heeft SIDN ons niet kunnen overtuigen dat hun afweging goed en volledig geinformeerd is gemaakt.

Helaas hebben wij SIDN er ook niet van kunnen overtuigen om hun beslissing te herzien. Om nieuwe .nl-domeinnamen te kunnen registreren moet de eindgebruiker dus nu akkoord gaan met de vernieuwde Algemene Voorwaarden, waarbij de gegevens dus altijd worden opgeslagen in in het register.

Kan Greenhost toch nog enige privacy bieden?

Ja! Gelukkig wel. Hoewel wij verplicht zijn om bij registratie de naam van de houder vast te leggen in het register van SIDN, is het wel nog mogelijk om adres, telefoon en email gegevens af te schermen, op voorwaarde dat de eindgebruiker wel rechtstreeks gecontacteerd kan worden.

Greenhost biedt daarom een doorstuur oplossing waarbij werkelijke adressen afgeschermd zullen zijn in het register, maar berichten wel doorgestuurd zullen worden. Op deze manier voldoen we wel aan de nieuwe voorwaarden van SIDN, zonder uw contactgegevens op de slaan in de WHOIS database van SIDN.

Wij zijn momenteel bezig met de implementatie van deze functie voor nieuwe domeinregistraties. Later willen we deze functies ook toegankelijk maken voor al lopende registraties, en het beheer van de whois-gegevens makkelijker maken. Mochten er in de tussentijd vragen of opmerkingen zijn dan horen we dat uiteraard graag via support@greenhost.nl.