Kies jouw kleur

Veel bezocht

Veelgestelde vragen

  • Ik zoek de houder van een domeinnaam. Waar vind ik die?

    Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).

    Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.

  • Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?

    Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.

  • Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?

    Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.

  • Waarom staat mijn domeinnaam in quarantaine?

    Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.

    Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.

  • Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?

    Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.

  • Waaraan moet ik voldoen als registrar?

    Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.

Meer veelgestelde vragen

Voorstel Europese Commissie over correcte registratiedata roept veel vragen op

Veel onduidelijkheden in de nieuwe Europese richtlijn voor de ‘Security of network and information systems’

Wapperende vlag van de Europese Unie voor het gebouw van het Europees Parlement in Brussel, België

Op 16 december 2020 publiceerde de Europese Commissie een voorstel voor de nieuwe richtlijn voor de ‘Security of network and information systems’. Deze zogenaamde NIS2-richtlijn moet de huidige, uit 2016 daterende NIS-richtlijn vervangen. Hoewel de richtlijn, naar de mening van velen nog verre van af is, raakt hij uiteindelijk SIDN als beheerder van het .nl-domein en de aanbieders van de .nl-domeinnamen, de .nl-registrars. Genoeg aanleiding om die nieuwe richtlijn eens wat beter te bekijken.

In Nederland geïmplementeerd via de Wbni

Over het nieuwe voorstel is van alles te zeggen. De NIS is de richtlijn die in Nederland in 2018 is geïmplementeerd via de Wbni. Die wet vormt ander andere de basis voor de aanwijzing van SIDN als Aanbieder van Essentiële Diensten voor onze .nl-activiteiten en het toezicht dat het Agentschap Telecom ((tegenwoordig 'Rijksinspectie Digitale Infrastructuur') daarop uitoefent. Overigens verandert er onder de voorgestelde nieuwe richtlijn op dat vlak, in de kern, niet zoveel.

Gegevens van domeinnaamhouders

Wat wel helemaal nieuw is, is een artikel dat eisen stelt aan de gegevens die registry’s en registrars van de domeinnaamhouders hebben en over de toegang die derden tot die data moeten hebben. Deze regels zijn vastgelegd in artikel 23 (nu artikel 28) van het voorstel. Kort gezegd vereisen die bepalingen dat de Europese lidstaten ervoor moeten zorgen dat de registry’s en registrars:

  1. ‘shall collect and maintain accurate and complete domain name registration data’ (1);

  2. die data in ieder geval dusdanig moet zijn, dat je daarmee de houder van een domeinnaam kunt identificeren en bereiken;

  3. over een beleid en procedures moeten beschikken om te zorgen dat de data ‘accurate and complete’ is en dit beleid ook publiceren;

  4. deze data, voor zover het geen persoonsgegevens zijn, zo snel mogelijk na registratie moeten publiceren;

  5. ‘provide access to specific domain name registration data upon lawful and duly justified requests of legitimate access seekers, in compliance with Union data protection law’, dit alles ook weer ‘without undue delay’ en volgens gepubliceerd beleid en procedures.

De precieze tekst en de onderliggende overwegingen uit het voorstel heb ik hieronder vermeld. Het is zeker zinvol om die nog eens rustig te lezen.

Veel onduidelijkheden

Dit voorstel roept nogal wat vragen op. Onder andere omdat heel veel van de gebruikte begrippen in de richtlijn niet zijn gedefinieerd. Het is daarmee onduidelijk wat precies met ‘accurate’, ‘complete’ en bijvoorbeeld ‘lawful and duly justified requests of legitimate access seekers’ wordt bedoeld.

Een oplossing voor welk probleem?

Voor daarop in te gaan, moet echter de vragen gesteld worden welk probleem de Europese Commissie met deze maatregelen denkt op te lossen en of de voorgestelde plannen daadwerkelijk zinvol bijdragen aan een oplossing voor dat probleem. Daarbij komt dan de vraag of de verwachte inspanningen die de domeinnaamindustrie naar aanleiding hiervan moet leveren wel in verhouding staan tot de maatschappelijke opbrengsten. Maar het voorstel is op dit punt helaas nauwelijks inhoudelijk gemotiveerd.

Identificatieplicht

Vervolgens dus de vraag wat precies met ‘accurate and complete’ wordt bedoeld. Je zou uit de huidige tekst van het voorstel kunnen afleiden dat er een identificatieplicht bij de registratie van domeinnamen moet komen. En dan ook inclusief een regelmatige terugkerende controle of de gegevens nog steeds correct zijn. Dit gaat nogal ver voor registraties die nu jaarlijks enkele euro’s kosten. Of dit daadwerkelijk de bedoeling is of dat alternatieve veel minder ingrijpende methoden ook voldoende zijn is niet duidelijk.

Publiceren van gegevens

Ook legt het voorstel een verplichting tot het publiceren van een ‘Whois-achtige’ dienst op. Behalve dat daarin geen persoonsgegevens zouden mogen worden opgenomen, is niet duidelijk welke gegevens dan wel moeten worden gepubliceerd. Op dit moment bepaalt iedere registry van een landendomein (ccTLD) zelf welke data wordt gepubliceerd en zijn er onderling allerlei verschillen.

Toegang tot gegevens

En dan nog het punt van toegang tot, naar ik aanneem, de niet gepubliceerde data voor bepaalde partijen. Dat zou dan dus alleen nog om de persoonsgegevens moeten gaan. Het voorstel legt een verplichting op om deze data (of eventueel afhankelijk van wie het vraagt een deel ervan) te verstrekken op basis van ‘lawful and duly justified requests of legitimate access seekers’. Het lijkt er daarbij op dat het hier niet gaat om ‘court orders’ (gerechtelijke bevelen), maar om ‘verzoeken’ en dat met ‘legitimate access seekers’ ook anderen bedoeld worden dan partijen die dit op basis van enige wet zouden kunnen vorderen. Er lijkt daarbij een verband met de e-evidence-voorstellen maar de Commissie kijkt ook naar het SSAD-systeem dat vanuit de gTLD’s binnen ICANN ontwikkeld wordt (2) (en overigens niet voor landencodes van toepassing is). De overwegingen noemen daarbij een aantal voorbeelden van ‘legitimate access seekers’, maar die zijn bepaald niet duidelijk afgebakend.

Frustraties van de Europese Commissie

Het voorstel is voor de praktijk op dit moment nog veel te onduidelijk en is daarmee nu niet werkbaar. Het lijkt ook deels gebaseerd op frustraties van de Europese Commissie rond de policydiscussies binnen ICANN. Aanleiding voor deze discussies zijn de beperkingen in de Whois die het gevolg zijn van de invoering van de GDPR. Vandaar dat ook specifiek voor domeinnamen de regels van toepassing worden verklaard op dienstverleners van buiten de EU die diensten aanbieden aan inwoners van de EU.

Afschrikwekkend

Oh ja, als sluitstuk moeten er volgens het voorstel ook nog boetes komen als partijen niet aan de regels voldoen. De hoogte daarvan mogen de landen zelf bepalen. Als ze maar afschrikwekkend zijn.

Impact op de domeinnaambranche

Het duurt waarschijnlijk nog wel even voordat de definitieve NIS2-richtlijn wordt vastgesteld en onderweg verbetert er hopelijk nog wel wat. Het lijkt echter onwaarschijnlijk dat het onderwerp ‘registration data’ volledig geschrapt wordt en wat hier uitkomt zal daarom zeker impact hebben op de domeinnaambranche.

Artikel 23 van het voorstel

(Artikel 23 is later artikel 28 geworden)

Databases of domain names and registration data

  1. For the purpose of contributing to the security, stability and resilience of the DNS, Member States shall ensure that TLD registries and the entities providing domain name registration services for the TLD shall collect and maintain accurate and complete domain name registration data in a dedicated database facility with due diligence subject to Union data protection law as regards data which are personal data.

  2. Member States shall ensure that the databases of domain name registration data referred to in paragraph 1 contain relevant information to identify and contact the holders of the domain names and the points of contact administering the domain names under the TLDs.

  3. Member States shall ensure that the TLD registries and the entities providing domain name registration services for the TLD have policies and procedures in place to ensure that the databases include accurate and complete information. Member States shall ensure that such policies and procedures are made publicly available.

  4. Member States shall ensure that the TLD registries and the entities providing domain name registration services for the TLD publish, without undue delay after the registration of a domain name, domain registration data which are not personal data.

  5. Member States shall ensure that the TLD registries and the entities providing domain name registration services for the TLD provide access to specific domain name registration data upon lawful and duly justified requests of legitimate access seekers, in compliance with Union data protection law. Member States shall ensure that the TLD registries and the entities providing domain name registration services for the TLD reply without undue delay to all requests for access. Member States shall ensure that policies and procedures to disclose such data are made publicly available.

Relevante overwegingen uit het voorstel

  • (59) Maintaining accurate and complete databases of domain names and registration data (so called ‘WHOIS data’) and providing lawful access to such data is essential to ensure the security, stability and resilience of the DNS, which in turn contributes to a high common level of cybersecurity within the Union. Where processing includes personal data such processing shall comply with Union data protection law.

  • (60) The availability and timely accessibility of these data to public authorities, including competent authorities under Union or national law for the prevention, investigation or prosecution of criminal offences, CERTs, (CSIRTs, and as regards the data of their clients to providers of electronic communications networks and services and providers of cybersecurity technologies and services acting on behalf of those clients, is essential to prevent and combat Domain Name System abuse, in particular to prevent, detect and respond to cybersecurity incidents. Such access should comply with Union data protection law insofar as it is related to personal data.

  • (61) In order to ensure the availability of accurate and complete domain name registration data, TLD registries and the entities providing domain name registration services for the TLD (so-called registrars) should collect and guarantee the integrity and availability of domain names registration data. In particular, TLD registries and the entities providing domain name registration services for the TLD should establish policies and procedures to collect and maintain accurate and complete registration data, as well as to prevent and correct inaccurate registration data in accordance with Union data protection rules.

  • (62) TLD registries and the entities providing domain name registration services for them should make publically available domain name registration data that fall outside the scope of Union data protection rules, such as data that concern legal persons. TLD registries and the entities providing domain name registration services for the TLD should also enable lawful access to specific domain name registration data concerning natural persons to legitimate access seekers, in accordance with Union data protection law. Member States should ensure that TLD registries and the entities providing domain name registration services for them should respond without undue delay to requests from legitimate access seekers for the disclosure of domain name registration data. TLD registries and the entities providing domain name registration services for them should establish policies and procedures for the publication and disclosure of registration data, including service level agreements to deal with requests for access from legitimate access seekers. The access procedure may also include the use of an interface, portal or other technical tool to provide an efficient system for requesting and accessing registration data. With a view to promoting harmonised practices across the internal market, the Commission may adopt guidelines on such procedures without prejudice to the competences of the European Data Protection Board.

  1. Ik kies hier voor het aanhalen van de Engelstalige tekst van de conceptrichtlijn omdat de discussie met name over deze versie plaatsvindt.

  2. Zie o.a. de lopende EPDP2-consultatie: https://www.icann.org/public-comments/epdp-2-policy-recs-board-2021-02-08-en

Artikel door:

Maarten Simon

Maarten Simon

Legal & Policy Advisor