Tijdens de afgelopen ICANN-meeting in Abu Dhabi (28 oktober – 4 november) stond de botsing tussen de GDPR en Whois centraal.
ICANN schrijft Whois voor die voor iedereen toegankelijk is
ICANN schrijft in haar contracten met registry’s en registrars voor dat ze een Whois-service bieden die voor iedereen toegankelijk is. Via deze service kun je opvragen wie de houder is van een domeinnaam. Daarnaast kun je ook gegevens zoals het adres, het telefoonnummer en een mailadres opvragen. Deze regels gelden overigens alleen voor gTLDs. Landencodes zoals .nl hebben hierover geen contract met ICANN en zijn dit dus ook niet verplicht.
Voor iedereen toegankelijke Whois is in strijd met de wet
Eén dag voor de ICANN-meeting publiceerde de Nederlandse Autoriteit Persoonsgegevens (AP) een bijzonder heldere brief aan de registry van .frl, het domein voor Friesland. De AP bevestigt in deze brief wat iedere Europese betrokkene al lang wist: een voor iedereen via het internet open toegankelijke Whois, waarin allerlei persoonsgegevens gepubliceerd worden, is in strijd met de huidige en toekomstige Europese privacyregels (GDPR).
ICANN erkent dat de Whois moet veranderen
Deze brief heeft het sentiment binnen ICANN eindelijk doen omslaan. De Europese registry’s en registrars drongen al jaren aan op een oplossing zodat ze aan hun lokale wetten konden voldoen. Allerlei, met name Amerikaanse, belanghebbenden hebben deze discussie jarenlang met succes weten te frustreren. Maar nu lopen ook de grote Amerikaanse registry’s en registrars, en vooral ook ICANN, het risico miljoenen aan boetes te ontvangen. De brief van de AP bevestigt dit risico. Dit heeft ertoe geleid dat ICANN eindelijk erkent dat er een probleem is en dat dit probleem moet worden opgelost door de Whois te veranderen.
De bal ligt nu bij de ICANN-community
Hoe die oplossing er precies uitziet, is voor iedereen alleen nog een vraag. Het antwoord moet komen van de community zelf. Duidelijk is dat dit waarschijnlijk een jarenlange worsteling gaat worden. Gelukkig heeft ICANN al aangekondigd dat zij met een regeling komt, op basis waarvan registry’s en registrars in de tussentijd van de contractuele verplichting mogen afwijken. Bijkomend voordeel voor die partijen is dat de bal nu niet langer bij hen ligt. Het is nu aan degenen die aan een open Whois wilden vasthouden om te zorgen dat er binnen ICANN consensus komt over een oplossing.
Oplossing met een balans tussen GDPR en behoefte om domeinnaamregistraties in te zien
Deze oplossing moet een goede balans vinden tussen de eisen van de GDPR en de gerechtvaardigde behoefte van allerlei verschillende partijen om gegevens van domeinnaamregistraties in te kunnen zien. Denk bijvoorbeeld aan opsporingsautoriteiten, maar ook aan bestrijders van inbreuken op merken- of andere IP-rechten, internetsecuritybedrijven en -organisaties, maar mogelijk ook anderen. Daarbij hoeft niet iedere soort partij altijd toegang tot dezelfde set van gegevens te hebben. Dat kan best per partij verschillen.
Whois Clearinghouse zou deze oplossing kunnen zijn
Uiteindelijk leidt dit naar mijn mening tot een Whois Clearinghouse. Een centrale door ICANN aangestuurde organisatie die beheert wie wereldwijd toegang krijgt tot welke registratiedata. Het Whois Clearinghouse verzorgt daarbij zowel de accreditatie van de betreffende partijen, als het technische systeem dat afdwingt dat alleen geoorloofde informatie wordt uitgewisseld. Het protocol hiervoor bestaat al (RDAP). Het vaststellen van de policy (wie kan toegang krijgen tot welke data) is uitermate lastig, maar lijkt me een mooie klus voor een al bestaande werkgroep binnen ICANN: Registration Data Service (RDS). Maar wel binnen de grenzen van de GDPR.
SIDN is er klaar voor!
En ten slotte beschikken we via onze dochteronderneming Connectis al over een identity broker en hebben we kennis van en ervaring met RDAP. We zijn hiermee dus nu al een prima kandidaat om de afhandeling van de Whois-queries binnen de overeengekomen regels te faciliteren. Maar goed, voordat we zover zijn… eerst de policy.
