De Europese privacywaakhond Article 29 Working Party heeft een brief op poten geschreven aan de wereldwijde domeinnaambeheerder ICANN vanwege twee nieuwe regels die dat bedrijf wil doorvoeren om de misbruik van domeinnaamregistratie tegen te gaan. De ICANN wil de domeinnaamregistrars verplichten elke inschrijving te controleren op naam, adres, telefoonnummer en emailadres waarbij al die persoonsgegevens werkelijk moeten bestaan en met elkaar moeten kloppen.

Vals telefoonnnummer en emailadres

Nu wordt vaak een vals telefoonnummer of een vals emailadres opgegeven. Daardoor klopt op dit moment een groot deel van de openbare gegevens van de WHOIS-database niet. Dat maakt het voor systeembeheerders en andere technici, waarvoor de openbare database oorspronkelijk is bedoeld, moeilijk om als nodig in contact te komen met websitebeheerders en domeinnaameigenaren.

ICANN wil dit probleem oplossen door de registrars te verplichten nieuwe inschrijvingen na te bellen en te mailen om te zien of de opgegeven contactinformatie wel klopt. Maar de Europese club van nationale privacywaakhonden onder aanvoering van Jacob Kohnstamm, de chef van ons eigen CBP, vindt dat helemaal geen oplossing. “De kern van het probleem is namelijk dat alle persoonlijke informatie direct toegankelijk is voor een ieder en dus geoogst kan worden door spammers", schrijft Kohnstamm.

'Onwettig, disproportioneel en excessief'

Als de registrars nu worden verplicht te zorgen voor de juiste gegevens en de ICANN die gegevens vervolgens ongelimiteerd openbaar maakt, worden er grenzen overschreden, vindt de Artikel 29 werkgroep. Kohnstamm vindt het voorstel “excessief en daarom onwettig" en een “disproportionele inbreuk op het beschermingsrecht op persoonlijke informatie."

En daarmee is de tirade van de Nederlander nog niet gedaan. Een tweede voorstel van de ICANN schiet de Europese privacywaakhonden al helemaal in het verkeerde keelgat. Het bewuste voorstel vraagt aan registrars een dataretentie van twee jaar nadat een domeinnaamhouder zijn contract heeft beëindigd. Die bewaarplicht is niet zozeer de wens van de ICANN zelf, maar opsporingsdiensten blijken in toenemende mate gebruik te maken van de WHOIS-database.

Ook creditcarddata en http-headers

Die dataretentie gaat breder dan alleen contactinformatie, maar behelst ook creditcarddata en logfiles met IP-adressen, http-headers, data, tijden en sessies. In Europa geldt de dataretentiewet niet voor registrars, benadrukt Kohnstamm in zijn brief. “De werkgroep Article 29 is hier dan ook ten zeerste op tegen", schrijft hij verder, “een dergelijke bewaarplicht ten behoeve van opsporingsinstanties kan alleen maar worden geïmplementeerd door nationale overheden in de eigen wetten zolang het voldoet aan de Europese Conventie van Mensenrechten en het Internationale Convenant voor Burger- en Politieke rechten."

Kohnstamm wijst ICANN erop dat er dus geen wettelijke gronden zijn voor de dataretentie en dat de uitvoering van het voorstel niet legaal is in Europa. Dat zou betekenen, legt de Nederlander de ICANN maar eens uit, dat zowel Europese registrars als andere registrars die te maken hebben met het behandelen van data van Europeanen, in overtreding zijn van de Europese wetten op dit punt. “De werkgroep zou betreuren dat er een situatie ontstaat waarin de databeschermingsautoriteiten gedwongen zijn maatregelen te nemen en dringt er bij u op aan deze voorstellen te heroverwegen."