WHOIS-privacy - Mogelijk EU-verbod op anonieme websites

26 oktober 2021 | Blog

Al lange tijd wordt geprobeerd om een goede balans te vinden tussen de privacy van websitehouders en het belang bij transparantie over partijen die achter een website schuilgaan. In de EU wordt op dit moment gewerkt aan een voorstel om de privacy van websitehouders te beperken via een aanpassing van de NIB-Richtlijn (Richtlijn (EU) 2016/1148).

Lees in dit blog waarom bescherming (of juist het vrijgeven) van deze WHOIS-gegevens belangrijk kan zijn en welke verschillen er zijn in de mate van bescherming.

Bescherming van de zogenaamde “WHOIS-gegevens” kan om vele redenen belangrijk zijn. De meeste domeinnaamhouders zullen gevrijwaard willen blijven van commerciële aanbiedingen en spam op basis van het WHOIS-register. In sommige gevallen kan zelfs de veiligheid van een domeinnaamhouder in het geding zijn, bijvoorbeeld als via een aan de domeinnaam gekoppelde website kritiek wordt geleverd op dictatoriale regimes.

Anderzijds kan vergaande bescherming van domeinnaamhouders problematisch zijn als via de websites onrechtmatig wordt gehandeld. Er kan worden gedacht aan het publiceren van lasterlijke informatie, het plegen van merkinbreuken of ontplooien van frauduleuze praktijken. In dergelijke gevallen kan het van groot belang zijn dat een benadeelde effectief toegang heeft tot gegevens van de websitehouder teneinde juridische actie te kunnen ondernemen. In dergelijke gevallen kan het privacyrecht functioneren als “hoeder van het kwaad”. Het is een uitdaging om een goed evenwicht tussen de geschetste belangen te vinden.


Verschil in mate van bescherming

De mate van bescherming kan per Top Level Domain (TLD) verschillen. Voor het TLD .nl dat wordt beheerd door SIDN gelden sinds 2016 de volgende uitgangspunten.

Voor particuliere domeinnaamhouders is sinds 1 maart 2016 de naam niet meer standaard opvraagbaar via de WHOIS van SIDN. In uitzonderingsgevallen zoals bij schadelijke inhoud kan een verzoek worden ingediend om afgeschermde informatie alsnog te verstrekken.

Het verkrijgen van WHOIS-informatie kan echter nog verder bemoeilijkt worden door domain name proxy services. In dat geval wordt gebruik gemaakt van een tussenpersoon voor de registratie die het gebruik van die domeinnaam vervolgens licentieert aan de feitelijk gebruiker. Ook bij dergelijke dienstverlening is het niet uitgesloten dat uiteindelijk de identiteit van de feitelijk houder kan worden achterhaald. De drempel om in dergelijke gevallen tot een succesvolle aanpak van een onrechtmatige domeinnaam of website te komen wordt echter wel verder verhoogd. Dat heeft in de Verenigde Staten vorig jaar geleid tot de zaak Facebook tegen Namecheap en WhoisGuard (Facebook Inc. v. Namecheap Inc., No. 2:20-cv-00470-GMS (D. Ariz. Nov. 10, 2020)). Namecheap is een domeinnaam registrar die haar klanten de mogelijkheid geeft om gebruik te maken van de proxy service van WhoisGuard, Whoisguard registreert de domeinnamen van de klanten van Namecheap op haar eigen naam en licentieert de domeinen dan vervolgens terug aan die klanten van Namecheap. Een vergelijkbare constructie wordt gebruikt bij GoDaddy die daartoe samenwerkt met het bedrijf Domains By Proxy. In de zaak tussen Facebook en Namecheap is onder andere aan de orde of Namecheap en/of Whoisguard, die weigerden de namen van de licentienemers / feitelijk domeinnaamhouders te verschaffen, zelfstandig aansprakelijk kunnen worden gehouden voor de inhoud van de websites. Een definitief inhoudelijk oordeel is op het moment van schrijven deze blog nog niet bekend.


Het voorstel tot aanpassing van de NIB-Richtlijn

De Richtlijn Netwerk en Informatiebeveiliging beoogt Europese samenhang te bewerkstelligen ten aanzien van netwerk- informatiebeveiliging.

Onderdeel van het voorstel voor de NIB-2 richtlijn betreft een regeling ten aanzien van het beheer en verstrekken van gegevens door TLD-organisaties zoals SIDN en domeinnaam service providers, vastgelegd in art. 23.

Onderdeel van het voorstel is dat deze organisaties domeinnaam registratiedata, niet betreffende persoonsgegevens dienen te verschaffen. Dit impliceert dat bedrijfsgegevens over het algemeen verstrekt zullen moeten worden. Daarnaast dienen de organisaties op grond van artikel 23 lid 5 van het voorstel toegang te geven tot specifieke domeinnaam registratiegegevens aan “legitimate access seekers”.

Ter discussie staat of dit voldoende effectief is of wellicht te ruim. Voorvechters van privacybescherming menen dat laatste. In de branche is sprake van verdeeldheid zoals blijkt uit de reacties van Denic (beheerder van .de) en ICANN. Zo stelt Denic zich met betrekking tot de registratie op het standpunt dat een verplichte, ex-ante, invasieve identificatie van de houder niet noodzakelijk en niet proportioneel is. Daarentegen pleit ICANN juist voor een in de NIB-2 richtlijn opgenomen specificatie of verplichting voor lidstaten om de minimaal te verstrekken categorieën gegevens als onderdeel van het registratieproces te specificeren, waarbij ICANN een voorstel doet voor een – vrij uitgebreide – lijst van aan te leveren minimumgegevens.

Op 28 oktober 2021 volgt een stemming door de ITRE-commissie van het Europees Parlement.

We houden u op de hoogte.

Meld u aan voor onze nieuwsbrieven