Hoe AVG van invloed is op de strijd tegen online inbreuken

Hoe AVG van invloed is op de strijd tegen online inbreuken

Op 25 mei 2018 ging de Algemene Verordening Gegevensbescherming (AVG) van kracht, wat op elke entiteit van invloed is die de persoonsgegevens van Europese ingezetenen verwerkt. Het WHOIS-systeem, een openbaar bestand vol met persoonsgegevens, lijkt op het eerste gezicht incompatibel met deze nieuwe verordening. Hoe is de AVG van invloed op de strijd tegen inbreuken en misbruik online?

Om een helder beeld te verschaffen, hebben wij Luc Seufer, Chief Legal Officer van de EBRAND Services Group geïnterviewd.

Kunt u vertellen of EBRAND Services door de AVG is beïnvloed?

Gezien onze soort clientèle en de diensten die wij aanbieden, weet EBRAND Services uit de eerste hand welke zorgen de AVG oproepen voor de sector domeinnamen.

Als een domeinregistrar is de bescherming van de persoonsgegevens van onze klanten van essentieel belang. Daarom hebben wij in dit opzicht altijd aan alle toepasselijke wetten voldaan. Afgezien van de verwerking van bepaalde gegevens in onze WHOIS-databases, heeft de Verordening geen drastische wijzigingen opgelegd in de manier waarop wij handelen, maar is er nu wel sprake van een zorgvuldige documentatie.

Als dienstverlener van merkbescherming betekent de eerder genoemde verwerking echter geen onoverkomelijke hindernis.

De afgelopen maanden is een constante stroom artikelen gepubliceerd van groepen voor de bescherming van intellectueel eigendom om het publiek en wetgevers te waarschuwen over de ernstige gevolgen van wat zij de “Stillegging van WHOIS” noemen. Kunt u daar iets meer over zeggen?

Om de huidige stand van zaken te kunnen begrijpen, wil ik graag een korte geschiedenis van ICANN en gegevensprivacy schetsen. Jarenlang hebben specialisten op het gebied van gegevensprivacy ICANN formeel en informeel verteld dat bepaalde beleidsvormen een inbreuk maakten op de Europese wetten op gegevensbescherming.

De voormalige Artikel 29-werkgroep, nu omgedoopt tot het Europees Comité voor Gegevensbescherming, verstuurde meerdere brieven naar de achtereenvolgende CEO’s bij ICANN. Helaas nam niemand die waarschuwingen serieus en werden er nooit de nodige hervormingen gestart.

Goran Marby, de huidige CEO van de organisatie, moest druk uitoefenen op de raad van bestuur van ICANN om een tijdelijk beleid goed te keuren zodat Registry’s)en registrars de maatregelen kunnen treffen die zij noodzakelijk achtten om aan de AVG te voldoen.

De tekst van dit beleid is echter zo vaag dat elk Registry)en elke registrar een ander serie regels heeft geïmplementeerd. Bepaalde Registry’s)bewerken bijvoorbeeld elk Whois-dossier in hun database zonder rekening te houden met de locatie van de registrant of met het feit dat ze een rechtspersoon zijn en dus buiten het bereik van de Verordening vallen.

Andere, zoals EBRAND Services, hebben een meer pragmatische benadering, en bewerken alleen gegevens van natuurlijke personen, maar tonen tegelijkertijd een anoniem gemaakt e-mailcontact voor die registranten. Weer andere hebben ervoor gekozen op hun websites een contactformulier beschikbaar te stellen. En sommige hebben zelfs geprobeerd een toegangsmodel te creëren met een pseudoaccreditatiesysteem.

In een paar maanden is het zonder twijfel moeilijk geworden toegang te krijgen tot de contactgegevens van domeinnaamregistranten.

Is het niet de rol van ICANN de normen voor de sector te bepalen en deze te handhaven?

Tijdens de laatste bijeenkomst in Panama-Stad, die ik heb bijgewoond, kondigde ICANN aan dat met een versneld proces voor beleidsontwikkeling is gestart, zodat een duurzame wereldwijde oplossing kan worden gecreëerd. Het is de doelstelling van ICANN dit nieuwe beleid af te ronden en eind april 2019 in werking te laten treden.

Hoewel dit voor het grote publiek heel langzaam kan lijken, is het razendsnel voor ICANN. Even ter herinnering, ICANN deed er 10 jaar over om het nieuwe extensieprogramma te lanceren.

Dit nieuwe beleid moet een trapsgewijs toegangsysteem tot de Whois-databases introduceren. Wetshandhavende instanties moeten bijvoorbeeld een bepaald soort toegang hebben, IP-eigenaars een ander, registrars een ander, beveiligingsonderzoeker een ander.

Zoals eerder vermeld hebben bepaalde registrars geprobeerd vooruit te lopen op ICANN door hun eigen trapsgewijze toegang te bedenken, maar hun modellen zijn niet op een gemeenschappelijk standaard gebaseerd en worden door de registrars zelf uitgevoerd. Hoewel registrars vermoedelijk competente technische dienstverleners zijn, zijn ze zeker niet gekwalificeerd om de wettigheid te beoordelen van aanvragen tot toegang tot de persoonsgegevens van klanten. Volgens mij is dit initiatief nogal gevaarlijk en weinig geschikt, maar het verlangen naar een oplossing verklaart dit ontwerp.

Betekent dit dat het Domeinnaamsysteem (DNS) echt een wetteloze plek is geworden?

Niet echt. Naast de eigen lokale wetten, is elke door ICANN geaccrediteerde registrar gebonden door dezelfde accreditatieovereenkomst met ICANN. Deze overeenkomst verplicht registrars een zogeheten contactpunt voor misbruik te handhaven. Ze moeten rapporten onderzoeken over illegale activiteiten met domeinnamen die zij beheren.

Uit de resultaten van ons handhavingsteam blijkt dat het nog steeds mogelijk is de opschorting van domeinnamen te bewerkstelligen, die op illegale wijze worden gebruikt. Maar het is zeer lastig om de identiteit van de persoon achter het misbruik te achterhalen.

Dus het is niet meer mogelijk de inbreuk makende partijen te identificeren?

Ook hier weer ligt de kern van het probleem bij het gebrek aan een standaardproces en -beleid. Iedere persoon die een WHOIS-database handhaaft (Registry)of registrar) handelt volgens zijn/haar eigen interpretatie van AVG.

Sommigen zijn vastbesloten dat ze alleen met een gerechtelijke beslissing persoonsgegevens mogen openbaar maken. Anderen eisen uitsluitend een onderbouwde klacht die aan de DMCA-eisen voldoet. En sommigen hebben geen idee en zeggen helaas niets.

Als de inbreuk door de domeinnaam zelf gebeurt, kan de start van een UDRP of URS worden overwogen, omdat dit de registrar zal verplichten de gegevens van de registrant openbaar te maken. Deze route is echter duur als het alleen maar om een openbaarmaking gaat.

Maar dit betekent niet dat merkeigenaars aan hun lot worden overgelaten. EBRAND Services heeft in de loop der jaren een serie innovatieve technologische tools ontwikkeld die, ondanks de huidige situatie, nog steeds volledig functioneel zijn.

 Luc Seufer, Chief Legal Officer EBRAND Services Group

Author Lutz Berneke

More posts by Lutz Berneke