Duizenden domeinregistrars en registries hebben nog een week de tijd om hun klantendatabases in allerijl aan te passen aan het onafgewerkt GDPR-beleid dat ICANN, de non-profitorganisatie die verantwoordelijk is voor het toewijzen van IP-adressen en domeinnamen, pas heeft gepubliceerd. Wie niet voldoet aan de vereisten, loopt risico op flinke boetes.
De netelige situatie is het resultaat van een Amerikaanse organisatie die onder druk van Amerikaanse belangen te lang heeft gewacht met zijn beleid in lijn te brengen met de aankomende Europese privacywetgeving. Die werd twee jaar geleden vastgelegd om vanaf 25 mei in werking te treden, maar ICANN kwam pas vijf dagen geleden met het eerste voorstel van een aangepast beleid.
WHOIS
De kern van het probleem is de WHOIS-database waarin alle persoonlijke details – inclusief naam, adres, e-mailadres en telefoonnummer – van domeinnaameigenaars bewaard worden. Onder het huidige beleid is deze database publiek online beschikbaar. Dat is onder meer nuttig om te achterhalen wie de eigenaar van een bepaald domein is of om cybercriminelen op te sporen. Het is evenwel ook in strijd met de GDPR, die vereist dat expliciet toestemming wordt gegeven voor de publicatie van persoonsgegevens.
ICANN was terughoudend om zijn beleid aan te passen, onder meer onder druk van grote Amerikaanse actoren die de huidige regels in stand wilden houden. Ze vinden dat de Europese wetgeving niet ten koste mag gaan van het huidige systeem dat is ingesteld door Amerikaanse bedrijven en onder toezicht staat van een Amerikaanse organisatie. In de WHOIS-database worden evenwel ook gegevens van heel wat Europeanen verwerkt, en dus is het onderhevig aan de GDPR.
Heel wat registrars en registries, die contractueel gebonden zijn aan ICANN, waren daarom al begonnen met hun eigen maatregelen te treffen. Ze informeerden ICANN dat ze delen van het contract gewoon naast zich zouden neerleggen. ICANN is daarop in actie geschoten en besloot om eerst een jaar uitstel te vragen om zijn zaken op orde te krijgen. Dat verzoek werd niet ingewilligd. Enkele dagen geleden heeft ICANN dan eindelijk een eerste draft van zijn aangepast WHOIS-beleid gepubliceerd.
Niet finaal
Hoewel het beleid nog niet finaal is, en enkele dagen na publicatie zelfs al werd aangepast, vraagt ICANN dat de registrars en registries zich voor 25 mei in regel brengen. Doen ze dat niet, dan lopen ze risico op boetes van de Europese regulatoren, die in de miljoenen euro’s kunnen oplopen. ICANN zal bovendien zelfs audits uitvoeren om te controleren dat de nieuwe – maar nog niet gefinaliseerde – regels worden toegepast.
In het nieuwe beleid worden drie belangrijke zaken aangestipt:
- ICANN wil dat nog altijd al dezelfde registratiegegevens van domeinnaameigenaars worden verzameld, ook al worden die niet gepubliceerd.
- Het wil dat registrars en registries een systeem in dienst nemen waarmee geautoriseerde gebruikers wel nog toegang krijgen tot die informatie.
- Het wil dat externe partijen nog altijd domeinnaameigenaars via e-mail kunnen contacteren, zonder dat ze daarvoor van iemand anders toestemming moeten vragen.
Die vereisten vragen van de registrars en registries belangrijke technische aanpassingen aan hun computersystemen. Registrars gaven eerder aan dat alleen al het aanpassen van hun systemen om e-mailadressen te anonimiseren minstens vier maanden zou kosten. Ze hebben daar nu nog een kleine week de tijd voor. De uitdaging om alleen geautoriseerde gebruikers toegang te geven tot WHOIS-gegevens is zelfs nog veel complexer.
90 dagen
Het voorlopige document is maar 90 dagen geldig. Daarna kan het worden verlengd of worden aangepast met nog meer veranderingen om tegemoet te komen aan de vereisten van de GDPR. ICANN hoopt binnen een jaar een definitieve oplossing voor WHOIS klaar te hebben die volledig in lijn is met de GDPR. Tot dan hangt er de domeinregistrars en registries een zwaard van Damocles boven hun hoofd.