CONCEPT Verslag & Conclusies SIDN Domeinnaamdebat 2008
Datum: 13 november 2008
Aanwezig: J. Abbink (Lycos), P. Anker (Ministerie van Economische Zaken), A. Arnbak
(Brinkhof), S. Assink (JR Online), M. Blom (Rabobank), R. van der Boon
(Consumentenautoriteit), R. Borgstein (EMC Media), J.P. Bouwmeester
(Mediavillage), R.G. Buijs (Belastingdienst), R. Chavannes (Brinkhof), R. Croes
(Croes Consultants), S. de Boer (Dröge & van Drimmelen), W. de Natris (Opta), D.
van Donselaar (Spamexperts), T. Doorenbosch (Automatisering Gids), F. van
Drimmelen (Dröge & van Drimmelen), A.W. Duthler (Eerste Kamer der Staten
Inleiding
Roelof Meijer, directeur van SIDN, heet de aanwezigen van harte welkom, waarna hij de
microfoon overdraagt aan de dagvoorzitter, Anne
- B2
- B3
2
Debat A
Inleiding door Erik Logtenberg over voorstel A:
SIDN voert de mogelijkheid in om tegen betaling een .nl (domein)naam te registreren maar (nog)
niet te delegeren. In dat geval worden in de Whois geen houdergegevens getoond. Daarnaast
worden geregistreerde .nl domeinnamen waarvan na zorgvuldige controles is vastgesteld dat die
niet meer naar een werkende nameserver wijzen, geautomatiseerd uit de zonefile verwijderd. De
domeinnamen blijven geregistreerd maar krijgen de status gereserveerd.
'Stel je voor', begint Logtenberg, 'je bent marketeer en je wilt een campagne lanceren die je
voor je concurrenten geheim wil houden.' De bij de campagne horende domeinnaam moet je
echter zo snel mogelijk registreren om te voorkomen dat deze door iemand anders wordt
geregistreerd. Door de registratie wordt deze domeinnaam vervolgens uiterlijk binnen 2 uur
zichtbaar op het internet en via de publieke whois kan de hele wereld nagaan wie de
domeinnaam geregistreerd heeft. De kans is groot dat je campagne hierdoor vroegtijdig uitlekt.
Vanuit het oogpunt van een marketeer is het voorstel dus gunstig. De domeinnaam wordt niet
zichtbaar op het internet. Uitzondering is de WHOIS, maar hierin valt dan niet meer te zien wie
de houder van deze naam is. Het voorstel behelst echter meer en is volgens Erik Logtenberg
eigenlijk tweeledig; een technisch deel (de nameserver check) en een juridisch deel (het
verbergen van de gegevens).
De heer Logtenberg is benieuwd of in het debat het voordeel van het verbergen van de eigen
naam zwaarder weegt dan het niet kunnen zien van de naam van een ander.
Debat in en met de zaal:
In aanvulling op de inleiding en ter verduidelijking van de discussie geeft SIDN nog de volgende
toelichting:
In het voorstel wordt gesproken over de DNS check. Deze blijft wel degelijk in stand, het
moment van de check wordt echter verlegd. Daarbij is het van belang twee dingen uit elkaar te
houden:
1. Het registreren van een domeinnaam. Op de geregistreerde domeinnamen is een DNS
check gedaan, op dit moment hoeven ze niet meer actief te zijn, het is zonde dat ze dan
nog wel geregistreerd blijven. Een check op een later moment kan dat voorkomen.
2. Het tonen van gegevens in de WHOIS.
De reacties op het voorstel zijn divers. Op hoofdlijnen wordt de invoering van niet gedelegeerde
domeinen ondersteund, net als het actief uit de zone halen van niet correct gedelegeerde
domeinnamen. Wel was er een aantal kanttekeningen.
De eerste betrof het voorstel om bij gereserveerde domeinnamen geen houdergegevens te
tonen. Enerzijds bevestigt een houder dat het hem is overkomen dat een geplande actie
voortijdig uitlekte na het registreren van de domeinnaam en dat invoering van het voorstel naar
3
zijn mening een goede stap is. Aan de andere kant wordt door een aantal partijen het belang
onderstreept van transparantie door het publiek tonen van de gegevens van de
domeinnaamhouder. Bovendien wordt aangevoerd dat er in de praktijk voldoende partijen zijn
die ten behoeve van hun klant aanbieden de domeinnaam op hun naam te registreren. Op die
manier zou de anonimiteit volgens deze spreker al voldoende effectief geborgd kunnen worden.
Het voorstel zou op dat punt dan ook geen werkelijk bestaande behoefte invullen.
Een ander punt dat naar voren wordt gebracht is dat het reserveren van een domeinnaam een
tijdelijk karakter zou moeten hebben. De spreker is van mening dat iedere domeinnaam
uiteindelijk op enig moment wel in gebruik moet worden genomen.
Daarnaast verwacht een aantal registrars moeilijkheden bij het geautomatiseerd verwijderen van
domeinnamen uit de zone nadat SIDN heeft vastgesteld dat de DNS niet op orde is. Men spreekt
uit dat dit een zorgvuldig proces moet zijn waarbij de communicatie een belangrijke rol speelt.
Tenslotte wordt nog opgemerkt dat het vanuit het oogpunt van de veiligheid van belang is dat
er in geval van bijvoorbeeld een phishing incident nog gegevens achterhaald kunnen worden.
Onderzoeken naar dit soort incidenten vergen wat tijd en bij het vaststellen van de periode
waarna SIDN een lame delegation omzet in een gereserveerde domeinnaam moet daar rekening
mee worden gehouden.
Conclusie van SIDConclusie SIDN: Het voorstel is overwegend positief ontvangen en SIDN concludeert dat er
voldoende aanleiding is het voorstel uit te werken. In de uitwerking zal nader aandacht besteed
worden aan de opmerkingen die zijn gemaakt met betrekking tot het wel of niet tonen van de
houdergegevens van een geregistreerde domeinnaam en over de vraag of er een termijn gesteld
moet worden waarbinnen een gereserveerde domeinnaam alsnog gedelegeerd moet worden.
4
Debat B. 'Identificatie en traceerbaarheid van .nl & domeinnaamhoudersDebat domeinnaamhouders'
B1
Inleiding door Remy Chavannes over het voorstel B1:
De huidige verplichting voor tussenpersonen om de houder voorafgaand aan het registreren van
een .nl domeinnaam te identificeren wordt vervangen door een regeling waarbij de
tussenpersoon in staat moet zijn om dit alsnog te doen indien SIDN hierom verzoekt.
De heer Chavannes vraagt zich af of het voor de deelnemers iets uitmaakt of je vooraf of
achteraf moet identificeren. Stel nou dat die gegevens achteraf onjuist blijken te zijn, hebben de
deelnemers daarin een maatschappelijke verantwoordelijkheid of zijn zij niet meer dan een
technisch loket? Wat is de aard van de functie? En is het zo dat alles altijd traceerbaar moet zijn
op internet? Vinden we dat belangrijk, of moet het ook mogelijk zijn om anoniem of op basis
van valse of onvolledige gegevens te communiceren op internet?
Debat in en met de zaal:
In het debat wordt allereerst vastgesteld dat het voorstel eigenlijk een formalisering is van hoe
het nu in de praktijk werkt. Vooral partijen die nu met een geautomatiseerd registratiesysteem
werken, blijken in de praktijk al niet vooraf te identificeren.
Een aantal sprekers die betrokken zijn bij de opsporing en het tegengaan van cybercrime geven
aan tegen het voorstel te zijn. Het voorstel maakt het kwaadwillenden wel erg makkelijk om
onder een valse identiteit een .nl domeinnaam te registreren en te gebruiken. De sprekers zijn
van mening dat anoniem op internet opereren juist het slechte in de mens naar boven kan
brengen. Bovendien moeten partijen die de wet overtreden wel te traceren zijn. Als bij een
achteraf controle blijkt dat de gegevens van een domeinnaamhouder niet kloppen, dan is het
kwaad al geschied en valt niet meer te achterhalen door wie dit werd veroorzaakt.
In dat kader wordt ook besproken dat de registrars voorafgaand aan de registratie in bepaalde
gevallen niet weten met wie ze te maken hebben. Er is echter wel altijd een aantal gegevens
bekend op basis van de betaling. Deze gegevens zijn echter niet van te voren gevalideerd en
gegarandeerd. Uiteraard is het bovendien mogelijk anoniem een betaling te doen via
bijvoorbeeld een gestolen credit card.
Ook stellen zij dat de betrekkelijke veiligheid en betrouwbaarheid van het .nl domein ten
opzichte van andere extensies voor een deel het gevolg is van het feit dat SIDN eisen aan de
registratie stelt. Het 'afbreken' van dergelijke eisen brengt naar hun mening het risico met zich
dat het .nl domein aantrekkelijker wordt voor cybercrime en daarmee minder veilig voor haar
gebruikers. Een groot deel van de aanwezigen lijkt deze mening te delen.
Vervolgens beperkt de discussie zich met name tot de registrars en hun mening over het
voorstel. Deze blijkt uiteindelijk diffuus. Het blijkt onduidelijk te zijn wat op het gebied van
identificatie nu precies van hem wordt verwacht. Omdat een groot deel van de aanwezige
registrars in de praktijk de aanvragers van een domeinnaam niet identificeren, verwachten ze
door het voorstel meer werk te krijgen. Men vroeg zich af hoe het proces van achteraf
identificeren er uit zou gaan zien en gaf aan bang te zijn dat het veel tijd zou kunnen kosten.
5
SIDN heeft naar aanleiding hiervan het voorstel nader toegelicht:
Op dit moment is er voor elke houder bij aanvraag van een domeinnaam een
identificatieverplichting. Het voorstel is dat het moment van identificatie verplaatst wordt naar
achteraf én dat identificatie alleen plaats vindt indien er iets aan de hand is. De verplichting ligt
bij de houder. Wanneer deze zich niet kan identificeren, wordt de domeinnaam doorgehaald.
De doelstelling is het proces makkelijker maken. Eigenlijk is het een formalisering van de huidige
situatie.
Uiteindelijk blijkt dat de aanwezige registrars verdeeld blijven over het voorstel.
Conclusie van SIDNConclusie SIDN: De discussie leverde geen eenduidig beeld op. SIDN hecht veel waarde aan
de door meerdere aanwezigen onderschreven stelling dat de relatieve veiligheid binnen het .nl
domein mede het gevolg is van de eisen die aan de registratie van een .nl domeinnaam worden
gesteld. SIDN zal het voorstel dan ook heroverwegen. Gedacht wordt om de voorgestelde stap
onderdeel te laten zijn van een bredere aanpak van de correctheid van houdergegevens.
6
B2
Inleiding door Remy Chavannes over het voorstel B2:
De huidige verplichting voor houders van een .nl domeinnaam die niet in Nederland gevestigd
zijn om een domicilieadres in Nederland op te geven voor het uitbrengen van exploten en of het
doen van mededelingen met betrekking tot de domeinnaam, wordt afgeschaft.
SIDN stelt voor om het domicilieadres in Nederland af te schaffen. Want het is onnodig en
bezwarend. Hoe bezwarend is het eigenlijk? Is het een probleem van de domeinnaamhouder?
Of voelt de deelnemer zich ook verantwoordelijk? Kan je als deelnemer niet heel duidelijke
afspraken maken over het domicilieadres? Het is immers het probleem van de
domeinnaamhouder. Feit is dat het uitbrengen van een dagvaarding buiten Nederland vaak
lastig is. Daarbij zou het enkele feit dat je een domicilieadres moet opgeven al een
afschrikwekkend effect kunnen hebben en preventief kwaadwillenden op afstand houden.
Debat in en met de zaal:
Het debat wordt geopend met de vraag vanuit de registrars wat er gebeurt als de
domeinnaamhouder niet traceerbaar is en de registrar het domicilieadres is?
Remy Chavannes geeft aan dat dat afhangt van de afspraken die er gemaakt zijn tussen de
registrar en de houder. In principe zal een registrar slechts gehouden zijn bij hem voor de
houder bezorgde stukken aan de houder door te sturen. Het is niet voor de hand liggend dat de
deelnemer vanwege het domicilieadres verantwoordelijk gehouden kan worden voor het gedrag
van de klant.
Meerdere partijen geven aan dat zij verwachten dat dit voorstel zeker samen met het voorstel de
identificatieverlichting af te schaffen er toe zal leiden dat .nl domein aantrekkelijker wordt voor
slechtwillenden. Volgens deze sprekers zal invoering van de voorstellen afbreuk doen aan de
betrouwbaarheid van het .nl domeinnaam.
Omdat er in de zaal nauwelijks voorstanders van het voorstel zijn en ook de aanwezige registrars
aangeven in de praktijk met het domicilieadres uit de voeten te kunnen, wordt SIDN gevraagd
de aanleiding van het voorstel nader toe te lichten.
SIDN toelichting: Een groeiend deel van de registrars van SIDN is in het buitenland gevestigd.
Voor hen is het lastiger om een domicilieadres te regelen in Nederland.
In de zaal blijken dergelijke partijen echter niet vertegenwoordigd.
Conclusie van SIDN: De aanwezigen waren geen voorstander van de voorgestelde wijziging.
Ook hier speelt de mogelijke impact op de veiligheid binnen het .nl domein een belangrijke rol.
SIDN zal het domicilieadres op dit moment dan ook niet afschaffen. Ondertussen zal SIDN wel
kijken of zij op een andere wijze tegemoet kan komen aan de bezwaren die bij de (niet
aanwezige) buitenlandse houders/deelnemers leven. Overwogen wordt het domicilieadres
standaard het kantooradres van SIDN of een ander door SIDN te bepalen adres te laten zijn.
7
BB3
Inleiding door Remy Chavannes over het voorstel B3 dat bestaat uit vier deelvoorstellen:
De Whois wordt gescheiden in een publiek gedeelte (met een beperkte inhoud) en een niet
a. de status van de domeinnaam
b. de naam van de houder (geen adres
f. de nameservergegevens
Adresgegevens van houders worden buiten de niet
a. de status van de domeinnaam
b. de deelnemergegevens
c. de nameservergegevens
Het tonen van gegevens in de openbare WHOIS is problematisch voor particuliere
domeinnaamhouders. Er zijn echter twee soorten problemen. Het eerste probleem betreft
kwetsbare domeinnaamhouders. Het tweede probleem betreft mensen met kwetsbare uitingen.
Daarnaast kan er misbruik van de getoonde gegevens worden gemaakt door middel van spam.
Zoals het nu gebeurt, kan het simpelweg niet. Onbeperkte toegang tot de WHOIS gegevens is
niet toelaatbaar. Dat is in strijd met Europese regelgeving. Dus het wordt op termijn sowieso
anders. De vraag is wat publiekelijk beschikbaar moet zijn. Wat zijn de criteria? Het gaat om de
privacybescherming van domeinnaamhouders.
Debat met en in de zaal
In de zaal blijkt grote overeenstemming over de hoofdlijn van het voorstel: het vanuit het
oogpunt van privacy beperken van de op dit moment gepubliceerde gegevens in de openbare
WHOIS.
In de discussie wordt door meerdere partijen geopperd om daarbij wel een onderscheid te
maken tussen privépersonen en bedrijven. Iemand die met een commercieel doeleinde een
website opent dient publiekelijk zichtbaar te zijn. Vervolgens wordt opgemerkt dat iemand die
goederen of diensten via internet aanbiedt wettelijk verplicht is bijvoorbeeld zijn KvK en BTW
nummer op zijn website te publiceren. Het zou dus niet nodig moeten zijn om deze partijen via
8
de WHOIS te achterhalen. Via het handelsregister van de Kamer van Koophandel zouden
dergelijke partijen moeten kunnen worden getraceerd.
SIDN geeft in het kader van deze discussie nog een toelichting:
Een aantal collega registries maakt in hun WHOIS inderdaad een onderscheid tussen
particulieren en bedrijven. Dat blijkt echter meer na
SIDN licht toe dat het zal afhangen van het moment waarop de technische oplossingen gereed
zijn en de afspraken die gemaakt moeten worden met de diverse partijen rond zijn.
Conclusie van SIDN: De zaal aanvaarde in hoofdlijnen de stelling dat SIDN er niet aan ontkomt
de toegang tot de WHOIS te beperken en kon zich ook op diezelfde hoofdlijnen in de
voorstellen vinden. SIDN zal de voorstellen dan ook verder uitwerken. In de uitwerking zal nog
bekeken worden of houders de keuze krijgen om (gedeeltelijk) zelf te bepalen wat openbaar
zichtbaar is of dat dit voor alle houders standaard hetzelfde is. SIDN ziet geen reële
mogelijkheden om daadwerkelijk effectief onderscheid te maken tussen zakelijke en particuliere
houders en zal dit onderscheid niet in de uitwerking meenemen. Ook ziet SIDN op dit moment
geen reden de toegang tot de niet openbare gegevens tot andere dan in het voorstel genoemde
groepen uit te breiden.
Afsluiting
SIDN dankt de aanwezigen voor de actieve deelname aan het debat en de sprekers en
dagvoorzitter voor hun bijdrage.