AP: onafgeschermde publicatie van WHOIS-gegevens in strijd met de wet

Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens van domeinnaamhouders door Nederlandse registries is in strijd met de huidige Nederlandse privacywetgeving. De Autoriteit Persoonsgegevens (AP) heeft dit geschreven aan een Nederlandse beheerder van domeinnaamextensies. WHOIS-gegevens zijn de naam, het adres, e-mailadres en telefoonnummer van domeinnaamhouders.

Openbaarmaking van deze persoonsgegevens is niet noodzakelijk. Toegang tot de gegevens van domeinnaamhouders is vanzelfsprekend mogelijk als dat bijvoorbeeld om technische redenen noodzakelijk is. Of voor partijen zoals justitie en politie, die daartoe wettelijk bevoegd zijn. Dit noemen we 'getrapte toegang'.

Verzoek Nederlandse registry

De AP publiceert dit standpunt naar aanleiding van een verzoek van een Nederlandse registry. Registries zijn partijen die domeinnaamextensies – zoals .com of .nl – technisch beheren.

Deze Nederlandse registry zou op basis van de regels van de wereldwijde domeinnaambeheerder ICANN  verplicht zijn om WHOIS-gegevens van alle domeinnaamhouders onafgeschermd te publiceren.

De Nederlandse registry biedt echter de mogelijkheid de contactgegevens van particuliere domeinnaamhouders, zoals eigenaren van een website, slechts beperkt openbaar te maken. Dit is in overeenstemming met de geldende privacywetgeving. 

Europese privacytoezichthouders

De AP ontvangt regelmatig signalen van burgers, houders van een domeinnaam, die merken dat hun WHOIS-gegevens op allerlei websites opnieuw worden verspreid en worden gebruikt.

Eerder uitten de Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep (WP29), hun zorgen over deze vorm van onbeperkte openbaarmaking van persoonsgegevens van houders van domeinnamen.

Onafgeschermde publicatie WHOIS-gegevens in strijd met de wet

Wanneer WHOIS-gegevens natuurlijke personen betreffen, gaat het om persoonsgegevens. En is dus de Nederlandse privacywetgeving van toepassing. Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist.

Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op een van de volgende grondslagen:

• Noodzakelijk voor de uitvoering van een overeenkomst: kan niet omdat de individuele domeinnaamhouders geen partij zijn bij de overeenkomst tussen ICANN en de registries.
• Gerechtvaardigd belang: kan niet omdat de doeleinden ook kunnen worden bereikt met minder zware middelen, namelijk getrapte toegang tot de WHOIS-gegevens.
• Toestemming (van individuele domeinnaamhouders): kan niet omdat toestemming geven vereist is om een domeinnaam te krijgen en er dus geen vrije wilsuiting is.

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Ook dan is het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens in strijd met de wet.

Update 11 december 2017

WP29 heeft op 11 december 2017 opnieuw een brief gestuurd aan ICANN. Hierin geeft WP29 nogmaals aan dat ICANN en de registries voor de ongelimiteerde publicatie van WHOIS-gegevens geen beroep kunnen doen op de wettelijke grondslagen 'noodzakelijk voor de uitvoering van een overeenkomst', 'gerechtvaardigd belang' en 'toestemming'.