Versie 14 januari 2009
Verslag SIDN Domeinnaamdebat 2008
Verslag en conclusies SIDN Domeinnaamdebat 2008
Datum: 13 november 2008
Aanwezig: J. Abbink (Lycos), P. Anker (Ministerie van Economische Zaken), A. Arnbak (Brinkhof),
S. Assink (JR Online), M. Blom (Rabobank), R. van der Boon (Consumentenautoriteit),
R. Borgstein (EMC Media), J.P. Bouwmeester (Mediavillage), R.G. Buijs (Belastingdienst),
R. Chavannes (Brinkhof), R. Croes (Croes Consultants), S. de Boer
(Dröge & van Drimmelen), W. de Natris (Opta), D. van Donselaar (Spamexperts), T.
Doorenbosch (Automatisering Gids), F. van Drimmelen (Dröge & van Drimmelen),
A.W. Duthler (Eerste Kamer der Staten-Generaal), H. Ester (Automatisering Gids), D.
van Gastel (ECP.NL), K. Habraken (Stichting Brein), M. Henneke (SIDN), A.M.A. Hertogh
(Belastingdienst), L. Hoogeveen (SIDN), A. Jochem (Govcert.NL), A. Keukens
(Dröge & van Drimmelen), B. Klaassen (NICC), H. Klarenbeek (Tiscom), O. Kolkman
(NLnetLABS), M. Leenaars (ISOC), E. Logtenberg (Vevida), Dhr. Matthijsen (BIG), A.
van der Meer (Rechtbank Haarlem), R. Meijer (SIDN), B. Meijnen (Tiscom), R. Niamat
(Niamat Media Groep), P. Oudenes (Verizon Nederland B.V.), W. Potters (BIT), S. Ras
(ICTenRecht), T. van der Reijken (Hostway), D. van Riet (KPN), S. Roorda (Openprovider),
R. Ruiter (Mediavillage), T. Strijbos (Belastingdienst), C. Schrama (KLPD), M.
Schuurbiers (KLPD), A. Sikkema (Ministerie van Economische Zaken, M. Simon
(SIDN), K. Spithost (IT-works), L. Staal (Verizon Nederland B.V.), B. Vastenburg
(SIDN), A. Veenman (ISPconnect), M. Verhulst (XS4all), A. Verschuren (SIDN). K. Vink
(SIDN), O. Visser (Stichting Brein), M. Vrolijk (Dröge & van Drimmelen), T. Wijnroks
(BIT), M. Willems (Rabobank), M.J.P.C. Zeegers (Universiteit van Tilburg), Dhr. Zoetekouw
(KLPD).
Inleiding
Roelof Meijer, directeur van SIDN, heet de aanwezigen van harte welkom, waarna hij de microfoon
overdraagt aan de dagvoorzitter, Anne-Wil Duthler.
Anne-Wil Duthler zet kort het programma van de middag uiteen. Deze middag zullen twee thema's
met verschillende onderliggende voorstellen behandeld worden:
Debat A: 'Van lame delegations naar te reserveren domeinnamen'
Debat B. 'Identificatie en traceerbaarheid van .nl en domeinnaamhouders'
- B1 - Naar achteraf identificeren
- B2 - Afschaffen van het domicilieadres
- B3 - Beperking van gegevens in de Whois
Versie 14 januari 2009
Verslag SIDN Domeinnaamdebat 2008
Pagina 2 van 9
Debat A 'Van lame delegations naar te reserveren domeinnamen'
Voorstel:
SIDN voert de mogelijkheid in om tegen betaling een .nl (domein)naam te registreren maar (nog)
niet te delegeren. In dat geval worden in de Whois geen houdergegevens getoond. Daarnaast worden
geregistreerde .nl-domeinnamen waarvan na zorgvuldige controles is vastgesteld dat die niet
meer naar een werkende name server wijzen, geautomatiseerd uit de zonefile verwijderd. De domeinnamen
blijven geregistreerd maar krijgen de status gereserveerd.
Inleiding door Erik Logtenberg:
"Stel je voor", begint Logtenberg, "je bent marketeer en je wilt een campagne lanceren die je voor
je concurrenten geheim wil houden." De bij de campagne horende domeinnaam moet je echter zo
snel mogelijk registreren om te voorkomen dat deze door iemand anders wordt geregistreerd. Door
de registratie wordt deze domeinnaam vervolgens uiterlijk binnen 2 uur zichtbaar op het internet en
via de publieke Whois kan de hele wereld nagaan wie de domeinnaam geregistreerd heeft. De kans
is groot dat je campagne hierdoor vroegtijdig uitlekt.
Vanuit het oogpunt van een marketeer is het voorstel dus gunstig. De domeinnaam wordt niet
zichtbaar op het internet. Uitzondering is de Whois, maar hierin valt dan niet meer te zien wie de
houder van deze naam is. Het voorstel behelst echter meer en is volgens Erik Logtenberg eigenlijk
tweeledig; een technisch deel (de name server check) en een juridisch deel (het verbergen van de
gegevens).
De heer Logtenberg is benieuwd of in het debat het voordeel van het verbergen van de eigen naam
zwaarder weegt dan het niet kunnen zien van de naam van een ander.
Debat in en met de zaal:
In aanvulling op de inleiding en ter verduidelijking van de discussie geeft SIDN nog de volgende toelichting:
In het voorstel wordt gesproken over de DNS check. Deze blijft wel degelijk in stand, het moment
van de check wordt echter verlegd. Daarbij is het van belang twee dingen uit elkaar te houden:
1. Het controleren of een domeinnaam correct is gedelegeerd en het niet opnemen/
verwijderen van een niet correct gedelegeerde domeinnaam in/uit de zonefile.
2. Het tonen van gegevens in de Whois.
De reacties op het voorstel zijn divers. Op hoofdlijnen wordt de invoering van niet gedelegeerde
domeinen ondersteund, net als het actief uit de zone halen van niet correct gedelegeerde domeinnamen.
Wel was er een aantal kanttekeningen.
De eerste kanttekening betrof het voorstel om bij gereserveerde domeinnamen geen houdergegevens
te tonen. Enerzijds bevestigt een houder dat het hem is overkomen dat een geplande actie
voortijdig uitlekte na het registreren van de domeinnaam en dat invoering van het voorstel naar zijn
mening een goede stap is. Aan de andere kant wordt door een aantal partijen het belang onderstreept
van transparantie door het publiek tonen van de gegevens van de domeinnaamhouder. Ook
wordt door een andere houder aangegeven dat zij het risico van het vroegtijdig uitlekken van een
Versie 14 januari 2009
Verslag SIDN Domeinnaamdebat 2008
Pagina 3 van 9
campagne met de huidige middelen altijd hebben weten te omzeilen. Bovendien wordt aangevoerd
dat er in de praktijk voldoende partijen zijn die ten behoeve van hun klant aanbieden de domeinnaam
op hun naam te registreren. Op die manier zou de anonimiteit volgens deze spreker al voldoende
effectief geborgd kunnen worden. Het voorstel zou op dat punt dan ook geen werkelijk
bestaande behoefte invullen.
Een ander punt dat naar voren wordt gebracht is dat het reserveren van een domeinnaam een tijdelijk
karakter zou moeten hebben. De spreker is van mening dat iedere domeinnaam uiteindelijk op
enig moment wel in gebruik moet worden genomen.
Daarnaast verwacht een aantal registrars moeilijkheden bij het geautomatiseerd verwijderen van
domeinnamen uit de zone nadat SIDN heeft vastgesteld dat de DNS niet op orde is. Men spreekt uit
dat dit een zorgvuldig proces moet zijn waarbij de communicatie een belangrijke rol speelt.
Tenslotte wordt nog opgemerkt dat het vanuit het oogpunt van de veiligheid van belang is dat er in
geval van bijvoorbeeld een phishing incident nog gegevens achterhaald kunnen worden. Onderzoeken
naar dit soort incidenten vergen wat tijd en bij het vaststellen van de periode waarna SIDN een
lame delegation omzet in een gereserveerde domeinnaam moet daar rekening mee worden gehouden.
Conclusie van SIDN:
Het voorstel is overwegend positief ontvangen en SIDN concludeert dat er voldoende aanleiding is
het voorstel uit te werken. In de uitwerking zal nader aandacht besteed worden aan de opmerkingen
die zijn gemaakt met betrekking tot het wel of niet tonen van de houdergegevens van een geregistreerde
domeinnaam en over de vraag of er een termijn gesteld moet worden waarbinnen een
gereserveerde domeinnaam alsnog gedelegeerd moet worden.
Versie 14 januari 2009
Verslag SIDN Domeinnaamdebat 2008
Pagina 4 van 9
Debat B. 'Identificatie en traceerbaarheid van .nl en domeinnaamhouders'
B1 - Naar achteraf identificeren
Voorstel:
De huidige verplichting voor tussenpersonen om de houder voorafgaand aan het registreren van een
.nl-domeinnaam te identificeren wordt vervangen door een regeling waarbij de tussenpersoon in
staat moet zijn om dit alsnog te doen indien SIDN hierom verzoekt.
Inleiding door Remy Chavannes:
De heer Chavannes vraagt zich af of het voor de deelnemers iets uitmaakt of je vooraf of achteraf
moet identificeren. Stel nou dat die gegevens achteraf onjuist blijken te zijn, hebben de deelnemers
daarin een maatschappelijke verantwoordelijkheid of zijn zij niet meer dan een technisch loket? Wat
is de aard van de functie? En is het zo dat alles altijd traceerbaar moet zijn op internet? Vinden we
dat belangrijk, of moet het ook mogelijk zijn om anoniem of op basis van valse of onvolledige gegevens
te communiceren op internet?
Debat in en met de zaal:
In het debat wordt allereerst vastgesteld dat het voorstel eigenlijk een formalisering is van hoe het
nu in de praktijk werkt. Vooral partijen die nu met een geautomatiseerd registratiesysteem werken,
blijken in de praktijk al niet vooraf te identificeren.
Een aantal sprekers die betrokken zijn bij de opsporing en het tegengaan van cybercrime geven aan
tegen het voorstel te zijn. Het voorstel maakt het kwaadwillenden wel erg makkelijk om onder een
valse identiteit een .nl-domeinnaam te registreren en te gebruiken. De sprekers zijn van mening dat
anoniem op internet opereren juist het slechte in de mens naar boven kan brengen. Bovendien moeten
partijen die de wet overtreden wel te traceren zijn. Als bij een achteraf controle blijkt dat de
gegevens van een domeinnaamhouder niet kloppen, dan is het kwaad al geschied en valt niet meer
te achterhalen door wie dit werd veroorzaakt.
In dat kader wordt ook besproken dat de registrars voorafgaand aan de registratie in bepaalde gevallen
niet weten met wie ze te maken hebben. Er is echter wel altijd een aantal gegevens bekend
op basis van de betaling. Deze gegevens zijn echter niet van te voren gevalideerd en gegarandeerd.
Uiteraard is het bovendien mogelijk anoniem een betaling te doen via bijvoorbeeld een gestolen
credit card.
Ook stellen zij dat de betrekkelijke veiligheid en betrouwbaarheid van het .nl-domein ten opzichte
van andere extensies voor een deel het gevolg is van het feit dat SIDN eisen aan de registratie stelt.
Het 'afbreken' van dergelijke eisen brengt naar hun mening het risico met zich dat het .nl-domein
aantrekkelijker wordt voor cybercrime en daarmee minder veilig voor haar gebruikers. Een groot deel
van de aanwezigen lijkt deze mening te delen.
Vervolgens beperkt de discussie zich met name tot de registrars en hun mening over het voorstel.
Deze blijkt uiteindelijk diffuus. Het blijkt onduidelijk te zijn wat op het gebied van identificatie nu
precies van hem wordt verwacht. Omdat een groot deel van de aanwezige registrars in de praktijk
de aanvragers van een domeinnaam niet identificeren, verwachten ze door het voorstel meer werk
te krijgen. Men vroeg zich af hoe het proces van achteraf identificeren er uit zou gaan zien en gaf
aan bang te zijn dat het veel tijd zou kunnen kosten.
Versie 14 januari 2009
Verslag SIDN Domeinnaamdebat 2008
Pagina 5 van 9
SIDN heeft naar aanleiding hiervan het voorstel nader toegelicht:
Op dit moment is er voor elke houder bij aanvraag van een domeinnaam een identificatieverplichting.
Het voorstel is dat het moment van identificatie verplaatst wordt naar achteraf én dat identificatie
alleen plaats vindt indien er iets aan de hand is. De verplichting ligt bij de houder. Wanneer
deze zich niet kan identificeren, wordt de domeinnaam doorgehaald.
De doelstelling is het proces makkelijker maken. Eigenlijk is het een formalisering van de huidige
situatie.
Uiteindelijk blijkt dat de aanwezige registrars verdeeld blijven over het voorstel.
Conclusie van SIDN:
De discussie leverde geen eenduidig beeld op. SIDN hecht veel waarde aan de door meerdere aanwezigen
onderschreven stelling dat de relatieve veiligheid binnen het .nl-domein mede het gevolg is
van de eisen die aan de registratie van een .nl-domeinnaam worden gesteld. SIDN zal het voorstel
dan ook heroverwegen. Gedacht wordt om de voorgestelde stap onderdeel te laten zijn van een
bredere aanpak van de correctheid van houdergegevens.
Versie 14 januari 2009
Verslag SIDN Domeinnaamdebat 2008
Pagina 6 van 9
B2 - Afschaffen van het domicilieadres
Voorstel:
De huidige verplichting voor houders van een .nl-domeinnaam die niet in Nederland gevestigd zijn
om een domicilieadres in Nederland op te geven voor het uitbrengen van exploten en of het doen
van mededelingen met betrekking tot de domeinnaam, wordt afgeschaft.
Inleiding door Remy Chavannes:
SIDN stelt voor om het domicilieadres in Nederland af te schaffen. Want het is onnodig en bezwarend.
Hoe bezwarend is het eigenlijk? Is het een probleem van de domeinnaamhouder? Of voelt de
deelnemer zich ook verantwoordelijk? Kan je als deelnemer niet heel duidelijke afspraken maken
over het domicilieadres? Het is immers het probleem van de domeinnaamhouder. Feit is dat het
uitbrengen van een dagvaarding buiten Nederland vaak lastig is. Daarbij zou het enkele feit dat je
een domicilieadres moet opgeven al een afschrikwekkend effect kunnen hebben en preventief
kwaadwillenden op afstand houden.
Debat in en met de zaal:
Het debat wordt geopend met de vraag vanuit de registrars wat er gebeurt als de domeinnaamhouder
niet traceerbaar is en de registrar het domicilieadres is?
Remy Chavannes geeft aan dat dat afhangt van de afspraken die er gemaakt zijn tussen de registrar
en de houder. In principe zal een registrar slechts gehouden zijn bij hem voor de houder bezorgde
stukken aan de houder door te sturen. Het is niet voor de hand liggend dat de deelnemer vanwege
het domicilieadres verantwoordelijk gehouden kan worden voor het gedrag van de klant.
Meerdere partijen geven aan dat zij verwachten dat dit voorstel zeker samen met het voorstel de
identificatieverlichting af te schaffen er toe zal leiden dat .nl-domein aantrekkelijker wordt voor
slechtwillenden. Volgens deze sprekers zal invoering van de voorstellen afbreuk doen aan de betrouwbaarheid
van het .nl-domeinnaam.
Omdat er in de zaal nauwelijks voorstanders van het voorstel zijn en ook de aanwezige registrars
aangeven in de praktijk met het domicilieadres uit de voeten te kunnen, wordt SIDN gevraagd de
aanleiding van het voorstel nader toe te lichten.
SIDN toelichting: Een groeiend deel van de registrars van SIDN is in het buitenland gevestigd. Voor
hen is het lastiger om een domicilieadres te regelen in Nederland.
In de zaal blijken dergelijke partijen echter niet vertegenwoordigd.
Conclusie van SIDN:
De aanwezigen waren geen voorstander van de voorgestelde wijziging. Ook hier speelt de mogelijke
impact op de veiligheid binnen het .nl-domein een belangrijke rol. SIDN zal het domicilieadres op dit
moment dan ook niet afschaffen. Ondertussen zal SIDN wel kijken of zij op een andere wijze tegemoet
kan komen aan de bezwaren die bij de (niet aanwezige) buitenlandse houders/deelnemers
leven. Overwogen wordt het domicilieadres standaard het kantooradres van SIDN of een ander door
SIDN te bepalen adres te laten zijn.
Versie 14 januari 2009
Verslag SIDN Domeinnaamdebat 2008
Pagina 7 van 9
B3 - Beperking van de gegevens in de Whois
Voorstel:
De Whois wordt gescheiden in een publiek gedeelte (met een beperkte inhoud) en een niet-publiek
gedeelte (met de huidige informatie). Het niet-publieke gedeelte is slechts beschikbaar voor SIDN
deelnemers (en dan nog alleen voor 'eigen registraties'), opsporingsinstanties (binnen het kader van
hun bevoegdheid en een met SIDN te sluiten overeenkomst) en het instituut dat de 'Geschillenregeling
voor .nl-domeinnamen' afhandelt (ten behoeve van de geschillenregeling).
a. De publieke Whois toont voortaan alleen:
b. de status van de domeinnaam
c. de naam van de houder (geen adres- of andere gegevens)
d. het e-mail adres van de administratief contactpersoon (geen naam of telefoonnummer)
e. het e-mail adres van de technisch contactpersoon (geen naam of telefoonnummer)
f. de deelnemergegevens
g. de name servergegevens
Adresgegevens van houders worden buiten de niet-publieke Whois om alleen verstrekt op basis van
een gerechtelijk bevel en aan advocaten en deurwaarders in het kader van geschillen met betrekking
tot de domeinnaam.
Om het grootschalig bevragen van de Whois tegen te gaan, wordt de inhoud van Whois op command
line niveau beperkt tot:
a. de status van de domeinnaam
b. de deelnemergegevens
c. de name servergegevens
Inleiding door Remy Chavannes:
Het tonen van gegevens in de openbare Whois is problematisch voor particuliere domeinnaamhouders.
Er zijn echter twee soorten problemen. Het eerste probleem betreft kwetsbare domeinnaamhouders.
Het tweede probleem betreft mensen met kwetsbare uitingen. Daarnaast kan er misbruik
van de getoonde gegevens worden gemaakt door middel van spam.
Zoals het nu gebeurt, kan het simpelweg niet. Onbeperkte toegang tot de Whois gegevens is niet
toelaatbaar. Dat is in strijd met Europese regelgeving. Dus het wordt op termijn sowieso anders. De
vraag is wat publiekelijk beschikbaar moet zijn. Wat zijn de criteria? Het gaat om de privacybescherming
van domeinnaamhouders.
Versie 14 januari 2009
Verslag SIDN Domeinnaamdebat 2008
Pagina 8 van 9
Debat in en met de zaal:
In de zaal blijkt grote overeenstemming over de hoofdlijn van het voorstel: het vanuit het oogpunt
van privacy beperken van de op dit moment gepubliceerde gegevens in de openbare Whois.
In de discussie wordt door meerdere partijen geopperd om daarbij wel een onderscheid te maken
tussen privépersonen en bedrijven. Iemand die met een commercieel doeleinde een website opent
dient publiekelijk zichtbaar te zijn. Vervolgens wordt opgemerkt dat iemand die goederen of diensten
via internet aanbiedt wettelijk verplicht is bijvoorbeeld zijn KvK en BTW-nummer op zijn website
te publiceren. Het zou dus niet nodig moeten zijn om deze partijen via de Whois te achterhalen. Via
het handelsregister van de Kamer van Koophandel zouden dergelijke partijen moeten kunnen worden
getraceerd.
SIDN geeft in het kader van deze discussie nog een toelichting:
Een aantal collega registries maakt in hun Whois inderdaad een onderscheid tussen particulieren en
bedrijven. Dat blijkt echter meer na- dan voordelen te hebben. Het belangrijkste probleem is dat de
registries, net als SIDN, onmogelijk kunnen (blijven) controleren of een door een privé persoon geregistreerde
domeinnaam particulier of zakelijk wordt gebruikt.
Een ander punt dat aan de orde wordt gesteld, is de vraag wie toegang zou mogen hebben tot de
gegevens die na invoering van de voorstellen niet meer openbaar getoond worden. De zaal blijkt
over het algemeen in te stemmen met toegang voor de in het voorstel genoemde partijen. Een aantal
aanwezigen vraagt zich af of er niet ook andere partijen zijn die belang kunnen hebben bij de
toegang tot de uitgebreide gegevens. Daarbij komt tevens de jurisprudentie van de Hoge Raad inzake
Lycos/Pessers aan de orde. Op zich bieden de voorstellen dergelijke partijen onder voorwaarden
de mogelijkheid deze informatie op te laten vragen door een advocaat of een deurwaarder. Er worden
twijfels uitgesproken of dit (juridisch) voldoende is.
Onder de aanwezige registrars speelt de vraag hoe zij de benodigde informatie over de houder van
een domeinnaam krijgen om verhuizingen door te kunnen voeren. De deelnemers krijgen onder het
voorstel namelijk alleen toegang tot de gegevens van hun eigen domeinnamen.
SIDN geeft aan dat er in de uitwerking van het voorstel voor gezorgd zal worden dat de benodigde
informatie ten behoeve van het verhuisproces voor registrars beschikbaar is.
Vanuit de opsporingsorganisaties komt nog de vraag op welke termijn de informatie in de openbare
Whois beperkt zal worden en wanneer met hen afspraken gemaakt zullen worden om toegang tot
de volledige gegevens te behouden.
SIDN licht toe dat het zal afhangen van het moment waarop de technische oplossingen gereed zijn
en de afspraken die gemaakt moeten worden met de diverse partijen rond zijn.
Conclusie van SIDN:
De zaal aanvaarde in hoofdlijnen de stelling dat SIDN er niet aan ontkomt de toegang tot de Whois
te beperken en kon zich ook op diezelfde hoofdlijnen in de voorstellen vinden. SIDN zal de voorstellen
dan ook verder uitwerken. In de uitwerking zal nog bekeken worden of houders de keuze krijgen
om (gedeeltelijk) zelf te bepalen wat openbaar zichtbaar is of dat dit voor alle houders standaard
hetzelfde is. SIDN ziet geen reële mogelijkheden om daadwerkelijk effectief onderscheid te maken
tussen zakelijke en particuliere houders en zal dit onderscheid niet in de uitwerking meenemen. Ook
Versie 14 januari 2009
Verslag SIDN Domeinnaamdebat 2008
Pagina 9 van 9
ziet SIDN op dit moment geen reden de toegang tot de niet openbare gegevens tot andere dan in
het voorstel genoemde groepen uit te breiden.
Afsluiting
SIDN dankt de aanwezigen voor de actieve deelname aan het debat en de sprekers en dagvoorzitter
voor hun bijdrage.
Stichting Internet Domeinregistratie Nederland