Stichting Internet Domeinregistratie Nederland

CONCEPT Verslag & Conclusies SIDN Domeinnaamdebat 2008 Datum: 13 november 2008

Aanwezig: J. Abbink (Lycos), P. Anker (Ministerie van Economische Zaken), A. Arnbak (Brinkhof), S. Assink (JR Online), M. Blom (Rabobank), R. van der Boon (Consumentenautoriteit), R. Borgstein (EMC Media), J.P. Bouwmeester (Mediavillage), R.G. Buijs (Belastingdienst), R. Chavannes (Brinkhof), R. Croes (Croes Consultants), S. de Boer (Dröge & van Drimmelen), W. de Natris (Opta), D. van Donselaar (Spamexperts), T. Doorenbosch (Automatisering Gids), F. van Drimmelen (Dröge & van Drimmelen), A.W. Duthler (Eerste Kamer der Staten
Inleiding

Roelof Meijer, directeur van SIDN, heet de aanwezigen van harte welkom, waarna hij de microfoon overdraagt aan de dagvoorzitter, Anne- B1
- B2
- B3 2
Debat A
Inleiding door Erik Logtenberg over voorstel A:
SIDN voert de mogelijkheid in om tegen betaling een .nl (domein)naam te registreren maar (nog) niet te delegeren. In dat geval worden in de Whois geen houdergegevens getoond. Daarnaast worden geregistreerde .nl domeinnamen waarvan na zorgvuldige controles is vastgesteld dat die niet meer naar een werkende nameserver wijzen, geautomatiseerd uit de zonefile verwijderd. De domeinnamen blijven geregistreerd maar krijgen de status gereserveerd. 'Stel je voor', begint Logtenberg, 'je bent marketeer en je wilt een campagne lanceren die je voor je concurrenten geheim wil houden.' De bij de campagne horende domeinnaam moet je echter zo snel mogelijk registreren om te voorkomen dat deze door iemand anders wordt geregistreerd. Door de registratie wordt deze domeinnaam vervolgens uiterlijk binnen 2 uur zichtbaar op het internet en via de publieke whois kan de hele wereld nagaan wie de domeinnaam geregistreerd heeft. De kans is groot dat je campagne hierdoor vroegtijdig uitlekt. Vanuit het oogpunt van een marketeer is het voorstel dus gunstig. De domeinnaam wordt niet zichtbaar op het internet. Uitzondering is de WHOIS, maar hierin valt dan niet meer te zien wie de houder van deze naam is. Het voorstel behelst echter meer en is volgens Erik Logtenberg eigenlijk tweeledig; een technisch deel (de nameserver check) en een juridisch deel (het verbergen van de gegevens).
De heer Logtenberg is benieuwd of in het debat het voordeel van het verbergen van de eigen naam zwaarder weegt dan het niet kunnen zien van de naam van een ander. Debat in en met de zaal:
In aanvulling op de inleiding en ter verduidelijking van de discussie geeft SIDN nog de volgende toelichting:
In het voorstel wordt gesproken over de DNS check. Deze blijft wel degelijk in stand, het moment van de check wordt echter verlegd. Daarbij is het van belang twee dingen uit elkaar te houden:

1. Het registreren van een domeinnaam. Op de geregistreerde domeinnamen is een DNS check gedaan, op dit moment hoeven ze niet meer actief te zijn, het is zonde dat ze dan nog wel geregistreerd blijven. Een check op een later moment kan dat voorkomen.
2. Het tonen van gegevens in de WHOIS.
De reacties op het voorstel zijn divers. Op hoofdlijnen wordt de invoering van niet gedelegeerde domeinen ondersteund, net als het actief uit de zone halen van niet correct gedelegeerde domeinnamen. Wel was er een aantal kanttekeningen. De eerste betrof het voorstel om bij gereserveerde domeinnamen geen houdergegevens te tonen. Enerzijds bevestigt een houder dat het hem is overkomen dat een geplande actie voortijdig uitlekte na het registreren van de domeinnaam en dat invoering van het voorstel naar
3
zijn mening een goede stap is. Aan de andere kant wordt door een aantal partijen het belang onderstreept van transparantie door het publiek tonen van de gegevens van de domeinnaamhouder. Bovendien wordt aangevoerd dat er in de praktijk voldoende partijen zijn die ten behoeve van hun klant aanbieden de domeinnaam op hun naam te registreren. Op die manier zou de anonimiteit volgens deze spreker al voldoende effectief geborgd kunnen worden. Het voorstel zou op dat punt dan ook geen werkelijk bestaande behoefte invullen. Een ander punt dat naar voren wordt gebracht is dat het reserveren van een domeinnaam een tijdelijk karakter zou moeten hebben. De spreker is van mening dat iedere domeinnaam uiteindelijk op enig moment wel in gebruik moet worden genomen. Daarnaast verwacht een aantal registrars moeilijkheden bij het geautomatiseerd verwijderen van domeinnamen uit de zone nadat SIDN heeft vastgesteld dat de DNS niet op orde is. Men spreekt uit dat dit een zorgvuldig proces moet zijn waarbij de communicatie een belangrijke rol speelt. Tenslotte wordt nog opgemerkt dat het vanuit het oogpunt van de veiligheid van belang is dat er in geval van bijvoorbeeld een phishing incident nog gegevens achterhaald kunnen worden. Onderzoeken naar dit soort incidenten vergen wat tijd en bij het vaststellen van de periode waarna SIDN een lame delegation omzet in een gereserveerde domeinnaam moet daar rekening mee worden gehouden.
Conclusie van SIDConclusie SIDN: Het voorstel is overwegend positief ontvangen en SIDN concludeert dat er voldoende aanleiding is het voorstel uit te werken. In de uitwerking zal nader aandacht besteed worden aan de opmerkingen die zijn gemaakt met betrekking tot het wel of niet tonen van de houdergegevens van een geregistreerde domeinnaam en over de vraag of er een termijn gesteld moet worden waarbinnen een gereserveerde domeinnaam alsnog gedelegeerd moet worden.
4
Debat B. 'Identificatie en traceerbaarheid van .nl & domeinnaamhoudersDebat domeinnaamhouders' B1 Inleiding door Remy Chavannes over het voorstel B1: De huidige verplichting voor tussenpersonen om de houder voorafgaand aan het registreren van een .nl domeinnaam te identificeren wordt vervangen door een regeling waarbij de tussenpersoon in staat moet zijn om dit alsnog te doen indien SIDN hierom verzoekt. De heer Chavannes vraagt zich af of het voor de deelnemers iets uitmaakt of je vooraf of achteraf moet identificeren. Stel nou dat die gegevens achteraf onjuist blijken te zijn, hebben de deelnemers daarin een maatschappelijke verantwoordelijkheid of zijn zij niet meer dan een technisch loket? Wat is de aard van de functie? En is het zo dat alles altijd traceerbaar moet zijn op internet? Vinden we dat belangrijk, of moet het ook mogelijk zijn om anoniem of op basis van valse of onvolledige gegevens te communiceren op internet? Debat in en met de zaal:
In het debat wordt allereerst vastgesteld dat het voorstel eigenlijk een formalisering is van hoe het nu in de praktijk werkt. Vooral partijen die nu met een geautomatiseerd registratiesysteem werken, blijken in de praktijk al niet vooraf te identificeren. Een aantal sprekers die betrokken zijn bij de opsporing en het tegengaan van cybercrime geven aan tegen het voorstel te zijn. Het voorstel maakt het kwaadwillenden wel erg makkelijk om onder een valse identiteit een .nl domeinnaam te registreren en te gebruiken. De sprekers zijn van mening dat anoniem op internet opereren juist het slechte in de mens naar boven kan brengen. Bovendien moeten partijen die de wet overtreden wel te traceren zijn. Als bij een achteraf controle blijkt dat de gegevens van een domeinnaamhouder niet kloppen, dan is het kwaad al geschied en valt niet meer te achterhalen door wie dit werd veroorzaakt. In dat kader wordt ook besproken dat de registrars voorafgaand aan de registratie in bepaalde gevallen niet weten met wie ze te maken hebben. Er is echter wel altijd een aantal gegevens bekend op basis van de betaling. Deze gegevens zijn echter niet van te voren gevalideerd en gegarandeerd. Uiteraard is het bovendien mogelijk anoniem een betaling te doen via bijvoorbeeld een gestolen credit card.
Ook stellen zij dat de betrekkelijke veiligheid en betrouwbaarheid van het .nl domein ten opzichte van andere extensies voor een deel het gevolg is van het feit dat SIDN eisen aan de registratie stelt. Het 'afbreken' van dergelijke eisen brengt naar hun mening het risico met zich dat het .nl domein aantrekkelijker wordt voor cybercrime en daarmee minder veilig voor haar gebruikers. Een groot deel van de aanwezigen lijkt deze mening te delen. Vervolgens beperkt de discussie zich met name tot de registrars en hun mening over het voorstel. Deze blijkt uiteindelijk diffuus. Het blijkt onduidelijk te zijn wat op het gebied van identificatie nu precies van hem wordt verwacht. Omdat een groot deel van de aanwezige registrars in de praktijk de aanvragers van een domeinnaam niet identificeren, verwachten ze door het voorstel meer werk te krijgen. Men vroeg zich af hoe het proces van achteraf identificeren er uit zou gaan zien en gaf aan bang te zijn dat het veel tijd zou kunnen kosten.
5
SIDN heeft naar aanleiding hiervan het voorstel nader toegelicht: Op dit moment is er voor elke houder bij aanvraag van een domeinnaam een identificatieverplichting. Het voorstel is dat het moment van identificatie verplaatst wordt naar achteraf én dat identificatie alleen plaats vindt indien er iets aan de hand is. De verplichting ligt bij de houder. Wanneer deze zich niet kan identificeren, wordt de domeinnaam doorgehaald. De doelstelling is het proces makkelijker maken. Eigenlijk is het een formalisering van de huidige situatie.
Uiteindelijk blijkt dat de aanwezige registrars verdeeld blijven over het voorstel. Conclusie van SIDNConclusie SIDN: De discussie leverde geen eenduidig beeld op. SIDN hecht veel waarde aan de door meerdere aanwezigen onderschreven stelling dat de relatieve veiligheid binnen het .nl domein mede het gevolg is van de eisen die aan de registratie van een .nl domeinnaam worden gesteld. SIDN zal het voorstel dan ook heroverwegen. Gedacht wordt om de voorgestelde stap onderdeel te laten zijn van een bredere aanpak van de correctheid van houdergegevens.
6
B2 Inleiding door Remy Chavannes over het voorstel B2: De huidige verplichting voor houders van een .nl domeinnaam die niet in Nederland gevestigd zijn om een domicilieadres in Nederland op te geven voor het uitbrengen van exploten en of het doen van mededelingen met betrekking tot de domeinnaam, wordt afgeschaft. SIDN stelt voor om het domicilieadres in Nederland af te schaffen. Want het is onnodig en bezwarend. Hoe bezwarend is het eigenlijk? Is het een probleem van de domeinnaamhouder? Of voelt de deelnemer zich ook verantwoordelijk? Kan je als deelnemer niet heel duidelijke afspraken maken over het domicilieadres? Het is immers het probleem van de domeinnaamhouder. Feit is dat het uitbrengen van een dagvaarding buiten Nederland vaak lastig is. Daarbij zou het enkele feit dat je een domicilieadres moet opgeven al een afschrikwekkend effect kunnen hebben en preventief kwaadwillenden op afstand houden. Debat in en met de zaal:
Het debat wordt geopend met de vraag vanuit de registrars wat er gebeurt als de domeinnaamhouder niet traceerbaar is en de registrar het domicilieadres is? Remy Chavannes geeft aan dat dat afhangt van de afspraken die er gemaakt zijn tussen de registrar en de houder. In principe zal een registrar slechts gehouden zijn bij hem voor de houder bezorgde stukken aan de houder door te sturen. Het is niet voor de hand liggend dat de deelnemer vanwege het domicilieadres verantwoordelijk gehouden kan worden voor het gedrag van de klant.
Meerdere partijen geven aan dat zij verwachten dat dit voorstel zeker samen met het voorstel de identificatieverlichting af te schaffen er toe zal leiden dat .nl domein aantrekkelijker wordt voor slechtwillenden. Volgens deze sprekers zal invoering van de voorstellen afbreuk doen aan de betrouwbaarheid van het .nl domeinnaam.
Omdat er in de zaal nauwelijks voorstanders van het voorstel zijn en ook de aanwezige registrars aangeven in de praktijk met het domicilieadres uit de voeten te kunnen, wordt SIDN gevraagd de aanleiding van het voorstel nader toe te lichten. SIDN toelichting: Een groeiend deel van de registrars van SIDN is in het buitenland gevestigd. Voor hen is het lastiger om een domicilieadres te regelen in Nederland. In de zaal blijken dergelijke partijen echter niet vertegenwoordigd. Conclusie van SIDN: De aanwezigen waren geen voorstander van de voorgestelde wijziging. Ook hier speelt de mogelijke impact op de veiligheid binnen het .nl domein een belangrijke rol. SIDN zal het domicilieadres op dit moment dan ook niet afschaffen. Ondertussen zal SIDN wel kijken of zij op een andere wijze tegemoet kan komen aan de bezwaren die bij de (niet aanwezige) buitenlandse houders/deelnemers leven. Overwogen wordt het domicilieadres standaard het kantooradres van SIDN of een ander door SIDN te bepalen adres te laten zijn.
7
BB3 Inleiding door Remy Chavannes over het voorstel B3 dat bestaat uit vier deelvoorstellen: De Whois wordt gescheiden in een publiek gedeelte (met een beperkte inhoud) en een niet a. de status van de domeinnaam
b. de naam van de houder (geen adres f. de nameservergegevens
Adresgegevens van houders worden buiten de niet Om het grootschalig bevragen van de Whois tegen te gaan, wordt de inhoud van Whois op command line niveau beperkt tot:
a. de status van de domeinnaam
b. de deelnemergegevens
c. de nameservergegevens
Het tonen van gegevens in de openbare WHOIS is problematisch voor particuliere domeinnaamhouders. Er zijn echter twee soorten problemen. Het eerste probleem betreft kwetsbare domeinnaamhouders. Het tweede probleem betreft mensen met kwetsbare uitingen. Daarnaast kan er misbruik van de getoonde gegevens worden gemaakt door middel van spam. Zoals het nu gebeurt, kan het simpelweg niet. Onbeperkte toegang tot de WHOIS gegevens is niet toelaatbaar. Dat is in strijd met Europese regelgeving. Dus het wordt op termijn sowieso anders. De vraag is wat publiekelijk beschikbaar moet zijn. Wat zijn de criteria? Het gaat om de privacybescherming van domeinnaamhouders.
Debat met en in de zaal
In de zaal blijkt grote overeenstemming over de hoofdlijn van het voorstel: het vanuit het oogpunt van privacy beperken van de op dit moment gepubliceerde gegevens in de openbare WHOIS.
In de discussie wordt door meerdere partijen geopperd om daarbij wel een onderscheid te maken tussen privépersonen en bedrijven. Iemand die met een commercieel doeleinde een website opent dient publiekelijk zichtbaar te zijn. Vervolgens wordt opgemerkt dat iemand die goederen of diensten via internet aanbiedt wettelijk verplicht is bijvoorbeeld zijn KvK en BTW nummer op zijn website te publiceren. Het zou dus niet nodig moeten zijn om deze partijen via
8
de WHOIS te achterhalen. Via het handelsregister van de Kamer van Koophandel zouden dergelijke partijen moeten kunnen worden getraceerd. SIDN geeft in het kader van deze discussie nog een toelichting: Een aantal collega registries maakt in hun WHOIS inderdaad een onderscheid tussen particulieren en bedrijven. Dat blijkt echter meer na SIDN licht toe dat het zal afhangen van het moment waarop de technische oplossingen gereed zijn en de afspraken die gemaakt moeten worden met de diverse partijen rond zijn. Conclusie van SIDN: De zaal aanvaarde in hoofdlijnen de stelling dat SIDN er niet aan ontkomt de toegang tot de WHOIS te beperken en kon zich ook op diezelfde hoofdlijnen in de voorstellen vinden. SIDN zal de voorstellen dan ook verder uitwerken. In de uitwerking zal nog bekeken worden of houders de keuze krijgen om (gedeeltelijk) zelf te bepalen wat openbaar zichtbaar is of dat dit voor alle houders standaard hetzelfde is. SIDN ziet geen reële mogelijkheden om daadwerkelijk effectief onderscheid te maken tussen zakelijke en particuliere houders en zal dit onderscheid niet in de uitwerking meenemen. Ook ziet SIDN op dit moment geen reden de toegang tot de niet openbare gegevens tot andere dan in het voorstel genoemde groepen uit te breiden.
Afsluiting
SIDN dankt de aanwezigen voor de actieve deelname aan het debat en de sprekers en dagvoorzitter voor hun bijdrage.