Het onbeperkt publiekelijk toegankelijk maken van whois-gegevens van domeinnaamhouders door Nederlandse registries is in strijd met de huidige Nederlandse privacywetgeving, zo stelt de Autoriteit Persoonsgegevens (AP). Whois-gegevens bestaan uit de naam, het adres, e-mailadres en telefoonnummer van domeinnaamhouders.
De Wet bescherming persoonsgegevens bepaalt dat persoonsgegevens alleen mogen worden verzameld voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden. En vervolgens alleen verder mogen worden verwerkt voor doeleinden die daarmee verenigbaar zijn. Actieve openbaarmaking van de persoonsgegevens van domeinnaamhouders aan alle internetgebruikers is naar het oordeel van de AP bovenmatig voor het doeleinde van het whois-register.
De Autoriteit Persoonsgegevens laat dit weten naar aanleiding van een verzoek van een Nederlandse registry. Registries zijn partijen die domeinnaamextensies, zoals .com of .nl, technisch beheren. Deze Nederlandse registry zou op basis van de regels van de wereldwijde domeinnaambeheerder ICANN verplicht zijn om whois-gegevens van alle domeinnaamhouders onafgeschermd te publiceren. Deze Nederlandse registry biedt echter de mogelijkheid de contactgegevens van particuliere domeinnaamhouders, zoals eigenaren van een website, slechts beperkt openbaar te maken. Dit is in overeenstemming met de geldende privacywetgeving, aldus de AP.
Wanneer whois-gegevens natuurlijke personen betreffen, gaat het om persoonsgegevens en is de Nederlandse privacywetgeving van toepassing. Het onbeperkt publiekelijk toegankelijk maken van whois-gegevens via internet is daarnaast een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP kunnen ICANN en de registries zich niet beroepen op de grondslagen dat het openbaar maken noodzakelijk is voor de uitvoering van een overeenkomst of dat zij een gerechtvaardigd belang hebben.
De Autoriteit Persoonsgegevens zegt dat het regelmatig signalen van houders van een domeinnaam ontvangt die merken dat hun whois-gegevens op allerlei websites opnieuw worden verspreid en worden gebruikt. "Veel mensen worden geraakt door het verplicht openbaar publiceren van WHOIS-gegevens", zo schrijft de toezichthouder in het antwoord naar de Nederlandse registry.
Al sinds 2003 hebben de Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep, hun zorgen geuit over deze vorm van onbeperkte openbaarmaking van persoonsgegevens van houders van domeinnamen. Volgens de Artikel 29-werkgroep zouden dergelijke persoonsgegevens niet onafgeschermd op internet mogen worden gepubliceerd, maar alleen via een gelaagde toegang. De toezichthouder merkt verder op dat vanaf 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) van toepassing is en dat ook dan het onbeperkt openbaar maken van whois-data niet is toegestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.