ACM verklaart bezwaar Dataprovider over zonefile .nl-domeinnamen ongegrond
Het besluit van de Autoriteit Consument & Markt (ACM) dat de Stichting Internet Domeinregistratie Nederland (SIDN) de zonefile van alle .nl-domeinnamen niet aan het bedrijf Dataprovider hoeft te verstrekken blijft staan. De toezichthouder heeft het bezwaar van Dataprovider namelijk ongegrond verklaard.
SIDN is de organisatie die de .nl-domeinnamen beheert. Daarnaast biedt het online merkbeschermingsdiensten en verkoopt daarbij informatie aan merkhouders over mogelijke schendingen van hun merkenrecht. Dataprovider levert ook online merkbeschermingsdiensten. Het bedrijf vroeg SIDN om de zonefile van het .nl-domein, omdat dit behulpzaam zou zijn bij het leveren van online merkbeschermingsdiensten. SIDN besloot de lijst niet te verstrekken.
Daarop vroeg Dataprovider aan de ACM of SIDN hiermee misbruik van een economische machtspositie maakte. De ACM startte vervolgens een onderzoek. Volgens SIDN is het voor het eerst dat een bedrijf om de zonefile vraagt. Wel ontvangt SIDN verzoeken van universiteiten om de zonefile voor wetenschappelijk onderzoek. Die wordt in deze gevallen onder strikte geheimhoudingsvoorwaarden gedeeld. SIDN laat aan de ACM weten dat zij de .nl-zonefile niet wil openbaren of delen met derde partijen, omdat dit misbruik van het internet zou kunnen bevorderen, zoals spam.
Dataprovider maakt gebruik van crawlers voor het in kaart brengen van .nl-domeinnamen, maar dit zou volgens het bedrijf een onvolledig beeld geven. SIDN kan voor haar online merkbeschermingsdienst, in aanvulling op het openbare internet en andere beschikbare data, ook gebruik maken van de .nl-zonefile. Volgens Dataprovider is er dan ook sprake van oneerlijke concurrentie. De ACM stelde eerder dit jaar vast dat de zonefile niet noodzakelijk is voor Dataprovider om online merkbeschermingsdiensten aan te kunnen bieden.
Het bedrijf maakte bezwaar tegen het oordeel van de ACM, dat opnieuw naar de zaak keek. De toezichthouder stelt dat niet is gebleken dat toegang tot de .nl zonefile noodzakelijk is voor Dataprovider om te kunnen concurreren bij het aanbieden van domeinbewakingsdiensten. Tevens is niet gebleken dat de weigering van de .nl zonefile tot het verdwijnen van alle concurrentie op deze markt leidt. Volgens de ACM is er in deze situatie dan ook geen sprake van misbruik van een economische machtspositie door SIDN.
"Na heroverweging komt de ACM, met aanvulling van de motivering, tot de conclusie dat zij het verzoek om handhavend op te treden terecht heeft afgewezen. De ACM verklaart de bezwaren daarom ongegrond", zo concludeert de toezichthouder. Dataprovider kan nog bij de rechtbank Rotterdam in beroep gaan.
Het concurrentievoordeel is inderdaad niet heel groot, je kunt prima merkbescherming bieden zonder gebruik te maken van het zone-file van SIDN. Het bedrijf waar ik werk heeft een andere benadering gekozen, het probleem is dat je investeringen moet doen om informatie te achterhalen die toch voor iedereen beschikbaar komt.
Het zone-file is nodig om internetgebruik faciliteren, en niet om als basis te dienen voor diensten door marktpartijen. En juist daar wringt het voor mij.
SIDN gebruikt het zone-file namelijk wél commercieel. Het zou interessant zijn om te achterhalen welke constructie SIDN gebruikt om dit intern recht te fietsen. De Stichting SIDN heeft het actuele zone-file, maar je krijgt als klant van de dienst vermoedelijk een factuur van de SIDN Business BV. Als SIDN (de stichting) het zone-file tegen een bepaald bedrag ter beschikking stelt aan de SIDN Business BV, waarom krijgen andere marktpartijen niet ook de beschikking tegen dezelfde voorwaarden?
Als je de uitspraak leest zie je ook dat SIDN wel iets heeft geroepen over bescherming tegen spam, maar daar geen concrete argumenten of toelichting voor heeft gegeven.
Het zone-file is nodig om internetgebruik faciliteren, en niet om als basis te dienen voor diensten door marktpartijen. En juist daar wringt het voor mij.
SIDN gebruikt het zone-file namelijk wél commercieel.
Nou ik denk ook dat Dataprovider beter had kunnen aansturen op een verbod voor SIDN om gegevens die voor een
bepaald doel in een bepaald deel van het bedrijf beschikbaar zijn intern door te sluizen naar een ander deel van het
bedrijf voor een commerciele activiteit, zonder dat deze info ook voor hen beschikbaar is.
Het concurrentievoordeel is inderdaad niet heel groot, je kunt prima merkbescherming bieden zonder gebruik te maken van het zone-file van SIDN.
Je zult toch echt de zonefile (of iets soortgelijks) moeten hebben om te kunnen zien of er inbreuk wordt gemaakt op merken.
Dat mag je nader uitleggen. De informatie is niet voor iedereen beschikbaar. Als je denkt dat lookups verzamelen (waarschijnlijk illegaal, want dat schaadt privacy) een vervanging is: dat is het niet. Dan heb je hooguit kennis na misbruik.
Zonefiles moeten publiek worden gemaakt, onder voorwaarden. Het aanbieden van merkbeschermingsdiensten door SIDN terwijl ze data niet delen is m.i. ontoelaatbaar. Dat geeft SIDN een monopoliepositie terwijl ze informatie die publiek hoort te zijn niet delen.
DNS is een publieke dienst. het heeft geen privacyrechten. De meeste tld's delen hun zone files op aanvraag mits er geen misbruik van wordt gemaakt, zoals herpublicatie, doorverkoop of illegale doeleinden. Spam is niet een van die illegale doeleinden, want in zone files worden geen (bruikbare) email adressen gedeeld.
SIDN kan voor haar online merkbeschermingsdienst, in aanvulling op het openbare internet en andere beschikbare data, ook gebruik maken van de .nl-zonefile
Lijkt me dat de ACM hier (wederom) een beetje de fout in gaat, sinds hun inschatting dat reggefiber prima kon worden overgenomen door KPN omdat dit geen negatieve impact op de markt zou hebben vraag ik me al af of er niet toch ergens bepaalde "lijntjes" liggen met bepaalde bedrijven.
Zogenaamd onafhankelijk maar met de mentaliteit van dit kabinet heb ik weinig vertrouwen dat de ACM ook daadwerkelijk genoeg op afstand staat.
Lees de uitspraak, het concurrentievoordeel is echt te verwaarlozen (https://www.acm.nl/sites/default/files/documents/bezwaar-dataprovider-door-acm-ongegrond-verklaard.pdf | zie punt 35 op pagina 7/8).
Het gaat om een klein voordeel in tijd, en dat alleen voor het .nl TLD (als je met crawlers werkt).
Dataprovider is wereldwijd actief, en heeft onvoldoende hard kunnen maken dat ze een specifiek belang bij .nl registraties hebben voor hun eigen dienst.
Merkbescherming is ingewikkelder dan een zone-file napluizen, daardoor kan SIDN ook geen 100% dekking bieden, daar hebben ze volkomen gelijk in. Daarom kun je als private marktpartij het verschil maken.
Hoe wij dat precies doen is 'commercial in confidence'. Ga er vanuit dat wij eerder in het proces van een aanval/merkinbreuk zitten. Domeinregistraties zijn relevant, maar alleen als een stap van vele in een complete kill chain. We houden ons uiteraard aan de wet, maar we hebben wel onze voelsprieten uitstaan in de grijze gebieden op internet.
Dataprovider.com levert niet alleen merkbescherming als dienst, maar het is in feite een business intelligence provider. Ze zijn gevestigd in Amsterdam, met de operationele vestiging in de stad Groningen. Wat ze doen is het continu crawlen en scrapen van websites, en het rubriceren, analyseren en doorverkopen van de van derden afkomstige informatie.
Als Dataprovider eenzijdig het .nl-zonefile van de SIDN tot hun beschikking zou krijgen, dan zou Dataprovider daarmee een oneerlijk concurrentievoordeel verkrijgen, boven de andere Nederlandse bedrijven en instanties die ook in die sector werkzaam zijn. Om dan een gelijk speelveld te behouden, zou iedere partij het zonefile dan moeten kunnen aanvragen.
Dat zou waarschijnlijk nog meer spamming, maar ook andere vormen van zware cybercrime in de hand kunnen werken.
Als Dataprovider eenzijdig het .nl-zonefile van de SIDN tot hun beschikking zou krijgen, dan zou Dataprovider daarmee een oneerlijk concurrentievoordeel verkrijgen, boven de andere Nederlandse bedrijven en instanties die ook in die sector werkzaam zijn. Om dan een gelijk speelveld te behouden, zou iedere partij het zonefile dan moeten kunnen aanvragen.
Dat zou waarschijnlijk nog meer spamming, maar ook andere vormen van zware cybercrime in de hand kunnen werken.
Het zou kunnen dat dit enige spamming op algemene mailadressen geeft, maar het zou ook kunnen dat dit allerlei
partijen alert zou kunnen maken op het aanmaken van domeinen die wellicht voor cybercrime gebruikt zullen gaan
worden. Nu ligt dat allemaal bij SIDN die wellicht niet de capaciteit hebben om iedere domeinnaam te begrijpen en
te gaan voorspellen welke er voor cybercrime zijn en welke gewoon legitiem zijn.
Of de balans positief of negatief uitvalt is lastig te zeggen. En als je perse een info@example.com mailbox wilt, zorg
dan gewoon voor een agressief spamfilter daarop.
Dat zou waarschijnlijk nog meer spamming, maar ook andere vormen van zware cybercrime in de hand kunnen werken.
Uiteraard is het niet de bedoeling dat Dataprovider als enige marktpartij toegang zou krijgen. Dan zou een rechterlijk vonnis tegen oneerlijke concurrentie voor nog meer oneerlijke concurrentie zorgen. Waanzin.
SIDN heeft niet aangetoond hoe spamming en cybercrime in de hand kunnen worden gewerkt door het zone-file met marktpartijen onder voorwaarden te delen. Nergens op gebaseerd dus.
vrijdag 8 juli 2022, 17:06 door Redactie
https://www.security.nl/posting/760162/Rechter%3A+SIDN+heeft+geen+machtspositie+met+zonefile+van+alle+_nl-domeinnamen
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
