Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens van domeinnaamhouders door Nederlandse registries is in strijd met de huidige Nederlandse privacywetgeving. De Autoriteit Persoonsgegevens (AP) heeft dit geschreven aan een Nederlandse beheerder van domeinnaamextensies. WHOIS-gegevens zijn de naam, het adres, emailadres en telefoonnummer van domeinnaamhouders.
Openbaar making van deze persoonsgegevens is niet noodzakelijk. Toegang tot de gegevens van domeinnaamhouders is vanzelfsprekend mogelijk als dat bijvoorbeeld om technische redenen noodzakelijk is, of voor partijen zoals justitie en politie, die daartoe wettelijk bevoegd zijn: de zogeheten getrapte toegang.
Verzoek Nederlandse registry
De AP publiceert dit standpunt naar aanleiding van een verzoek van een Nederlandse registry. Registries zijn partijen die domeinnaamextensies – zoals .com of .nl – technisch beheren. Deze Nederlandse registry zou op basis van de regels van de wereldwijde domeinnaambeheerder ICANN verplicht zijn om WHOIS-gegevens van alle domeinnaamhouders onafgeschermd te publiceren. Deze Nederlandse registry biedt echter de mogelijkheid de contactgegevens van particuliere domeinnaamhouders, zoals eigenaren van een website, slechts beperkt openbaar te maken. Dit is in overeenstemming met de geldende privacywetgeving.
Europese privacytoezichthouders
De AP ontvangt regelmatig signalen van burgers, houders van een domeinnaam, die merken dat hun WHOIS-gegevens op allerlei websites opnieuw worden verspreid en worden gebruikt.
Eerder uitten de Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep (WP29), hun zorgen over deze vorm van onbeperkte openbaarmaking van persoonsgegevens van houders van domeinnamen.
Onafgeschermde publicatie WHOIS-gegevens in strijd met de wet
Wanneer WHOIS-gegevens natuurlijke personen betreffen, gaat het om persoonsgegevens en is de Nederlandse privacywetgeving van toepassing. Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is.
Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Ook dan is het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens in strijd met de wet.
