Onbeperkt openbaar maken van WHOIS-gegevens is in strijd met de wet

Van domeinnaamhouders kunnen bij verschillende Nederlandse registries WHOIS-gegevens worden opgevraagd. Het gaat hierbij om de naam, het adres, e-maildres en telefoonnummer van domeinnaamhouders. Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens van domeinnaamhouders door Nederlandse registries is echter in strijd met de Wet bescherming persoonsgegevens (Wbp).

Dit meldt de Autoriteit Persoonsgegevens (AP). De toezichthouders geeft aan een verzoek te hebben binnengekregen van een Nederlandse registry om meer duidelijkheid te geven over dit onderwerp. De registry geeft aan dat de wereldwijde domeinnaambeheerder ICANN registries verplicht WHOIS-gegevens van alle domeinnaamhouders onafgeschermd online te publiceren. De Nederlandse registry in kwestie biedt echter alleen de mogelijkheid contactgegevens van particulieren beperkt openbaar te maken. Dit is in overeenstemming met de Nederlandse privacywetgeving, maar dus in strijd met de regels van de ICANN.

Standpunt van toezichthouder

Naar aanleiding van het verzoek om duidelijheid van de Nederlandse registry publiceert de AP nu haar standpunt over de publicatie van WHOIS-gegevens. “Wanneer WHOIS-gegevens natuurlijke personen betreffen, gaat het om persoonsgegevens en is de Nederlandse privacywetgeving van toepassing. Het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens via internet is een vorm van verwerking van persoonsgegevens waarvoor een wettelijke grondslag is vereist. Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is”, schrijft de AP op haar website.

De toezichthouder wijst erop dat de Algemene Verordening Gegevensbescherming (AVG) vanaf 25 mei 2018 van kracht zal zijn. Ook onder deze wet is het onbeperkt publiekelijk toegankelijk maken van WHOIS-gegevens in strijd met de wet.