3 november 2017 11:14

Centrale internetbeheerder raakt niet GDPR-compliant

ICANN, de centrale administratie die de domeinnamen op het internet beheert, worstelt met de GDPR-wetgeving geeft de hete compliance-aardappel door.

Wat als het internet zelf niet tijdig GDPR-compliant geraakt? Het ziet er naar uit dat ICANN zijn werking niet tijdig binnen de regels van de GDPR zal brengen. De Internet Corporation for Assigned Names and Numbers is een Amerikaanse VZW die de sleutel tot het internet in handen heeft. ICANN staat immers in voor het beheer van domeinnamen, en is de enige instantie met zeggenschap over zogenaamde ‘top level domains’. De werking van de instantie staat echter haaks op de privacyregels die de GDPR voorschrijft, en ICANN lijkt niet in staat om zichzelf tijdig in het schoentje van compliance te wringen.

Whois

Een top level domain is deel van een website-url. Denk aan .be, .com of .vlaanderen. ICANN beheert die topdomeinen, maar het beheer van de domeinnamen is in handen van zogenaamde registrars. Daar klop je aan wanneer je bijvoorbeeld ‘kat.be’ of ‘michael.com’ wil registreren. De registrars functioneren bij gratie van ICANN, dat strikte regels oplegt. Zo is iedereen bij de registratie van een domeinnaam verplicht om zijn naam, adres en telefoonnummer op te geven. Die gegevens worden vervolgens beschikbaar voor het grote publiek. Via de website van Whois kan je zo ontdekken wie eigenaar is van een bepaald webdomein.

De gegevens waarvan ICANN zonder meer de publicatie vereist, zijn echter persoonsgegevens. Het vergaren daarvan zonder duidelijk motief, het bijhouden en het publiek delen van de data druist in tegen zowat alles waar de GDPR voor staat. Registrars die compliant willen zijn aan de nieuwe regelgeving, mogen de data volgens Europese wetgeving niet zomaar publiek zetten. Een weigering kan in monsterboetes resulteren, die in het ergste geval het einde van het bedrijf in kwestie inhouden. ICANN van zijn kant, vereist net dat de firma’s de data wel delen.

Complianceprobleem

ICANN beseft dat de Whois-dienst zoals ze nu is niet te verzoeken is met de GDPR, maar denkt dat het systeem wel kan blijven bestaan. De VZW is er voorlopig echter nog niet in geslaagd om met zekerheid vast te stellen onder welke vorm Whois wel compliant is, en kan dus ook geen nieuwe richtlijnen communiceren naar de registrars. Die voelen de hete adem van de GDPR echter in hun nek, en willen zo snel mogelijk aan de slag met nieuwe registratievoorwaarden die volgens hen wel compliant zijn.

[related_article id=”172304″]
Snel richtlijnen bedenken die voldoende zekerheid bieden, blijkt vooralsnog te moeilijk voor de top level domain-beheerder. ICANN schuift de verantwoordelijkheid dan ook netjes door. Het laat officieel optekenen dat het geen actie zal ondernemen tegen registrars die de GDPR-regelgeving boven de ICANN-regels plaatsen, zolang ze met ICANN delen hoe ze zichzelf compliant willen maken. Registrars die ICANN vragen om data van klanten uit de Whois-database te verwijderen, kunnen op medewerking van de internetbeheerder rekenen. De regeling zal gelden totdat ICANN meer duurzame richtlijnen kan uitwerken. Het lijkt er op dat de beheerder er voor kiest de kat uit de boom te kijken en af te wachten hoe getroffen registrars het probleem zelf oplossen. Na enige tijd zou ICANN dan een nieuw model kunnen uitrollen gebaseerd op het werk van die registrars.

Het hele probleem toont aan hoe groot de impact van de GDPR zal zijn. Het illustreert eveneens hoe zelfs grote entiteiten zoals ICANN worstelen met compliance. De Europese databeschermingsregels gaan van kracht op 25 mei 2018. Tegen dan moet in principe ieder bedrijf dat in aanraking komt met gegevens van Europese burgers, of in Europa actief is, compliant zijn.

//www.smartbiz.be/achtergrond/173021/bereid-je-voor-op-de-gdpr-4-stappen/