De Autoriteit Persoonsgegevens heeft op verzoek van de .FRL registry een uitspraak gedaan over de rechtmatigheid van het onbeperkt toegankelijk hebben van de whois gegevens.

De FRL registry BV heeft de Autoriteit Persoonsgegevens (AP) gevraagd een uitspraak te doen in het dilemma waarin de FRL registry zich bevindt.
Het dilemma is op zich vrij eenvoudig. De FRL registry is een ebdrijf dat .frl domeinnamen uitgeeft. Dat doet zij -eenvoudig gezegd- onder auspiciën van de ICANN. De ICANN verplicht de registries om alle gegevens van de houder van de domeinnaam openbaar te publiceren in de whois. In de whois kan men dus onder andere de naam, adres, e-mail en telefoonnummer vinden van de houder van de domeinnaam. Echter, het openbaar publiceren van (particuliere) gegevens van domeinnaamhouders kan wel eens in strijd zijn met de Nederlandse wetgeving. En daarover heeft de FRL de AP gevraagd een standpunt in te nemen.

De AP is hier duidelijk over. Het is conform de Wet Bescherming Persoonsgegevens (Wpb) en de met ingang van 28/05/2018 van kracht zijnde Algemene Verordening Gegevensbescherming (AVG) niet toegestaan om de whois gegevens onbeperkt publiekelijk toegankelijk te maken.

Volgens de AP én eerder dus ook WP29, kunnen ICANN en de registries zich niet beroepen op de grondslagen ‘noodzakelijk voor de uitvoering van een overeenkomst’ en ‘gerechtvaardigd belang’. Ook een beroep op de grondslag ‘toestemming van individuele domeinnaamhouders’ is niet mogelijk, omdat het geven van toestemming een vereiste is voor het verwerven van een domeinnaam en er dus geen vrije wilsuiting is.

Dat betekent dat de FRL registry nu een conflictprocedure met de ICANN kan starten over dit dilemma.

Bron: Autoriteit Persoonsgegevens
De brief van de Autoriteit Persoonsgegevens naar FRL registry BV vindt u hier.