Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Achtergrond
image

Juridische vraag: Is er sprake van een datalek wanneer een curator een domeinnaam laat verlopen?

woensdag 16 januari 2019, 15:10 door Arnoud Engelfriet, 16 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wanneer de curator van een bedrijf de domeinnamen laat verlopen, spreek je dan van een datalek onder de AVG? Nieuwe mails komen dan mogelijk bij de nieuwe eigenaar van het domein aan, en je kunt het bedrijf niet langer bereiken per mail.

Antwoord: Helaas komt het vaak voor dat curatoren een domeinnaam laten verlopen van een bedrijf na faillissement. Dat kan zijn omdat er geen geld meer is om die in stand te houden, of omdat simpelweg niet duidelijk is dat die domeinnaam überhaupt eigendom is van het bedrijf.

Er is een veiligheidsrisico bij het zomaar opheffen van een domeinnaam, omdat een ander de domeinnaam dan kan registreren en bijvoorbeeld mail bestemd voor het oude bedrijf kan omleiden. Daarmee zou die ander dan persoonsgegevens te pakken krijgen, zoals gegevens van oude klanten of zelfs gevoelige dossiers die worden nagemaild.

Een datalek onder de AVG is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot misbruik of verlies van persoonsgegevens (artikel 4). Ik zie zeker wel hoe dit ‘kapen’ van de domeinnaam kan leiden tot enige vorm van misbruik van persoonsgegevens, maar ik zet mijn vraagtekens bij het element "inbreuk op de beveiliging". Welke beveiliging wordt er immers doorbroken?

Ik kan een domeinnaam an sich moeilijk als een beveiligingsmaatregel zien, zodat het opheffen of laten verlopen daarvan (door een curator of gewoon uit slordigheid) volgens mij ook geen inbreuk of schending daarvan is. Het voelt wat creatief om te zeggen, de domeinnaam is deel van de beveiliging van de e-mail (want wie de domeinnaam beheerst, beheerst de routering van de mail) en het opheffen daarvan is dus een beveiligingsschending. Alsof de curator het mailserverwachtwoord op internet zet. Mja. Het kan, maar lekker voelt het niet.

Dat neemt niet weg dat het bepaald onzorgvuldig is om dit zomaar te doen, zelfs in een faillissement. Al is het maar omdat klanten en leveranciers gewoonlijk via de mail contact zullen zoeken, toch iets waar je rekening mee moet houden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Juridische vraag: Hoe regel ik de opslag van persoonsgegevens in het Verenigd Koninkrijk na de Brexit?
Juridische vraag: Wanneer is een website die stresstesten aanbiedt strafbaar?
Reacties (16)
Reageer met quote
16-01-2019, 18:00 door Anoniem
Welke beveiliging wordt er immers doorbroken?
Nogal wat dingen hangen af van "een emailadres". Wachtwoord van eoa account resetten bijvoorbeeld, maar best veel andere dingen. Dus als iemand de domeinnaam kan kapen, kan die gebruik maken van de emailadressen onder die domeinnaam die dienen als "beveiligingsmaatregel" of "verificatiemiddel". Dan zal het dus vooral gaan om accounts van dat bedrijf (of werknemers van dat bedrijf) bij andere partijen. Dus een kaper zal moeten weten welke emailadressen bij welke andere partijen opgegeven geworden zijn. Maar het lijkt me wel dat daar wel enige beveiliging wordt doorbroken.
Reageer met quote
16-01-2019, 20:20 door Anoniem
Een domeinnaam die vrij valt is geen kapen. Het is nog niet te vergelijken met een huis kraken waar al tijden niemand meer in woont.

Ik wil de vraagstelling graag omdraaiden. Is er sprake van gebrek van verantwoordelijksbesef bij curators als die geen acht slaan op domeinnamen? Wat in hoeveel failliete boedels is dat tientje niet te vinden om een domeinnaam toch in elk geval een jaar te verlengen? Al staat er nog maar een ouwe fiets in de gang die nog wat waard kan zijn.

Meer en meer hangt de goodwill van een failliete boedel in elk geval deels vast aan domeinnamen. Of grotendeels. Stel je voor dat Amazon failliet gaat en de curator effies vergeet de domeinnaam te verlengen. Omdat dat in zijn belevingswereld niet relevant is.

De vraag is verkeerd. Het zou niet moeten beginnen met "moeten curators". Het zou moeten beginnen met kunnen curators wel benoemd worden die de IT-boot gemist hebben. En het hoofdthema zou niet het risico van datalekken moeten zijn. Maar gewoon niet doorhebben dat waarde door het putje spoelt. Ten nadele van schuldeisers, overname kandidaten en zelfs de failliet (die vanaf dat moment niet meer màg handelen). Want er zijn ook nog steeds faillissementen die tegen de verwachting in met positief saldo afgesloten kunnen worden.

Onkundige curators horen gewoon niet tot curator benoemd te worden. Of zelf moeten weigeren als ze die kennis ontberen.
Reageer met quote
17-01-2019, 01:22 door Anoniem
Wat in hoeveel failliete boedels is dat tientje niet te vinden om een domeinnaam toch in elk geval een jaar te verlengen?
Je zou denken dat het uit de curator z'n eigen zak komt.

Wat het in feite ook komt, want de boedel betaalt'ie z'n eigen directeurssalaris mee.
Reageer met quote
17-01-2019, 14:14 door Anoniem
Wanneer de curator van een bedrijf de domeinnamen laat verlopen, spreek je dan van een datalek onder de AVG? Nieuwe mails komen dan mogelijk bij de nieuwe eigenaar van het domein aan, en je kunt het bedrijf niet langer bereiken per mail.

Met de nadruk op ''mogelijk''. Waarbij het ook zo kan zijn dat de domein naam helemaal niet is geregistreerd. Verder kan het ook zo zijn dat er gebruik gemaakt wordt van bijvoorbeeld encrypted email. Om je vraag te beantwoorden, moet je kijken naar een specifieke situatie. Generiek is er weinig over te roepen.

Wat in hoeveel failliete boedels is dat tientje niet te vinden om een domeinnaam toch in elk geval een jaar te verlengen?

Failliette boedels zijn bedoeld om schulden af te betalen; niet om continuiteit te regelen van de domein naam, bij een niet meer bestaand bedrijf. Dit zou onttrekken van geld zijn aan schuldeisers.

Indien de eigenaar het domein wil verlengen dat moet hij dat doen, van zijn eigen geld.
Reageer met quote
17-01-2019, 14:15 door Anoniem
Is er sprake van gebrek van verantwoordelijksbesef bij curators als die geen acht slaan op domeinnamen?

Bizarre vraag, want dit is geen taak van een curator. Niet zijn verantwoordelijkheid, dus dat besef hoeft hij niet te hebben.
Reageer met quote
17-01-2019, 15:07 door Anoniem
Door Anoniem:
Is er sprake van gebrek van verantwoordelijksbesef bij curators als die geen acht slaan op domeinnamen?

Bizarre vraag, want dit is geen taak van een curator. Niet zijn verantwoordelijkheid, dus dat besef hoeft hij niet te hebben.

Dat zal toch ook liggen aan de plannen van de curator. Een curator zal geld uit de boedel moeten halen. Dit kan door lopende zaken af te handelen, door een doorstart met nieuwe geldgevers te regelen of door alles te liquideren. Wanneer nog niet duidelijk is, wat de oplossing wordt, zal een curator de beschikbare middelen moeten vasthouden. Een domein is ook een beschikbaar middel, gaat dit verloren, is de bereikbaarheid en vindbaarheid van de failliet sterk verminderd. Dat heeft gevolgen voor de waarde, dus moet dat voorkomen worden. Wanneer de registratie dreigt te verlopen tijdens de onderzoeks- en of onderhandelingsfase, zal een curator dit m.i. veilig moeten stellen. In het andere geval lijkt het mij wenselijk om op de site en aan bekende adressen door te geven, dat het bedrijf is gestopt.
Reageer met quote
17-01-2019, 15:33 door Anoniem
Dit lijkt me niet de taak van een curator maar eerder die van de TLD beheerder(s) of een samenwerkingsverband
daarvan. Het moet niet zo moeilijk zijn om een beleid op te stellen mbt tot wat er mogelijk is met betrekking tot
vrijgevallen domeinen, en in Nederland is dat ook al beter geregeld dan in sommige andere TLD's.

Eerder gebruikte domeinen zouden niet beschikbaar moeten zijn voor de gebruikelijke automatische registratie
maar dit zou handmatig bekeken moeten worden om te zien of de nieuwe aanvrager rechtmatig bezig is.
Je zou zelfs kunnen instellen dat domeinen die niet op een soepele manier zijn opgezegd (maar bijvoorbeeld vrij
gekomen als gevolg van wanbetaling, opheffen of insolventie van de aanvrager) nog strenger bewaakt worden.
Reageer met quote
17-01-2019, 20:48 door Anoniem
Door Anoniem: Dit lijkt me niet de taak van een curator maar eerder die van de TLD beheerder(s) of een samenwerkingsverband
daarvan. Het moet niet zo moeilijk zijn om een beleid op te stellen mbt tot wat er mogelijk is met betrekking tot
vrijgevallen domeinen, en in Nederland is dat ook al beter geregeld dan in sommige andere TLD's.
Hoezo zou dat een taak zijn van TLDbeheerders (of registrars of ICANN't of wie dan ook)?

Ze verkopen wat RRs in hun zone, dat is alles. Als je dat gaat uitbreiden met "jamaar verlopen domeinen mogen niet gelijk verlopen" gaat de prijs omhoog want ze moeten ineens meer administratie bijhouden. Als de curator gewoon oplet en de domeinen verlengt kan'ie ze mischien voor meer doorverkopen. Anders doet een squatter hetzelfde. En hoezeer ik squatters ook vervelend vindt, het zou erger zijn als de registrar (of de TLDboer, of ICANN't) die functie op zich neemt. Dat is namelijk belangenverstrengeling.

Eerder gebruikte domeinen zouden niet beschikbaar moeten zijn voor de gebruikelijke automatische registratie
maar dit zou handmatig bekeken moeten worden om te zien of de nieuwe aanvrager rechtmatig bezig is. Je zou zelfs kunnen instellen dat domeinen die niet op een soepele manier zijn opgezegd (maar bijvoorbeeld vrij
gekomen als gevolg van wanbetaling, opheffen of insolventie van de aanvrager) nog strenger bewaakt worden.
Dat is een hoop extra bureaucratie op iets dat bovendien slecht meetbaar is.

Je doet net of een domein een huis of een stuk grond is. Maar zo werkt het niet: Het is een record in een gedistribueerde database. De benodigde servers hebben lopende kosten. Je kan het niet met een enkele server, je hebt er minstens een handvol nodig, maar als zo'n verzameling eenmaal staat kunnen ze zoveel domeinnamen tegelijk aan dat de lopende kosten per domein extreem laag zijn.

Dus verkopen ze die domeinnamen als abonnement. En als je dat niet betaalt, dan blijven ze niet leveren. Wil je dat wel, dan zul je dat moeten betalen. Bijvoorbeeld met "opzetkosten", waar dan een stuk afkoelperiode bij inbegrepen wordt. Je stelt dus eigenlijk voor om het betaalmodel om te gooien.

Dat is best wel ingrijpend, en waarom? Omdat er een curator te bescheten is een paar euro voor een domein (of een paar tientjes voor een handvol domeinen) te reserveren? Zo iemand kost zelf meer in de tijd dat'ie de overschrijving regelt!
Reageer met quote
18-01-2019, 13:26 door Anoniem
Door Anoniem:
Hoezo zou dat een taak zijn van TLDbeheerders (of registrars of ICANN't of wie dan ook)?

Dat is mijn mening. Doe het er maar mee.
Reageer met quote
18-01-2019, 14:10 door Anoniem
Door Anoniem:
Is er sprake van gebrek van verantwoordelijksbesef bij curators als die geen acht slaan op domeinnamen?

Bizarre vraag, want dit is geen taak van een curator. Niet zijn verantwoordelijkheid, dus dat besef hoeft hij niet te hebben.

Een domeinnaam heeft een waarde en behoort dus tot de boedel. Als de curator die laat verlopen is dat vergelijkbaar met de deur van het kantoor niet op slot doen.

Peter
Reageer met quote
18-01-2019, 15:03 door Anoniem
Een domeinnaam heeft een waarde en behoort dus tot de boedel. Als de curator die laat verlopen is dat vergelijkbaar met de deur van het kantoor niet op slot doen.

Het verlengen van een domein kost geld, bij een bedrijf dat failliet is. De curator moet de boedel verkopen en de schuldeisers aflossen. Het doen van bedrijfsmatige uitgaves, voor een failliet bedrijf is *geen* taak van een curator.
Reageer met quote
18-01-2019, 15:03 door Anoniem
Dat is mijn mening. Doe het er maar mee.

Dat is geen argument.
Reageer met quote
18-01-2019, 16:39 door Anoniem
Door Anoniem:
Dat is mijn mening. Doe het er maar mee.

Dat is geen argument.

Nee al die bullshit en dat gepraat in een rondje in jouw (neem ik aan) posting, dat zijn pas argumenten....
Domeinnamen zijn geen IT-technische dingen dus zo moet je er ook niet over praten.
Reageer met quote
21-01-2019, 23:50 door Anoniem
Een datalek onder de AVG is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot misbruik of verlies van persoonsgegevens [...] ik zet mijn vraagtekens bij het element "inbreuk op de beveiliging". Welke beveiliging wordt er immers doorbroken?

De inbreuk is hier het feit dat iemand een mailstroom die bedoeld is voor iemand anders naar zichzelf weet te routeren door het registreren van een domeinnaam.
'Inbreuk' zo letterlijk nemen dat er vraagtekens bij gezet worden kan m.i. niet. Stel: ik dank mijn oude laptop af en gooi deze op de schroothoop. Iemand vindt de laptop en haalt daar o.a. allerlei e-mails met persoonsgegevens van af. Dan zou er ook geen inbreuk zijn? Ik heb er namelijk bewust voor gekozen de laptop weg te doen (net zoals dit het geval is met de domeinnaam). De laptop (net als de domeinnaam) geeft echter wel toegang tot e-mails.
Reageer met quote
22-01-2019, 18:35 door Briolet
Door Anoniem:
Een domeinnaam heeft een waarde en behoort dus tot de boedel. Als de curator die laat verlopen is dat vergelijkbaar met de deur van het kantoor niet op slot doen.

Het verlengen van een domein kost geld, bij een bedrijf dat failliet is. De curator moet de boedel verkopen en de schuldeisers aflossen. Het doen van bedrijfsmatige uitgaves, voor een failliet bedrijf is *geen* taak van een curator.

Hier zitten twee kanten aan. De curator moet alles wat waarde heeft tot geld omzetten voor de schuldeisers. Als hij het merk of de firmanaam nog kan verkopen, dan is het vast in het belang van de schuldeisers dat een domeinnaam niet verloopt.

Maar als die domeinnaam geen waarde meer heeft, kost het verlengen alleen maar geld. Wat heeft een curator dan met een mogelijk datalek te maken? Er is toch niets meer te beboeten bij een failliete firma.

Dan zou ook het opheffen van de vestiging zelf een datalek zijn, want ook papieren post zal nog lang naar de oude firma gestuurd worden. Die kan ook geopend en gelezen worden door de nieuwe bewoners van dat adres.
Reageer met quote
23-01-2019, 03:29 door Anoniem
Door Briolet:
Door Anoniem:
Een domeinnaam heeft een waarde en behoort dus tot de boedel. Als de curator die laat verlopen is dat vergelijkbaar met de deur van het kantoor niet op slot doen.

Het verlengen van een domein kost geld, bij een bedrijf dat failliet is. De curator moet de boedel verkopen en de schuldeisers aflossen. Het doen van bedrijfsmatige uitgaves, voor een failliet bedrijf is *geen* taak van een curator.

Hier zitten twee kanten aan. De curator moet alles wat waarde heeft tot geld omzetten voor de schuldeisers. Als hij het merk of de firmanaam nog kan verkopen, dan is het vast in het belang van de schuldeisers dat een domeinnaam niet verloopt.

Maar als die domeinnaam geen waarde meer heeft, kost het verlengen alleen maar geld. Wat heeft een curator dan met een mogelijk datalek te maken? Er is toch niets meer te beboeten bij een failliete firma.

Dan zou ook het opheffen van de vestiging zelf een datalek zijn, want ook papieren post zal nog lang naar de oude firma gestuurd worden. Die kan ook geopend en gelezen worden door de nieuwe bewoners van dat adres.

Ik denk dat curators gewoon een domein in de lucht zouden moeten houden. Niet enkel voor datalekken maar ook omdat ze blijkbaar vaak geen besef hebben van de mogelijke onderliggende waarde. Wat schuldeisers of een mogelijke doorstart of overname grote en onnodige schade kan doen. Een curator die dat niet wil zien hoort niet benoemd te worden. Want een domein verlengen kost maar een tientje. Curators die daar de schouders bij optrekken zijn incompetent. En niet van deze tijd.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search
Happy Holidays

Ik stuur mijn kerstkaarten:

3 reacties
Aantal stemmen: 168
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

55 reacties
Lees meer
Juridische vraag: Moet de overheid over hard bewijs beschikken om providers apparatuur van bepaalde leveranciers te laten vervangen?
11-12-2019 door Arnoud Engelfriet

Ik las op diverse plekken dat Nederland een wet heeft aangenomen dat providers verplicht kunnen worden om Huawei-apparatuur uit ...

6 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

49 reacties
Lees meer
Juridische vraag: Is een hostingbedrijf verplicht gehoor te geven aan AVG gerelateerde klachten omtrent websites?
04-12-2019 door Arnoud Engelfriet

Als hostingbedrijf krijgen wij steeds vaker klachten dat een website van een klant ten onrechte persoonsgegevens publiceert of ...

9 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter