image

Juridische vraag: Is er sprake van een datalek wanneer een curator een domeinnaam laat verlopen?

woensdag 16 januari 2019, 15:10 door Arnoud Engelfriet, 16 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wanneer de curator van een bedrijf de domeinnamen laat verlopen, spreek je dan van een datalek onder de AVG? Nieuwe mails komen dan mogelijk bij de nieuwe eigenaar van het domein aan, en je kunt het bedrijf niet langer bereiken per mail.

Antwoord: Helaas komt het vaak voor dat curatoren een domeinnaam laten verlopen van een bedrijf na faillissement. Dat kan zijn omdat er geen geld meer is om die in stand te houden, of omdat simpelweg niet duidelijk is dat die domeinnaam überhaupt eigendom is van het bedrijf.

Er is een veiligheidsrisico bij het zomaar opheffen van een domeinnaam, omdat een ander de domeinnaam dan kan registreren en bijvoorbeeld mail bestemd voor het oude bedrijf kan omleiden. Daarmee zou die ander dan persoonsgegevens te pakken krijgen, zoals gegevens van oude klanten of zelfs gevoelige dossiers die worden nagemaild.

Een datalek onder de AVG is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot misbruik of verlies van persoonsgegevens (artikel 4). Ik zie zeker wel hoe dit ‘kapen’ van de domeinnaam kan leiden tot enige vorm van misbruik van persoonsgegevens, maar ik zet mijn vraagtekens bij het element "inbreuk op de beveiliging". Welke beveiliging wordt er immers doorbroken?

Ik kan een domeinnaam an sich moeilijk als een beveiligingsmaatregel zien, zodat het opheffen of laten verlopen daarvan (door een curator of gewoon uit slordigheid) volgens mij ook geen inbreuk of schending daarvan is. Het voelt wat creatief om te zeggen, de domeinnaam is deel van de beveiliging van de e-mail (want wie de domeinnaam beheerst, beheerst de routering van de mail) en het opheffen daarvan is dus een beveiligingsschending. Alsof de curator het mailserverwachtwoord op internet zet. Mja. Het kan, maar lekker voelt het niet.

Dat neemt niet weg dat het bepaald onzorgvuldig is om dit zomaar te doen, zelfs in een faillissement. Al is het maar omdat klanten en leveranciers gewoonlijk via de mail contact zullen zoeken, toch iets waar je rekening mee moet houden.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
16-01-2019, 18:00 door Anoniem
Welke beveiliging wordt er immers doorbroken?
Nogal wat dingen hangen af van "een emailadres". Wachtwoord van eoa account resetten bijvoorbeeld, maar best veel andere dingen. Dus als iemand de domeinnaam kan kapen, kan die gebruik maken van de emailadressen onder die domeinnaam die dienen als "beveiligingsmaatregel" of "verificatiemiddel". Dan zal het dus vooral gaan om accounts van dat bedrijf (of werknemers van dat bedrijf) bij andere partijen. Dus een kaper zal moeten weten welke emailadressen bij welke andere partijen opgegeven geworden zijn. Maar het lijkt me wel dat daar wel enige beveiliging wordt doorbroken.
16-01-2019, 20:20 door Anoniem
Een domeinnaam die vrij valt is geen kapen. Het is nog niet te vergelijken met een huis kraken waar al tijden niemand meer in woont.

Ik wil de vraagstelling graag omdraaiden. Is er sprake van gebrek van verantwoordelijksbesef bij curators als die geen acht slaan op domeinnamen? Wat in hoeveel failliete boedels is dat tientje niet te vinden om een domeinnaam toch in elk geval een jaar te verlengen? Al staat er nog maar een ouwe fiets in de gang die nog wat waard kan zijn.

Meer en meer hangt de goodwill van een failliete boedel in elk geval deels vast aan domeinnamen. Of grotendeels. Stel je voor dat Amazon failliet gaat en de curator effies vergeet de domeinnaam te verlengen. Omdat dat in zijn belevingswereld niet relevant is.

De vraag is verkeerd. Het zou niet moeten beginnen met "moeten curators". Het zou moeten beginnen met kunnen curators wel benoemd worden die de IT-boot gemist hebben. En het hoofdthema zou niet het risico van datalekken moeten zijn. Maar gewoon niet doorhebben dat waarde door het putje spoelt. Ten nadele van schuldeisers, overname kandidaten en zelfs de failliet (die vanaf dat moment niet meer màg handelen). Want er zijn ook nog steeds faillissementen die tegen de verwachting in met positief saldo afgesloten kunnen worden.

Onkundige curators horen gewoon niet tot curator benoemd te worden. Of zelf moeten weigeren als ze die kennis ontberen.
17-01-2019, 01:22 door Anoniem
Wat in hoeveel failliete boedels is dat tientje niet te vinden om een domeinnaam toch in elk geval een jaar te verlengen?
Je zou denken dat het uit de curator z'n eigen zak komt.

Wat het in feite ook komt, want de boedel betaalt'ie z'n eigen directeurssalaris mee.
17-01-2019, 14:14 door Anoniem
Wanneer de curator van een bedrijf de domeinnamen laat verlopen, spreek je dan van een datalek onder de AVG? Nieuwe mails komen dan mogelijk bij de nieuwe eigenaar van het domein aan, en je kunt het bedrijf niet langer bereiken per mail.

Met de nadruk op ''mogelijk''. Waarbij het ook zo kan zijn dat de domein naam helemaal niet is geregistreerd. Verder kan het ook zo zijn dat er gebruik gemaakt wordt van bijvoorbeeld encrypted email. Om je vraag te beantwoorden, moet je kijken naar een specifieke situatie. Generiek is er weinig over te roepen.

Wat in hoeveel failliete boedels is dat tientje niet te vinden om een domeinnaam toch in elk geval een jaar te verlengen?

Failliette boedels zijn bedoeld om schulden af te betalen; niet om continuiteit te regelen van de domein naam, bij een niet meer bestaand bedrijf. Dit zou onttrekken van geld zijn aan schuldeisers.

Indien de eigenaar het domein wil verlengen dat moet hij dat doen, van zijn eigen geld.
17-01-2019, 14:15 door Anoniem
Is er sprake van gebrek van verantwoordelijksbesef bij curators als die geen acht slaan op domeinnamen?

Bizarre vraag, want dit is geen taak van een curator. Niet zijn verantwoordelijkheid, dus dat besef hoeft hij niet te hebben.
17-01-2019, 15:07 door Anoniem
Door Anoniem:
Is er sprake van gebrek van verantwoordelijksbesef bij curators als die geen acht slaan op domeinnamen?

Bizarre vraag, want dit is geen taak van een curator. Niet zijn verantwoordelijkheid, dus dat besef hoeft hij niet te hebben.

Dat zal toch ook liggen aan de plannen van de curator. Een curator zal geld uit de boedel moeten halen. Dit kan door lopende zaken af te handelen, door een doorstart met nieuwe geldgevers te regelen of door alles te liquideren. Wanneer nog niet duidelijk is, wat de oplossing wordt, zal een curator de beschikbare middelen moeten vasthouden. Een domein is ook een beschikbaar middel, gaat dit verloren, is de bereikbaarheid en vindbaarheid van de failliet sterk verminderd. Dat heeft gevolgen voor de waarde, dus moet dat voorkomen worden. Wanneer de registratie dreigt te verlopen tijdens de onderzoeks- en of onderhandelingsfase, zal een curator dit m.i. veilig moeten stellen. In het andere geval lijkt het mij wenselijk om op de site en aan bekende adressen door te geven, dat het bedrijf is gestopt.
17-01-2019, 15:33 door Anoniem
Dit lijkt me niet de taak van een curator maar eerder die van de TLD beheerder(s) of een samenwerkingsverband
daarvan. Het moet niet zo moeilijk zijn om een beleid op te stellen mbt tot wat er mogelijk is met betrekking tot
vrijgevallen domeinen, en in Nederland is dat ook al beter geregeld dan in sommige andere TLD's.

Eerder gebruikte domeinen zouden niet beschikbaar moeten zijn voor de gebruikelijke automatische registratie
maar dit zou handmatig bekeken moeten worden om te zien of de nieuwe aanvrager rechtmatig bezig is.
Je zou zelfs kunnen instellen dat domeinen die niet op een soepele manier zijn opgezegd (maar bijvoorbeeld vrij
gekomen als gevolg van wanbetaling, opheffen of insolventie van de aanvrager) nog strenger bewaakt worden.
17-01-2019, 20:48 door Anoniem
Door Anoniem: Dit lijkt me niet de taak van een curator maar eerder die van de TLD beheerder(s) of een samenwerkingsverband
daarvan. Het moet niet zo moeilijk zijn om een beleid op te stellen mbt tot wat er mogelijk is met betrekking tot
vrijgevallen domeinen, en in Nederland is dat ook al beter geregeld dan in sommige andere TLD's.
Hoezo zou dat een taak zijn van TLDbeheerders (of registrars of ICANN't of wie dan ook)?

Ze verkopen wat RRs in hun zone, dat is alles. Als je dat gaat uitbreiden met "jamaar verlopen domeinen mogen niet gelijk verlopen" gaat de prijs omhoog want ze moeten ineens meer administratie bijhouden. Als de curator gewoon oplet en de domeinen verlengt kan'ie ze mischien voor meer doorverkopen. Anders doet een squatter hetzelfde. En hoezeer ik squatters ook vervelend vindt, het zou erger zijn als de registrar (of de TLDboer, of ICANN't) die functie op zich neemt. Dat is namelijk belangenverstrengeling.

Eerder gebruikte domeinen zouden niet beschikbaar moeten zijn voor de gebruikelijke automatische registratie
maar dit zou handmatig bekeken moeten worden om te zien of de nieuwe aanvrager rechtmatig bezig is. Je zou zelfs kunnen instellen dat domeinen die niet op een soepele manier zijn opgezegd (maar bijvoorbeeld vrij
gekomen als gevolg van wanbetaling, opheffen of insolventie van de aanvrager) nog strenger bewaakt worden.
Dat is een hoop extra bureaucratie op iets dat bovendien slecht meetbaar is.

Je doet net of een domein een huis of een stuk grond is. Maar zo werkt het niet: Het is een record in een gedistribueerde database. De benodigde servers hebben lopende kosten. Je kan het niet met een enkele server, je hebt er minstens een handvol nodig, maar als zo'n verzameling eenmaal staat kunnen ze zoveel domeinnamen tegelijk aan dat de lopende kosten per domein extreem laag zijn.

Dus verkopen ze die domeinnamen als abonnement. En als je dat niet betaalt, dan blijven ze niet leveren. Wil je dat wel, dan zul je dat moeten betalen. Bijvoorbeeld met "opzetkosten", waar dan een stuk afkoelperiode bij inbegrepen wordt. Je stelt dus eigenlijk voor om het betaalmodel om te gooien.

Dat is best wel ingrijpend, en waarom? Omdat er een curator te bescheten is een paar euro voor een domein (of een paar tientjes voor een handvol domeinen) te reserveren? Zo iemand kost zelf meer in de tijd dat'ie de overschrijving regelt!
18-01-2019, 13:26 door Anoniem
Door Anoniem:
Hoezo zou dat een taak zijn van TLDbeheerders (of registrars of ICANN't of wie dan ook)?

Dat is mijn mening. Doe het er maar mee.
18-01-2019, 14:10 door Anoniem
Door Anoniem:
Is er sprake van gebrek van verantwoordelijksbesef bij curators als die geen acht slaan op domeinnamen?

Bizarre vraag, want dit is geen taak van een curator. Niet zijn verantwoordelijkheid, dus dat besef hoeft hij niet te hebben.

Een domeinnaam heeft een waarde en behoort dus tot de boedel. Als de curator die laat verlopen is dat vergelijkbaar met de deur van het kantoor niet op slot doen.

Peter
18-01-2019, 15:03 door Anoniem
Een domeinnaam heeft een waarde en behoort dus tot de boedel. Als de curator die laat verlopen is dat vergelijkbaar met de deur van het kantoor niet op slot doen.

Het verlengen van een domein kost geld, bij een bedrijf dat failliet is. De curator moet de boedel verkopen en de schuldeisers aflossen. Het doen van bedrijfsmatige uitgaves, voor een failliet bedrijf is *geen* taak van een curator.
18-01-2019, 15:03 door Anoniem
Dat is mijn mening. Doe het er maar mee.

Dat is geen argument.
18-01-2019, 16:39 door Anoniem
Door Anoniem:
Dat is mijn mening. Doe het er maar mee.

Dat is geen argument.

Nee al die bullshit en dat gepraat in een rondje in jouw (neem ik aan) posting, dat zijn pas argumenten....
Domeinnamen zijn geen IT-technische dingen dus zo moet je er ook niet over praten.
21-01-2019, 23:50 door Anoniem
Een datalek onder de AVG is een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot misbruik of verlies van persoonsgegevens [...] ik zet mijn vraagtekens bij het element "inbreuk op de beveiliging". Welke beveiliging wordt er immers doorbroken?

De inbreuk is hier het feit dat iemand een mailstroom die bedoeld is voor iemand anders naar zichzelf weet te routeren door het registreren van een domeinnaam.
'Inbreuk' zo letterlijk nemen dat er vraagtekens bij gezet worden kan m.i. niet. Stel: ik dank mijn oude laptop af en gooi deze op de schroothoop. Iemand vindt de laptop en haalt daar o.a. allerlei e-mails met persoonsgegevens van af. Dan zou er ook geen inbreuk zijn? Ik heb er namelijk bewust voor gekozen de laptop weg te doen (net zoals dit het geval is met de domeinnaam). De laptop (net als de domeinnaam) geeft echter wel toegang tot e-mails.
22-01-2019, 18:35 door Briolet
Door Anoniem:
Een domeinnaam heeft een waarde en behoort dus tot de boedel. Als de curator die laat verlopen is dat vergelijkbaar met de deur van het kantoor niet op slot doen.

Het verlengen van een domein kost geld, bij een bedrijf dat failliet is. De curator moet de boedel verkopen en de schuldeisers aflossen. Het doen van bedrijfsmatige uitgaves, voor een failliet bedrijf is *geen* taak van een curator.

Hier zitten twee kanten aan. De curator moet alles wat waarde heeft tot geld omzetten voor de schuldeisers. Als hij het merk of de firmanaam nog kan verkopen, dan is het vast in het belang van de schuldeisers dat een domeinnaam niet verloopt.

Maar als die domeinnaam geen waarde meer heeft, kost het verlengen alleen maar geld. Wat heeft een curator dan met een mogelijk datalek te maken? Er is toch niets meer te beboeten bij een failliete firma.

Dan zou ook het opheffen van de vestiging zelf een datalek zijn, want ook papieren post zal nog lang naar de oude firma gestuurd worden. Die kan ook geopend en gelezen worden door de nieuwe bewoners van dat adres.
23-01-2019, 03:29 door Anoniem
Door Briolet:
Door Anoniem:
Een domeinnaam heeft een waarde en behoort dus tot de boedel. Als de curator die laat verlopen is dat vergelijkbaar met de deur van het kantoor niet op slot doen.

Het verlengen van een domein kost geld, bij een bedrijf dat failliet is. De curator moet de boedel verkopen en de schuldeisers aflossen. Het doen van bedrijfsmatige uitgaves, voor een failliet bedrijf is *geen* taak van een curator.

Hier zitten twee kanten aan. De curator moet alles wat waarde heeft tot geld omzetten voor de schuldeisers. Als hij het merk of de firmanaam nog kan verkopen, dan is het vast in het belang van de schuldeisers dat een domeinnaam niet verloopt.

Maar als die domeinnaam geen waarde meer heeft, kost het verlengen alleen maar geld. Wat heeft een curator dan met een mogelijk datalek te maken? Er is toch niets meer te beboeten bij een failliete firma.

Dan zou ook het opheffen van de vestiging zelf een datalek zijn, want ook papieren post zal nog lang naar de oude firma gestuurd worden. Die kan ook geopend en gelezen worden door de nieuwe bewoners van dat adres.

Ik denk dat curators gewoon een domein in de lucht zouden moeten houden. Niet enkel voor datalekken maar ook omdat ze blijkbaar vaak geen besef hebben van de mogelijke onderliggende waarde. Wat schuldeisers of een mogelijke doorstart of overname grote en onnodige schade kan doen. Een curator die dat niet wil zien hoort niet benoemd te worden. Want een domein verlengen kost maar een tientje. Curators die daar de schouders bij optrekken zijn incompetent. En niet van deze tijd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.