Datalek gemeente Dantumadiel door niet-geregistreerde domeinnaam
De Friese gemeente Dantumadiel heeft met een datalek te maken gekregen omdat het niet gelukt was een domeinnaam te registreren. De officiële domeinnaam van de gemeente, die zo'n 19.000 inwoners telt, is dantumadiel.frl. De domeinnaam dantumadiel.nl was echter niet door de gemeente vastgelegd, maar door een bedrijf dat op grote schaal domeinen koopt om vervolgens te verhuren en verkopen.
Omrop Fryslân besloot het domein dantumadiel.nl bij het bedrijf te huren en ontving vervolgens tientallen e-mails die bedoeld waren voor de gemeente en gevoelige informatie bleken te bevatten. De e-mails waren afkomstig van instanties en burgers die @dantumadiel.nl in plaats van @dantumadiel.frl gebruikten. De berichten bevatten persoonsgegevens van inwoners, waaronder burgerservicenummers. De e-mails gingen onder andere over het huisbezoek van een maatschappelijk werker, gemeentebelasting, jeugdhulp en bezwaarschriften van inwoners.
Het waren niet alleen burgers en instanties die de fout ingingen. Uit de e-mails die Omrop Fryslân op het domein ontving bleek dat de gemeente zelf ook het .nl-domein gebruikte. Zo was het domein gekoppeld aan bedrijfssoftware, die automatisch informatie deelde over het verzuim van medewerkers van het wijkbeheer. Verder heeft de gemeente maandenlang in het eigen gemeenteblad per ongeluk zelf het adres @dantumadiel.nl gecommuniceerd.
Dantumadiel.nl is eigendom van Parknet, een bedrijf dat zeer veel domeinen registreert en vervolgens verhuurt of verkoopt. De gemeente laat in een verklaring weten dat het het domein Dantumadiel.nl gaat vastleggen. Iets wat eerder niet was gelukt. "We onderzoeken intern hoe dit proces destijds is verlopen. We hebben intussen melding gedaan bij de Autoriteit Persoonsgegevens van een datalek. De sjablonen voor publicaties zijn aangepast en publicaties worden, waar mogelijk, aangepast met de juiste contactgegevens. Er loopt inmiddels een intern onderzoek in samenwerking met onze ict-partners om eventuele fouten in de inrichting van de gemeentelijke applicaties op te sporen en te herstellen."
Ik gok - in minder woorden:
"De registrant van de domeinnaam dantumadiel.nl is echter niet de gemeente, maar een bedrijf."
Bedrijven als Parknet moeten wat mij betreft door SIDN gewoon onteigend worden voor al deze domeinen.
Maar in dit geval:
Het opzettelijk registreren van een domeinnaam met als doel verwarring te zaaien of zich voor te doen als een andere partij, kan worden gezien als inbreuk op:
Handelsnamen: De naam "Dantumadiel" wordt mogelijk beschermd als handelsnaam van de gemeente.
Merkenrecht: Als de gemeente de naam heeft geregistreerd als merk, is gebruik zonder toestemming niet toegestaan.
Recht op eer en goede naam: Het gebruik van een domeinnaam voor misleiding kan de reputatie van de gemeente schaden.
2. Misleiding en fraude
Het bewust creëren van verwarring om e-mails van derden te onderscheppen valt onder:
Identiteitsfraude: Je doet je voor als een officiële instantie, wat strafbaar is.
Computercriminaliteit: Het onderscheppen van e-mails zonder toestemming is een schending van privacywetgeving en kan strafrechtelijk worden vervolgd.
3. Privacywetgeving (AVG)
Het ontvangen, lezen, of gebruiken van e-mails die niet voor jou bedoeld zijn, is een schending van de Algemene Verordening Gegevensbescherming (AVG). Dit kan leiden tot hoge boetes en strafrechtelijke vervolging.
4. Domeinnaamgeschillen (UDRP/ADR)
De gemeente kan via juridische procedures, zoals de Uniform Domain Name Dispute Resolution Policy (UDRP) of een nationale arbitrageprocedure, de domeinnaam opeisen als kan worden aangetoond dat deze te kwader trouw is geregistreerd en gebruikt.
Ik denk wel dat een gemeente de verantwoordelijkheid heeft om te zorgen dat deze fouten niet gemaakt kunnen worden maar in dit geval waren ze niet in staat om de domeinnaam te verkrijgen.
Ik ben ook van mening dat je domeinnamen niet zomaar mag claimen en dat de wetgever moet zorgen dat je ze kan onteigenen. Nu zijn er partijen die alles met 3 letters opkopen en vragen er exorbitante bedragen voor.
Kijk maar eens bij www.mooiedomeinnaam.nl en dan roepen ze ook nog dat ze een markt conforme prijs vragen.
Schandalig.
Ik snap dat Friese sites, inclusief die van Friese overheden, gecharmeerd zijn van .frl. Dat TLD wordt door een BV geëxploiteerd. Wil men daaraan meedoen dan moet men regelen dat er een .gov.frl-subdomein (of een goed Fries equivalent) is waar Friese overheidsinstanties, en niemand anders, onder kunnen gaan zitten, omdat de sub-subdomeinen door of namens de provincie beheerd worden.
Als dit soort structuren hadden bestaan in Nederland en mensen eraan gewend waren geweest dan had dit hele probleem niet bestaan.
Ik heb me al vaak hevig verbaasd over hoe vanuit (neem ik dan maar aan) marketingdenken basale duidelijkheid wordt vermeden. Waarom is youtube.com afhankelijk van googlevideo.com en ytimg.com? Waarom zijn die laatste twee niet video.youtube.com en img.youtube.com? Vanwaar toch die hang naar onduidelijkheid en gebrek aan structuur? Om het moeilijk te maken ongewenste content te blokkeren wellicht? En waarom neigen Nederlandse overheden ook hardnekkig naar dat soort onduidelijkheid, door bijvoorbeeld voor elke overheidscampagne een domein onder .nl te registreren in plaats van iets onder overheid.nl, zodat je maar moet weten hoe je uit kan zoeken dat het echt overheid is?
Consistentie, strikt volgehouden consistentie, in een gestructureerde opzet van overheidsdomeinen zou duidelijkheid geven. Het zou zou herkenbaar en uitlegbaar zijn omdat het strikt consistent wordt toegepast.
Hier heeft een gemeente geblunderd, maar die hele blunder is niet meer dan een symptoom van dat Nederlandse overheden in het algemeen en gezamenlijk dit niet goed georganiseerd hebben. Niet goed? Zeg maar: niet.
Overheden: organiseer dit en zet het op poten. Niet over vijf jaar maar veel en veel sneller. Het hoeft niet mooi te zijn, het moet consistent zijn zodat mensen een patroon kunnen herkennen dat garandeert dat iets echt een overheid is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Functionaris Gegevensbescherming
Sigra zoekt een Functionaris Gegevens-bescherming (28-36 uur) die privacytoezicht houdt, adviseert en bijdraagt aan regionale samenwerking in zorg en welzijn. Je werkt deels gedetacheerd, krijgt opleidings-mogelijkheden (o.a. CAICO), en maakt deel uit van een deskundig team. Sterke com-municatie, juridische kennis en ervaring in de zorg zijn essentieel. Interesse? Lees dan snel verder.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?