Theo Geurts van Realtime Register praatte ons op de dag van de domeinnaam bij over de veranderingen rondom de ICANN. Speciaal voor jullie heeft hij zijn verhaal ook nog een keertje uitgewerkt in dit blog.
Op dit moment draaien alle ICANN Registrars een WHOIS-server voor .com en .net, kortom Verisign is een zogenaamde Thin WHOIS Registry. Alle andere Registries, inclusief vele ccTLDs zijn zogenaamde Thick WHOIS Registries en is de registrant data aanwezig bij de Registry. In 2012 heeft de ICANN-board besloten dat ook deze Registry Thick zou moeten zijn, en dus is het moment daar dat de migratie gaat beginnen van ruim 140 miljoen WHOIS-records richting Verisign USA.
Het migratietraject is als volgt:
- 1 augustus 2017 migratie huidige backfill data.
- 1 mei 2018 volledige switch, dus ook nieuwe domeinen worden als Thick geregistreerd.
- 1 Februari 2019 alles over moeten zijn.
Technisch gezien is dit allemaal niet zo lastig, via EPP pomp je de data zo over. Uiteraard, een Godaddy zal er wel wat langer over doen, maar heeft eigenlijk meer te maken met de snelheid die Verisign hanteert.
Maar hoe zit dit nou juridisch?
Lastig te beantwoorden. Als ICANN Registrar hebben we geen zicht op wat voor contracten er zijn tussen onze resellers en de registranten. Een paar algemene dingen zijn er wel over te zeggen, maar zie het niet als juridisch advies van mijn kant.
Persoonlijke identificeerbare data transporteren buiten de EU gaat niet zomaar. Veelal wordt gekeken of de Amerikaanse partijen Privacy Shield gecertificeerd zijn. Dit maakt het leven een stuk makkelijker. Via https://privacyshield.gov kun jij zien of een Amerikaans bedrijf Privacy Shield gecertificeerd is of niet. Dit is soms niet voldoende, raadpleeg een jurist wanneer Privacy Shield alleen niet voldoende is.
De meeste Amerikaanse Registries zijn Privacy Shield gecertificeerd. Maar! En nou komt het: Verisign is dat nu juist net niet. En ik verwacht ook niet dat ze gaan meedoen aan die certificatie.
Kijken we naar de EU GDPR in mei 2018, dan wordt het een en ander nog een stukje lastiger. Dat heeft te maken met het aanscherpen van de manier waarop je consent vraagt aan de klant/registrant om die data richting de USA te sturen en of elk ander land buiten de EU. Bovendien moet je aan veel meer voorwaarden voldoen.
Een goed artikel met betrekking tot consent en de EU GDPR is hier te vinden.
Verder is het goed om te weten dat de meeste gTLD-Registries de registrantdata zonder restricties in de WHOIS publiceren, inclusief de persoonlijke data. Denk aan naam, straatnaam + huisnummer, postcode, e-mailadres en telefoonnummer. Bij .NL hebben we dit inmiddels prima geregeld en is dit soort data niet meer aanwezig in de publieke WHOIS. Echter zitten gTLD-Registries met een contractuele verplichting richting ICANN om dit wel te doen.
De discussie met betrekking tot de ICANN-verplichtingen en de WHOIS zijn in volle gang. Of we een oplossing krijgen is onbekend. Ik verwacht niet dat we voor 1 mei 2018 een oplossing hebben met betrekking tot het WHOIS-probleem.
Terug naar de migratie
Hoeveel tijd is er nog? De migratie begint op 1 augustus, en dat is al over een paar weken. Wat andere ICANN Registrars gaan doen, is lastig in te schatten. Er zullen Registrars zijn die per direct migreren, het biedt technisch een aantal voordelen. Mijn idee als ICANN-Registrar: ik wacht nog even voordat we onze klanten een mail sturen met de melding dat we gaan migreren.
Afgezien van het migratieonderwerp is het wel tijd om te kijken wat de impact van de EU GDPR op jouw business is. Wat dat betreft maakt ICANN het ons niet makkelijk om te voldoen aan de EU GDPR.
