Wat merken we nu echt van de AVG?

25 Mei 2018. De dag dat alles zou veranderen. Privacy opeens op #1 van ieder bedrijf. Geen slordigheden meer, geen datalekken zonder dat iedereen het zou weten. En een autoriteit die zweepslagen en torenhoge boetes uit mag delen.

TL;DR: Er zijn aangepaste verhuis procedures bij gTLDs.

25 Mei 2018. De dag dat alles zou veranderen. Privacy opeens op #1 van ieder bedrijf. Geen slordigheden meer, geen datalekken zonder dat iedereen het zou weten. En een autoriteit die zweepslagen en torenhoge boetes uit mag delen.

De afgelopen maand heeft iedereen ze nog wel voorbij zien komen. De e-mailtjes van leveranciers en dienstverleners. "Wij hebben ons privacy-statement aangepast", "Zo gaan we het doen vanaf nu" en "Wist je dat...?". Die mailtjes die eigenlijk al een maand eerder binnen hadden moeten zijn, zeg maar.

Maar, wat is er nu daadwerkelijk veranderd? Wat merken wij als registrar en u als klant nu echt?

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens, oftewel de AP, heeft het er maar druk mee. Recentelijk publiceerden ze een nieuwsbericht waarin stond aangegeven dat van de 600 binnengekomen klachten in de eerste maand, er 400 geanalyseerd zijn.

Van deze 400 meldingen slaan 13% op overheden. De overige 87% komen voor het conto van bedrijven. Dat laatste is op zich natuurlijk te verwachten, want veel (vooral kleinere) bedrijven zullen niet tijdig klaar zijn geweest voor de veranderingen. Dat echter 13% van de meldingen aan overheden is toe te rekenen, is iets voor Den Haag om zich over achter de oren te krabben.

De controleurs van de AP zijn dus hard aan het werk om meldingen door burgers te verwerken en waar nodig sancties op te leggen. Hoe zit het dan met de webhosting-wereld? Wat is ons opgevallen de afgelopen maand? Concreet zijn dat drie dingen.

SSL

Een van de meest belangrijke zaken die eigenlijk al jaren lang geldt, is dat je je website up-to-date moet houden. Niet alleen dat, maar ook beveiligd. Als er ook maar een beetje persoonlijke informatie wordt opgeslagen of weergegeven, moet die informatie versleuteld van de server naar de browser gestuurd worden. Pas in de browser mag het dan weer leesbaar zijn. 

Hiervoor is een SSL-verbinding vereist en daar heb je dan weer een SSL-certificaat voor nodig. In de laatste maand voor AVG-Day en de eerste maand erna hebben we een grote piek gemerkt in het aantal bestellingen voor -vooral Comodo Essential- certificaten.

Dat is een goed teken. Het betekent namelijk dat de veiligheid van bezoekers serieus genomen wordt en dat onze klanten de verantwoording nemen die door het publiek (of in ieder geval van de overheid) van ze verwacht wordt als eigenaren, webmasters en bloggers.

Misbruik

U kent ze misschien wel. De bedrijven die misbruik kunnen maken van iedere situatie. We komen ze zelf veel tegen in de vorm van frauduleuze domein-verkopers.

"Wist u dat iemand blablabla.com wil kopen? Als eigenaar van blablabla.nl krijgt u nu de kans deze .com vast te leggen. Voor 10 jaar, ja. Slechts €300!"

Uhm, nee, dank je. 

Inmiddels zijn ook de eerste AVG-misbruikers opgedoken. Ze bieden valse keurmerken aan om aan te tonen dat jij als bedrijf goed omgaat met gegevens. Ze bellen om hoge boetes te innen, omdat er iets niet op orde zou zijn geweest.

Het was te verwachten. Waar een massahysterie ontstaat, komen aasgieren vanzelf op de proppen om daar op in te haken.

Het klinkt een beetje als een slechte Marktplaats-reclame, maar het motto klopt wel: als het te mooi is om waar te zijn, doe het niet. In dit geval geldt eigenlijk het tegenovergestelde: als je out of the blue een boete of keurmerk krijgt toegeworpen, vertrouw het niet. Bij twijfel, neem contact op met de AP.

Privacy

De hele AVG is natuurlijk bedoeld voor het beschermen van privacy. Het niet doorgeven van gegevens en al helemaal niet het publiek maken van die gegevens.

Een van de partijen die hier lijnrecht tegenover stond, is de ICANN. In het kader van transparantie en online veiligheid wordt voor iedere domeinnamen namelijk publiekelijk bijgehouden wie de eigenaar is. In de zogenaamde WHOIS-gegevens staat de houder met naam en toenaam genoemd, compleet met adres ten tijde van registratie en het e-mailadres. Niet helemaal privacy-georiënteerd dus.

Tegenwoordig is dat anders. Heb je een Europese provider die haar privacy op orde heeft, zul je misschien al gemerkt hebben dat de gegevens die je bij een WHOIS terugziet een stuk minder uitgebreid zijn dan dat ze voorheen waren.

WHOIS gegevens .COM

Kijk, daar hebben we wat aan. 

Dat betekent ook dat het verhuisproces van gTLDs (.com, .net, .biz en zo nog meer) is aangepast. Voorheen kreeg je namelijk eerst een mailtje als je een domeinnaam wilde verhuizen. In deze zogenaamde 'FOA' mail (Form Of Authorisation) moest je dan een linkje klikken voordat de verhuizing überhaupt werd gestart.

Die FOA-mail werd echter getriggerd door de nieuwe registrerende partij op basis van het e-mailadres dat ze uit de publieke WHOIS haalden. Dat kan nu niet meer en dus kan die e-mail ook niet meer verstuurd worden.

Dit resulteert in dat een verhuizing van een gTLD naar een nieuwe provider tegenwoordig niet meer bevestigd hoeft te worden. Wel duurt dit nog steeds vijf dagen

Conclusie

Zo lang we nog steeds worden gebombardeerd met mailtjes over nieuwe privacy reglementen en algemene voorwaarden, weten we dat de bescherming van persoonsgegevens nog steeds een actief agendapunt is bij veel bedrijven. Goed om te weten.

Dat deze hele wetgeving wat teweeg zou brengen, konden we natuurlijk van te voren wel op een paar vingers natellen. Dat het ook nog wat voordelen met zich mee zou brengen, zoals het verbergen van gegevens in de WHOIS, is een positieve verrassing. Laten we hopen dat die er nog meer komen in de toekomst.