Vraag m.b.t. identificatieplicht .NU domeinregistratie

Laat ik met de deur in huis vallen: wie heeft ervaring met de sinds medio '24 geldende identificatieplicht voor .NU domeinen en hoe ga je daarmee om?

Aanleiding: ik heb al ruim 20 jaar een .NU domeinnaam geregistreerd die ik enkel en alleen gebruik voor e-mail accounts van de familie (niet enkel eigen gezin). Dat domein heb ik destijds via nunames.nu geregistreerd, een Amerikaanse registrar en zover ik weet destijds ook de registry voor dit TLD. Tegenwoordig is het Zweedse Internetstiftelsen de registry voor het .NU TLD, net als voor het .SE TLD.

Toen ik begin vorig jaar mijn in de WHOIS getoonde contactgegevens wilde wijzigen via het portal bij nunames.nu, kreeg ik een foutmelding bij het opslaan: ik moest een person ID veld verplicht invullen.
Daarbij werd verwezen naar een verplichting vanuit de registry, die vanaf medio juni '24 zou gelden, zie:
https://my.nudomain.nu/an...r-all-.NU-customers..html

Niet heel fraai dat ze daar nooit eerder communicatie over hadden uitgestuurd, dus dit kwam als een verrassing.
Omdat ik écht never nooit mijn BSN, noch paspoortnummer, met nunames.nu ga delen, heb ik wat fake data ingevuld om de wijziging van contactgegevens in elk geval door te kunnen voeren, maar vervolgens gelijk een ticket bij nunames.nu aangemaakt met enkele vragen omtrent die nieuwe verplichting.

Lang verhaal kort: nunames.nu verschuilt zich achter de voorwaarden van Internetstiftelsen en verwijst naar hen voor verdere vragen. Zij vinden het zelf geen probleem als ik fake data invul, maar waarschuwen dat de registry bij controle conform de voorwaarden kan besluiten om de domeinregistratie te annuleren!
Daar heb ik uiteraard geen behoefte aan, want de familie maakt zoals gezegd al ruim 20 jaar gebruik van dat domein voor e-mail verkeer en zit waarschijnlijk niet te wachten op migratie naar een ander adres.

Vervolgens heb ik Internetstiftelsen gemaild met wat vragen/opmerkingen:

The BSN is the most privacy-sensitive personal data of a Dutch citizen and, according to GDPR, may only be processed by a limited number of (government) organisations. Therefore, I seriously object to having to provide my BSN to verify my identity as holder of the .NU domain in question.

What I would like to know:

• Is it correct that the requested ‘Person ID’, in the case of a Dutch domain name holder, is the BSN?
• Does the obligation to supply the ‘Person ID’ / BSN apply to both new and existing .NU domain registrations
• For what reason do you consider it necessary to request the BSN from Dutch domain name holders? Why is any other means or method of identification not sufficient? For example, SIDN, your counterpart for the .NL TLD, does not require a BSN when registering a domain.
• What is the basis on which (lawful basis) The Swedish Internet Foundation believes it is authorised to request and process a BSN? The Swedish Internet Foundation is not a government organisation, nor a bank, nor a healthcare institution or the like. In your privacy statement (https://internetstiftelse...egritetspolicy-nu-eng.pdf), I only read about a ‘legitimate interest’, but it does not explain what exactly that is.
  I am working for a government organisation (public healthcare) in the Netherlands and even we are not allowed to use BSN checks in every process. I therefore find it strange that The Swedish Internet Foundation, as a foreign private organisation, would be allowed to do this. Could you explain this to me?
• How does The Swedish Internet Foundation use the BSN to verify the identity of the domain name holder? How are you technically able to do so, via which system can you search for BSN? I only read “…can be verified through the use of a government database”; which government database do you mean by that?
• According to the website, The Swedish Internet Foundation has a ISO 27001 certification. Can you share the declaration of applicability of that certification with me? It is not clear to me what measures have been taken to securely store and/or process my BSN in your systems.

Of course, I want to comply with domain name holding requirements, but those requirements must be realistic and not an infringement on my privacy. My family would like to continue using the .NU domain in question without any problems, hence I would like to raise my concerns with you.

Daar kreeg ik volgende reactie op:

Hi,

Thank you for contacting The Swedish Internet Foundation. As you are probably aware, we are the independent public interest foundation that is responsible for the administration of the Domain Name Registry under the top-level domain .nu.

The Swedish Internet Foundation has concluded an agreement with Registrars (e.g. nunames) who thereby are entitled to provide Registration Services for Domain Names and, upon request from the Domain Holder, register and administer Domain Names.

The Swedish Internet Foundation has Terms and Conditions of Registration that apply to all Domain Names registered under the top-level domain .nu, and apply between the Registrar, the Domain Holder and The Swedish Internet Foundation.

According to 4.1.1 in the Terms and Conditions, when registering for a new Domain Name, the Domain Holder is responsible for providing the following information (the information must be complete and correct):
full Company name and contact person or, if a private individual, their first name and surname,
corporate identity number or personal identification number, (for those other than Swedish Domain Holders, other foreign equivalent identification information can be provided),
postal address,
phone number, and
e-mail address.

According to 4.1.2 The Domain Holder is obliged to continually and without delay inform the Registrar of any changes in the information given in the application.

Most relevant for your questions is the sentence “for those other than Swedish Domain Holders, other foreign equivalent identification information can be provided”.

The Swedish Internet Foundation does not specify to the Registrars which other foreign equivalent identification information is required and possible to collect, that decision is up to the relevant Registrar.

Also, the following is stated as Conditions for application under the Terms and Conditions (3.1.1):
“Any natural person or legal entity with a personal identification number or corporate identity number, or that can be identified via a registration designation in a register maintained by a governmental authority, or by an organization exercising state authority, may apply for registration of a Domain Name under the top-level domain .nu.”

The Swedish Internet Foundation does not require the collection of, for example, your BSN-number as the identification information.

The Swedish Internet Foundation is aware that some Registrars instead collect other, permitted, identification information such as driver’s license number, passport number or an ID-card number.

We recommend that you contact the Registrar and have further dialogue with them if they could accept some other identification information instead of the BSN-number.

Kind regards,
Registry Services
Internetstiftelsen

Ze gaan op veel vragen niet of nauwelijks in, maar ontkennen in elk geval dat een BSN noodzakelijk is om te delen, terwijl dat zowel bij nunames.nu als bij heel veel andere (ook Nederlandse) registrars wordt vermeld. Maar ook een paspoortnummer wil ik niet zomaar met ze delen. Ik snap dat op afstand verificatie lastig is, maar ik wil simpelweg niet dat zulke informatie permanent in de systemen van dergelijke leveranciers zijn opgeslagen. Wij hebben recent met de Odido hack weer gezien waartoe dat kan leiden.

Ik wil mijn .NU domein graag verhuizen van nunames.nu naar een Nederlandse registrar (die overigens onder dezelfde voorwaarden van de Zweedse registry zal moeten handelen), omdat:

• Nunames.nu geen ISO 27001 certificering heeft. Dat hebben veel Nederlandse hosters / registrars ook niet, maar de info van nunames.nu t.a.v. de omgang met jouw gegevens is nogal summier. De Zweedse registry kan dan wel een ISO 27001 certificering hebben, maar de identificatiegegevens worden (ook) opgeslagen bij/door de registrar, dus wil ik graag weten dat die daar zorgvuldig mee omgaat.
• Nunames.nu een Amerikaans bedrijf is, waarvoor de AVG niet of in elk geval niet volwaardig geldt, terwijl het opslaan van persoonlijke identificatiegegevens onder deze privacy wetgeving valt.
• Ik graag DNSSEC wil kunnen toepassen op dit domein en hoewel nunames.nu dat ondersteunt, dit nu niet gaat werken omdat ik e-mail hosting elders (Nederlandse hoster) afneem en die partij DNSSEC enkel beschikbaar stelt als het domein ook via hen is geregistreerd.

Probleem is alleen: zolang ik geen te verifiëren identificatiegegevens aanlever, kan het domein niet verhuisd worden!

Sterker nog, ik kreeg afgelopen week opnieuw bericht vanuit nunames.nu en nu lijkt mijn domein daadwerkelijk on-hold te zijn gezet!

Please take notice: The .NU Registry, Internetstiftelsen, the Swedish Internet Foundation, has notified us that yourdomain.nu is missing, or has an invalid, personal or corporate ID number, and has been assigned a status of ServerHold/Transfer Prohibited.

Om te voorkomen dat mijn domeinnaam registratie wordt opgezegd, moet ik voor 18 mei a.s. de gevraagde gegevens aanleveren.


Er zal hier vast nog wel iemand rond hangen met een particulier geregistreerde .NU domeinnaam. Ben heel benieuwd hoe diegene hiermee om is gegaan: heb je fake data ingevuld, heb je klakkeloos je BSN, paspoortnummer of andere gegevens aangeleverd of ....?