Välkommen till CSC:s fikasamtal – en serie intervjuer med CSC:s experter på Digital Brand Services, där vi pratar om branschproblem inom it-säkerhet, domäner, varumärkesskydd och bedrägeriskydd.
Jag tar en fika med våra ämnesområdesexperter och diskuterar sådant som de funderar över. Den här månaden pratade jag med Patrick Hauss, Head of Corporate Development and Strategic Alliances EMEA, om ICANN’s Registration Data Request Service (RDRS). Patrick drack en cappuccino med låg fetthalt och en shot sockersirap. Det är ganska avancerat för en sådan som jag, som inte dricker kaffe. Som den britt jag är drack jag te!
Så, varför tar du inte själv en fikapaus på fem minuter och läser om vårt samtal?
Det är måndagsmorgon och jag pratar med Patrick Hauss. I de här samtalen ska vi diskutera branschfrågor, och idag vill Patrick dela med sig av sina tankar om RDRS. Men först och främst, vad är RDRS? Jag ber Patrick att ge mig en kort genomgång.
”RDRS står för Registration Data Request Service. Det är ett verktyg från ICANN som syftar till att lösa de restriktioner för dataåtkomst som blev följden av ombearbetning av personuppgifter i WHOIS-poster, vilket inträffade när GDPR trädde i kraft. WHOIS-sökningar används av it-säkerhetsutredare, varumärkesexperter och leverantörer av varumärkesskyddstjänster som CSC, samt av varumärken och deras team för säkerhet, IP och juridik som en del av verkställandeprocessen mot tredje part som registrerar bedrägliga domäner”, förklarar han.
Före GDPR var åtkomst till (fullständiga) WHOIS-data en viktig del av utredningarna för att informera verkställandeåtgärder vid intrång på immateriella rättigheter och DNS-missbruk. Eftersom många fall av missbruk av varumärken online börjar med en bedräglig domännamnsregistrering kan det användas för att spåra illasinnade aktörer och ta bort intrångsinnehåll från internet. Men det är också exakt de personuppgifterna man strävar efter att skydda med GDPR.
Verkställandet blev svårare vid ombearbetning av uppgifter, och ICANN svarade på behovet av åtkomst till sådana data från dem med legitima åtkomstbegäranden genom att introducera RDRS under en inledande period på två år, med början den 28 november 2023. Men det är fortfarande svårt att få åtkomst till WHOIS-data, även med RDRS, så var ligger problemen för varumärkesägare?
”En del av utmaningen är att RDRS är ett tillval och kräver att domänregistrarer anmäler sig till tjänsten. Det innebär att antalet domäner som är kvalificerade för en RDRS-begäran är något begränsat.” Så hela toppdomänlandskapet täcks inte, och illasinnade aktörer sprider sina registreringar över flera toppdomäner, inklusive på ccTLD:er, som inte omfattas av RDRS.
Det kan finnas en bra anledning till det här låga upptaget från registrarer. Hotet om höga GDPR-böter – många registrarer kan vara förtegna vad gäller att dela omarbetad WHOIS-information om de inte anser att begäran om åtkomst är 100 % vattentät, juridiskt sett. Och de har goda skäl till det. Risken för GDPR-böter skulle göra de allra flesta ganska nervösa. Tyvärr beviljas mindre än 15 % av alla informationsförfrågningar via RDRS. I december 2023 var det så få som 7 %. Dominoeffekten är att det tar längre tid för undersökningar om varumärkesmissbruk att slutföras, och därför tar det längre tid innan åtgärder kan vidtas.
Så vad ser Patrick som vägen framåt för att förbättra situationen för både registrarer och varumärkesägare?
”På en rent praktisk nivå skulle toppdomäntäckningen utökas om man uppmuntrade så många registrarer som möjligt att registrera sig”, säger han. Men han tänker att den stora frågan kanske kräver en mer helhetlig översyn över policyer som gäller onlinemissbruk. När det gäller policyer finns det en stor skillnad mellan vad som utgör DNS-missbruk och IP-missbruk/-intrång. ”Europeiska kommissionen har för närvarande ett pågående arbete för att rekommendera att definitionen av DNS-missbruk utökas till att inkludera IP-missbruk. Bara att ha en egen definition av missbruk av varumärken online vore bra. Om vi hade det skulle det finnas tydligare juridiska parametrar för vad som utgör missbruk, vilket gör det enklare för registrarer att identifiera legitima förfrågningar om WHOIS-information, det vill säga de med en tydlig rättslig grund för att begära det, vilket skulle ge dem vissheten om att de inte bryter mot GDPR.”
—
Tack för att du läser vårt fikasamtal om RDRS. Håll utkik efter nästa inlägg i serien, där jag går igenom andra relevanta branschämnen med CSC-experter.
