Bruk av informasjon lagret i Norids kundedatabase

Registrering og behandling av data reiser spørsmål om riktig håndtering av opplysningene som er registrert. Dette notatet redegjør for Norids innsamling, lagring, behandling og offentliggjøring av organisasjons- og personopplysninger og annen informasjon i Norids kundedatabase. Det redegjøres også for hvilke regler og begrensninger som gjelder for andres bruk av informasjonen som er lagret i databasen.

1. Hvilken informasjon lagres i kundedatabasen?

Norid har behov for å samle en rekke data om domeneabonnentene. Disse opplysningene samles i vår kundedatabase. Databasen bygger på de opplysninger søkere om domenenavn oppgir ved innsending av Norids søknadsskjema, jf regelverket for .no-domenet punkt 7.2. Databasen bygges kontinuerlig opp, ved at det legges inn opplysninger etter hvert som domenenavn registreres eller registrert informasjon endres.

I kundedatabasen lagres blant annet informasjon om:

  • Domeneabonnenter. Dette kan være både organisasjoner og privatpersoner. Følgende kontaktinformasjon lagres for de ulike abonnenttypene:
    • organisasjoner (organisasjonsnummer, navn, postadresse, e-post, faks- og telefonnummer)
    • privatpersoner (personidentifikator, navn, postadresse, e-post, faks- og telefonnummer)
  • Kontaktpersoner (navn, postadresse, e-post, faks- og telefonnummer, tilknytning til en organisasjon)
  • Roller (rollenavn, postadresse, e-post, faks- og telefonnummer, tilknytning til en organisasjon, kontaktpersoner)
  • Organisasjoner som ikke er abonnent, men som er knyttet til kontaktpersoner for et domene (organisasjonsnummer, navn, postadresse, e-post, faks- og telefonnummer). Det er valgfritt for kontaktpersonene om slike organisasjoner skal legges inn i databasen.

Denne informasjonen knyttes til registrarer og domenenavn.

I tillegg lagres informasjon om:

  • Registrarer (organisasjonsnavn og -nummer, postadresse, e-post, webside, faks- og telefonnummer, kontaktpersoner/kontaktroller for registraren, registrarens status m.m)
  • Domenenavn (abonnent, kontaktpersoner/kontaktroller for domenet, navnetjenere for domenet, registrar for domenet, registreringstidspunkt, tidspunkt for siste endring av domenet, status for domenet)

Deler av denne informasjonen må registreres, mens andre deler (for eksempel faksnummer) kan registreres hvis det er ønskelig. En fullstendig oversikt over hvilke felter som er påkrevd og valgfri finnes i et eget notat.

For alle abonnenter, kontaktpersoner og -roller, organisasjoner og domener lagrer vi i tillegg dato for når de ble registrert i databasen og når siste oppdatering skjedde.

Utenfor kundedatabasen

Når en personidentifikator opprettes for en privatperson lagrer Norid folkeregistrert navn og fødselsnummer sammen med identifikatoren. Denne informasjonen lagres ikke i den alminnelige kundedatabasen omtalt i dette notatet. I stedet lagres den i en separat, spesielt sikret database som bare spesielt utvalgte databehandlere hos Norid har tilgang til. Betingelser for personidentifikatortjenesten er beskrevet i et eget notat.

2. Hvorfor en kundedatabase og hva er WHOIS-tjenesten?

2.1. For Norid

Kundedatabasen er til for Norid, og består av en samlet oversikt over alle .no-domenenavn med tilhørende relevant informasjon. Databasen er nødvendig for å sikre effektivitet og kvalitet i driften av Norids registreringstjeneste.

2.2. For andre – WHOIS-tjenesten

For å imøtekomme andres legitime interesser er deler av opplysningene i kundedatabasen gjort tilgjengelig for andre enn Norid ved hjelp av en protokoll kalt WHOIS. Det som gjøres tilgjengelig gjennom denne protokollen er blant annet opplysninger om registrerte domenenavn, hvilke personer og organisasjoner som har registrert navnene og hvilke kontaktpersoner og roller som er knyttet til hvert enkelt domenenavn.

WHOIS-tjenesten er et tilbud til:

  • alle som vil sjekke om et domenenavn er i bruk av andre eller om det er ledig
  • alle som vil vite hvem som er ansvarlige for et eksisterende domenenavn (for eksempel forbrukere før en handel, eller nettverksoperatører som vil kontakte innehaver av et domene de har mottatt spam eller annen uønsket e-post fra.)
  • abonnenter som vil kontrollere at registrert informasjon om egne forhold er korrekt
  • rettighetshavere som vil kontrollere om det foregår misbruk av deres rettigheter
  • politiet som kan hente informasjon i forbindelse med etterforskningsarbeid.

Dette er eksempler på legitim og ønsket bruk.

I tillegg til at andre får tilgang til ønsket informasjon bidrar offentliggjøringen i seg selv til at opplysningene i kundedatabasen kontrolleres av flere i tillegg til Norid.

Utfordringen med offentliggjøring av data er at det muliggjør misbruk, jf nedenfor. Dette tilsier at opplysningene i kundedatabasen ikke må publiseres i større omfang enn det som kan begrunnes i legitime og saklige behov. Det må derfor til enhver tid være fokus på at offentliggjøringen må balanseres opp mot de private interessene til de som har registrert domenenavnet. Nettopp derfor er ikke kundedatabasen tilgjengeliggjort i sin helhet, men i en begrenset versjon gjennom WHOIS. Hvilken informasjon som er offentlig tilgjengelig og søkbar, fremgår av veiledningen til WHOIS. Se også selve WHOIS-grensesnittet.

3. Norids behandling av personopplysninger via WHOIS-tjenesten

Organisasjoner som er registrert i Brønnøysundsregistrene kan registrere domenenavn direkte under .no. Enkeltpersoner som skal stå som kontaktpersoner kan velge å bruke organisasjonens kontaktinformasjon i stedet for sin private kontaktinformasjon.

Privatpersoner som er registrert i det norske folkeregisteret med norsk fødselsnummer kan registrere domenenavn direkte under .no. Privatpersoner kan velge å oppgi en nøytral postadresse (for eksempel en postboks) eller benytte en organisasjon eller person til å videresende posten i stedet for å oppgi sin private kontaktinformasjon. Kravet for all kontaktinformasjon er imidlertid at abonnenten skal kunne nåes.

Deler av informasjonen som publiseres gjennom WHOIS er opplysninger som kan knyttes til enkeltpersoner, og vil derfor regnes som personopplysninger i henhold til personopplysningsloven § 2 nr. 1. Dette gjelder blant annet informasjon om kontaktpersoner og informasjon om domeneabonnenten når denne er en privatperson eller enkeltpersonsforetak.

3.1. Juridisk hjemmel for Norids behandling

I følge personopplysningsloven § 8 kan personopplysninger bare behandles:

…dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for
a) å oppfylle en avtale med den registrerte…
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse…
c) å utføre en oppgave av allmenn interesse…

Abonnenter for .no-domenet har gitt Norid sitt samtykke til registrering og begrenset publisering av deres personopplysninger. Samtykket i egenerklæringen lyder som følger:

Ved registrering samtykker søker i at domenet, kontaktinformasjon og registreringstidspunkt gjøres offentlig tilgjengelig på internett, blant annet gjennom Norids whois-database. Tilgang vil også kunne bli gitt via andre internett-teknologier.

Samtykket fremgår også av punkt 16 i regelverket for .no-domenet, og lyder som følger:

16.1 Ved registrering samtykker søker i at domenet, kontaktinformasjon og registreringstidspunkt gjøres offentlig tilgjengelig på internett, blant annet gjennom Norids whois-database. Tilgang vil også kunne bli gitt via andre internett-teknologier. Fødselsnummer for privatpersoner er ikke en del av kontaktinformasjon og vil ikke bli gjort offentlig tilgjengelig.

16.2 Norid vil for øvrig ikke selge, overdra eller på annen måte utnytte informasjonen til kommersielle formål, herunder målrettet markedsføring og katalogtjenester.

16.3 Norid fraskriver seg ethvert ansvar for misbruk av den informasjon som offentliggjøres etter denne bestemmelse.

Behandling av opplysningene er dessuten nødvendig for å oppfylle Norids avtale med abonnentene, for å ivareta abonnentenes interesser, og for å utøve en oppgave av allmenn interesse. I henhold til personopplysningsloven danner dette derfor det totale grunnlag for Norids rett til behandling av opplysningene.

3.2. Krav til Norids behandling

Det følger av personopplysningsloven § 11 at Norid kun har rett til å benytte innsamlede personopplysninger i samsvar med det samtykket som er innhentet fra dem personopplysningene gjelder, og kun til slike formål som er saklig begrunnet i virksomheten.

I samtykket som avgis ligger at formålet er å gjøre domenet samt tilhørende informasjon offentlig tilgjengelig på Internett. Norid anser samtykket til publisering begrenset til kontaktinformasjon knyttet til domenet. Det presiseres også at fødselsnummer ikke er en del av denne kontaktinformasjonen.

I tillegg er det presisert at formålet ikke er salg, overdragelse eller andre kommersielle formål, herunder målrettet markedsføring og katalogtjenester.

Ved siden av de begrensningene samtykket setter vil Norids øvrige grunnlag for behandling av personopplysninger avgrenses av hva som er saklig begrunnet ut fra formålet med opplysningene. Personopplysningsloven tillater Norid for eksempel å samle og behandle opplysninger som er nødvendig for å oppfylle avtalene med abonnentene. Sammen angir dette grensene for hva opplysningene og kundedatabasen kan benyttes til.

3.3. Norids bruk av kundedatabasen i dag

Internt i Norid benyttes kundedatabasen til å holde oversikt over samtlige registrerte domenenavn under .no-domenet samt annen teknisk og praktisk informasjon knyttet til disse. De registrerte personopplysningene benyttes til å kontakte abonnenter, registrarer og andre når det er behov for det, for eksempel i forbindelse med sletting av domenenavn, tekniske feil og brudd på regelverket. Norid kan for eksempel bruke opplysningene i databasen til å gjennomføre en spørreundersøkelse for evaluering av Norids virksomhet, men ikke for kommersielle formål.

Norid benytter ikke informasjonen lagret i databasen til kommersielle formål, så som utsending av reklame. Norid overdrar heller ikke informasjon lagret i databasen til utenforstående som vil benytte informasjonen kommersielt, eller til andre formål som ikke dekkes av egenerklæringen eller er innenfor formålet med opprettelsen av kundedatabasen.

4. Ikke akseptabel bruk av kundedatabasen

Både for Norid og andre gjelder begrensninger i hvilken bruk som kan gjøres av opplysningene i databasen.

4.1. Begrensninger av Norids bruk

Kommersielle formål
Verken Norid eller andre kan benytte hele eller deler av kundedatabasen til kommersielle formål, for eksempel til utsendelse av reklame.

Norid kan ikke bruke databasen til å informere alle abonnenter om enhver endring; for eksempel ikke om at de fra en gitt dato kan registrere flere navn enn før. Selv om Norid ikke driver kommersiell virksomhet, vil mottaker av en slik melding oppfatte den som markedsføring og som en oppfordring om å registrere flere navn. Ved endringer som abonnenten trenger informasjon om for å ivareta sine interesser, vil Norid kunne bruke databasen for å få ut informasjon til alle, på samme måte som kundebaser generelt.

Forbudet mot kommersiell utnyttelse rammer ikke salg eller utleie av kundedatabasen som sådan, men utnyttelse av innholdet. Norid har imidlertid ansvar for at opplysningene ikke brukes til senere formål som er uforenlig med det opprinnelige formålet. I praksis betyr dette at Norid kun kan overdra eller leie ut databasen til en annen som skal bruke den i samme type virksomhet som Norid.

Publisering
Av samtykket fremgår det at Norid kan gjøre opplysningene offentlig tilgjengelige via Internett. Ordlyden i samtykket må følges, slik at selv om publisering for eksempel i en trykt katalog vil ha mindre spredning, er det ikke adgang til publisering på annen måte enn via Internett. Hovedbegrunnelsen for dette er at det forutsettes at den delen av kundedatabasen som gjøres allment tilgjengelig ajourføres aktivt og kontinuerlig, slik at tidligere registrerte opplysninger ikke er offentlig tilgjengelige når de ikke lenger har gyldighet. En trykt utgave vil allerede før den er ferdig trykket inneholde flere feil og opplysninger som ikke lenger finnes i databasen.

Norid gir ikke ut kopier av hele eller deler av basen, og gir ikke innsyn ut over det som følger av regelverket for .no punkt 16. Norid vil eksempelvis ikke utgi en liste over domenenavn. Dette gjelder uavhengig av hvem som anmoder om slik tilgang.

4.2. Begrensninger i allmennhetens bruk av databasen

Informasjonen som gjøres allment tilgjengelig gjennom WHOIS kan benyttes til en rekke legitime og lovlige formål. Det vil imidlertid også alltid være en fare for at den publiserte informasjonen kan misbrukes. Ulike lover og regler medfører begrensninger for hva som er lovlig bruk av informasjon publisert gjennom WHOIS.

Eksempler på misbruk som rammes av lovforbud er masseutsending av e-post (spam) i strid med markedsføringsloven § 15, ulovlig spredning og bruk av personopplysninger i strid med personopplysningsloven, og ulovlig kopiering av bruk av en database i strid med åndsverkloven § 43.

Som rettighetshaver og ansvarlig for kundedatabasen forbyr Norid dessuten misbruk og kopiering. Det fremgår ved bruk av databasen at den er kopibeskyttet.

Det er brukerens eget ansvar å påse at bruken av WHOIS er lovlig. Basert på en avveining av allmennhetens legitime interesse i å ha tilgang til informasjonen, og hensynet til å avverge misbruk har Norid imidlertid også innført visse tekniske begrensninger for hvordan informasjonen gjøres tilgjengelig for allmennheten.

For å hindre misbruk av WHOIS-tjenesten ligger det tekniske sperringer i bunn for å begrense søkingen. Hvert søk logges med informasjon om hvor søket foretas fra. Dersom en adresse som det søkes fra har en oppslagsaktivitet som overstiger definerte grenser, blokkeres eller begrenses videre søk fra adressen inntil aktiviteten avtar et nivå som kan aksepteres.

Det oppgis hvilke domenenavn som er knyttet til en gitt abonnent, men ut over dette er det ikke mulig å foreta reversoppslag, dvs. at det ikke går an å hente lister over domenenavn som er knyttet til en gitt navnetjener eller kontaktperson.

5. Hvordan sikres det at informasjonen i kundedatabasen er oppdatert?

I henhold til personopplysningsloven §11 e, jf. §§27 og 28 har Norid plikt til å sørge for at personopplysninger ikke lagres i kundedatabasen lenger enn det som er nødvendig ut fra formålet med databasen. Dette følges opp av Norid ved løpende ajourføring og endringer i henhold til endringsmeldinger som sendes inn av abonnentene. I henhold til regelverket for .no-domenet har abonnentene plikt til å holde den registrerte informasjonen oppdatert til enhver tid, og å formidle endringer til Norid via en registrar. Rent praktisk er det ikke mulig for Norid å sørge for løpende ajourføring og oppdatering uten abonnentenes hjelp.

Norid vil sørge for at meldinger som kommer inn behandles raskt. Norid utfører i tillegg generelt vedlikehold og vask av basen.

Norid vil på eget initiativ foreta en løpende vurdering av om oppdateringen av den registrerte informasjonen fungerer etter forutsetningene, og om kundedatabasen kan anses som oppdatert og ájour.

6. Hvor lenge oppbevares informasjonen i kundedatabasen?

Kundedatabasen blir løpende ajourført av innehaverne av de registrerte domenenavn, og opplysninger om registrerte domenenavn med tilhørende informasjon vil kun gjøres tilgjengelig for allmennheten så lenge den aktuelle informasjonen er gyldig.

Internt i Norid oppbevares også historiske data om registrerte domenenavn og tilhørende informasjon. Dette gjøres blant annet av hensyn til å kunne dokumentere et domenenavns historikk dersom det skulle oppstå uenighet om retten til et domenenavn, og for statistiske formål. For Norids interne database opereres det ikke med noen maksimumsgrense for hvor lenge personopplysninger og øvrig informasjon kan lagres, ettersom permanent lagring anses å være i samsvar med formålet med databasen.

Historisk informasjon gjøres imidlertid ikke tilgjengelig for andre enn den som var abonnent da opplysningene var aktuelle, eller ved samtykke fra denne abonnenten, eller når det følger av lov eller rettslig beslutning.

Sist endret 22. mars 2017