Minister trapt op de rem bij SIDN-verhuizing naar Amazon
Minister Adriaansens van Economische Zaken is verrast over de aangekondigde verhuizing van de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, naar Amazon. Er komen diverse onderzoeken naar de verhuizing, die nu allerminst zeker lijkt geworden.
Adriaansens is in gesprek gegaan met SIDN naar aanleiding van de berichtgeving over de aangekondigde verhuizing van de ICT-omgeving van de domennamenregistratiedienst naar Amazon. Ze heeft daarbij gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). De verhuizing is volgens haar ‘geen voldongen feit’, zo schrijft ze in haar antwoord op Kamervragen van diverse partijen.
Toetsen op veiligheid en privacy
Voordat de verhuizing daadwerkelijk plaatsvindt, moet er nog veel gebeuren om te voldoen aan alle relevante wetten en regels, waaronder een beoordeling van de risico’s voor de veiligheid, integriteit en continuïteit van het .nl domein in het kader van de Wbni. Ook wordt er een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitgevoerd, met het oog op privacyrisico’s. Adriaansens is daarnaast tot het besluit gekomen om een quickscan uit te voeren waarmee in kaart wordt gebracht of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN.
“De quickscan zal niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen”, aldus Adriaansens.
‘Servers AWS gevestigd in EU’
SIDN geeft bij de minister aan de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de Europese Unie en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. De data wordt vervolgens versleuteld verwerkt, getransporteerd en opgeslagen. SIDN stelde tegenover het ministerie dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen. Het heikele punt is echter dat, volgens Adriaansens, de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist worden. Een privacy-onderzoek moet hierover uitsluitsel geven.
Zekerheid geven niet mogelijk
Op de vraag of Adriaansens met ‘volle zekerheid’ kan zeggen dat alle registratiegegevens en .nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf, antwoordt ze dat dit niet mogelijk is. “De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit.”
Lees ook:
Het is terecht dat Minister Adriaanse op de rem stapt. Juist nu de EU er alles aan doet om de macht van Big Tech in te perken, kwam het besluit van het SIDN, om een deel van haar dienstverlening onder te brengen bij Amazon, als een volledige verrassing.
Het besluit om nu een quickscan uit te voeren waarmee in kaart wordt gebracht of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN, is een prima stap, maar waarom hier niet eerder naar gekeken is en blijft een raadsel. Het was een beter idee geweest om de ICT-omgeving van de domennamenregistratiedienst sowieso te outsourcen aan een Europese partij. Want dan maak je de Nederlandse kritieke infrastructuur niet afhankelijk van providers op een ander continent.
De risico’s van de afhankelijkheid van IT worden alleen maar groter. Alles is tegenwoordig met elkaar verbonden. Het is zaak een goede afweging te maken over waar je cloud voor inzet, waar gaat het voordelen voor je opleveren en waar brengt het meer risico met zich mee? Zorg er in ieder geval voor dat je goed voorbereid bent en dat je weet hoe je IT-landschap er uitziet. Als je voldoende inzicht hebt en weet waar de risico’s liggen, dan kun je bij een calamiteit in ieder geval snel schakelen en houd je de controle in eigen hand/land