Wat de SIDN cloud-rel ons leert
Digitale soevereiniteit is een serieus dingetje geworden. SIDN kreeg afgelopen week een golf van kritiek over zich heen nadat ze besloten hadden hun ICT-omgeving naar Amazon Web Services (AWS) over te zetten. Dat leert ons iets en daar moeten we wat mee.
In een blog van eind januari 2024 kondigde de Stichting Internet Domeinregistratie Nederland (SIDN) aan: “We gaan de komende 2 jaar daarom onze complete ICT-omgeving naar Amazon Web Services (AWS) overzetten, inclusief Fury”. Dit Fury is de naam van een nieuw domeinregistratieplatform. SIDN kreeg een golf van kritiek over zich heen, zie bijvoorbeeld de berichtgeving en reacties op iBestuur, Tweakers, Computable en Security.nl. Er zijn Kamervragen gesteld en de ministeries van BZK en EZK zijn in beweging gekomen.
Cloud besluit
SIDN is een stichting met een cruciale taak in het Nederlandse internetlandschap, namelijk het beheer van het .nl domein. SIDN gaat over de registratie en adressering (‘resolving’) van alle (top-level) Nederlandse domeinnamen, eindigend op .nl. Als daarbij wat fout gaat, gaat het internet in Nederland plat. De stichting heeft voor haar taak een monopolie, zij werkt (non-profit) onder een convenant met het ministerie van EZK, en heeft een uitgebreide raad van toezicht. De afgelopen jaren heeft SIDN gewerkt aan een modernisering van de eigen ICT. Na uitgebreide discussie met interne en externe deskundigen en met de eigen raad van toezicht heeft SIDN het ‘rationele’ besluit genomen om de cloud in te gaan. Het gaat me hier niet zozeer om de inhoudelijke afwegingen die daarbij gemaakt zijn, want die komen bekend voor: “Door de overstap naar de publieke cloud kunnen we nieuwe diensten sneller, eenvoudiger en goedkoper doorvoeren.” Het besluit is gebaseerd op eenzelfde op kosten en efficiëntie gebaseerde rationaliteit die bij talloze andere organisaties, zowel privaat als publiek, tot eenzelfde besluit heeft geleid. Bij SIDN is de zaak nu echter ontploft.
SIDN is zich bewust van de gevoeligheid van het onderwerp, in het kader van Europese en Nederlandse digitale soevereiniteit. In de genoemde blog staat “dat er nog geen volwaardig Europees alternatief bestaat. Zodra dat wel opduikt, willen we over kunnen stappen.” De opzet hanteert “vendor-agnostische architectuurprincipes” om een exit-strategie eenvoudig te maken. Deze uitleg heeft de kritiek niet ondervangen.
Wat niet helpt is de inconsistente communicatie van SIDN. Zoals geciteerd in de inleiding, spreekt de blog van het overzetten van de complete ICT-omgeving. In een toevoeging, aan het eind van de blog, zegt SIDN een dag later dat alleen het domeinregistratieplatform naar de cloud gebracht wordt; het gaat “niet over onze kerndienst resolving en onze daarbij behorende DNS-infrastructuur.” Deze belangrijke beperking is in veel berichtgeving en meningsvorming niet meer meegekomen. De onhandige communicatie heeft de heftigheid van de reacties versterkt, maar staat los van de onderliggende zorgen die naar boven zijn gekomen.
Digitale soevereiniteit nu op de agenda
De voorzitter van de Europese Commissie Ursula von der Leyen heeft bij haar aantreden het onderwerp van Europese digitale soevereiniteit op de agenda gezet. Dit is onderdeel van een breder streven naar Europese onafhankelijkheid, in gang gezet door Covid, door geopolitieke spanningen, en door het wispelturige gedrag van sommige leiders van ICT-giganten, zonder respect voor Europese waarden. Het soevereiniteitsdenken is langzaamaan ook in Den Haag doorgedrongen. De cloud-rel rond SIDN is de eerste grote maatschappelijke en politieke manifestatie. Het beheer van het .nl domein willen we in Nederland, terecht, in eigen hand houden en niet uitvoeren op computers van anderen onder buitenlandse jurisdictie. Nu het hek van de dam is zal de soevereiniteitsvraag bij meer ICT-systemen gesteld gaan worden. Daar dienen organisaties en politieke partijen rekening mee te gaan houden.
Geen alternatieven?
SIDN stelt dat een volwaardig Europees alternatief voor AWS ontbreekt. De Dutch Cloud Community toont zich in een reactie verbaasd: wat waren dan de eisen en waaraan voldoen wij dan niet? Inderdaad, door steeds te zeggen “het bestaat niet in Nederland” komen we niet verder. Wat er nu niet is moet ontwikkeld worden, op een manier die Europese waarden wel waarborgt. Dat vergt expliciet beleid, bijvoorbeeld op het gebied van soevereiniteitseisen in aanbestedingen, beschermingsconstructies voor bedrijven, en gerichte investeringen. We hebben het dan over industriepolitiek. Ook de gestelde Kamervragen wijzen in die richting. Zulk beleid is in Nederland minder populair geworden, maar de Fransen hebben er nooit moeite mee gehad. In feite voert ook Europa al een ICT-industriepolitiek met het opbouwen van eigen chip-capaciteit. Open source beleid – verdergaand dan de bestaande zachte eis van “open tenzij” – past binnen zo’n industriebeleid, met investeringen in de ondersteuning en verdere ontwikkeling van bijvoorbeeld NextCloud en andere onafhankelijke software infrastructuur, en met kaders voor het gebruik ervan.
Verankering op ministersniveau
Het huidige (demissionaire) kabinet heeft voor het eerst een bewindspersoon voor digitalisering, namelijk staatssecretaris van Huffelen. Vanwege de toegenomen afhankelijkheden en de (geo)politieke belangen pleit ik er voor dat digitalisering in een volgend kabinet op ministersniveau belegd wordt. Het zou kunnen via een minister voor Binnenlandse Zaken en Digitalisering (BZD). Daar zouden dan ook de digitale onderwerpen onder moeten vallen die nu nog versnipperd bij EZK en bij Justitie zitten, om de huidige afstemmingsproblematiek tussen departementen te voorkomen. Een minister van BZD, met ook de AIVD in de portefeuille, zal verantwoordelijkheid kunnen dragen voor de nationale veiligheid en soevereiniteit en ook voor de rechtsstatelijkheid.
Voor de helderheid: de stichting Privacy by Desing werkt samen met SIDN aan de identiteitsapp Yivi. Dat staat los van SIDN’s beleid voor het .nl domein. Voor dit artikel is er geen contact of overleg geweest met SIDN.
Mooi moment voor een pas op de plaats. Soevereiniteit is een concept dat allerlei definities kent, afhankelijk van de context waarin het wordt gebruikt. Hebben we het over politieke soevereiniteit? De ultieme autoriteit binnen een bepaald, beperkt territorium, waarbij een staat of natie vrij is van externe controle en het recht heeft om zijn eigen wetten en beleid te maken en uit te voeren? Wordt interessant van Nederland bestaat ook uit ambassades, overzeese gebieden etc. en stopt dus niet bij de ‘grens’. Politiek is uiteindelijk ‘informatie’ dus de vraag is niet of je wat te zeggen hebt, maar of de bit erdoor komt. Of bedoelen we nationale soevereiniteit? De autonomie van een staat, vrij van buitenlandse inmenging, waarbij het controle heeft over zijn eigen zaken en het recht heeft om zelfstandig beslissingen te nemen op het gebied van bestuur, wetgeving en economie. Nederland is de meest open economie op de planeet! Of bedoelen we juridische soevereiniteit? De exclusieve autoriteit van ons rechtssysteem om wetten te creëren, te interpreteren en af te dwingen binnen zijn jurisdictie. Werkt ook allang niet meer zo. Of hebben we het over populaire soevereiniteit? Economische soevereiniteit? Culturele? Monetair? …. Laten we ons tot digitale soevereiniteit beperken: de controle van een staat of samenleving over digitale informatie en gegevens, technologieën en de digitale infrastructuur, vaak in relatie tot internet governance en cyberveiligheid. De technische realisatie hiervan is vooral een multidisciplinair vraagstuk, dus met alleen een IP domein claimen ben je er niet. Als we dus niet uitkijken dan zijn de kosten van deze hype hoger dan de baten. Splinternet zou ons internet fragmenteren tot slechts nationale belangen, wat juist zal leiden tot minder toegang tot informatie en daarmee tot het ondermijnen van universele connectiviteit. Leuk hoor die soevereiniteit, zo in je eentje, geïsoleerd.
Ware digitale soevereiniteit regel je in de combinatie van data soevereiniteit én data governance, ondersteund door robuuste Trust & Governance frameworks: afspraken dus over de relaties tussen mensen, machines, organisaties, applicaties en datasets, zoals allang kan met iShare. Data soevereiniteit zorgt ervoor dat gegevens binnen de jurisdictie blijven en onderworpen zijn aan lokale wetgeving, wat van cruciaal belang is in een tijd waarin data de ruggengraat vormt van onze economie en samenleving. Dan moet je alleen wel weten waar jouw data staat, van wie ze zijn, wat je er eigenlijk mee doet, via welke apparaten en over welke netwerken? Voorlopig is bij de meeste organisaties geen enkel van deze onderwerpen ook maar bij benadering onder controle. Dan nog is data soevereiniteit alleen niet genoeg; we moeten ervoor zorgen dat de gegevens ook op een transparante en verantwoordelijke manier worden beheerd. Dit is waar data governance en Trust frameworks een rol spelen. Dit is de wereld van Data Sharing Agreements, van gefedereerde en gecentraliseerde afsprakenstelsel voor identificatie, authenticatie en autorisatie, waardoor partijen binnen samenwerkende data ecosystemen op een gestructureerde, veilige en betrouwbare manier data kunnen delen. Door het implementeren van fijnmazige Trust & Governance, zoals geboden door iShare, kan SIDN zorgen voor een gestructureerde uitwisseling van gegevens, waarbij de privacy en veiligheid van de betrokken partijen in elk geval worden gewaarborgd. Dit creëert alvast een omgeving waarin soevereiniteit niet ten koste gaat van interoperabiliteit en samenwerking. Het gebruik van geavanceerde technologieën, zoals Open Kubernetes kan bijdragen aan de flexibiliteit en schaalbaarheid van de infrastructuur die nodig is om deze soevereiniteit te ondersteunen, terwijl het ook de beveiliging en efficiëntie verbetert. Samen bieden data soevereiniteit, data governance en Trust & Governance een krachtig mechanisme om de controle over nationale digitale assets te behouden, terwijl ze tegelijkertijd de voordelen van een open en verbonden internet behouden.
Laten we dus vooral een holistische benadering van digitale soevereiniteit omarmen, die zowel infrastructuur als gegevensbeheer omvat. Zo bekeken is het tijdig onderkennen van VALSE .nl domeinen een veel groter probleem dan het niet kunnen AANmaken van NL domeinen. Leg gewoon boetes op, op non-compliance van de nieuwe EU datawetten en monitor eindelijk een keer met moderne middelen. Zo kunnen we er pas echt voor zorgen dat onze nationale digitale bronnen, zoals het .nl domein, beschermd blijven tegen externe invloeden, terwijl we onze positie in de wereldwijde digitale economie blijven versterken.