Data en ai
Podium

Wat de SIDN cloud-rel ons leert

Mannenfiguur met hoofd in een donkere wolk
Het beheer van het .nl domein willen we in Nederland, terecht, in eigen hand houden, stelt hoogleraar Bart Jacobs. | Beeld Shutterstock

Digitale soevereiniteit is een serieus dingetje geworden. SIDN kreeg afgelopen week een golf van kritiek over zich heen nadat ze besloten hadden hun ICT-omgeving naar Amazon Web Services (AWS) over te zetten. Dat leert ons iets en daar moeten we wat mee.

In een blog van eind januari 2024 kondigde de Stichting Internet Domeinregistratie Nederland (SIDN) aan: “We gaan de komende 2 jaar daarom onze complete ICT-omgeving naar Amazon Web Services (AWS) overzetten, inclusief Fury”. Dit Fury is de naam van een nieuw domeinregistratieplatform. SIDN kreeg een golf van kritiek over zich heen, zie bijvoorbeeld de berichtgeving en reacties op iBestuurTweakers, Computable en Security.nl. Er zijn Kamervragen gesteld en de ministeries van BZK en EZK zijn in beweging gekomen.

Cloud besluit

SIDN is een stichting met een cruciale taak in het Nederlandse internetlandschap, namelijk het beheer van het .nl domein. SIDN gaat over de registratie en adressering (‘resolving’) van alle (top-level) Nederlandse domeinnamen, eindigend op .nl. Als daarbij wat fout gaat, gaat het internet in Nederland plat. De stichting heeft voor haar taak een monopolie, zij werkt (non-profit) onder een convenant met het ministerie van EZK, en heeft een uitgebreide raad van toezicht. De afgelopen jaren heeft SIDN gewerkt aan een modernisering van de eigen ICT. Na uitgebreide discussie met interne en externe deskundigen en met de eigen raad van toezicht heeft SIDN het ‘rationele’ besluit genomen om de cloud in te gaan. Het gaat me hier niet zozeer om de inhoudelijke afwegingen die daarbij gemaakt zijn, want die komen bekend voor: “Door de overstap naar de publieke cloud kunnen we nieuwe diensten sneller, eenvoudiger en goedkoper doorvoeren.” Het besluit is gebaseerd op eenzelfde op kosten en efficiëntie gebaseerde rationaliteit die bij talloze andere organisaties, zowel privaat als publiek, tot eenzelfde besluit heeft geleid. Bij SIDN is de zaak nu echter ontploft.

Nu het hek van de dam is zal de soevereiniteitsvraag bij meer ICT-systemen gesteld gaan worden. Daar dienen organisaties en politieke partijen rekening mee te gaan houden.

SIDN is zich bewust van de gevoeligheid van het onderwerp, in het kader van Europese en Nederlandse digitale soevereiniteit. In de genoemde blog staat “dat er nog geen volwaardig Europees alternatief bestaat. Zodra dat wel opduikt, willen we over kunnen stappen.” De opzet hanteert “vendor-agnostische architectuurprincipes” om een exit-strategie eenvoudig te maken. Deze uitleg heeft de kritiek niet ondervangen.

Wat niet helpt is de inconsistente communicatie van SIDN. Zoals geciteerd in de inleiding, spreekt de blog van het overzetten van de complete ICT-omgeving. In een toevoeging, aan het eind van de blog, zegt SIDN een dag later dat alleen het domeinregistratieplatform naar de cloud gebracht wordt; het gaat “niet over onze kerndienst resolving en onze daarbij behorende DNS-infrastructuur.” Deze belangrijke beperking is in veel berichtgeving en meningsvorming niet meer meegekomen. De onhandige communicatie heeft de heftigheid van de reacties versterkt, maar staat los van de onderliggende zorgen die naar boven zijn gekomen.

Digitale soevereiniteit nu op de agenda

De voorzitter van de Europese Commissie Ursula von der Leyen heeft bij haar aantreden het onderwerp van Europese digitale soevereiniteit op de agenda gezet. Dit is onderdeel van een breder streven naar Europese onafhankelijkheid, in gang gezet door Covid, door geopolitieke spanningen, en door het wispelturige gedrag van sommige leiders van ICT-giganten, zonder respect voor Europese waarden. Het soevereiniteitsdenken is langzaamaan ook in Den Haag doorgedrongen. De cloud-rel rond SIDN is de eerste grote maatschappelijke en politieke manifestatie. Het beheer van het .nl domein willen we in Nederland, terecht, in eigen hand houden en niet uitvoeren op computers van anderen onder buitenlandse jurisdictie. Nu het hek van de dam is zal de soevereiniteitsvraag bij meer ICT-systemen gesteld gaan worden. Daar dienen organisaties en politieke partijen rekening mee te gaan houden.

Geen alternatieven?

SIDN stelt dat een volwaardig Europees alternatief voor AWS ontbreekt. De Dutch Cloud Community toont zich in een reactie verbaasd: wat waren dan de eisen en waaraan voldoen wij dan niet? Inderdaad, door steeds te zeggen “het bestaat niet in Nederland” komen we niet verder. Wat er nu niet is moet ontwikkeld worden, op een manier die Europese waarden wel waarborgt. Dat vergt expliciet beleid, bijvoorbeeld op het gebied van soevereiniteitseisen in aanbestedingen, beschermingsconstructies voor bedrijven, en gerichte investeringen. We hebben het dan over industriepolitiek. Ook de gestelde Kamervragen wijzen in die richting. Zulk beleid is in Nederland minder populair geworden, maar de Fransen hebben er nooit moeite mee gehad. In feite voert ook Europa al een ICT-industriepolitiek met het opbouwen van eigen chip-capaciteit. Open source beleid – verdergaand dan de bestaande zachte eis van “open tenzij” – past binnen zo’n industriebeleid, met investeringen in de ondersteuning en verdere ontwikkeling van bijvoorbeeld NextCloud en andere onafhankelijke software infrastructuur, en met kaders voor het gebruik ervan.

Vanwege de toegenomen afhankelijkheden en de (geo)politieke belangen pleit ik er voor dat digitalisering in een volgend kabinet op ministersniveau belegd wordt.

Verankering op ministersniveau

Het huidige (demissionaire) kabinet heeft voor het eerst een bewindspersoon voor digitalisering, namelijk staatssecretaris van Huffelen. Vanwege de toegenomen afhankelijkheden en de (geo)politieke belangen pleit ik er voor dat digitalisering in een volgend kabinet op ministersniveau belegd wordt. Het zou kunnen via een minister voor Binnenlandse Zaken en Digitalisering (BZD). Daar zouden dan ook de digitale onderwerpen onder moeten vallen die nu nog versnipperd bij EZK en bij Justitie zitten, om de huidige afstemmingsproblematiek tussen departementen te voorkomen. Een minister van BZD, met ook de AIVD in de portefeuille, zal verantwoordelijkheid kunnen dragen voor de nationale veiligheid en soevereiniteit en ook voor de rechtsstatelijkheid.

Voor de helderheid: de stichting Privacy by Desing werkt samen met SIDN aan de identiteitsapp Yivi. Dat staat los van SIDN’s beleid voor het .nl domein. Voor dit artikel is er geen contact of overleg geweest met SIDN.

 

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren