Het is allerminst zeker dat de verhuizing van het registratiesysteem van het nl-domein doorgaat. Politiek zijn er bezwaren tegen het plan van Stichting Internet Domeinregistratie Nederland (SIDN) om de ict-omgeving, waarbinnen het nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS).
Micky Adriaansens (Economische Zaken en Klimaat) is verrast en bezorgd over het voorgenomen besluit. In antwoord op vragen van de Kamerleden Kathmann (GroenLinks-PvdA), Jesse Six Dijkstra (NSC) en Joost Sneller (D66) laat ze weten dat SIDN met een goed verhaal moet komen wil de administratie van wie welke domeinnaam heeft naar de AWS-cloud gaan. De minister vindt het nog te vroeg om een veto uit te spreken over de migratie naar de Amerikaanse hyperscaler, maar heeft SIDN al wel laten beloven om geen onomkeerbare stappen te zetten.
SIDN zal critici uit de internetgemeenschap duidelijker moeten uitleggen waarom er geen alternatief binnen Nederland en de EU voor een Amerikaanse cloud-aanbieder bestaat. Het ministerie gaat ook een quick scan doen om te kijken of er een andere optie is die voldoet aan de eisen voor het domein-registratiesysteem.
Verder wijst Adriaansens erop dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Algemene Verordening Gegevensbescherming (AVG) en de Wet beveiliging netwerk- en informatiesystemen (Wbni). Op basis van die laatste wet zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het nl-domein. Ook de privacy kan nog een heet hangijzer worden. SIDN moet via een Data Protection Impact Assessment (DPIA) vooraf te beoordelen welke impact een gegevensverwerking kan hebben op de privacy van betrokkenen.
Struikelblok
Privacywaakhond AP gaat controleren of de SIDN die gegevensoverdracht-effectbeoordeling goed uitvoert. Hetzelfde geldt voor de beoordeling van de privacyrisico’s die gepaard gaan met het overdragen van persoonsgegevens naar landen buiten de EU/EER. Ook deze zogeheten Data Transfer Impact Assessment (DTIA) kan nog een struikelblok vormen.
SIDN geeft aan dat de betrokken AWS-servers binnen de EU staan. Bovendien zullen de data versleuteld worden verwerkt, getransporteerd en opgeslagen. Zowel de hostingprovider als de Amerikaanse overheid hebben geen toegang tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen. Maar Amerikaanse federale rechtshandhavers kunnen op basis van de US Cloud Act wel de toegang tot deze data opeisen. Als uit deze DPIA en DTIA blijkt dat er hoge risico’s blijven bestaan, dan komt de AP in het geweer.
De minister constateert dat SIDN diverse belanghebbenden met haar besluitvorming over de migratie naar AWS heeft overvallen. Zo is de Vereniging van Registrars gepasseerd. Adriaansens stelt dat SIDN daarmee eerdere afspraken met EZK heeft geschonden. Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van een nl-domein beslaat twee systemen: het domeinregistratiesysteem en het domeinnaamsysteem.
Struikelblok as a Service want je kunt je cloudprovider niet vertrouwen.
Natuurlijk straks allerlei consultants, elk met hun eigen businesmodel die gaan bepalen hoe en wat. Hoera.
De term “onomkeerbare stappen” zegt ook wat over de transparante migratiemogelijkheden.
Gelukkig gaat het alleen om een deel van de systemen, nl alleen dat deel met de persoonsgegevens 😛