SIDN-verhuizing naar AWS op losse schroeven door minister EZK
Minister Adriaansens van Economische Zaken is verrast over de aangekondigde verhuizing van de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert, naar AWS (Amazon Web Services). Er komen diverse onderzoeken naar de verhuizing, die nu allerminst zeker lijkt geworden.
Adriaansens is in gesprek gegaan met SIDN naar aanleiding van de berichtgeving over de aangekondigde verhuizing van de ICT-omgeving van de domennamenregistratiedienst naar AWS. Ze heeft daarbij gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). De verhuizing is volgens haar ‘geen voldongen feit’, zo schrijft ze in haar antwoord op Kamervragen van diverse partijen.
Toetsen op veiligheid en privacy
Voordat de verhuizing daadwerkelijk plaatsvindt, moet er nog veel gebeuren om te voldoen aan alle relevante wetten en regels, waaronder een beoordeling van de risico’s voor de veiligheid, integriteit en continuïteit van het .nl domein in het kader van de Wbni. Ook wordt er een Data Protection Impact Assessment (DPIA) en Data Transfer Impact Assessment (DTIA) uitgevoerd, met het oog op privacyrisico’s. Adriaansens is daarnaast tot het besluit gekomen om een quickscan uit te voeren waarmee in kaart wordt gebracht of er geen Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN.
“De quickscan zal niet exclusief op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse partijen”, aldus Adriaansens.
‘Servers AWS gevestigd in EU’
SIDN geeft bij de minister aan de servers die zij voornemens zijn te gebruiken van AWS gevestigd zijn binnen de Europese Unie en dat de Europese wet- en regelgeving onverkort van toepassing zal zijn. De data wordt vervolgens versleuteld verwerkt, getransporteerd en opgeslagen.
SIDN stelde tegenover het ministerie dat zowel de hostingprovider als de Amerikaanse overheid geen toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen. Het heikele punt is echter dat, volgens Adriaansens, de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale werking, opgeëist kunnen worden. Een privacy-onderzoek moet hierover uitsluitsel geven.
Zekerheid geven niet mogelijk
Op de vraag of Adriaansens met ‘volle zekerheid’ kan zeggen dat alle registratiegegevens en .nl-domeinen, van nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans bedrijf, antwoordt ze dat dit niet mogelijk is. “De risico’s moeten beheersbaar zijn. Op dit moment heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor de systemen als gevolg van het voorgenomen besluit.”
Dit artikel is eerder gepubliceerd op iBestuur, zustertitel van AG Connect.
Update:
Een communicatiemanager van SIDN laat nog aan AG Connect weten "dat het niet gaat om de verhuizing van SIDN naar AWS zoals in de titel wordt gesuggereerd. Alleen de infrastructuur, waarmee domeinnamen worden geregistreerd en aangepast, is voorzien te verhuizen naar de cloud van AWS. Het gaat niet om het DNS of de zonefile van .nl en ook niet over .nl-domeinnamen, websites of mailadressen."
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee