Bijna een jaar geleden maakte SIDN, beheerder van het .nl-domein, bekend dat het voornemens was het Domein Registratie Systeem van de (ongeveer) zes miljoen domeinen die het beheert te willen verhuizen naar de cloud van AWS. Dit besluit riep destijds veel vragen en zorgen op, ook bij Dutch Cloud Community.
Wij waren kritisch over het besluit en stelden vragen over onder andere datasoevereiniteit. Volgens het convenant van SIDN zou het .nl-domein toch binnen Nederland moeten blijven? Daarnaast uitten wij onze zorgen over continuïteit en de integriteit van data, aangezien een Amerikaanse cloud provider gebonden is aan de Amerikaanse Cloud Act, die de Amerikaanse overheid toegang kan geven tot data, inclusief klantinformatie. Ook wezen we op de morele en ethische aspecten van deze keuze: past het bij een centrale speler in het Nederlandse internet om naar AWS te verhuizen zonder de Nederlandse sector de kans te geven om mee te dingen naar deze opdracht?
Destijds was het onduidelijk aan welke eisen het systeem zou moeten voldoen. De Nederlandse sector was niet gevraagd en niet geraadpleegd en de stelling dat geen enkele Europese provider het DRS-systeem zou kunnen laten draaien, werd niet onderbouwd. Dit wekte de indruk dat de eigen industrie buitenspel werd gezet, terwijl vergelijkbare systemen al jaren succesvol door Nederlandse providers worden gebruikt.
Onze zorgen werden gedeeld door anderen, waaronder leden van de Tweede Kamer en de overheid. Dit leidde tot meerdere onderzoeken op technisch en juridisch gebied, een privacy-assessment en een risicoanalyse door de AIVD.
Vorige week werd (eindelijk) de quickscan van KPMG openbaar gemaakt. Ook heeft de overheid haar besluit ten opzichte van de beoogde verhuizing naar de Amerikaanse cloud van het DRS-systeem kenbaar gemaakt.
Lang niet alle vragen zijn beantwoord. De quickscan is vrij algemeen en raakt slechts oppervlakkig de SIDN casus, zonder bijvoorbeeld in te gaan op de specifieke aspecten van requirements van SIDN die echt nodig zijn voor het systeem en onmogelijk door een Europese provider geleverd zouden kunnen worden. Maar het is er nu en ook het besluit van de regering is nu genomen.
Dutch Cloud Community blijft van mening dat transparantie vanaf het begin de voorkeur had verdiend. Als SIDN haar eisen openbaar had gemaakt in een aanbesteding, hadden Nederlandse, Europese en niet-Europese partijen op gelijke voet kunnen meedingen. Mocht dan blijken dat de Nederlandse sector niet in staat is deze opdracht te vervullen, dan had dat een duidelijk signaal geweest over waar verbeteringen nodig zijn.
Besloten is dat SIDN door mag gaan met het inrichten van het DRS-systeem in de Cloud van de Amerikaanse hyperscalers, maar wel onder bepaalde voorwaarden, waar op dit moment nog niet aan wordt voldaan.
Een onderdeel hiervan zijn beperkingen die de AIVD heeft aangegeven over welke elementen precies in een niet-Europese Cloud geplaatst mogen worden. Aangezien het AIVD rapport niet openbaar gemaakt is kunnen wij daar moeilijk iets over zeggen. SIDN heeft wel al gezegd daaraan te zullen voldoen.
Een andere is de eis van een exitstrategie. Iets dat op dit moment nog ontbreekt. Het bepalen van een geloofwaardige exitstrategie is iets waar wij als branchevereniging van de Nederlandse sector ons in kunnen vinden.
Wij denken ook dat hier een mooie kans ligt voor SIDN om alsnog een open aanbesteding te doen om een alternatief neer te zetten bij een Nederlandse provider. Tijdens het afgelopen jaar hebben een aantal cloud providers uit onze sector aangegeven graag met SIDN aan de slag te willen gaan. Wij roepen SIDN dan ook op om de aanbesteding voor een backup systeem zo breed mogelijk uit te zetten en daarin de technische, functionele en security eisen helder en transparant te formuleren, zodat een volwaardig alternatief gebouwd kan worden met een leverancier van de industrie waarvan SIDN het hart is.
Als dan zou blijken dat dat niet mogelijk is, is het in ieder geval een wake up-call voor de sector en een mooie kans om hard te werken aan het verbeteren van het aanbod.
