Preview document (🔗 origineel)

---

Geachte Voorzitter,

Op 29 januari jl. heeft de Stichting Internet Domeinregistratie Nederland (SIDN) aangekondigd het domeinregistratiesysteem van het .nl-domein te willen verplaatsen naar de public cloud van Amazon Web Services (AWS). Over dit bericht zijn door uw Kamer vragen gesteld, welke op 22 maart jl. zijn beantwoord.¹ Na de berichtgeving van SIDN en voornoemde Kamervragen zijn er door de ministeries van Economische Zaken en Binnenlandse Zaken en Koninkrijksrelaties diverse acties en onderzoeken in gang gezet om de risico’s van een migratie van het domeinregistratiesysteem in kaart te brengen. Ook is met SIDN afgesproken dat er géén onomkeerbare stappen gezet worden gedurende de looptijd van de acties en onderzoeken die uitgezet zijn om beter inzicht te krijgen in het voorgenomen besluit. Over het toen nog lopende traject is op 21 juni jl. een update naar de Kamer gestuurd.²

De verschillende acties en onderzoeken zijn inmiddels afgerond. Op basis van een quickscan over het cloudaanbod, een Data Protection Impact Assessment (DPIA) en een risicoanalyse van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), heeft het kabinet geconstateerd dat aan de oorspronkelijk voorgenomen migratie van SIDN veiligheidsrisico’s verbonden zijn. Daarom kan SIDN wat het kabinet betreft alleen onder strikte voorwaarden en in een aangepaste vorm ten opzichte van aanvankelijk voorzien door SIDN gebruik maken van de public cloud van AWS, en dan voor een beperkt deel van het domeinregistratiesysteem. SIDN heeft aangegeven hiermee akkoord te gaan. Hieronder zal ik, mede namens de staatssecretaris van Digitalisering en Koninkrijksrelaties, de diverse acties en onderzoeken nader toelichten.

Gesprek met belangenbehartigers cloud

Op 27 maart jl. zijn de toenmalige minister van Economische Zaken en Klimaat en de staatssecretaris van Digitalisering en Koninkrijksrelaties in gesprek gegaan met experts en belanghebbenden over de wijze waarop Digitale Open Strategische Autonomie (DOSA) het beste kan worden geborgd voor vraagstukken rondom cloudinfrastructuur en -diensten. Een uitgebreide terugkoppeling van dit gesprek treft u in de Kamerbrief van 21 juni jl.

Quickscan cloudonderzoek

In diezelfde Kamerbrief is toegelicht dat de adviezen van de experts hebben geholpen bij de formulering van de opdracht voor de quickscan. De quickscan diende om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en indien er inderdaad geen alternatief is, wat het zou vergen om deze lacune te vullen. Deze quickscan was toegezegd in de beantwoording van de Kamervragen. De quickscan is in opdracht van het ministerie van Economische Zaken tussen mei en augustus 2024 uitgevoerd door KPMG. Het eindrapport is als bijlage meegestuurd bij deze brief.

De quickscan bestond uit een ‘gap-analyse’ waarin het cloudaanbod van acht Nederlandse en Europese aanbieders³ is afgezet tegen dat van de hyperscale aanbieders⁴. In de analyse is gekeken naar de technische en functionele verschillen in het aanbod van Nederlandse en Europese aanbieders in vergelijking met hyperscale aanbieders. Daarnaast zijn de juridische en organisatorische aspecten vergeleken die komen kijken bij het afnemen van clouddiensten bij Nederlandse en Europese en bij hyperscale aanbieders.

Bevindingen quickscan met betrekking tot casus SIDN
De bevindingen uit de gap-analyse zijn toegepast op de voorgenomen cloudmigratie van SIDN. De quickscan was zodoende niet exclusief gericht op de voorgenomen SIDN-migratie, maar deze is wel expliciet als casus meegenomen in het onderzoek. De onderzoekers concluderen dat Nederlandse en Europese aanbieders op dit moment slechts ten dele de door SIDN opgestelde technische en functionele criteria evenals de juridische aspecten kunnen invullen.⁵ Hyperscale aanbieders zijn in staat alle criteria te vervullen.

Deze conclusie is vastgesteld op basis van de organisatie-specifieke criteria van SIDN’s voorgenomen migratie. De onderzoekers concluderen ook dat (semi-) publieke organisaties of andere organisaties met een publieke taak of doelstelling die een gelijksoortige overweging over cloudmigratie moeten maken, zelf zullen moeten vaststellen of de geïdentificeerde lacunes ook van toepassing zijn op de criteria die zij stellen, en of daarmee een keuze voor een Nederlandse of Europese aanbieder mogelijk is.

In de quickscan is vastgesteld dat er technische en functionele verschillen zijn tussen Europese en Nederlandse cloudproviders en hyperscalers. De resultaten van de quickscan zijn gebaseerd op publiek toegankelijke informatie van cloudaanbieders, aangevuld met interviews, waardoor de resultaten van de gap-analyse beperkingen kennen. Gezien de aard van een quickscan, is er géén diepteonderzoek of verificatie uitgevoerd ten opzichte van de publiek toegankelijke informatie. De beschreven maatregelen zijn alleen in opzet onderzocht, niet in bestaan of werking.

DPIA

SIDN heeft een externe partij, Considerati, ingeschakeld om een Data Protection Impact Assessment (DPIA) uit te voeren voor de migratie van het domeinregistratiesysteem. Omdat de keuze voor AWS betekent dat de gegevens worden ondergebracht in de cloud omgeving van een Amerikaanse aanbieder, heeft SIDN een DPIA uit laten voeren om de risico’s voor de rechten en vrijheden van betrokkenen in kaart te brengen.

Er zijn privacyrisico’s geïdentificeerd bij het gebruik van AWS. Die risico’s hebben betrekking op de mogelijkheid voor AWS om kennis te nemen van persoonsgegevens. AWS zou deze gegevens voor eigen doeleinden kunnen gebruiken, maar ook -al dan niet onder dwang- kunnen doorgeven aan de Amerikaanse overheid. Het risico heeft voornamelijk betrekking op de klantgegevens (content gegevens), maar ook het gebruik van de SIDN-omgeving door klanten en medewerkers van SIDN is potentieel inzichtelijk voor AWS. In algemene zin geldt het risico van het (onder dwang) doorgeven van gegevens aan de Amerikaanse overheid voor alle cloudaanbieders die onder Amerikaanse jurisdictie vallen.

Considerati concludeert dat SIDN dit risico tot een acceptabel niveau heeft teruggebracht door zorg te dragen voor de versleuteling van de gegevens (at rest en in transit). Daarnaast zorgt de beveiligde server infrastructuur van AWS ervoor dat de gegevens tijdens de verwerking niet toegankelijk zijn voor AWS en daarmee ook niet voor derden zoals de Amerikaanse overheid. Naar het oordeel van Considerati worden met de standaard beveiligingsmaatregelen van AWS, de voorgenomen inrichting van de SIDN-AWS omgeving door SIDN, de aanvullende risicobeperkende maatregelen en de deelname van AWS aan het EU-US Data Privacy Framework, de privacyrisico’s juridisch tot een acceptabel niveau teruggebracht.

In de conclusie van Considerati woog mee dat sinds 10 juli 2023 het EU-US Data Privacy Framework van kracht is, waar Amazon (waaronder AWS) bij aangesloten is. Het EU-US Data Privacy Framework, de opvolger van het Privacy Shield raamwerk, is het nieuwe adequaatheidsbesluit voor de Verenigde Staten. Dit betekent dat alle partijen die aangesloten zijn bij het Data Privacy Framework zich moeten houden aan met de EU vergelijkbare privacyregels. Hierdoor worden risico’s zoals ongeautoriseerde kennisname door AWS en subverwerkers⁶ juridisch gemitigeerd tot een acceptabel niveau.

DTIA

Ook voor de Data Transfer Impact Assessment (DTIA) is de EU-US Data Privacy Framework van belang. Dankzij het adequaatheidsbesluit van de Europese Commissie voor de Verenigde Staten, is doorgifte van persoonsgegevens vanuit de EU naar AWS toegestaan en is het niet langer noodzakelijk om een DTIA te doen. Omdat AWS een deelnemer is aan het EU-US Data Privacy Framwork moet zij zich committeren aan met de Algemene Verordening Gegevensbescherming (AVG) vergelijkbare regels voor de verwerking van persoonsgegevens. Dit in samenhang met de verwerkersovereenkomst maakt het dat de verwerking in de cloud ook omgeven is met juridische waarborgen ter bescherming van de privacy.

Exitstrategie

Op dit moment heeft SIDN nog geen exitstrategie kunnen aanleveren; dit is een integraal onderdeel van de migratie die pas verder gestart kan worden na afronding van alle onderzoeken. Door deze beperking heeft SIDN nog niet volledig in kaart kunnen brengen hoe de gevolgen van een gefaseerde exit uit de AWS public cloud, dan wel een noodexit, moeten worden gemitigeerd.

SIDN heeft al wel een groot aantal randvoorwaarden in kaart gebracht voor hun exitstrategie. De strategie zal toezien op zowel het snel kunnen verhuizen in het geval van problemen of calamiteiten, alsmede het kunnen migreren naar een Europese of Nederlandse cloudprovider indien deze mogelijkheid zich aandient. Deze zal in lijn zijn met het Rijksbreed cloudbeleid en het Implementatiekader Risicoafweging Cloudgebruik Rijksoverheid.⁷

In de architectuurprincipes maakt SIDN zo veel mogelijk gebruik van open standaarden en protocollen. De AWS-clouddiensten die afgenomen worden, zullen vooraf getoetst worden op (o.a.) portabiliteit, exit-opties, security en compliancy. Halfjaarlijks zal door SIDN geëvalueerd worden welke AWS-clouddiensten afgenomen worden. SIDN zal in de exitstrategie ook kijken naar een gehele versus een gedeeltelijke exit uit AWS. Een gedeeltelijke exit kan mogelijk ook door compartimentering van cloud workload(applicaties) in AWS.

De exitstrategie wordt gebaseerd op afweging van risico’s, haalbaarheid en kosten van mitigerende maatregelen. Relevante risico’s hierbij zijn o.a. vendor lock-in, het staken van de activiteiten van de cloudaanbieder, de prestaties van de cloudaanbeider en de betaalhaarheid van de cloudaanbieder.

AIVD Risicoanalyse

Ten behoeve van het in kaart brengen van eventuele veiligheidsrisico’s ten aanzien van de nationale veiligheid is de AIVD verzocht een risicoanalyse uit te voeren. In deze analyse zijn de veiligheidsrisico’s in kaart gebracht die ontstaan voor de Nederlandse digitale soevereiniteit en strategische autonomie wanneer SIDN delen van het domeinnaamsysteem (DNS)-beheer uitbesteedt aan derden. In dit onderzoek heeft de AIVD het domeinregistratiesysteem bekeken als onderdeel van de algehele DNS-keten. Buiten scope van de opdracht was welke mogelijke risico’s ontstaan bij het continueren van het in eigen beheer houden van het domeinregistratiesysteem.

 

De AIVD constateert nationale veiligheidsrisico’s wanneer SIDN (delen van) zijn DNS-infrastructuur exclusief uitbesteedt aan derde(n) buiten Nederland. Het uitbesteden van dit beheer vormt risico’s voor het autonoom en soeverein functioneren van de Nederlandse DNS-infrastructuur. Derhalve adviseert de AIVD de gehele DNS-keten van SIDN bij een Nederlandse partij op Nederlands grondgebied te houden. Wanneer geen Nederlandse oplossing voorhanden is, zou volgens de AIVD met additionele maatregelen enkel een beperkt deel van het domeinregistratiesysteem, als onderdeel van de algehele DNS-keten, bij een clouddienstleverancier buiten Nederland ondergebracht kunnen worden. Voor het verhogen van de beschikbaarheid van de DNS-keten wordt minstens één van de DNS-servers van de wereldwijd gedistribueerde infrastructuur geplaatst bij, en in beheer gehouden door, een Nederlandse dienstverlener. Het AIVD-rapport is gerubriceerd en kan omwille van vertrouwelijkheid niet openbaar gemaakt worden.

Toezicht en convenant

De Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op SIDN op basis van de Wet beveiliging netwerk- en informatiesystemen (Wbni). Sinds de Kamerbrief dd. 21 juni jl. is er meerdere keren contact geweest tussen de RDI en SIDN. SIDN heeft de RDI actief geïnformeerd en betrokken bij de voortgang van het migratietraject. Zo is er overeengekomen dat een externe audit onderdeel zal zijn van de voorgenomen exitstrategie. De toezichthouder zal blijvend meekijken op de beheersing van risico’s van het huidige en het toekomstige systeem en die van de exitstrategie. Ook heeft de RDI kennis genomen van de risicoanalyse van de AIVD. SIDN zal de RDI periodiek informeren over de opzet, bestaan en werking van de implementatie van de AIVD-adviezen. De RDI zal blijven toezien op SIDN vanuit haar bestaande verantwoordelijkheid en de geldende wettelijke kaders. Daarnaast zijn SIDN en ik overeengekomen om het advies van de AIVD over te nemen als afspraak in een addendum op het reeds bestaande convenant tussen EZ en SIDN⁸. In het addendum is opgenomen dat het uitgangspunt is dat de DNS-keten bij een Nederlandse partij en op Nederlands grondgebied wordt ondergebracht, en dat voor die onderdelen waar geen Nederlandse oplossing voorhanden is, migratie naar een partij buiten Nederland alleen onder strikte voorwaarden mogelijk is. Het addendum op het convenant treft u in de bijlage.

Het .nl-domein is van uitzonderlijk belang voor Nederland. In het convenant tussen het ministerie van Economische Zaken en SIDN was reeds opgenomen dat SIDN duurzaam verbonden moet blijven met Nederland en dit artikel is aangepast in bijgevoegd addendum op het convenant. Samen met de staatssecretaris van Digitalisering en Koninkrijksrelaties zie ik er op toe dat de verbondenheid met Nederland gewaarborgd blijft. In het convenant tussen EZ en SIDN zijn afspraken gemaakt voor een vaste overlegstructuur waarin alle relevante aspecten rond de continuïteit, stabiliteit en veiligheid van het .nl-domein worden besproken. De afspraken uit het nieuwe addendum zullen hierin nadrukkelijk aan de orde komen teneinde de opvolging van het besluit actief te kunnen monitoren. Daarnaast heeft SIDN in dit traject gemerkt hoe belangrijk het is belanghebbenden uit de internetgemeenschap, waaronder de Rijksoverheid, vroegtijdig te betrekken. SIDN heeft hierin beterschap beloofd en positieve stappen gezet. Ik zal hierover ook in gesprek blijven met SIDN. In de afgelopen maanden hebben de staatssecretaris van Digitalisering en Koninkrijksrelaties en ik een goede samenwerking ervaren met SIDN en verwachten dit in de toekomst voort te zetten. SIDN heeft toegezegd de voorgestelde maatregelen toe te passen voordat de migratie is voltooid.

Conclusie

Alles overwegende concludeert het kabinet dat SIDN onder strikte voorwaarden de migratie naar de public cloud van AWS kan maken voor een beperkt deel van het domeinregistratiesysteem, mits de risico’s die door de AIVD in kaart zijn gebracht voor het domeinregistratiesysteem gemitigeerd worden door de voorgestelde maatregelen te implementeren. Door de bevindingen uit de AIVD risicoanalyse kan SIDN een beperkter deel van hun DRS in de public cloud van AWS onder brengen dan dat zij eerder voornemens waren. SIDN heeft toegezegd de voorgestelde maatregelen uit de risicoanalyse volledig toe te passen. Hiervoor is een addendum op het convenant met SIDN opgesteld. Daarnaast is middels een quickscan verkend of een Nederlandse of Europese cloudaanbieder volledig kan voldoen aan de door SIDN opgestelde technische en functionele criteria. De onderzoekers concludeerden dat Nederlandse en Europese aanbieders op dit moment slechts ten dele deze criteria kunnen invullen. Tevens is in de DPIA geconcludeerd dat de privacyrisico’s tot een acceptabel niveau teruggebracht worden.

SIDN kan nu, aan de hand van het voorgenomen besluit, de exitstrategie nader uitwerken. Ook is de RDI met SIDN overeengekomen dat een externe audit onderdeel zal zijn van de voorgenomen exitstrategie. Daarom kan SIDN, ondanks het nog niet gereed zijn van de exitstrategie, op dit moment verder werken aan de migratie naar AWS. Ten slotte zal SIDN de RDI periodiek informeren over de opzet, bestaan en werking van de implementatie van de AIVD-adviezen. De RDI zal blijven toezien op SIDN vanuit de geldende wettelijke kaders.

Ik zal in gesprek blijven met SIDN over de voortgang van de implementatie van de maatregelen en de exitstrategie. Daarnaast neem ik de aanbevelingen van de AIVD over en is in overleg met SIDN een addendum op het convenant opgesteld.

Mede namens de staatssecretaris van Digitalisering en Koninkrijksrelaties,

Dirk Beljaarts

Minister van Economische Zaken

---

1. Kamerstuknr. 2024Z01500 - Antwoorden verhuizing van het .nl domein 22 maart 2024↩︎

2. Kamerstuknr. 2024D26485 - Update migratie .nl domeinregistratiesysteem naar AWS 21 juni 2024↩︎

3. IONOS, KPN CloudNL, Leaseweb, ODC-Noord, Orange Flexible Engine, OVHcloud, Scaleway en T-Systems Open Telekom.↩︎

4. Google, Microsoft, Amazon Webservices↩︎

5. Een reflectie op de criteria die SIDN heeft opgesteld voor de migratie van haar domeinregistratiesysteem was geen onderdeel van de opdracht.↩︎

6. Voor wat betreft subverwerkers is dit geregeld in het AWS Data Processing Addendum, met standaardcontractbepalingen (SCC’s) dewelke aangenomen zijn door de Europese Commissie.↩︎

7. Implementatiekader risicoafweging cloudgebruik | Rapport | Rijksoverheid.nl↩︎

8. Convenant tussen EZ en SIDN | Tweede Kamer der Staten-Generaal↩︎