Vrijdag heeft de demissionaire Minister van EZK per brief geantwoord op vragen van de Tweede Kamer over de plannen van SIDN delen van de dienstverlening te verhuizen naar AWS.
Houders, Registrars en de Registry SIDN
Houders van domeinnamen doen niet rechtstreeks zaken met SIDN, maar met een registrars. Dat zijn de IT dienstverleners, zoals hosters, waarbij de naam wordt geregistreerd in de regel in combinatie met andere diensten. De factuurrelatie is er tussen de houder en zijn registrar. Dat tussen de registrar en de registry SIDN een factuurrelatie bestaat spreekt verder voor zich. Van belang is dat tussen SIDN en de houder (“eindklant”) geen directe band is. De eerste zal ook niet met de laatste communiceren over bijvoorbeeld het verhuizen van de infra van een fysieke locatie in Nederland naar de AWS cloud.
Onaangenaam verrast
Partijen die dat nieuws wel van SIDN hebben gehoord zijn de registrars en een groep van andere directe stakeholders. Het heeft er veel van weg dat beide groepen meer dan onaangenaam verrast zijn door de migratieplannen van SIDN. Dat heeft dan weer geleid tot het aan de bel trekken bij onder andere fracties van de Tweede Kamer. Vervolgens zijn er vragen gesteld aan de Minister van EZK en die heeft dus afgelopen vrijdag gereageerd.
Als er een deel van de brief van de Minister aan de Kamer opvalt dan is het wel de volgende passage.
Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd
WBNI en AVG
De AVG is in het IT kanaal redelijk bekend. Dat een minister wijst op de AVG als het gaat om de migratie naar een Amerikaanse hyperscaler zal iedereen wel snappen. De Wbni is veel minder vaak in de pers, die gaat over het veilig houden en maken van essentiële diensten.
AVG en WBNI zijn allebei de Nederlandse versies van EU wetgeving. De AVG is een verordening, de Nederlandse tekst is daarom gelijk aan die in de andere lidstaten. De Wbni is gebaseerd op een richtlijn (NBI 2016/1148). Wie of wat onder de WBNI valt is onder andere uit te maken uit deze check van de RDI, voor Wbni de toezichthouder (zie ook link).
Wat betekent dit?
De lezer zal zich wellicht afvragen wat dit nu precies betekent en ook wat de link is met zijn bedrijf.
Om te beginnen is bijzondere aan deze zaak dat de Minister van EZK in contact met een organisatie zo nadrukkelijk wijst op twee wetten. Dat de AVG is genoemd is opvallend, want SIDN heeft ruim voor de implementatie daarvan maatregelen genomen om aan de goede kant van de lijn te blijven. Men weet dus hoe belangrijk de AVG is. De reactie van de Minister kan gelezen worden dat men bij de migratieplannen een steek heeft laten vallen.
De Wbni is een ander verhaal. Hier zien we voor het eerst naar buiten komen dat bepaalde activiteiten als essentiële diensten zijn getagged en daarom is er extra extern toezicht van een overheidsdienst (RDI) nodig. Dit kan best vaker gebeuren, maar dan blijft het buiten de pers.Een verhuizing op de korte termijn zal dus niet gebeuren, want er volgt nu extra onderzoek, overleg, audits et cetera.
Niet alleen overnames (zie de eerdere posting van vandaag) maar dus ook migraties kunnen onder de loep genomen worden, vertraging oplopen en misschien zelfs geblokkeerd worden.