De kans is groot dat de Stichting Internet Domeinnaamregistratie Nederland (SIDN) je niet veel zegt. Toch doet deze organisatie iets belangrijks voor het Nederlandse internet: ze beheert het .nl-domein.
Want het lijkt simpel – je typt ‘decorrespondent.nl’ in je browser, en vervolgens verschijnt de website van De Correspondent op je computer. Maar achter de schermen vergt dat een paar extra stappen.
De computers van de Correspondentwebsite zijn namelijk alleen technisch bereikbaar via IP-adressen: unieke nummers die gekoppeld zijn aan domeinnamen.
Die koppeling tussen domein en IP-adres wordt bijgehouden in een soort telefoonboek van het internet, een telefoonboek voor browsers. Zodra je een domein intypt, zoekt je browser welk IP-adres daarbij hoort. Voor het .nl-domein wordt de officiële versie van dat telefoonboek beheerd door SIDN. En die doet dat inmiddels voor meer dan zes miljoen domeinnamen.
Niet alleen beheert SIDN het telefoonboek, ze houdt ook bij wie de eigenaar is van welke domeinnaam – een soort kadaster van het Nederlandse internet.
SIDN speelt dus een belangrijke rol voor een goed en betrouwbaar internet.
Als SIDN’s telefoonboek niet meer zou werken, zou het een stuk moeilijker zijn om te bepalen welk IP-adres bij welke domeinnaam hoort. Je kan dan nog wel bij andere, niet-officiële domeindatabanken terecht, maar hoe weet je zeker dat ing.nl daarin gekoppeld is aan het echte IP-adres van de bank, en niet aan het IP-adres van een oplichter?
En als het Nederlands internetkadaster niet meer zou werken dan kan je moeilijker nagaan van wie het domein ing.nl eigenlijk is.
Waarom SIDN voor Amazon kiest
Dat ik dit allemaal moet uitleggen, komt omdat SIDN’s werk misschien wel belangrijk, maar ook onzichtbaar is. Het werkt gewoon.
En dat ik er nu toch een stukje over schrijf, komt omdat deze saaie organisatie onlangs de toorn van de Nederlandse internetgemeenschap over zich afriep.
In januari kondigde SIDN namelijk aan dat zij dat kadaster (dus niet het telefoonboek) naar computers in Europa van het Amerikaanse bedrijf Amazon wil verplaatsen. Nu kennen de meeste mensen Amazon als de Amerikaanse variant van bol.com, maar het bedrijf levert ook clouddiensten. Daarmee verdient het zelfs inmiddels meer dan 15 procent van zijn omzet, en het is het snelstgroeiende deel van het bedrijf.
SIDN wil het kadaster onderbrengen in die cloud van Amazon. Een belangrijke reden voor de overstap is dat SIDN, in haar eigen woorden ‘meer en meer tijd, aandacht en middelen [heeft] besteed aan [haar] domeinregistratiesysteem en met name de onderliggende infrastructuur, met ondertussen gedateerde technologie’.
Bij een overstap kan SIDN het beheer van de computers deels overlaten aan Amazon. Amazons experts zorgen dat de computers blijven werken, dat de laatste beveiligingsupdates zijn geïnstalleerd en ze kunnen geruisloos nieuwe computers bijschakelen als dat nodig is. SIDN hoeft zich dan alleen nog te ontfermen over de dienst die ze op die computers aanbiedt.
Maar in ruil voor al die voordelen geeft SIDN ook iets op: de computers waarop de diensten draaien, zijn niet meer van SIDN.
Wat staat er concreet op het spel?
Dat lijkt misschien een klein verschil, en vaak zal je er als gebruiker niets van merken. Maar wanneer je je bedrijf onderbrengt bij de computers van een ander kan dat ook misgaan, zeker als je dat doet bij een bedrijf dat zijn hoofdkantoor in de Verenigde Staten heeft.
Want als iemand anders de servers beheert, kan iemand anders ook de stekker eruit trekken, bijvoorbeeld wanneer je in strijd handelt met hun voorwaarden.
Zélfs als je ervoor kiest om alleen servers in Europa te gebruiken, valt Amazon onder Amerikaanse surveillancewetgeving
Zo verbiedt Amazon in zijn standaardovereenkomst om zijn diensten te gebruiken voor het schenden van ‘de rechten van anderen’, en als je je daar niet aan houdt kan het de dienst beëindigen. Dat klinkt prima, totdat je beseft dat onduidelijk is of het hier gaat over Amerikaanse of Nederlandse rechten. En wat in Nederland mag, hoeft in de VS niet te mogen – denk aan abortus. Natuurlijk zou SIDN in de onderhandelingen met Amazon proberen om deze voorwaarden aan te passen, maar of dat lukt is de vraag.
Bovendien: omdat Amazon een Amerikaans bedrijf is, valt het ook onder Amerikaanse surveillancewetgeving. Zélfs als je ervoor kiest om alleen servers in Europa te gebruiken, dan nog zal de Amerikaanse overheid onder omstandigheden gegevens kunnen opvragen. In dit geval betekent het dat Amazon in theorie gedwongen kan worden gebruiksgegevens van SIDN’s kadasterdienst af te geven aan de Amerikaanse overheid.
Je zou kunnen zeggen: beetje vergezocht allemaal. En dat klopt. De kans dat dit gebeurt is vrij klein. Bovendien: het gaat hier over een kadaster met grotendeels publieke informatie.
Maar het gaat niet alleen over de kans dat dit gebeurt. Nee, de reden dat de Nederlandse internetgemeenschap – en zelfs het ministerie van Economische Zaken en Klimaat – hier zoveel lawaai over maakt is principieel: digitale soevereiniteit.
Digitale onafhankelijkheid is onmogelijk, maar totale afhankelijkheid moet je niet willen
Dat begrip digitale soevereiniteit, daar bedoelen mensen van alles mee.
Maar in deze context gaat het vooral over zeggenschap over je digitale infrastructuur. Je zou het kunnen zien als de tegenhanger van digitale afhankelijkheid. Digitaal soeverein, dat is je muziek opslaan op je computer. Digitaal afhankelijk, dat is je muziek streamen bij Spotify of Apple.
Begrijpelijk dus dat juist overheden dit steeds belangrijker vinden. Net zoals ze soeverein willen zijn in hun fysieke grondgebied, zo willen ze dat ook zijn in hun digitale domein.
Maar het digitale domein zit vol met afhankelijkheden. Zo kunnen chips zijn gemaakt door een Amerikaans bedrijf, in een Chinese fabriek, met een Nederlands apparaat, met licenties van een Japans bedrijf. En dat zijn nog maar de chips. Als je alle afhankelijkheden in het digitale domein wil beperken, ben je nog wel even bezig. Digitale autarkie is een illusie.
Gelukkig heb je ook niet altijd volledige digitale soevereiniteit nodig. De mate waarin je digitaal soeverein wil zijn, hangt af van wat je doet.
Veel bedrijven die daarover nadenken maken een soort rekensom. Ze schatten de kans in dat iets gebeurt, bijvoorbeeld dat hun servers worden aangevallen via het internet. Ze onderzoeken vervolgens de impact als het gebeurt, bijvoorbeeld dat hun servers even niet meer bereikbaar zijn. Ze kijken daarna of ze de impact kunnen beperken, bijvoorbeeld door de servers beter te beveiligen. En ze kijken tot slot of dat overgebleven risico opweegt tegen de voordelen. Op die manier kan je min of meer onderbouwd een besluit nemen.
Maar een overheid maakt een andere rekensom. Het gaat over publieke belangen – economie, reputatie, beschikbaarheid – en die laten zich moeilijk kwantificeren. Daarom zou een overheid vaak als uitgangspunt moeten nemen dat ze bepaalde kerntaken gewoonweg niet op die manier onderbrengt bij een andere organisatie, zeker niet bij een bedrijf met zijn hoofdkantoor in de Verenigde Staten.
Waarom kwam SIDN dan toch tot dit besluit?
Ook onafhankelijkheid van de overheid is belangrijk (hoewel dit gevolgen heeft)
Dat zit zo: SIDN is geen overheid, en dat merk je.
Het officiële telefoonboek en kadaster van het Nederlandse internet wordt beheerd door een onafhankelijke stichting. Die heeft weliswaar in haar statuten staan dat ze ‘ten behoeve van’ Nederland het .nl-domein beheert, maar hoe ze dat doet staat er nauwelijks in. En de Nederlandse overheid heeft wel afspraken gemaakt met SIDN, maar ook die afspraken bevatten vrijwel geen extra verplichtingen.
Voor die onafhankelijkheid zijn goede redenen. Op die manier is het voor de overheid bijvoorbeeld toch net wat moeilijker om domeinnamen zomaar van het internet te halen.
Maar die onafhankelijkheid betekent ook dat SIDN in theorie dingen kan doen waarover je kan twisten of die wel goed zijn voor het Nederlandse internet. Zoals de domeinnaamregistratie op computers van Amazon laten draaien.
Daarnaast: het rapport op grond waarvan SIDN dit besluit heeft genomen, is nog niet openbaar. SIDN is ook niet verplicht om dit soort rapporten openbaar te maken, want de Wet open overheid is niet op haar van toepassing (ze heeft aangegeven dat ze het rapport wel openbaar gaat maken).
Digitale onafhankelijkheid moet vóór kostenbesparing gaan
Begrijp me niet verkeerd. Dit is geen pleidooi om SIDN in overheidshanden te brengen. Die afstand van SIDN tot de overheid moet bewaard blijven. Maar het is wel een belangrijke waarschuwing.
Ten eerste is het een waarschuwing, eigenlijk een oproep voor streng toezicht op SIDN. De organisatie is op grond van een wet voor kritieke infrastructuur namelijk verplicht maatregelen te nemen om haar beveiligingsrisico’s te beheersen, en de Rijksinspectie Digitale Infrastructuur (RDI) controleert dat. RDI zal die bepaling streng moeten toepassen, en dus ook rekening moeten houden met digitale soevereiniteit. En bij publieke internetinfrastructuur zal digitale soevereiniteit vaak vóór kostenbesparing moeten gaan. Het is dan ook goed dat de regering verder gaat onderzoeken ‘in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale open strategische autonomie.’
Maar bovenal is het een waarschuwing voor Nederland, om digitale soevereiniteit serieuzer te nemen. Want nu ligt SIDN onder vuur, maar ook binnen de overheid zelf is er nog veel te verbeteren. Zo gebruikt de Nederlandse overheid de cloud van Microsoft voor het werken aan en opslaan van documenten. En daar kan ook veel misgaan. Bijvoorbeeld: als een ander land met een aanval de inlogdienst van Microsoft uitschakelt, zou het zomaar kunnen dat Nederland niet meer bij een deel van haar documenten kan.
Dié rekensom moet ook nog eens worden gemaakt.
Dit verhaal heb je gratis gelezen, maar het maken van dit verhaal kost tijd en geld. Steun ons en maak meer verhalen mogelijk voorbij de waan van de dag.
Al vanaf het begin worden we gefinancierd door onze leden en zijn we volledig advertentievrij en onafhankelijk. We maken diepgravende, verbindende en optimistische verhalen die inzicht geven in hoe de wereld werkt. Zodat je niet alleen begrijpt wat er gebeurt, maar ook waarom het gebeurt.
Juist nu in tijden van toenemende onzekerheid en wantrouwen is er grote behoefte aan verhalen die voorbij de waan van de dag gaan. Verhalen die verdieping en verbinding brengen. Verhalen niet gericht op het sensationele, maar op het fundamentele. Dankzij onze leden kunnen wij verhalen blijven maken voor zoveel mogelijk mensen. Word ook lid!
Je bent niet ingelogd. Log in om andere verhalen te lezen, verhalen op te slaan, bijdragen te lezen en plaatsen, correspondenten te volgen en meer.
Meer lezen?
Hoe kwetsbaar Europa is, leer je van een broodrooster
Spinozapremiewinnaar José van Dijck: Zolang het onderwijs geen eigen apps bouwt, danst het naar de pijpen van Google en Microsoft
