Waarom het beheer van het .nl-domein in Nederland moet blijven

Ot van Daalen
Gastcorrespondent Technologie
Illustraties door Natasja Mortier (voor De Correspondent)

SIDN, de organisatie die het .nl-domein beheert, kondigde onlangs aan dat ze een deel van haar activiteiten bij een Amerikaans techbedrijf wil onderbrengen. Maar hoe meer zaken je in het buitenland onderbrengt, hoe meer digitale afhankelijkheid je creëert: als iemand anders de servers beheert, kan iemand anders ook de stekker eruit trekken.

De kans is groot dat de Stichting Internet Domeinnaamregistratie Nederland (SIDN) je niet veel zegt. Toch doet deze organisatie iets belangrijks voor het Nederlandse internet: ze beheert het .nl-domein.

Want het lijkt simpel – je typt ‘decorrespondent.nl’ in je browser, en vervolgens verschijnt de website van De Correspondent op je computer. Maar achter de schermen vergt dat een paar extra stappen. 

De computers van de Correspondentwebsite zijn namelijk alleen technisch bereikbaar via IP-adressen: unieke nummers die gekoppeld zijn aan domeinnamen.

Die koppeling tussen domein en IP-adres wordt bijgehouden in een soort telefoonboek van het internet, een telefoonboek voor browsers. Zodra je een domein intypt, zoekt je browser welk IP-adres daarbij hoort. Voor het .nl-domein wordt de officiële versie van dat telefoonboek beheerd door SIDN.

Niet alleen beheert SIDN het telefoonboek, ze houdt ook bij wie de eigenaar is van welke domeinnaam – een soort kadaster

SIDN speelt dus een belangrijke rol voor een goed en betrouwbaar internet.

Als SIDN’s telefoonboek niet meer zou werken, zou het een stuk moeilijker zijn om te bepalen welk IP-adres bij welke domeinnaam hoort. Je kan dan nog wel bij andere, niet-officiële domeindatabanken terecht, maar hoe weet je zeker dat ing.nl daarin gekoppeld is aan het echte IP-adres van de bank, en niet aan het IP-adres van een oplichter?

En als het Nederlands internetkadaster niet meer zou werken dan kan je moeilijker nagaan van wie het domein ing.nl eigenlijk is.

Waarom SIDN voor Amazon kiest

Dat ik dit allemaal moet uitleggen, komt omdat SIDN’s werk misschien wel belangrijk, maar ook onzichtbaar is. Het werkt gewoon.

En dat ik er nu toch een stukje over schrijf, komt omdat deze saaie organisatie onlangs

In januari kondigde SIDN namelijk aan dat zij dat kadaster (dus niet het telefoonboek) Nu kennen de meeste mensen Amazon als de Amerikaanse variant van bol.com, maar het bedrijf levert ook clouddiensten. Daarmee verdient het zelfs inmiddels

SIDN wil het kadaster onderbrengen in die cloud van Amazon. Een belangrijke reden voor de overstap is dat SIDN, in haar eigen woorden ‘meer en meer tijd, aandacht en middelen [heeft] besteed aan [haar] domeinregistratiesysteem en met name de onderliggende infrastructuur, met

Bij een overstap kan SIDN het beheer van de computers deels overlaten aan Amazon. Amazons experts zorgen dat de computers blijven werken, dat de laatste beveiligingsupdates zijn geïnstalleerd en ze kunnen geruisloos nieuwe computers bijschakelen als dat nodig is. SIDN hoeft zich dan alleen nog te ontfermen over de dienst die ze op die computers aanbiedt.

Maar in ruil voor al die voordelen geeft SIDN ook iets op: de computers waarop de diensten draaien, zijn niet meer van SIDN.

Wat staat er concreet op het spel?

Dat lijkt misschien een klein verschil, en vaak zal je er als gebruiker niets van merken. Maar wanneer je je bedrijf onderbrengt bij de computers van een ander kan dat ook misgaan, zeker als je dat doet bij een bedrijf dat zijn hoofdkantoor in de Verenigde Staten heeft.

Want als iemand anders de servers beheert, kan iemand anders ook de stekker eruit trekken, bijvoorbeeld wanneer je in strijd handelt met hun voorwaarden.

Zélfs als je ervoor kiest om alleen servers in Europa te gebruiken, valt Amazon onder Amerikaanse surveillancewetgeving

Zo verbiedt Amazon in zijn standaardovereenkomst om zijn diensten te gebruiken voor het schenden van ‘de rechten van anderen’, en als je je daar niet aan houdt Dat klinkt prima, totdat je beseft dat onduidelijk is of het hier gaat over Amerikaanse of Nederlandse rechten. En wat in Nederland mag, hoeft in de VS niet te mogen – Natuurlijk zou SIDN in de onderhandelingen met Amazon proberen om deze voorwaarden aan te passen, maar of dat lukt is de vraag.

Bovendien: omdat Amazon een Amerikaans bedrijf is, valt het ook onder Amerikaanse surveillancewetgeving. Zélfs als je ervoor kiest om alleen servers in Europa te gebruiken, In dit geval betekent het dat Amazon in theorie gedwongen kan worden gebruiksgegevens van SIDN’s kadasterdienst af te geven aan de Amerikaanse overheid.

Je zou kunnen zeggen: beetje vergezocht allemaal. En dat klopt. De kans dat dit gebeurt is vrij klein. Bovendien: het gaat hier over een kadaster met grotendeels publieke informatie.

Maar het gaat niet alleen over de kans dat dit gebeurt. Nee, de reden dat de Nederlandse internetgemeenschap – – hier zoveel lawaai over maakt is principieel:

Digitale onafhankelijkheid is onmogelijk, maar totale afhankelijkheid moet je niet willen

Dat begrip digitale soevereiniteit, daar bedoelen mensen van alles mee.

Maar in deze context gaat het vooral over zeggenschap over je digitale infrastructuur. Je zou het kunnen zien als de tegenhanger van digitale afhankelijkheid. Digitaal soeverein, dat is je muziek opslaan op je computer. Digitaal afhankelijk, dat is je muziek streamen bij Spotify of Apple. 

Begrijpelijk dus dat juist overheden dit steeds belangrijker vinden. Net zoals ze soeverein willen zijn in hun fysieke grondgebied, zo willen ze dat ook zijn in hun digitale domein.

Maar het digitale domein zit vol met afhankelijkheden. Zo kunnen chips zijn gemaakt door een Amerikaans bedrijf, in een Chinese fabriek, met een Nederlands apparaat, En dat zijn nog maar de chips. Als je alle afhankelijkheden in het digitale domein wil beperken, ben je nog wel even bezig. Digitale autarkie is een illusie.

Gelukkig heb je ook niet altijd volledige digitale soevereiniteit nodig. De mate waarin je digitaal soeverein wil zijn, hangt af van wat je doet. 

Veel bedrijven die daarover nadenken maken een soort rekensom. Ze schatten de kans in dat iets gebeurt, bijvoorbeeld dat hun servers worden aangevallen via het internet. Ze onderzoeken vervolgens de impact als het gebeurt, bijvoorbeeld dat hun servers even niet meer bereikbaar zijn. Ze kijken daarna of ze de impact kunnen beperken, bijvoorbeeld door de servers beter te beveiligen. En ze kijken tot slot of dat overgebleven risico opweegt tegen de voordelen. Op die manier kan je min of meer onderbouwd een besluit nemen.

Maar een overheid maakt een andere rekensom. Het gaat over publieke belangen – economie, reputatie, beschikbaarheid – en die laten zich moeilijk kwantificeren. Daarom zou een overheid vaak als uitgangspunt moeten nemen dat ze bepaalde kerntaken gewoonweg niet op die manier onderbrengt bij een andere organisatie, zeker niet bij een bedrijf met zijn hoofdkantoor in de Verenigde Staten.

Waarom kwam SIDN dan toch tot dit besluit?

Ook onafhankelijkheid van de overheid is belangrijk (hoewel dit gevolgen heeft)

Dat zit zo: SIDN is geen overheid, en dat merk je.

Het officiële telefoonboek en kadaster van het Nederlandse internet wordt beheerd door een onafhankelijke stichting. Die heeft weliswaar in haar statuten staan dat ze ‘ten behoeve van’ Nederland het .nl-domein beheert, En de Nederlandse overheid heeft wel afspraken gemaakt met SIDN,

Voor die onafhankelijkheid zijn goede redenen. Op die manier is het voor de overheid bijvoorbeeld toch net wat moeilijker om domeinnamen zomaar van het internet te halen.

Maar die onafhankelijkheid betekent ook dat SIDN in theorie dingen kan doen waarover je kan twisten Zoals de domeinnaamregistratie op computers van Amazon laten draaien.

Daarnaast: het rapport op grond waarvan SIDN dit besluit heeft genomen, is nog niet openbaar. SIDN is ook niet verplicht om dit soort rapporten openbaar te maken, want de Wet open overheid is niet op haar van toepassing (ze heeft aangegeven dat ze het rapport wel openbaar gaat maken).

Digitale onafhankelijkheid moet vóór kostenbesparing gaan

Begrijp me niet verkeerd. Dit is geen pleidooi om SIDN in overheidshanden te brengen. Die afstand van SIDN tot de overheid moet bewaard blijven. Maar het is wel een belangrijke waarschuwing.

Ten eerste is het een waarschuwing, eigenlijk een oproep voor streng toezicht op SIDN. De organisatie is op grond van een wet voor kritieke infrastructuur namelijk verplicht maatregelen te nemen om haar beveiligingsrisico’s te beheersen, RDI zal die bepaling streng moeten toepassen, en dus ook rekening moeten houden met digitale soevereiniteit. En bij publieke internetinfrastructuur zal digitale soevereiniteit vaak vóór kostenbesparing moeten gaan. Het is dan ook goed dat de regering verder gaat onderzoeken ‘in hoeverre de voorgenomen verhuizing risico’s oplevert voor onze digitale

Maar bovenal is het een waarschuwing voor Nederland, om digitale soevereiniteit serieuzer te nemen. Want nu ligt SIDN onder vuur, maar ook binnen de overheid zelf is er nog veel te verbeteren. Zo gebruikt de Nederlandse overheid de cloud van Microsoft voor het werken aan en opslaan van documenten. En daar kan ook veel misgaan. Bijvoorbeeld: als een ander land met een aanval de inlogdienst van Microsoft uitschakelt, zou het zomaar kunnen dat Nederland niet meer bij een deel van haar documenten kan.

Dié rekensom moet ook nog eens worden gemaakt.