It-dienstverlener Solvinity draait DigiD en andere ict-rijksdiensten op een datacenter van Equinix in Amsterdam. Opdrachtgever Logius erkent dat deze Amerikaanse exploitant onder druk van de regering Trump de levering van stroom, koeling en ruimte zou kunnen beperken. ‘We onderzoeken of eerdere afspraken en risico’s nog passen bij de wereld van vandaag’, stelt een woordvoerster.
Het Rijk telt vier zogeheten overheidsdatacenters (ODC): die van de Belastingdienst en SSC-ICT zijn van de overheid, ODC Noord draait binnen het datacenter van NorthC in Groningen en ODC RWS/DJI huurt sinds 2013 ruimte in twee datacenters (AM2 en AM3) van Equinix in Amsterdam. Daar waar NorthC van origine Nederlands is en sinds eind vorig jaar een Franse meerderheidsaandeelhouder kent, is Equinix door en door Amerikaans. Daar geldt dus de Amerikaanse Cloud Act, Fisa Act en andere regelgeving voor die de digitale soevereiniteit een autonomie van Europa kunnen bedreigen.
Verstoring
Veel ophef was er de afgelopen tijd over de overname van het Nederlandse Solvinity door de Amerikaanse it-dienstverlener Kyndryl. Daarmee zou het DigiD-beheer in Amerikaanse handen vallen met alle digitale-soevereiniteitsrisico’s vandien. Een daarbij onderbelicht punt is dat Logius-platform sinds een paar jaar is ondergebracht bij ODC RWS/DJI, ook wel ODC Amsterdam genoemd, in de datacentra van het Amerikaanse Equinix. De woordvoering van rijks-ict-dienstverlener Logius bevestigt dat het ODC Amsterdam een door de overheid aanbesteedde datacenteromgeving is waar diverse overheidsorganisaties van gebruikmaken. ‘Elke overheidsorganisatie bepaalt zelf welke servers geplaatst worden in het datacenter. Het floormanagement van de datacenteromgeving wordt uitgevoerd door overheidsmedewerkers. Zij zijn verantwoordelijk voor het organiseren en beheren van racks, kabels, ruimte en koeling zodat alles veilig werkt en overzichtelijk is.’
Maar, erkent zij, ‘het is in theorie mogelijk dat leverancier Equinix invloed uitoefent op de beschikbaarheid van de omgeving en daarmee de dienstverlening van de deelnemende overheidsorganisaties verstoort. Toegang tot DigiD-gegevens door Equinix is niet mogelijk.’
Geopolitiek
Equinix levert dus de facilitaire voorzieningen, zoals stroom, koeling en ruimte. Volgens Logius is het contract met deze exploitant gericht op een continue levering van deze diensten. ‘Het contract wordt zorgvuldig gehandhaafd om uitval van die dienstverlening te voorkomen. In de huidige tijd van veranderende geopolitieke risico’s is het niet ondenkbaar dat er internationale beïnvloeding zou kunnen ontstaan via een Amerikaanse leverancier.’
Volgens de woordvoering verandert de wereld snel en onderzoekt Logius of eerdere afspraken en risico’s nog passen bij de wereld van vandaag. Maar dit onderwerp hangt ook samen met politieke keuzes en regels van de overheid. ‘Logius werkt binnen deze regels en neemt daarin zijn verantwoordelijkheid. Als we risico’s zien die niet acceptabel zijn, nemen we direct maatregelen. Het gebruik van een ander ODC behoort tot de mogelijkheden. Ons uitgangspunt is dat de veiligheid en betrouwbaarheid van gegevens van Nederlandse burgers altijd voorop staan.’
Bredere dreiging
Logius wijst er verder op dat de geopolitieke risico’s die aan het werken met een Amerikaanse leverancier in feite gelden voor alle vitale it-systemen die werken met niet-Europese partijen. Op datacentergebied geldt dat bijvoorbeeld voor andere Amerikaanse datacenter-exploitanten als DigitalRealty, CyrusOne en Iron Mountain en de hyperscalers.
Geen commentaar
Op de vraag aan Equinix wat de zienswijze is op de geopolitieke en digitale-soevereiniteitsvraagstukken, komt na bijna twee maanden nog steeds geen antwoord. Kan het concern door de Amerikaanse overheid worden gedwongen om housing-beperkingen in zijn datacenters door te voeren, bijvoorbeeld het afsluiten van de stroom of het uitzetten van de koeling? Zijn hierover garanties gegeven aan klanten zoals Logius? Krijgt Equinix veel vragen van hen over digitale soevereiniteit? Zijn er al klanten vertrokken? Het blijft oorverdovend stil.
