Het kabinet heeft toegelicht waarom een onderzoek naar de risico’s van de Amazon European Sovereign Cloud (ESC) kortstondig van de website van de rijksoverheid is gehaald. Hier was in de Nederlandse it-wereld verbazing over ontstaan.
Critici zagen in het rapport een teken van een tunnelvisie bij SLM Rijk (Strategisch Leveranciersmanagement Microsoft, Google en Amazon) dat heel gecharmeerd zou van de drie hyperscalers. Als klap op de vuurpijl vatte een SLM-ambtenaar, volgens De Volkskrant, het rapport op LinkedIn samen met als hoofdconclusie dat de Amazon-cloud ‘potentieel’ aansluit bij de Nederlandse visie op digitale soevereiniteit. Maar uit het rapport (dat van de website was verwijderd) was juist af te leiden dat het afnemen van deze Amazon-cloud en soortgelijke initiatieven van Amerikaanse techgiganten niet bijdraagt aan het digitaal autonoom maken van Nederland.
Reden voor een groot aantal Kamervragen van Volt aangevuld door vragen van GroenLinks‑PvdA, D66 en CDA. Volgens minister David van Weel (Justitie en Veiligheid) en staatssecretaris Willemijn Aerdts (Economische Zaken en Klimaat) ging het om ‘onduidelijkheden in de interpretatie’, waarna het begeleidende bericht is aangepast en het rapport later opnieuw online is geplaatst. De inhoud van het rapport is niet aangepast.
Amerikaanse toeegang?
Het onderzoek, uitgevoerd door advocatenkantoor Greenberg Traurig in opdracht van SLM Rijk, beoordeelt de AWS European Sovereign Cloud op twee punten: data-soevereiniteit en de beschikbaarheid van diensten onder buitenlandse jurisdictie. De onderzoekers concluderen dat het onwaarschijnlijk, maar niet ondenkbaar is dat de Amerikaanse overheid toegang krijgt tot Nederlandse klantgegevens of dat diensten worden geraakt door Amerikaanse sancties. Volledige soevereiniteit biedt de dienst dus niet.
Ook stelt het rapport dat de AWS‑dienst slechts gedeeltelijk aansluit op de Nederlandse visie op digitale autonomie. De beoordeling richt zich uitsluitend op juridische aspecten; technische of organisatorische maatregelen van AWS zijn niet onderzocht.
Soevereiniteits-washing
AWS behoort tot de groeiende groep Amerikaanse leveranciers die zichzelf als soeverein positioneren. Maar bij AWS opgeslagen data vallen nog wel onder bereik van de Amerikaanse autoriteiten, aldus blijkt uit eerdergenoemd onderzoek. Dat geeft ook weer voeding aan de discussie of de Europese betaaldienst Wero zijn claim van digitale onafhankelijkheid kan waarmaken. Want deze oplossing van het European Payments Initiative (EPI) steunt deels op de beheerde cloudinfrastructuur en softwarediensten van AWS.
Een werkgroep van het CIO Platform Nederland werkt momenteel aan een bredere inventarisatie van cloudaanbieders die dat claimen. Vanuit het Nederlandse bedrijfsleven is de Open Cloud Alliantie opgezet, een bundeling van cloud-oplossingen van eigen bodem, die op overheidsopdrachten aast.
Kamerleden vroegen of het kabinet aanleiding ziet om de risico’s verder te laten onderzoeken, mede vanwege kritiek dat het rapport te eenzijdig zou zijn. De staatssecretaris ziet daar op dit moment geen reden toe. Volgens hem ligt de prioriteit bij het verkennen en contracteren van Europese aanbieders, waaronder StackIT, Eset en OVH. Het kabinet benadrukt dat het beleid erop is gericht om afhankelijkheden van derde landen af te bouwen en waar mogelijk te diversifiëren.
