Het ministerie van Justitie en Veiligheid haalde daags na publicatie een rapport offline over de risico’s van Amazons ‘European Sovereign Cloud’. Volgens critici worden de gevaren van de dienst daarin onderschat en is het rapport tekenend voor de tunnelvisie van de overheid op Amerikaanse techbedrijven.
is techverslaggever van de Volkskrant.
In het onderzoek werd de zogenoemde European Sovereign Cloud onder de loep genomen, een dienst die het Amerikaanse Amazon Web Services (AWS) aanbiedt in reactie op de wens van Europa om digitaal onafhankelijker te worden van de Verenigde Staten. AWS investeert 8 miljard euro in deze dienst, specifiek geleverd in datacenters op Europese bodem, met Europese werknemers.
De afdeling Strategisch Leveranciersmanagement Microsoft, Google en Amazon (SLM) van het ministerie van Justitie en Veiligheid, die namens de overheid met die drie techreuzen onderhandelt over contractvoorwaarden, gaf de opdracht voor het onderzoek aan het Amerikaanse advocatenkantoor Greenberg Traurig.
Techexperts zijn al sinds de lancering sceptisch over de nieuwe dienst van AWS. Het maakt niets uit waar dat datacenter staat en wie er de koelvloeistof bijvult, zo luidt de breed gedeelde opvatting. Zolang klanten te maken hebben met een Amerikaans moederbedrijf, heeft de regering in de VS recht op inzage in data en kan president Donald Trump via sanctiewetgeving de diensten stilleggen.
In het verwijderde rapport trekken een Amsterdamse en een New Yorkse advocaat van Greenberg Traurig dezelfde conclusie: zowel via de wet als via informele druk kán de Amerikaanse overheid toegang krijgen tot data of de diensten stilleggen. Maar, voegen ze daaraan toe, de kans dat dit gebeurt is klein.
Een medewerker van de afdeling SLM plaatste een bericht met de volgens hem belangrijkste conclusies op LinkedIn. Het is zeer onwaarschijnlijk dat de VS toegang krijgen tot Nederlandse overheidsdata, somde hij op. En ‘de kans dat Amerikaanse sancties leiden tot opschorting van diensten is eveneens laag’. Er is nog geen definitief oordeel mogelijk, maar ‘potentieel’ sluit het product aan bij de Nederlandse visie op digitale soevereiniteit, schreef de ambtenaar.
Op de publicatie volgde gepeperde kritiek. ‘Ik heb het rapport met verbazing gelezen’, zegt Nitesh Bharosa, hoogleraar overheidstechnologie aan de TU Delft. ‘Het leunt zwaar op de aanname dat de techniek van AWS precies zo in elkaar steekt als de leverancier stelt. Maar die technologie wordt geleverd als een black box. Voor de veiligheid van staatsdata wil je op broncodeniveau checken dat er geen achterdeurtjes in zitten.’
Techexpert en -activist Bert Hubert plaatste een blog op zijn website waarin hij het onderzoek bekritiseert: daarin zouden de risico’s die overheden lopen door het gebruik van de nieuwe clouddienst van AWS worden onderschat. ‘Er is mij verteld dat dat blogje insloeg als een bom’, zegt Hubert daar nu over. Drie dagen na publicatie werd zowel de LinkedInpost als het rapport van Greenberg Traurig op open.overheid.nl verwijderd.
Een week later, op donderdagmiddag 26 februari, publiceerde het ministerie het onderzoek opnieuw, met een aanvullend memo. Daarin staat de ‘belangrijke disclaimer’ dat het geen technisch, maar een juridisch onderzoek is. En bovendien ‘geen beleidsadvies of compliance-beoordeling’. Er wordt ook ‘géén risico-inschatting’ gedaan op basis van het rapport. Wel vormt het onderzoek ‘een eerste stap in het verder uitwerken van de juridische kaders rondom digitale soevereiniteit’.
De publicatie en zeker de lezing van een ambtenaar op LinkedIn kwamen op een uiterst ongelukkig moment voor de net aangetreden coalitie, analyseert Lokke Moerel, hoogleraar Global ICT Law aan de Universiteit van Tilburg. Het minderheidskabinet wil de overheidsinkoop van ICT inzetten om de lokale industrie aan te jagen, staat in het regeerakkoord. De overheid moet die inkoop bovendien spreiden, zodat zo veel mogelijk Nederlandse en Europese mkb’s kunnen meedoen. ‘Dan is het niet handig als een organisatie binnen de overheid zegt: misschien kunnen we wel door met AWS.’
Als Nederland minder afhankelijk wil worden van de Verenigde Staten, zegt de hoogleraar, zou SLM zich in onderzoeken niet moeten richten op nieuwe Amerikaanse diensten, maar op de juridische mogelijkheden voor overheden om contracten aan lokale bedrijven te gunnen. ‘Die zijn er wel degelijk, maar er is nu nog veel onduidelijkheid over.’
De vraag is of een focus op Europese alternatieven verwacht kan worden van SLM. De afdeling van het ministerie van Justitie en Veiligheid is in 2014 opgetuigd om de positie van de overheid te versterken in onderhandelingen met de drie techgiganten. Dat zou de kosten drukken en ertoe kunnen leiden dat de overheid makkelijker eisen kan stellen aan de geleverde technologie.
Volgens critici leidt die specialisatie van een overheidsorgaan in contracten met de drie leveranciers vooral tot tunnelvisie en een oneerlijk voordeel voor die bedrijven. Barbara Kathmann, Tweede Kamerlid voor GroenLinks-PvdA en voorzitter van de vaste commissie digitale zaken, hoort regelmatig dat Europese bedrijven SLM gekscherend ‘the Dutch Ministry of Microsoft’ noemen. ‘In aanbestedingen van de overheid staat nog net niet ‘wij willen een Big Mac’, maar bij wijze van spreken wel: ‘Dat merk met die gele M en die clown, graag.’ Europese bedrijven hebben de Nederlandse overheid al opgegeven, terwijl ze in andere landen wel voet tussen de deur krijgen.’
Kathmann vermoedt geen kwade opzet of corruptie, maar vooral ‘blindheid voor de lobby van big tech’. De vermoedens van naïef enthousiasme over Amerikaanse clouddiensten bij SLM werden gevoed door de site slmmicrosoftrijk.nl: een onofficiële webpagina van Strategisch Leveranciersmanagement, die werd beheerd en betaald door een individuele ambtenaar, met als ondertitel ‘Feet on the ground, head in the cloud’. Afgelopen week werd die website leeggehaald. Nu wordt daarop verwezen naar een pagina van de Rijksoverheid.
Het ministerie noemt het onjuist dat SLM niet verder zou kijken dan producten van Microsoft, Google en Amazon. Er lopen ook onderzoeken naar de clouddiensten van het Duitse StackIt en het Franse OVHCloud, aldus een woordvoerder.
Geselecteerd door de redactie
Source: Volkskrant