Ministerie verwijderde onderzoek naar risico’s van Amerikaanse cloud van overheidswebsite
Het ministerie van Justitie en Veiligheid haalde daags na publicatie een rapport offline over de risico’s van Amazons ‘European Sovereign Cloud’. Volgens critici worden de gevaren van de dienst daarin onderschat en is het rapport tekenend voor de tunnelvisie van de overheid op Amerikaanse techbedrijven.
In het onderzoek werd de zogenoemde European Sovereign Cloud onder de loep genomen, een dienst die het Amerikaanse Amazon Web Services (AWS) aanbiedt in reactie op de wens van Europa om digitaal onafhankelijker te worden van de Verenigde Staten. AWS investeert 8 miljard euro in deze dienst, specifiek geleverd in datacenters op Europese bodem, met Europese werknemers.
De afdeling Strategisch Leveranciersmanagement Microsoft, Google en Amazon (SLM) van het ministerie van Justitie en Veiligheid, die namens de overheid met die drie techreuzen onderhandelt over contractvoorwaarden, gaf de opdracht voor het onderzoek aan het Amerikaanse advocatenkantoor Greenberg Traurig.
Techexperts zijn al sinds de lancering sceptisch over de nieuwe dienst van AWS. Het maakt niets uit waar dat datacenter staat en wie er de koelvloeistof bijvult, zo luidt de breed gedeelde opvatting. Zolang klanten te maken hebben met een Amerikaans moederbedrijf, heeft de regering in de VS recht op inzage in data en kan president Donald Trump via sanctiewetgeving de diensten stilleggen.
In het verwijderde rapport trekken een Amsterdamse en een New Yorkse advocaat van Greenberg Traurig dezelfde conclusie: zowel via de wet als via informele druk kán de Amerikaanse overheid toegang krijgen tot data of de diensten stilleggen. Maar, voegen ze daaraan toe, de kans dat dit gebeurt is klein.
Gepeperde kritiek
Op de publicatie volgde gepeperde kritiek. ‘Ik heb het rapport met verbazing gelezen’, zegt Nitesh Bharosa, hoogleraar overheidstechnologie aan de TU Delft. ‘Het leunt zwaar op de aanname dat de techniek van AWS precies zo in elkaar steekt als de leverancier stelt. Maar die technologie wordt geleverd als een black box. Voor de veiligheid van staatsdata wil je op broncodeniveau checken dat er geen achterdeurtjes in zitten.’
Willemijn Aerdts,
staatssecretaris van Economische Zaken – digitale economie en soevereiniteit
Foto Martijn Beekman en Valerie Kuypers
Techexpert en -activist Bert Hubert plaatste een blog op zijn website waarin hij het onderzoek bekritiseert: daarin zouden de risico’s die overheden lopen door het gebruik van de nieuwe clouddienst van AWS worden onderschat. ‘Er is mij verteld dat dat blogje insloeg als een bom’, zegt Hubert daar nu over. Drie dagen na publicatie werd zowel de LinkedInpost als het rapport van Greenberg Traurig op open.overheid.nl verwijderd.
Een week later, op donderdagmiddag 26 februari, publiceerde het ministerie het onderzoek opnieuw, met een aanvullend memo. Daarin staat de ‘belangrijke disclaimer’ dat het geen technisch, maar een juridisch onderzoek is. En bovendien ‘geen beleidsadvies of compliance-beoordeling’. Er wordt ook ‘géén risico-inschatting’ gedaan op basis van het rapport. Wel vormt het onderzoek ‘een eerste stap in het verder uitwerken van de juridische kaders rondom digitale soevereiniteit’.