Antwoord schriftelijke vragen : Antwoord op vragen van de leden Kathmann, Six Dijkstra en Sneller over de verhuizing van het.nl domein

Antwoord van Minister Adriaansens (Economische Zaken en Klimaat), mede namens de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties (ontvangen 22 maart 2024). Zie ook Aanhangsel
Handelingen, vergaderjaar 2023–2024, nr. 1083.

Vraag 1

Bent u bekend met het bericht van Stichting Internet Domeinregistratie Nederland (SIDN)
dat zij van plan is om in de komende twee jaar haar volledige ICT-omgeving, waarbinnen
het .nl-domein beheerd wordt, over te dragen aan Amazon Web Services (AWS)?1

Antwoord 1

Ja, ik heb hier kennis van genomen.

Vraag 2

Heeft u contact gehad met het SIDN over dit besluit? Zo ja, welk standpunt heeft u
richting de organisatie uitgedragen?

Antwoord 2

Het Ministerie van Economische Zaken en Klimaat (EZK) is door Stichting Internet Domeinregistratie
Nederland (SIDN) niet schriftelijk geïnformeerd over of geraadpleegd bij de besluitvorming.
Het onderzoek heeft SIDN in het najaar van 2023 kort ter sprake gebracht in een breder
overleg tussen SIDN en EZK. SIDN heeft toen aangegeven dat zij toekomstige (cloud)oplossingen
voor haar domeinregistratiedienst heeft onderzocht. Op basis van dit onderzoek heeft
SIDN een voorkeur voor Amazon Web Services (AWS). SIDN gaf aan dit een lastige keuze
te vinden, maar alles overwegende op deze voorkeur uit te komen. Na deze mondelinge
toelichting is mijn ministerie niet nader geïnformeerd door SIDN.

Na de plaatsing van het bericht eind januari hebben EZK en SIDN frequent contact gehad,
zowel op ambtelijk als politiek niveau. Zo heb ik zelf, samen met de Staatssecretaris
Koninkrijksrelaties en Digitalisering, een gesprek gevoerd met de bestuurders van
SIDN, waarin ik mijn zorgen geuit heb over dit voorgenomen besluit en het gebrek aan
draagvlak onder de stakeholders. Ik heb SIDN daarbij gewezen op het convenant2 tussen SIDN en EZK, waarin mijn ministerie afspraken heeft gemaakt met SIDN over
borging van de continuïteit van de dienstverlening, de binding met Nederland en het
belang van goede betrokkenheid van de stakeholders van SIDN.

Op basis van de gesprekken met en informatie van SIDN constateer ik dat van een daadwerkelijke
verhuizing nog geen sprake is, maar dat SIDN toewerkt naar een situatie waarin deze
verhuizing in 2025 mogelijk is. Afgesproken is dat SIDN op dit moment geen onomkeerbare
stappen zal zetten. De verhuizing is dus nog geen voldongen feit. Vanuit die context
heb ik SIDN gevraagd om haar belanghebbenden uit de internetgemeenschap, waaronder
de Rijksoverheid, veel nauwer te betrekken in de overwegingen die achter dit voorgenomen
besluit liggen en inzage te geven waarom er naar het oordeel van SIDN binnen Nederland
of de EU geen vergelijkbare alternatieven beschikbaar zijn. Dit alles maakt dat ik
op dit moment nog geen definitief standpunt kan innemen over de voorgenomen verhuizing.
Ik zal in Q2 de Tweede Kamer nader informeren als diverse onderzoeken en nadere gesprekken
over deze casus hebben plaatsgevonden.

Voorts heb ik SIDN gewezen op het feit dat de activiteiten van SIDN onder diverse
wetten en regels vallen, waaronder de Wet beveiliging netwerk- en informatiesystemen
(Wbni) en de Algemene Verordening Gegevensbescherming (AVG). Op basis van de Wbni
zal Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouder beoordelen of
de verhuizing risico’s oplevert voor de veiligheid, integriteit en continuïteit van
het .nl domein, en in hoeverre deze risico’s door SIDN (kunnen) worden gemitigeerd
door bestaande of aanvullende maatregelen.

Op grond van de AVG geldt dat SIDN een Data Protection Impact Assessment (DPIA) en
Data Transfer Impact Assessment (DTIA) moet laten uitvoeren voorafgaand aan de voorgenomen
migratie naar AWS. Hiermee zullen ook alle risico's en mitigerende maatregelen voor
de privacy in kaart gebracht moeten worden. De verhuizing kan slechts plaatsvinden
nadat deze processen zijn afgerond en SIDN ook op dit gebied voldoet aan haar zorgplicht.
SIDN heeft aangegeven dit traject in voorbereiding te hebben.

Daarnaast ben ik met SIDN overeengekomen dat ik met betrokkenheid van de internetgemeenschap,
een quickscan zal uitvoeren. Het doel is een beter beeld te krijgen of er geen Nederlands
of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van SIDN voor
haar domeinregistratiesysteem, en wat het zou vergen om deze lacune te vullen. De
quickscan zal daarmee niet exclusief op SIDN gericht zijn, maar we nemen deze casus
wel nadrukkelijk mee, juist omdat ik, vanuit de eisen die partijen zoals SIDN stellen,
wil weten wat het aanbod in Nederland en de EU is in vergelijking met de Amerikaanse
partijen.

Vraag 3

Deelt u de mening dat het .nl-domein een essentieel onderdeel is van de digitale infrastructuur
van Nederland?

Antwoord 3

Ja, de dienstverlening van SIDN vormt een essentieel onderdeel van de digitale infrastructuur
van Nederland. Er zijn meerdere instrumenten die gericht zijn op het borgen van de
beschikbaarheid en veiligheid van de dienstverlening van SIDN. Ten eerste is SIDN
als aanbieder van Domain Name Server (DNS)-diensten en register van topleveldomeinnamen, een aanbieder van een essentiële
dienst als bedoeld in de Wbni. Daarom zijn de in die wet opgenomen verplichtingen
en het daarin ook geregelde toezicht op de naleving daarvan op SIDN van toepassing.
De Wbni strekt in hoofdzaak tot implementatie van de Europese Netwerk- en Informatiebeveiligingsrichtlijn
(NIB-richtlijn). De verplichtingen op grond van de Wbni betreffen onder meer het nemen
van passende en evenredige technische en organisatorische maatregelen om de risico’s
voor de beveiliging van netwerk- en informatiesystemen te beheersen. SIDN heeft op
basis van de Wbni een zorgplicht. De RDI toetst als toezichthouder doorlopend op de
naleving van de zorgplicht en kan, als dat niet gebeurt, ook handhavend optreden.
Uiteraard zal SIDN ook tijdens en na de eventuele verhuizing moeten blijven voldoen
aan de Wbni. Ten tweede is SIDN op grond van het nationale vitaalbeleid als aanbieder
van DNS-diensten en beheerder van een register van topleveldomeinnamen aangemerkt
als vitale aanbieder. Ten derde heeft EZK met SIDN een convenant afgesloten dat de
relatie met Nederland waarborgt en voorziet in afspraken over continuïteit.

Overigens heeft SIDN aangegeven niet het voornemen te hebben om het gehele .nl-domein
in de cloud te plaatsen, maar alleen het domeinregistratiesysteem. Registratie van
een .nl-domein beslaat twee systemen: Het domeinregistratiesysteem en het domeinnaamsysteem.

Het domeinregistratiesysteem is de administratie van wie welke domeinnaam heeft. Dit
domeinregistratiesysteem bevat de volgende gegevens: van wie welke domeinnaam is,
welke service provider verantwoordelijk is en naar welke name servers verwezen moet worden. De name server zorgt voor de koppeling van de domeinnaam aan de IP-adressen. Het domeinnaamsysteem
vertaalt de domeinnamen, die we dagelijks gebruiken, zoals overheid.nl, naar de IP-adressen
van de internetdiensten (het telefoonboek van het internet).

SIDN heeft aangegeven dat het domeinnaamsysteem geen onderdeel is van de migratie
naar AWS. Eventuele uitval van het domeinregistratiesysteem heeft niet direct gevolgen
voor de bereikbaarheid van bestaande .nl domeinnamen en de daaraan verbonden diensten.

Vraag 4

Deelt u de mening dat de verhuizing van het .nl-domein zorgt voor een onwenselijke
afhankelijkheid van de Verenigde Staten?

Antwoord 4

Verhuizing van het domeinregistratiesysteem van SIDN zou een bepaalde afhankelijkheid
van AWS creëren. Het kabinet wil zogenaamde risicovolle strategische afhankelijkheden
mitigeren. Niet iedere afhankelijkheid is een risico; zo vormen wederzijdse afhankelijkheden
de hoeksteen van het mondiale handelssysteem, waardoor specialisatie kan optreden,
innovatie wordt gestimuleerd, producten toegankelijk blijven, wetenschappelijke kennis
circuleert en onze welvaart en koopkracht toeneemt.3

Voor de specifieke casus van de voorgenomen verhuizing van het domeinregistratiesysteem
van SIDN wordt door het kabinet nader bezien in hoeverre de voorgenomen verhuizing
risico’s oplevert voor onze digitale open strategische autonomie. SIDN zal vanuit
haar zorgplicht moeten documenteren en beoordelen in hoeverre de verhuizing risico’s
oplevert voor onze publieke belangen zoals veiligheid van gegevens en de continuïteit
van de dienstverlening van SIDN. En zo ja, in hoeverre deze risico’s (kunnen) worden
gemitigeerd door bestaande of aanvullende maatregelen en wat dit betekent voor de
voorgenomen verhuizing. Toezichthouders waaronder de RDI, zullen toetsen of aan alle
wet- en regelgeving is voldaan. Ik vind het daarnaast van belang dat SIDN meeweegt
welke Nederlandse (of Europese) alternatieven voorhanden zijn. Zie ook het antwoord
op vraag 2.

Vraag 5

Hebben de hostingprovider en de Amerikaanse overheid toegang tot de gegevens in de
AWS-cloud? Onder welke voorwaarden hebben zij toegang?

Antwoord 5

SIDN heeft aangegeven dat de servers die zij voornemens zijn te gebruiken van AWS
gevestigd zijn binnen de EU en dat de Europese wet- en regelgeving onverkort van toepassing
zal zijn. Daarnaast heeft SIDN gemeld dat de data versleuteld verwerkt, getransporteerd
en opgeslagen zal worden. Versleuteling is een voorbeeld van een technische maatregel
waar de RDI naar kijkt bij aanbieders van essentiële diensten, in haar rol als toezichthouder.
SIDN gaf daarnaast aan dat zowel de hostingprovider als de Amerikaanse overheid geen
toegang hebben tot gegevens die in het registratiesysteem worden verwerkt of opgeslagen.

Wel kunnen de data op basis van de US Cloud Act, Amerikaanse wetgeving met extraterritoriale
werking, opgeëist worden. Deze wetgeving maakt het onder andere mogelijk dat Amerikaanse
federale rechtshandhaving bij uitzondering, na goedkeuring via een huiszoekingsbevel
van een Amerikaanse rechter, toegang kunnen eisen tot gegevens indien die zijn opgeslagen
of worden verwerkt bij Amerikaanse bedrijven of Europese leveranciers onder Amerikaanse
jurisdictie. Er zijn meer landen die dergelijke wetgeving en bijbehorende verplichtingen
hebben.

De DPIA, die nog moet worden afgerond, zal de risico's en mitigerende maatregelen
in kaart moeten brengen. Dit is een voorwaarde om de verhuizing te laten plaatsvinden.
De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG, daaronder valt
ook het goed uitvoeren van een DPIA. Primair ligt de verantwoordelijkheid bij de organisatie
zelf, in deze casus SIDN, om een DPIA en DTIA uit te voeren. AP ziet uiteindelijk
er op toe dat de SIDN de DPIA en DTIA goed uitvoert. Als uit deze DPIA en DTIA blijkt
dat er hoge restrisico’s zijn, dan moet de SIDN naar de AP gaan voor verdere bespreking
over die risico’s.

Vraag 6

Is het voldoende mogelijk om toezicht te houden en zo nodig aanpassingen ten goede
van de veiligheid door te voeren als het .nl-domeinbeheer bij een Amerikaans bedrijf
ligt?

Antwoord 6

Zowel de activiteiten van SIDN als die van AWS vallen onder de Europese wetgeving
en het daarin geregelde toezicht.

Net als voor elke andere aanbieder van een essentiële dienst geldt vanuit de Wbni
voor SIDN de wettelijke verplichting om evenredige technische en organisatorische
maatregelen te nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen
te beheersen, de zogenaamde zorgplicht. De maatregelen moeten zorgen voor een niveau
van beveiliging dat is afgestemd op de risico’s die zich voordoen. Ook moeten aanbieders
van essentiële diensten, passende maatregelen nemen om incidenten die de beveiliging
van de netwerk- en informatiesystemen aantasten, te voorkomen en gevolgen te beperken
teneinde de continuïteit van de dienst te waarborgen.

De RDI houdt toezicht op de naleving van de zorgplicht door SIDN en heeft, zo nodig,
verschillende instrumenten tot zijn beschikking om naleving van de zorgplicht af te
dwingen, zoals het vorderen van informatie, opleggen van een verplichting tot een
beveiligingsaudit en het opleggen van bestuurlijke boetes.

Op basis van de Wbni zijn genoemde verplichtingen én toezicht op de naleving daarvan
door de RDI ook van toepassing op digitale dienstverleners, zoals verleners van cloudcomputingdiensten.
Zij hebben dus ook een zorgplicht in bovenbedoelde zin met betrekking tot de beveiliging
van hun netwerk- en informatiesystemen. Wel is het zo dat de Wbni alleen van toepassing
is op digitale dienstverleners die gelet op de NIB-richtlijn onder de jurisdictie
van Nederland vallen. Op basis van de NIB-richtlijn wordt een verlener van cloudcomputerdiensten
geacht te vallen onder de jurisdictie van de lidstaat waar hij zijn hoofdvestiging
heeft. De rechtspersoon van AWS in de Europese Unie is in Luxemburg gevestigd en valt
daarmee onder het (toezicht)regime van Luxemburg. Toezichthouders als bedoeld in de
NIB-richtlijn in de EU kunnen elkaar bijstand verlenen en samenwerken.

Vraag 7

Kunt u met volle zekerheid zeggen dat alle registratiegegevens en .nl-domeinen, van
nationale websites tot emailadressen, afgeschermd en veilig zijn bij een Amerikaans
bedrijf? Hoe komt u tot die conclusie? Welke risico’s ziet u?

Antwoord 7

Nee, volle zekerheid kan nooit worden gegeven, ongeacht welke leverancier gebruikt
wordt en waar deze vandaan komt. De risico’s moeten beheersbaar zijn. Op dit moment
heeft de RDI, mede gegeven de fase waarin het voornemen tot verhuizing zit, van SIDN
nog te weinig informatie verkregen om te kunnen concluderen over de risico’s voor
de systemen als gevolg van het voorgenomen besluit. Zie hiervoor ook de beantwoording
van vraag 6. Voor wat betreft vragen rond privacyaspecten geldt dat de genoemde DPIA
en DTIA nog moeten worden afgerond alvorens hierover een oordeel kan worden gegeven.
Zie ook het antwoord op vraag 2.

Vraag 8

Vindt u het acceptabel dat SIDN, die sinds 2018 geldt als een «aanbieder van essentiële
diensten»4, haar systeembeheer naar een Amerikaanse aanbieder verplaatst?

Antwoord 8

Zoals eerder aangegeven ben ik verrast over het voorgenomen besluit en baart deze
stap mij ook zorgen. De verhuizing is echter nog geen voldongen feit. Ik heb deze
zorgen in een gesprek met de bestuurders van SIDN ook kenbaar gemaakt en heb aangegeven
dat SIDN eerst nog diverse stappen in het proces moet doorlopen voordat gezegd kan
worden of dit besluit gerechtvaardigd is. Zie verder het antwoord op vraag 2. Overigens
zoals in vraag 3 heeft SIDN aangegeven niet het voornemen te hebben om het gehele
.nl-domein in de cloud te plaatsen, maar alleen het domeinregistratiesysteem.

Vraag 9

Past het overhevelen van het .nl-domeinbeheer naar een Amerikaanse cloud binnen het
Nederlandse en Europese beleid rondom strategische autonomie?

Antwoord 9

Op 17 oktober 2023 is de Tweede Kamer geïnformeerd over de agenda digitale open strategische
autonomie (DOSA)5. Deze agenda bouwt voort op het bredere kabinetsbeleid rond open strategische autonomie6 en de aanpak strategische afhankelijkheden7.

Het kabinet hecht grote waarde aan een internationale rechtsorde waarin handel en
investeringen vrijelijk hun weg vinden. Wederzijdse afhankelijkheden vormen de ruggengraat
van het open handelssysteem en de internationale samenwerking waar Nederland en de
EU veel profijt van hebben en die ons een sterkere geopolitieke positie opleveren.
Tegelijkertijd kan een vorm van overheidsingrijpen nodig zijn, bijvoorbeeld indien
strategische afhankelijkheden hoge risico’s met zich meebrengen.

In de agenda DOSA staat de probleemanalyse en beleidsinzet (zie antwoord bij vraag 13)
op de beleidsprioriteit cloud geschetst. Zoals staat aangegeven in deze agenda wordt
de Europese markt gedomineerd door enkele Amerikaanse partijen.

In algemene zin is het overhevelen van activiteiten naar een cloudleverancier van
buiten de EU niet strijdig met het beleid rond (digitale) open strategische autonomie.
Tegelijkertijd is het belangrijk om te kijken naar in hoeverre dit risico’s oplevert,
in hoeverre deze risico’s (kunnen) worden gemitigeerd door huidig instrumentarium
of aanvullend instrumentarium en wat de mogelijkheid tot substitutie is.

In aanvulling hierop is in de Agenda DOSA al een breder onderzoek voorzien waarin
mitigerende maatregelen voor de vermindering van cloudafhankelijkheid van Nederland
worden verkend.

Vraag 10

Wat zijn de gevolgen voor Nederland en al haar belangrijke digitale diensten die in
het .nl-domein staan als het register gecompromitteerd raakt? Wat betekent dit in
het slechtste geval voor Nederland en welke regie houden de overheid en internetdiensten
over hun eigen .nl-adres?

Antwoord 10

SIDN heeft aangegeven dat het domeinregistratiesysteem in beheer blijft van de stichting.
Onbevoegde wijzigingen in het domeinregistratiesysteem kunnen, zowel nu als in de
toekomst, grote gevolgen hebben voor de aan de domeinnaam verbonden diensten. Om het
risico op dergelijke wijzigingen te mitigeren worden maatregelen genomen. SIDN geeft
aan dat de veelheid aan mitigerende maatregelen die AWS treft juist een van de redenen
is om voor die partij te kiezen. Wat de gevolgen van de migratie zijn voor privacy
moet o.a. nog blijken uit de nog uit te voeren DPIA.

Vraag 11

Heeft het Agentschap Telecom als verantwoordelijk toezichthouder gereageerd op de
ICT-strategie waarin de verhuizing naar AWS besloten is? Zo ja, kunt u deze reactie
of zienswijze delen?

Antwoord 11

Omdat de RDI (voorheen Agentschap Telecom) niet vooraf geïnformeerd is over het voorgenomen
besluit van SIDN om te migreren naar AWS en nog meer informatie van SIDN nodig heeft
over deze voorgenomen migratie, heeft de RDI op dit moment geen inhoudelijke reactie
of zienswijze en kan ik die daarom niet delen. Zoals beschreven in vraag 6 toetst
RDI binnen de kaders van de Wbni de veiligheid van het huidige domeinregistratiesysteem
alsook toekomstige systemen zoals gebruik van AWS.

Vraag 12

Hoe reageert u op de bewering van SIDN dat zij overstapt naar een Amerikaanse cloud
omdat «er nog geen volwaardig Europees alternatief bestaat»?

Antwoord 12

In algemene zin kan gesteld worden dat er verschillende Nederlandse en Europese aanbieders
van ICT- en clouddiensten zijn, die als «alternatief» zouden kunnen dienen. Of deze
aanbieders een volledig en/of concurrerend aanbod voor de gevraagde dienstverlening
kunnen leveren aan SIDN is iets waar het kabinet meer inzicht in wil krijgen middels
een quickscan.

SIDN heeft aangegeven te werken aan een exit-strategie. Deze strategie is tweeledig.
Het heeft zowel betrekking op het snel kunnen verhuizen in het geval van problemen
of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse cloudprovider
als deze mogelijkheid zich aandient.

Vraag 13

Welke maatregelen neemt Nederland om zo snel mogelijk te komen tot een betrouwbaar
en publiek Europees cloudsysteem? Indien deze in ontwikkeling is, wanneer verwacht
u dat deze in gebruik is?

Antwoord 13

Nederland zet in op Europese ontwikkeling van innovatieve clouddiensten en regulering
van de markt. Op 15 oktober 2020 hebben de lidstaten van de Europese Unie een verklaring8 ondertekend om samen te werken aan de uitrol van veerkrachtige en concurrerende cloudinfrastructuur
en -diensten in heel Europa.

Het «Important Project of Common European Interest on the next generation Cloud Infrastructure
and Services» (IPCEI CIS) is een van de manieren waarop hier gevolg aan is gegeven,
door het subsidiëren van een nieuwe generatie innovatieve, duurzame en veilige Europese
cloudoplossingen. De Tweede Kamer is op 21 december 2023 over de IPCEI CIS geïnformeerd
middels de beantwoording van vragen van de Kamer9 en een Kamerbrief10. De looptijd van deze projecten, inclusief de uitrolfase, is tot met 2028 en de totale
subsidie bedraagt ruim 71 mln euro.

Daarnaast neemt Nederland deel aan de European Alliance for Industrial Data, Edge
and Cloud, waarin overheden en bedrijven op Europees niveau samenwerken om de ontwikkeling
en uitrol van nieuwe oplossingen te simuleren.11

Ook loopt het Gaia-X initiatief12, dat erop gericht is om een alternatief te ontwikkelen voor de deels gesloten ecosystemen
van bestaande grote cloudspelers. Diverse Nederlandse bedrijven en organisaties zijn
hierachter de drijvende kracht. Het kabinet steunt de ontwikkeling via een Nederlandse
GAIA-X hub bij TNO en is vertegenwoordigd in de Governmental Advisory Board van het
initiatief.

Naast de reeds bestaande Europese clouddiensten zullen deze initiatieven naar verwachting
het cloudaanbod aanzienlijk vergroten.

Verder is er inmiddels wetgeving gericht op het beter laten functioneren van de digitale
interne markt. Hierbij zijn de Dataverordening13 en Digital Markets Act belangrijke kaders waarmee economische afhankelijkheid (en
lock-in) van cloudaanbieders worden verminderd.

Volgens het kabinet dragen deze initiatieven samen bij aan het ontwikkelen van een
Europees cloudsysteem met als ambitie om tot een volwaardig Europees aanbod te komen.
Het is belangrijk om nader te bezien of deze acties zorgen voor het benodigde aanbod
van clouddiensten voor toepassingen zoals het domeinregistratiesysteem van SIDN. De
quickscan zal naar verwachting meer inzicht geven (zie antwoord vraag 2).

Vraag 14

Op welke manier bent u betrokken bij dit besluit van SIDN en haar werkzaamheden? Welke
rol neemt u als Minister om deze essentiële digitale infrastructuur te onderhouden?

Antwoord 14

Sinds 1996 beheert en registreert de onafhankelijke stichting SIDN de domeinnamen
binnen het .nl-domein. EZK heeft voor het eerst met SIDN een convenant afgesloten
dat dateert uit 2008. Het convenant is in 2015 en 2022 geëvalueerd en herzien en met
de Tweede Kamer gedeeld14. Doel van het convenant is om waarborgen te krijgen op de stabiliteit en continuïteit
van het .nl-domein. SIDN heeft tot nu toe gezorgd voor 100% beschikbaarheid van het
.nl domein.

In het convenant is onder andere afgesproken dat SIDN en het .nl-domein verbonden
blijven met Nederland, waarbij SIDN zich ten doel blijft stellen het .nl-domein voor
gebruikers in Nederland beschikbaar te houden. Daarnaast staat in het convenant dat
SIDN haar belanghebbenden adequaat betrekt bij besluiten. Dit laatste is onvoldoende
gebeurd, omdat bijvoorbeeld zorgen van de Vereniging van Registrars nog niet geadresseerd
waren voordat SIDN het besluit over de migratie naar AWS kenbaar maakte. Ik heb aan
SIDN gevraagd zich aan het convenant te houden, door onder andere met de belanghebbenden
dit voorgenomen besluit te bespreken en ben zoals hiervoor aangegeven zelf ook in
overleg met SIDN.

De RDI houdt toezicht op de naleving van in de Wbni geregelde verplichtingen (zorgplicht,
etc.) rustend op aanbieders van essentiële diensten in de sectoren energie en digitale
infrastructuur waaronder digital dienstverleners, inclusief SIDN.

Vraag 15

Wat is de rol van de coördinerend Staatssecretaris voor Digitale Zaken bij het bewaken
van de autonomie van het .nl-domein? Is deze rol voldoende om de autonomie te waarborgen?
Zo niet, bent u alsnog bereid deze coördinerende rol te pakken?

Antwoord 15

Zoals eerder aangegeven hebben de Minister van EZK en de Staatssecretaris Koninkrijksrelaties
en Digitalisering gezamenlijk met de bestuurders van SIDN gesproken. De Staatssecretaris
Koninkrijksrelaties en Digitalisering heeft net als de Minister van EZK aangegeven
dat het voorgenomen besluit van SIDN nader onderzoek en een open discussie vereist
zoals aangegeven in deze brief. In haar rol als coördinerend Staatssecretaris voor
Digitale Zaken staat de Staatssecretaris in deze casus in contact met de Minister
van EZK en brengt zij richting en expertise in over waardengedreven digitalisering,
onder meer in relatie tot het Rijkscloudbeleid. In haar rol draagt zij bij aan het
bewaken van publieke waarden, waar digitale open strategische autonomie een basis
vormt van een verantwoorde digitale transitie. De digitale overheid vereist continuïteit
en voor de overheid is het essentieel dat het .nl-domein voor de dienstverlening voor
de Nederlandse maatschappij altijd beschikbaar is. De Minister van Economische Zaken
en Klimaat en de Staatssecretaris Koninkrijksrelaties en digitalisering zullen in
gesprek gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers
en inhoudelijke experts over de manier waarop digitale open strategische autonomie
het beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.

Vraag 16

Welke alternatieve Nederlandse of Europese private cloudproviders zijn er en zou het
.nl-domein ook bij deze ondergebracht kunnen worden?

Antwoord 16

Zoals aangegeven in het antwoord op vraag 2, ben ik met SIDN overeengekomen dat we
met betrokkenheid van stakeholders een quickscan zullen uitvoeren om een beter beeld
te krijgen of er geen vergelijkbaar Nederlands of Europees alternatief beschikbaar
is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem, en wat het
zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief op SIDN
gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik, vanuit
de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland en
de EU is in vergelijking met de Amerikaanse partijen.

Vraag 17

Hoe kan het dat dé beheerder van het .nl-domein niet voldoende personeel aan kan trekken
om haar systeem veilig binnen Nederland te beheren?

Antwoord 17

Waarom SIDN niet voldoende personeel kan aantrekken is bij EZK niet exact bekend.
SIDN geeft aan dat het niet kunnen aantrekken van nieuw personeel is gerelateerd aan
diverse factoren. Zo dateert het domeinregistratiesysteem dat nu nog in eigen beheer
is, uit 2010 en geven opleidingen niet of nauwelijks meer scholing in het beheer van
dergelijke systemen. De gevraagde kennis is zeer specifiek en niet eenvoudig vervangbaar
bij ziekte, uitval of vertrek. SIDN is van mening dat dit risico’s met zich meebrengt
voor de continuïteit van de bedrijfsvoering. SIDN verwacht door meer gestandaardiseerde
systemen te gebruiken en een deel van het systeem in de cloud te plaatsen, uit een
grotere pool van IT-professionals te kunnen werven.

In algemene zin wordt de hele samenleving geraakt door tekorten op de arbeidsmarkt.
Tekorten in de ICT spelen al decennia en zijn van toenemende en structurele aard.
De grote vraag blijkt uit toenemende aantal vacatures in de ICT. In 2021 had 71% van
de bedrijven in Nederland moeite om specialistische ICT-vacatures te vervullen. Met
het huidige groeitempo van bijna 7% per jaar, is in 2030 één op de tien van de beroepsbevolking
IT’er. Dat betekent dat de Nederlandse arbeidsmarkt moet toewerken naar 1 miljoen
digitaal geschoolden in 2030.

Vraag 18

Onder welke voorwaarden is het voor SIDN mogelijk om haar diensten in Nederland in
beheer te houden? Welke maatregelen kunt u nemen om aan deze voorwaarden te voldoen?

Antwoord 18

SIDN heeft aangegeven dat zij te allen tijde haar diensten in Nederland in beheer
houdt. Zie het antwoord op de vragen 2 en 3.

Vraag 19

Welke instrumenten heeft u als Minister om bij te sturen op de tarieven van de SIDN?

Antwoord 19

SIDN is een onafhankelijke stichting die zelf de basisprijzen stelt voor een .nl-domein.
In 2024 vraagt SIDN voor een domeinnaam € 4,15 per jaar. Dit is het bedrag dat registrars
betalen aan SIDN voor haar dienstverlening. Ik heb geen bevoegdheid om bij te sturen
op de tarieven.

Vraag 20

Bent u bereid om als eindverantwoordelijke voor de digitale infrastructuur in Nederland
in te grijpen en tot een plan te komen om het .nl-domein binnen Nederland te houden?

Antwoord 20

De verhuizing is nog geen voldongen feit en SIDN heeft toegezegd nu nog geen onomkeerbare
stappen te zetten. Ik heb, i.s.m. de Staatssecretaris Koninkrijksrelaties en Digitalisering
diverse acties uitgezet om meer zicht te krijgen op de keuze van SIDN. Hieronder vat
ik ze kort samen:

EZK is in het licht van het convenant in gesprek met SIDN over voorgenomen migratie
van het domeinregistratiesysteem naar AWS. Daarin is vastgelegd dat dat SIDN duurzaam
verbonden moet blijven met Nederland en SIDN haar stakeholders moet betrekken. In
dat kader heb ik SIDN ook gevraagd om haar belanghebbenden uit de internetgemeenschap,
waaronder de Rijksoverheid, veel nauwer te betrekken in de overwegingen achter dit
voorgenomen besluit.

Ik ben met SIDN overeengekomen dat EZK met betrokkenheid van stakeholders een quickscan
zal uitvoeren om een beter beeld te krijgen of er geen vergelijkbaar Nederlands of
Europees alternatief beschikbaar is die voldoet aan de eisen van SIDN voor haar domeinregistratiesysteem,
en wat het zou vergen om deze lacune te vullen. De quickscan zal daarmee niet exclusief
op SIDN gericht zijn, maar we nemen deze casus wel nadrukkelijk mee, juist omdat ik,
vanuit de eisen die partijen zoals SIDN stellen, wil weten wat het aanbod in Nederland
en de EU is in vergelijking met de Amerikaanse partijen. Waar nodig zal ik nader bezien
welke risico’s er bestaan en welke mogelijkheden vervolgstappen er zijn om de digitale
open strategische autonomie te bevorderen, en de continuïteit, integriteit en veiligheid
van de dienstverlening te garanderen.

De RDI toetst op basis van de Wbni de beveiliging en continuïteit van de netwerk-
en informatiesystemen van SIDN, zowel het huidige domeinregistratiesysteem als ook
een toekomstig gebruik van AWS.

SIDN zal op basis van de AVG een Data Privacy Impact Assessment (DPIA) en Data Transfer
Impact Assessment (DTIA) uitvoeren.

Ik zal samen met de Staatssecretaris Koninkrijksrelaties en Digitalisering in gesprek
gaan met een brede groep belangenbehartigers zoals bijvoorbeeld wetenschappers en
inhoudelijke experts over de manier waarop digitale open strategische autonomie het
beste kan worden geborgd voor vraagstukken rond o.a. cloudinfrastructuur en -diensten.

Al met al zijn er diverse acties genomen om het voorgenomen besluit van SIDN tegen
het licht te houden en ik bekijk op basis daarvan wat nodig is. Het belang van een
zorgvuldige afweging betekent dat het op dit moment te vroeg is om al conclusies te
trekken. Op basis van de uitkomsten van deze acties zal ik de Kamer nader informeren,
naar verwachting is dit in Q2.

Vraag 21

Kunt u zo snel mogelijk met een eerste reactie komen, zo nodig apart van de volledige
beantwoording van deze vragen?

Antwoord 21

Ja.

Vraag 22

Wilt u deze vragen apart van elkaar beantwoorden?

Antwoord 22

Ja.