- Door
- Arnout Veenman
- geplaatst op
- 16 september 2015 08:00 uur
Een aantal dagen geleden kwam het ambtenaren tijdschrift Binnenlands Bestuur met de onthulling dat veel gemeentewebsites én zelfs DigiD wordt gehost door buitenlandse hosters. Als subkop bij het artikel staat zelfs: “GEMEENTEWEBSITES LOPEN RISICO DOOR BUITENLANDSE INMENGING”. Dat zou natuurlijk een ernstige zaak zijn, maar klopt het wel wat er in het artikel staat?
Wat is precies het probleem volgens Binnenlands Bestuur?
Hostingbedrijven zijn verantwoordelijk voor de opslag van de data van websites, zo ook de opslag voor gemeentelijke websites, die via contactformulieren en afspraakmodules veel persoonlijke gegevens verwerken. Uit de inventarisatie van Binnenlands Bestuur bij 393 gemeenten blijkt dat de data van alle gemeentelijke websites in Nederlandse datacenters staat opgeslagen. Het baart deskundigen zorgen dat veel van deze hostingbedrijven vaak sterke banden met Amerika hebben. Dat laatste geldt niet alleen voor de hosting van tientallen gemeentelijke websites, maar ook voor die van authenticatiemiddel DigiD, dat landelijk gebruikt wordt.
Goed nieuws dus! De data van de websites van alle Nederlandse gemeenten staat dus fysiek in Nederland gehost. Echter kan het wel een probleem zijn als de lange arm der Amerikaanse wet (Freedom Act) zou kunnen graaien in de data van Nederlandse gemeenten en alle helemaal in de centrale overheidslogin DigiD. Echter stopt het verhaal hier niet. Er wordt verder uitgelegd om welke partijen het gaat:
Uit de inventarisatie blijkt dat vijftien gemeentelijke websites worden gehost door bedrijven die in handen zijn van Amerikaanse moederbedrijven, zoals Verizon, Equinix en Liberty Global. Daarnaast wordt de data van 38 gemeentewebsites gehost door bedrijven met een Europees hoofdkantoor zoals Interoute (16 websites) en Leaseweb (22 websites). Zij zijn echter ook op grote schaal actief in de Verenigde Staten. Opvallend is dat het landelijk gebruikte DigiD, waarin vrijwel alle persoonlijke gegevens zijn terug te vinden van iedere Nederlandse burger, gehost wordt door Virtu, dat sinds enkele jaren in handen is van het Amerikaanse Equinix.
Dat is interessant want ik zie hier verschillende partijen staan die helemaal geen hoster zijn en het feit dat Virtu als hoster van DigiD wordt genoemd, is ook interessant omdat die handelsnaam zover ik weet helemaal niet meer (actief) door Equinix wordt gebruikt. Het lijkt er dus op dat Binnenlands Bestuur alleen heeft gekeken naar in welke netwerken de bewuste gemeentewebsites en DigiD worden gehost.
Het IP-adres van DigiD (digid.nl) is 144.43.254.202. Dit IP-adres wordt geannounced door AS AS62003 van overheids IT-uitvoeringsorganisatie Logius. Dat neemt netwerkconnectivteit af van AS16243 (Virtu Secure Services B.V.). Echter de conclusie die Binnenlands Bestuur trekt dat DigiD wordt gehost lijkt mij daarom onzin. Helemaal omdat de naam Virtu enkel nog terug te vinden is in het handelsregister en in de RIPE database.
Daar komt ook nog eens bij dat het hosten van een website natuurlijk iets heel anders is dan het aanbieden van colocatie in een datacenter of netwerkconnectiviteit. Iets dat ik de gemiddelde ISPam.nl lezer natuurlijk niet zal hoeven uit te leggen. Helaas snappen journalisten van andere media dat niet. In hun onwetendheid en scoringsdrift beschadigen ze daarmee het vertrouwen in de Nederlandse hostingsector en de Nederlandse digitale infrastructuur.
En om ook die laatste doelgroep – die het verschil tussen colocatie in een datacenter, netwerkconnectiviteit en hosting niet begrijpt – met dit artikel te bedienen hieronder verdere uitleg.
Het aanbieden van colocatie in een datacenter is enkel het leveren van een veilig onderkomen voor (fysieke) IT-infrastructuur. Het leveren van netwerkconnectiviteit is enkel het leveren van een internetverbinding, net zoals u die thuis of op kantoor heeft. De aanbieders van beide diensten hebben geen toegang tot de data die de klant heeft opgeslagen, net zo min als uw eigen internetaanbieder toegang tot de data op uw pc heeft of de verhuurder van uw huis of kantoor toegang tot de data op uw pc heeft.
Een hoster kan in bepaalde gevallen wel toegang tot de data hebben. Indien de hoster enkel (fysieke) servers levert zonder dat hij het beheer over de software op die servers heeft, dan heeft de klant de controle en heeft de hoster bijna nooit toegang tot de data van de klant. Natuurlijk kan de hoster waarschijnlijk wel fysiek bij de harde schijven waar de data van de klant is opgeslagen maar dat is moeilijk en is vrijwel onmogelijk om ongemerkt te doen. Alleen wanneer de hoster ook het platform waarop de website van de klant draait beheert, kan hij eenvoudig bij de data van de klant en deze dus ook aan buitenlandse overheden verstrekken.
Wanneer we kijken naar DigiD dan draait deze zelfs in een eigen netwerk, dat weer gebruik maakt van netwerkconnectiviteit van onder meer Virtu (Equinix). Dat betekent dus echter nog niet dat DigiD ook door Equinix gehost wordt. Natuurlijk is dat niet het geval. DigiD draait op servers die in bezit zijn van Logius en ook beheerd worden door de organisatie. Bij de data die op die servers draait, kan om die reden ook geen buitenlandse overheid toegang krijgen.
Veel gemeenten maken voor hun website gebruik van een aantal standaard content management systemen, waarbij de leverancier in veel gevallen ook de hosting levert en dat is dus vaak niet dezelfde als de partij die toevallig de netwerkconnectiviteit naar de website levert. Hier is een mooi overzicht te vinden van de CMS’en (en leveranciers) van gemeentenwebsites. GX, Green Valley, SIMgroup en SmartSite zijn belangrijke leveranciers, die waarschijnlijk ook weer de hosting van de websites zullen regelen.
Het is dus vooral interessant om te zien hoe de verschillende (grote) leveranciers de hosting van de websites van de gemeentes hebben geregeld om te bepalen of dat bijvoorbeeld de Amerikaanse overheid met de Freedom Act data van de gemeenten zou kunnen graaien. Al zullen in veel gevallen de netwerkleveranciers niet de (uiteindelijk) hosters van de website zijn, die daardoor ook toegang tot de data van de gemeentewebsites hebben.
Het bericht van Binnenlands Bestuur is daarom, zoals ik eerder al concludeerde door onwetendheid vooral sensationeel, maar de conclusie zijn gebaseerd op compleet verkeerde aannames en totaal niet onderbouwd.