Mastodawn

Nico Rikken Mar 5

@ibestuur Ondertussen staat het document ook toegankelijk op het internet, inclusief de memo toelichting https://www.rijksoverheid.nl/documenten/publicaties/2026/02/26/memo-toelichting-onderzoek-aws-esc

Memo toelichting onderzoek AWS ESC

Dit memo geeft een toelichting op het onderzoek van de AWS European Sovereign Cloud (ESC) door Greenberg Traurig. Het memo beschrijft de achtergrond, de onderzoeksmethode en belangrijkste bevindingen van het onderzoek.Memo toelichting onderzoek AWS ESC

Bert Hubert NL 🇺🇦🇪🇺🇺🇦Feb 21

@nicorikken @ibestuur alle sporen van dit rapport zijn hartgrondig verwijderd. Heb ook al flink gezocht in archieven maar niks gevonden. Het bestond wel.

@bert_hubert @ibestuur Dus ook niet voorbij gekomen op #OpenTK? Dan maar opvragen denk ik. Kan nog even zoeken hoe ik ook al weer de cache van de zoekmachine op kan vragen.

Bert Hubert NL 🇺🇦🇪🇺🇺🇦Feb 21

@nicorikken @ibestuur dit is WOO-materiaal inmiddels gok ik. Maar als men dit soort rapporten weggooit vind ik het prima, het is in dit stadium niet nuttig meer.

@bert_hubert @ibestuur Mee eens. Ik heb nog een trauma van het Gartner rapport uit 2017 dat veel schade heeft gedaan, dus zit er graag dicht op https://www.kennisopenbaarbestuur.nl/site/binaries/site-content/collections/documents/2017/10/11/onderzoek-open-source-software/onderzoek-open-source-software.pdf

Gerbrand van Dieyen Feb 21

@nicorikken @bert_hubert @ibestuur oef hoeveel bestuurders en managers zullen open source publiceren tegengehouden hebben door dat rapport.
Gelukkig publiceert de overheid nu inmiddels wel OSS, nog wel te weinig imho.

@gerbrandvd @bert_hubert @ibestuur Gelukkig hebben we ondertussen de WOO die publicatie stimuleert of afdwingt. Dan kan er in een vroeg stadium rekening worden gehouden met publicatie waardoor de drempel voor publicatie (bezwaar Gartner) lager wordt.

Meneer de Bruin 🚂🍉🔻Feb 21

@nicorikken @ibestuur Alles na de 'Ja' op de vragen kan je overslaan.

Ze schatten de kans laag in, maar bij risico moet je ook kijken naar de impact. Die is potentieel enorm en vraagt dus om maatregelen.

Gezien de maatregelen die amerika heeft genomen tegen het ICC en Francesca Albanese lijkt mij de kans ook groter dan onwaarschijnlijk.

Simon Lelieveld Feb 21

@nicorikken @ibestuur

@hrifeu heeft dat ergens staan, die maken zich zrogen over het Kyndryl verhaal.

@finhstamsterdam @nicorikken @ibestuur

Ja hebben we liggen hier - https://hrif.eu/wp-content/uploads/2026/02/Onderzoek-en-duiding-Onderzoeksrapport-AWS-ESC-EN.pdf

Rapport Greenberg Traurig. Treurig gevalletje legalspeak ter afdekking en formulering van gewenste conclusies die juridisch niet getrokken kunnen worden maar toch zo opgeschreven worden alsof het hout snijdt.

https://hrif.eu/wp-content/uploads/2026/02/Onderzoek-en-duiding-Onderzoeksrapport-AWS-ESC-EN.pdf

@finhstamsterdam @nicorikken @ibestuur

Let wel wij haalden het bancair sleepent uit de lucht door de VS regels te gebruiken. het gaat dus niet alleen om buitenlandse dreigingen waar je je zorgen om moet maken als er VS betrokkenheid is bij dataverwerking.

Wij vroegen EZ om negatief te besluiten rond Kyndryl.

@finhstamsterdam @nicorikken @ibestuur

en nu de termijn voorbij is en Kyndryl volkomen door de hoeven gezakt is snelle afwijzing geboden.

Zie de desastreuze erkenning van gebrek aan risico/controle maatregel in de onderneming, zoals afgelopen dinsdag kenbaar gemaakt -

https://www.sec.gov/ix?doc=/Archives/edgar/data/0001867072/000110465926015743/kd-20251231x10q.htm

@hrifeu @finhstamsterdam @ibestuur Enorm bedankt voor de link en context. 36 pagina's, ik ga het doornemen.

@hrifeu @finhstamsterdam @ibestuur Oké, de eerste pagina's zij al hilarisch slecht.

@hrifeu @finhstamsterdam @ibestuur
- Beperkt tot EC2 en IAM, dus geen S3 object storage en RDS managed databases, toch wel het minimum waarvoor je ook naar de cloud gaat en wat lastiger te beveiligen is.
- Wel ook de inschatting dat risico op onderbreking groter is dan meelezen.
- Aanname dat techniek van Nitro perfecte beveiliging biedt en ook niet veranderd kan worden.
- Omdat de overheid geen visie op digitale autonomie en digital soevereiniteit heeft bepaald kan daar niet op worden getoetst.

@hrifeu @finhstamsterdam @ibestuur Stuk 2.1 over toegang tot data lijkt logisch, onder aannames van een goed functionerend rechtssysteem en de inlichtingendiensten buiten beschouwing latende. Stuk 2.2 beschrijft sancties. Het voorbeeld gaat over het ICC maar daarin mis ik nog handelsbeperkingen op technologie (hardware en software) zoals die vaker zijn uitgevaardigd https://nicorikken.eu/blog/2025/07/01/impact-of-us-sanctions-on-it-services/ 2.3 over Executive Orders lijkt achterhaald nu er veel meer en meer verrijkende EO's worden uitgevaardigd.

Impact of US sanctions on IT services - Nico Rikken

Personal website

@hrifeu @finhstamsterdam @ibestuur Qua executive orders zou ik zeggen dat de ICC executive order een behoorlijke 'suspension' betreft, maar misschien valt dat buiten de scope van het onderzoek.

@hrifeu @finhstamsterdam @ibestuur Hoofdstuk 3 lijkt op zich logisch. Veel hangt op de technische maatregelen van AWS Nitro en de juridische structuur en afspraken daarin.

@hrifeu @finhstamsterdam @ibestuur Software updates zijn gelukkig wel benoemd "... In a standalone scenario, AWS EU would have to develop the service updates itself (unless the U.S. entity would continue to provide them). AWS EU has stated ... it has the required personnel available in the EU for this purpose. Considering the resources and personnel that are expected to be required, questions may be raised as to whether this is feasible when put into practice"

@hrifeu @finhstamsterdam @ibestuur De juridische structuur lijkt weinig verschil te maken: "Even though the duties shall be conducted ... “[generally] independently and freely”, this does not imply that they are not subject to instructions by the shareholders as set out above. AWS EU only has one shareholder, A100 ROW, Inc. registered in Delaware, USA. This entity could therefore instruct the managing directors to act in a certain way, and they would have to comply with such instructions ..."

@hrifeu @finhstamsterdam @ibestuur "Authorized AWS employees of the EU AWS Solution will have independent access to a replica of the source code required to operate EU AWS Solution services within the EU AWS Solution, in the EU."

@hrifeu @finhstamsterdam @ibestuur "Contractual measures can be agreed with the non-Dutch cloud provider that oblige it to challenge orders to hand over data. The degree of protection from these contractual clauses ultimately depends on a number of factors, including the legal means available to challenge the order. The SLM framework agreements with Microsoft, Google and AWS contain such clauses." Dat heeft voor het ICC niet geholpen.

@hrifeu @finhstamsterdam @ibestuur Al met al een handig juridisch overzicht, maar veel relevante zaken zijn buiten scope en ook is het vooral een vraag van beleid en politiek welke invloed en afhankelijkheid we toelaatbaar vinden. Ik zou tot andere conclusies komen.

@nicorikken @hrifeu @ibestuur

Simon Lelieveld Feb 21

Als een bank in NL uit zijn microsoft wordt getikt en ze niet op de sanctielijst stonden, maar dit virtue signalling was, is er dus gewoon een virtue signalling effect afhankelijk van wat VS wil.

Dat kun je niet in regels vangen, maar het is er wel. En dus is het stuk een tranquillizer voor beleidsmakers maar gaat het nergens over in de realiteit die een stuk harder en risico-mijdender is.

Zie de casebeschrijving en oproep hier -

https://hrif.eu/2025/02/hrif-dora-geopolitics/

HRIF.EU roept financiële instellingen op: herzie nú - onder DORA - de risico’s en verlaat Amerikaanse clouds

EU financial institutions must rethink outsourcing to non-EU providers under DORA. The Amsterdam Trade Bank case proves the risk is real. HRIF.EU urges EU CEOs of financial institutes to mitigating geopolitical threats in open letter and briefing.

Human Rights in Finance.EU

@finhstamsterdam @hrifeu @ibestuur Ja Amsterdam Trade Bank, dat AWS en Microsoft eerst de dienstverlening stoppen waardoor mede de bank failliet gaat, en dat vervolgens de curator het faillissement niet kon afhandelen omdat die niet bij de data kon. Zo is een US sanctie via techsector harder en directer dan wat menig rechter op kan leggen.

@nicorikken @hrifeu @ibestuur

Simon Lelieveld Feb 22

Bedankt: van die technische scoping leer ik ook weer het nodige !

Walter van Holst Feb 21

@nicorikken @hrifeu @finhstamsterdam @ibestuur En als je je echt verveelt, vergelijk het nog met het eerdere memo van Greenberg Traurig voor het NCSC: https://www.ncsc.nl/api/media/sites/default/files/Cloud%2BAct%2BMemo%2BFinal.pdf

@nicorikken @finhstamsterdam @ibestuur

Het is his masters voice door dure advocaten. U vraagt, wij draaien. Kleren van de keizer.

@hrifeu @finhstamsterdam @ibestuur Daarom lees ik liever het hele document dan alleen de conclusies.

Angela Scholder Feb 21

@nicorikken @ibestuur Sorry, ik hoop dat deze advocaten meer verstand hebben van recht.
Vooralsnog niet verder gelezen dan de kop, maar deze advocaten willen ons doen geloven dat als er een pak kipfilet verkocht wordt met een sticker Vega er op dat het dan een kleine kans is dat die kipfilet niet Vega is.....
Ik welke fantasiewereld leven zij?
Een Amerikaans bedrijf kan absuluut geen Europese Souvereine services leveren!

Nico Rikken Feb 22

@AngelaScholder @ibestuur Juridisch geeft het een aardig overzicht, maar belangrijke zaken worden marginaal behandeld of zijn buiten scope gehouden. Om vervolgens wel tot een uitgesproken conclusie te komen.