Wie heeft de ‘uitknop’ van onze DigiD? Grote zorgen over Amerikaanse overname
Je wilt inloggen bij de Belastingdienst voor je aangifte of bij je zorgverzekeraar, maar de site ligt plat. Niet door een simpele storing, maar omdat een bedrijf aan de andere kant van de oceaan de stekker eruit heeft getrokken.
Het klinkt als een spannend filmscenario, maar volgens experts is dit een echt risico. Solvinity – het bedrijf dat de techniek achter DigiD beheert – wordt namelijk verkocht aan het Amerikaanse Kyndryl. De grote vraag is nu: blijven we in Nederland wel baas in eigen huis over onze belangrijkste privégegevens?
Logius beheert DigiD, de leverancier de techniek ‘onder de motorkap’
De overheidsorganisatie Logius is de officiële eigenaar van DigiD. Solvinity is een leverancier: zij beheren het platform (met de naam ‘Picard’) waarop DigiD draait. Logius benadrukt dat dit platform in een beveiligd Nederlands overheidsdatacenter staat.
Toch is er een belangrijk verschil tussen de eigenaar van een systeem en de partij die de techniek beheert. Logius heeft aan Radar bevestigd dat Solvinity-medewerkers beheeraccounts hebben voor de techniek. Hoewel ze niet zomaar in de kluis met burgerservicenummers (BSN) kunnen kijken, geeft Logius wel toe: een beheerder kan de techniek in theorie verstoren of tijdelijk uitschakelen.
De angst voor de ‘uitknop’
Kyndryl, de Amerikaanse koper, probeert de zorgen weg te nemen. In de Tweede Kamer stelden zij dat het technisch onmogelijk is om de boel vanuit Amerika uit te zetten. Onderzoeksjournalist Eric Smit (Follow the Money) is daar heel duidelijk over: "Wat 100 procent zeker is: de dienst kan worden uitgezet." Hij waarschuwt dat we Amerika hiermee een knop geven waarmee ze Nederland simpelweg 'uit' kunnen zetten.
Is er een manier om die knop te omzeilen? Volgens Marijn van Vliet (directeur van de Stichting Digitale Infrastructuur Nederland, DINL) is dat bijna onmogelijk. "Je weet van buitenaf niet precies hoe deze systemen werken," zegt Van Vliet. "De enige echte oplossing is de systemen in Nederlandse handen houden."
De ‘Data Guardian’ en de rechter: een papieren tijger?
Kyndryl belooft een ‘Data Guardian’ aan te stellen: een soort onafhankelijke bewaker in Europa die beslist over verzoeken om gegevens. Ook beloven ze naar de Nederlandse rechter te stappen als de Amerikaanse overheid gegevens opeist via de zogenoemde Cloud Act.
Juridisch expert Herald Jongen zet daar grote vraagtekens bij. Volgens hem is de Amerikaanse wet vaak sterker dan een Nederlands contract. "De Amerikaanse moedermaatschappij kan de dochter een bevel geven om data af te staan, inclusief een geheimhoudingsplicht," legt Jongen uit aan Radar. Met andere woorden: een Nederlandse rechter komt er dan mogelijk niet eens aan te pas, en de overheid krijgt het misschien niet eens te horen.
Politiek geschuif en drie verschillende sporen
Wie grijpt er in? Terwijl BZK verantwoordelijk is voor DigiD, ligt de juridische beslissing over de verkoop bij het ministerie van Economische Zaken. De overheid zet nu een 'driesporenbeleid' in om de risico's te beperken:
- Investeringstoets: Het Bureau Toetsing Investeringen (BTI) onderzoekt of de overname de nationale veiligheid raakt. Bij complexe zaken zoals deze duurt zo'n onderzoek vaak meer dan 120 dagen.
- Veiligheid: Een speciale taskforce (TFEV) onder leiding van de NCTV voert een brede risicoanalyse uit.
3. Noodplan: Een tweede taskforce onderzoekt hoe de overheid de dienstverlening in de lucht kan houden als het misgaat.
"De overname zal niet kunnen plaatsvinden voordat deze processen volledig zijn afgerond."Woordvoerder Milan Captein van het ministerie van EZ
Meer dan alleen de cloud
Volgens Marijn van Vliet is het probleem groter dan alleen de inloggegevens van burgers. Ook onze fysieke zeekabels en zelfs het netwerkknooppunt van de besloten overheidsnetwerken liggen vaak in handen van Amerikaanse bedrijven. "Digitale autonomie gaat om de vrijheid om je eigen keuzes te maken," stelt hij. "Als iemand anders de knoppen van je overheid in handen heeft, ga je je onbewust toch aanpassen”.
Wat merk jij hiervan?
Voorlopig verandert er niets. DigiD blijft gewoon werken. Maar de discussie gaat over onze nationale veiligheid. Marijn van Vliet, waarschuwt dat we kritischer moeten zijn op wie onze digitale voorzieningen beheert.
"We missen in Europa de digitale boot als we de regie over onze eigen systemen weggeven," aldus Van Vliet. "De casus Solvinity laat zien hoe kwetsbaar we zijn als vitale Nederlandse techniek in handen komt van partijen die onder buitenlandse wetgeving vallen. We moeten weer zelf durven kiezen voor een robuuste Nederlandse infrastructuur."
De overheid werkt inmiddels aan een eigen "overheidscloud" om in de toekomst minder afhankelijk te worden. Mocht je DigiD liever niet gebruiken, dan heb je het recht om zaken ook op een andere manier (niet-digitaal) te regelen. DigiD is namelijk niet verplicht.
Jouw ervaring met DigiD
We zijn benieuwd naar jouw ervaring met DigiD. En hoe kijk jij tegen een mogelijke Amerikaanse overname aan?Vul de (korte) vragenlijst van het Radar Panel in link