Amerikanen hebben straks wél toegang tot DigiD - ondanks belofte van staatssecretaris
In dit artikel:
Het Nederlandse inlogsysteem DigiD komt mogelijk in Amerikaanse handen doordat Kyndryl, een groot Amerikaans IT-bedrijf, heeft aangegeven Solvinity — de huidige leverancier van DigiD — te willen overnemen. DigiD wordt gebruikt voor toegang tot allerlei vitale diensten van de overheid, pensioenuitvoerders en zorgverzekeraars, waardoor een eigendomsoverdracht gevoelige nationale belangen raakt.
Staatssecretaris Eddie van Marum stelde op 27 november dat DigiD “gewoon” Nederlands blijft en dat Solvinity geen toegang zou hebben tot persoonsgegevens. Ook Ron Bravenboer, directeur van Kyndryl Nederland, herhaalde dat DigiD veilig blijft en dat data “versleuteld” zijn. Logius, de overheidsdienst die DigiD beheert, benadrukt dat de applicatiesoftware eigendom van de staat is. Dat laat echter onverlet dat Solvinity het platform levert en beheert waarop DigiD draait: servers, opslag en beveiliging. Daarmee zit het bedrijf letterlijk aan de knoppen voor continuïteit en toegang.
Deskundigen waarschuwen dat de geruststellende uitspraken van ministers en leveranciers niet toereikend zijn. Technische en contractuele afspraken om Solvinity de toegang tot persoonsgegevens te ontzeggen bestaan volgens het ministerie wel, maar concrete, toetsbare maatregelen worden niet openbaar gemaakt uit “veiligheidsoverwegingen”. Cybersecurityexperts en academici (onder wie Jaap‑Henk Hoepman, Bert Hubert, Ot van Daalen en Floris Meester) noemen die afspraken onvoldoende: een beheerder van servers kan in de praktijk vaak bij data, afspraken zijn afhankelijk van naleving door de partij zelf, en harde technische barrières ontbreken in de aanbestedingsdocumentatie van 2019. Versleuteling is technisch mogelijk, maar dan rijst de cruciale vraag wie de sleutels beheert — ook daarover geeft het ministerie geen duidelijkheid. Sommige voorgestelde cryptografische oplossingen zijn in theorie denkbaar, maar praktisch complex en nog niet volwassen genoeg om op betrouwbare wijze te garanderen dat beheerders geen toegang hebben.
Het belang van eigenaarsschap en locatie is groter omdat Amerikaanse wetgeving (zoals de CLOUD Act en andere spionagewetten) bedrijven kan dwingen data af te staan of diensten te blokkeren, onafhankelijk van waar die data fysiek staan opgeslagen. Als een Amerikaans bedrijf onder druk van de Amerikaanse regering zou worden gezet, kan dat leiden tot het stilleggen van diensten die voor de Nederlandse samenleving cruciaal zijn — van belastingsystemen tot rechtshandhaving. Dat scenario wordt door experts als reëel genoemd: Solvinity zou technisch in staat zijn om diensten uit te schakelen of toegang te krijgen tot gegevens.
Naast DigiD levert Solvinity ook diensten aan het ministerie van Justitie en Veiligheid, het Openbaar Ministerie en de rechtspraak. Follow the Money wees erop dat onder meer e-mailverkeer en het gebruik van systemen als de Bestandenpostbus via Solvinity lopen, waardoor ook uiterst gevoelige justitiële data in het geding kunnen komen. Die brede positie van Solvinity in de Nederlandse overheidsinfrastructuur vergroot het potentiële risico, maar heeft tot op heden weinig publiek debat of beleidsreactie opgeleverd.
Juridisch bestaat er wel een instrumentarium: overnames van bedrijven in vitale sectoren kunnen worden getoetst op nationale veiligheid onder de Wet veiligheidstoets investeringen fusies en overnames, en moeten worden gemeld bij het Bureau Toetsing Investeringen. Solvinity heeft de voorgenomen overname gemeld. Politiek is het een lastige afweging: een blokkade van een Amerikaanse overname kan geopolitieke consequenties hebben, zeker nu de verhoudingen tussen de VS en Europa spannen en beleidskeuzes rond technologische autonomie en afhankelijkheid politiek beladen zijn.
Het kabinet en betrokken ministers (zoals die van Financiën bij andere dossiers) erkennen de wens om minder afhankelijk te raken van Amerikaanse technologie, maar wijzen er tegelijk op dat volwaardige Europese alternatieven vaak ontbreken. Beoordelingen van risico’s — bijvoorbeeld door externe advocatenkantoren in opdracht van leveranciers — worden gebruikt om het gevaar klein te rekenen, maar die analyses hebben volgens critici beperkte reikwijdte en sluiten niet alle Amerikaanse wettelijke instrumenten en precedenten uit.
Kernpunten:
- Kyndryl wil Solvinity overnemen; daardoor zou een Amerikaans bedrijf invloed krijgen op het platform waarop DigiD draait.
- De DigiD-software is staatsbezit, maar Solvinity beheert de servers, opslag en beveiliging, en kan dus technisch toegang hebben of dienstverlening stilleggen.
- Het ministerie zegt dat er afspraken zijn om toegang te voorkomen, maar geeft geen technisch transparante bewijsvoering of informatie over sleutels.
- Experts oordelen dat die afspraken onvoldoende en moeilijk afdwingbaar zijn; echte garanties (zoals onafhankelijke, publiek controleerbare cryptografische maatregelen) ontbreken of zijn onwaarschijnlijk toegepast.
- Ook andere zeer gevoelige overheidsdata (Justitie, OM, rechtspraak) lopen via Solvinity, wat de potentiële impact vergroot.
- Juridische toetsing van overnames is mogelijk, maar politiek en geopolitiek maken een beslissing complex.
Adviesimplicatie: wie zekerheid wil over de Nederlandse digitale autonomie zal vragen om concrete, toetsbare technische en juridische waarborgen — bijvoorbeeld sleutelbeheer onder overheidstoezicht en publieke controleerbaarheid van beveiligingsmaatregelen — of verdergaande beleidskeuzes over nationale infrastructuur en leveranciersdiversificatie.