Privacy-adviseur overheid waarschuwt: Overname DigiD is bedreiging voor Nederlandse veiligheid

In dit artikel:

Pieter van Oordt, hoofd privacyadvies bij Logius (het agentschap dat het ministerie van Binnenlandse Zaken adviseert), waarschuwt dat technische en organisatorische maatregelen niet voldoende zijn om misbruik van gevoelige Nederlandse persoonsgegevens te voorkomen als het Amerikaanse bedrijf Kyndryl DigiD overneemt. Tot nu toe was DigiD in Nederlandse handen bij Solvinity; na een overname zouden zowel DigiD als MijnOverheid volgens Van Oordt onder Amerikaanse wetgeving kunnen vallen, waardoor Amerikaanse veiligheidsdiensten toegang kunnen afdwingen. Van Oordt stelt scherp: „Ik kan het niet simpeler zeggen: De VS kunnen DigiD voor langere tijd uitzetten en geheime informatieverzoeken uitvaardigen.”

Hij heeft zijn zorgen meerdere keren bij het ministerie van Binnenlandse Zaken gemeld, maar ervaart dat er geen werkbare oplossing wordt aangeboden. Daarom gaat hij nu publiek met zijn waarschuwing in de hoop dat de voorgenomen overname — die minister van Economische Zaken Heleen Herbert binnenkort kan goedkeuren — alsnog kan worden tegengehouden. Een woordvoerder van Binnenlandse Zaken zegt bekend te zijn met zijn bezwaren, maar stelt dat de juridische opties die Logius voorstelde zijn onderzocht en geen „serieuze optie” vormen; het ministerie van Economische Zaken geeft geen nadere toelichting over de status van de overname.

Achtergrond: als een buitenlandse (Amerikaanse) partij cruciale identiteits- en gegevensdiensten beheert, ontstaan juridische en operationele risico’s omdat Amerikaanse wetten zoals de CLOUD Act buitenlandse dochterbedrijven onder bepaalde omstandigheden verplichten tot het overdragen van gegevens of medewerking aan verzoeken van veiligheidsdiensten. Van Oordts waarschuwing legt daarom niet alleen technische kwetsbaarheden bloot, maar vooral geopolitieke en juridische risico’s voor de beschikbaarheid en vertrouwelijkheid van Nederlandse digitale diensten.