'Strategische blunder': vertrouwelijke data van Nederlanders in handen van Amerikanen

zaterdag, 13 september 2025 (06:08) - Follow the Money

In dit artikel:

In juni nam het Amerikaanse bedrijf Kiteworks het Amsterdamse Zivver over, leverancier van versleutelingsdiensten voor e-mail, chat en bestanden die door Nederlandse rechtbanken, ministeries, gemeenten, zorginstellingen, UWV, IND, veiligheidsregio’s, het OM, Rotterdam The Hague Airport en de Port of Rotterdam wordt gebruikt. De overname plaatste daarmee grote hoeveelheden vertrouwelijke communicatie over Nederlanders in handen van een Amerikaanse eigenaar, waarvan de leiding grotendeels bestaat uit oud‑medewerkers van de Israëlische elite‑cybereenheid Unit 8200.

Experts en oud‑inlichtingenfunctionarissen noemen de deal een strategische fout. Doordat Kiteworks een Amerikaanse entiteit is, vallen Zivvers data onder Amerikaanse wetgeving die de autoriteiten – ook buiten de VS – toegang kan geven tot opgeslagen informatie. Die juridische kwetsbaarheid wordt versterkt door de nauwe banden van meerdere leidinggevenden met Unit 8200, een organisatie met een reputatie voor offensieve cyberactiviteiten. Critici wijzen erop dat zulke connecties een structurele dreiging vormen voor Europese gegevensbescherming, zeker in een geopolitiek verzuurde context.

Zivver zelf stelt dat klantgegevens in Europa blijven en dat alleen de klant de sleutels bezit, waardoor het bedrijf geen toegang heeft tot onversleutelde inhoud. Toch toonden door Follow the Money geraadpleegde cybersecurity‑onderzoeken aan dat berichten die via de Zivver‑webapplicatie werden verzonden in leesbare, platte tekst naar Zivvers servers gingen voordat ze daar versleuteld werden. Dat betekent dat Zivver in praktijk waardeverwerkende toegang heeft tot inhoud en metadata in bepaalde scenario’s, ook al claimt het bedrijf “zero access”. De onderzoekers vonden geen bewijs voor misbruik door Zivver, maar noemen de situatie zorgwekkend omdat de overheid en andere klanten dit kennelijk niet wisten.

Veel deskundigen benadrukken dat de waarde van de gegevens die Zivver verwerkt enorm is: medische dossiers, financiële informatie, persoonsgegevens en communicatie met juridische instanties kunnen voor inlichtingen- en veiligheidsdiensten zeer bruikbaar zijn. Ook schrikken zij van het ontbreken van voorafgaande toetsing: volgens het ministerie van Binnenlandse Zaken valt Zivver niet onder de categorie vitale infrastructuur, waardoor de transactie niet door het Bureau Toetsing Investeringen is beoordeeld. Juridische experts twijfelen of bestaande regels hier voldoende zijn toegepast of toereikend zijn.

De aanwezigheid van Unit 8200‑veteranen in de top van Kiteworks past in een bredere trend waarbij oud‑Israëlische militairen doorstromen naar internationale tech‑ en securitybedrijven. Voorstanders zeggen dat dat expertise oplevert; tegenstanders waarschuwen dat het een structurele veiligheidsvulbaarheid creëert, omdat zulke oud‑spionnen bijzondere kennis hebben om encryptie te kraken en toegang tot communicatiestromen te ontwikkelen.

Tussen de belangrijkste zorgen liggen geopolitieke factoren: verzuurde betrekkingen tussen Nederland en Israël en het Amerikaanse binnenlandse politieke klimaat (vermeld wordt de hernieuwde macht van Trump) vergroten volgens critici het risico dat data ingezet worden tegen Europese belangen. Auteurs van het artikel en geïnterviewde experts roepen op tot meer publieke sturing en strengere regulering: encryptiediensten zouden mogelijk als vitale infrastructuur moeten worden aangemerkt, en overnames van bedrijven die gevoelige overheidscommunicatie verwerken behoeven een veiligheidsbeoordeling vooraf.

Kort samengevat: de overname van Zivver door Kiteworks verplaatste omvangrijke, gevoelige Nederlandse data onder Amerikaanse juridische invloed en onder leiding van personen met verleden in een Israëlische cyberelite. Technische tests laten zien dat Zivver in bepaalde situaties onversleutelde gegevens op zijn servers verwerkt, wat de zorgen over mogelijke toegang door buitenlandse machten vergroot. Deskundigen vinden dat deze casus benadrukt dat er dringend meer toezicht en strategische besluitvorming nodig is over wie cruciale communicatiediensten bezit en exploiteert.