Blijft DigiD veilig of worden we kwetsbaar als Solvinity in Amerikaanse handen komt?

NOS / Yvonne Witte

NOS Nieuws•vandaag, 18:31

• Bart van der Heijden

  redacteur Economie

• Bart van der Heijden

  redacteur Economie

Hoe veilig zijn kritieke overheidsdiensten als DigiD straks nog? Er is onrust ontstaan in de Tweede Kamer nu een Amerikaans cloud- en infrastructuurbedrijf op het punt staat om eigenaar te worden van Solvinity, een bedrijf dat essentieel is voor de toegang tot DigiD.

Deskundigen beamen dat we zeer kwetsbaar zijn door de afhankelijkheid van deze Amerikaanse clouddiensten. Vijf vragen en antwoorden.

Wat doet Solvinity?

Solvinity biedt een ‘betrouwbare en veilige IT-omgeving voor bedrijven’, valt te lezen op de website van het bedrijf. Het levert de infrastructuur waar DigiD op draait. Daarmee is het als het ware de snelweg waar de gegevens overheen gaan. Via die snelweg vragen we paspoorten en toeslagen aan, en kun je je pensioen inzien.

Tot welke gegevens heeft Solvinity toegang?

Volgens het ministerie van Binnenlandse zaken heeft Solvinity geen toegang tot de gegevens, maar beheert het bedrijf alleen ‘de snelweg’. DigiD zelf geeft alleen toegang tot gegevens, vertelt Logius, de overheidsinstantie achter DigiD.

De gegevens over je inkomen, gezondheid en pensioen worden opgeslagen bij de overheidsinstantie die daarover gaat. De gegevens staan opgeslagen op Nederlandse datacentra van de overheid, benadrukt Logius.

Volgens het ministerie van Binnenlandse Zaken gaan de gegevens versleuteld over die ‘snelweg’ en kan Solvinity niet met alles meekijken.

Volgens Solvinity voldoet de nieuwe Amerikaanse eigenaar ook aan de vereisten voor veilige IT-dienstverlening voor de overheid, maar wil die vanwege de vertrouwelijkheid geen vragen beantwoorden over de exacte activiteiten voor hun opdrachtgevers.

Wat zijn de risico’s?

Het risico zit ‘m vooral in het mogelijk blokkeren van toegang tot diensten als DigiD, zeggen deskundigen. Zo zou de Amerikaanse overheid sancties kunnen opleggen aan Nederland waar Amerikaanse bedrijven zich aan moeten houden, schetst technologiedeskundige Bert Hubert.

“Die schrijven dan bijvoorbeeld een brief waarin staat dat ze geen zaken meer mogen doen met Nederlandse instanties.” Dit hebben we ook gezien toen Trump ingreep bij het Internationaal Strafhof in Den Haag met als gevolg dat de hoofdaanklager van de ICC geen toegang meer had tot zijn Microsoft-emailadres.

In het geval van Solvinity kan dat grote gevolgen hebben. Mocht zoiets gebeuren, dan kan je bijvoorbeeld niet meer inloggen met DigiD of op Mijnoverheid.nl. Dat betekent: geen belastingaangifte meer doen of een passpoort aanvragen. Het kan dus ontwrichtende gevolgen hebben, aldus Hubert.

Het ministerie van Binnenlandse Zaken zegt samen met de landsadvocaat en het ministerie van Economische Zaken uit te zoeken wat de exacte gevolgen zijn van de overname. Logius begrijpt dat er zorgen zijn over de afhankelijkheid van de Verenigde Staten en zegt onder meer te onderzoeken of Amerika zomaar de stekker eruit zou kunnen trekken.

Zijn er alternatieven?

Ja die zijn er, benadrukken deskundigen. Maaike Okano Heijmans van Clingendael, noemt Info Support. Dit cloud- en software bedrijf was ook een kandidaat om diensten te verlenen voor de gemeente Amsterdam, maar verloor de aanbesteding van Solvinity.

Hoogleraar Digitalisering aan de Open Universiteit Reijer Passchier heeft het over een Duits alternatief, Nextcloud. Het voordeel daarvan is dat het ‘open source’ software is. Dat betekent dat iedereen het op zijn eigen server kan gebruiken. “Als Nextcloud iets geks doet, kan je altijd nog terecht met diezelfde software bij een andere aanbieder” en dat maakt je een stuk minder afhankelijk.

Hubert benadrukt wel dat het niet al te makkelijk is om meteen over te stappen naar zo’n alternatief: “Het is niet: ik kocht altijd bij Albert Heijn en nu koop ik bij Jumbo, maar eerder alsof je altijd koffiecups van een specifiek merk kocht voor je machine en nu die cups er niet meer zijn, moet je ook wisselen van machine.”

Kan overname voorkomen worden?

In theorie wel. Er zijn twee wetten die de overname zouden kunnen blokkeren. Als de overname gevoelig is voor onze nationale veiligheid moet het getoetst worden aan de wet Veiligheidstoets Investeringen Fusies en Overnames (Vifo) of de wet Ongewenst Zeggenschap Telecommunicatie, zegt een woordvoerder van het ministerie van Economische Zaken.

Al zal het kabinet daar heel voorzichtig mee zijn, vermoedt voormalig Europarlementariër Marietje Schaake, verbonden aan Stanford University. “In heel Europa wordt overdreven voorzichtig omgegaan met Amerika om Trump niet boos te maken”, zegt Schaake. “We hebben met Nexperia gezien hoe hoog dit kan oplopen. Je moet goed kijken hoe je dit op een goede manier zou kunnen oplossen. Met het doel van soevereiniteit voorop.”