Dit stuk in 1 minuut
Wat is het nieuws?
- De Amerikaanse IT-reus Kyndryl wil DigiD-leverancier Solvinity overnemen. DigiD dreigt daardoor onder invloed van verstrekkende Amerikaanse wetgeving te komen.
- Volgens de staatssecretaris van Binnenlandse Zaken (BZK) blijft DigiD Nederlands en heeft Solvinity geen ‘toegang’ tot DigiD. Maar volgens experts heeft het bedrijf wél technisch toegang tot DigiD-data en cruciale onderdelen van het systeem.
- Dit betekent dat de Amerikaanse overheid via wetgeving of politieke druk toegang kan opeisen of de dienstverlening kan beïnvloeden.
- Binnenlandse Zaken weigert uitsluitsel te geven over de vraag of Solvinity bij de gevoelige gegevens in DigiD kan.
Waarom is dit belangrijk?
- DigiD is vitale infrastructuur. Als die in het geding is, raakt dat miljoenen burgers.
- De kwestie raakt aan digitale autonomie en nationale veiligheid, zeker nu de regering-Trump expliciet inzet op het verzwakken van de EU.
Hoe is dit onderzocht?
- Follow the Money analyseerde aanbestedingsdocumenten, technische configuraties en netwerkverkeer van DigiD.
- We raadpleegden deskundigen op het gebied van cybersecurity, privacy en digitale infrastructuur om de claims van Kyndryl en BZK te toetsen.
Dit verhaal is onderdeel van een lopend onderzoeksdossier.
Lees verder
Inklappen
DigiD komt mogelijk in andere handen. Deze beveiligde manier voor burgers om in te loggen bij overheden, pensioenfondsen en zorgverzekeraars, geldt als een cruciale dienst. Vandaar dat onlangs de nodige ophef ontstond toen bekend werd dat het Amerikaanse IT-bedrijf Kyndryl de leverancier van DigiD, Solvinity, wil overnemen.
Want daarmee komt het systeem binnen het bereik van verstrekkende Amerikaanse wetten. Dat betekent dat de Amerikaanse overheid data kan opeisen, ongeacht op welke locatie ze zijn opgeslagen. Als de Amerikaanse president daarom vraagt, kunnen Amerikaanse bedrijven bovendien hun dienstverlening staken of Nederland daarmee onder druk zetten.
Staatssecretaris Eddie Van Marum (Binnenlandse Zaken, BBB) zei 27 november bij WNL dat DigiD Nederlands ‘blijft’, en voegde eraan toe dat Solvinity geen toegang heeft tot DigiD. Bovendien is er nog een onderzoek gaande, zei Van Marum, dat kan leiden tot ingrijpen. De ophef was volgens hem overtrokken.
Blijft DigiD Nederlands?
In een interview met NRC vorige week echode Ron Bravenboer, de Nederlands directeur van Kyndryl, de woorden van de staatssecretaris: DigiD blijft Nederlands en dus ‘veilig’. Ook zei de directeur dat de data zijn ‘versleuteld’, waarmee hij wilde suggereren dat de Amerikanen er niet bij kunnen.
Zijn de sussende woorden van de staatssecretaris terecht? Is het pleidooi van Bravenboer, die de belangen van zijn Amerikaanse baas dient, geruststellend?
De lange arm van de regering-Trump
De Verenigde Staten hebben vergaande regels waardoor Justitie en geheime diensten data kunnen opvragen bij Amerikaanse bedrijven. Zo mogen autoriteiten onder de CLOUD Act en andere wetten data opeisen van techbedrijven voor strafrechtelijke onderzoeken, ook als die data op servers buiten de VS staan. Voor de toepassing van die wetgeving is alleen vereist dat een Amerikaanse onderdaan bij de data kan. Die hoeft de data dus niet zelf in beheer te hebben.
De geheime diensten hebben nog verdergaande bevoegdheden. Zo kan de National Security Agency bij techbedrijven alle data opeisen van personen waar ze interesse in heeft. Ook zulke vorderingen gaan gepaard met zogeheten ‘gag-orders’ die de techbedrijven dwingen ze geheim te houden.
Die wetten zijn niet nieuw, maar de herverkiezing van Donald Trump maakt de dreiging groter. Marietje Schaake, directeur van het Cyber Policy Center van de Amerikaanse Stanford University, zei eerder tegen FTM dat ‘het Westen zoals we het kenden niet meer bestaat. Trump is daar uitgestapt. Europa en de VS staan niet meer vanzelfsprekend aan dezelfde kant.’
De afhankelijkheid kent nog een nadeel: we worden chantabel.
Die dreiging is niet denkbeeldig. Nadat Trump de hoofdaanklager van het Internationaal Strafhof (ISH) op een sanctielijst zette, blokkeerde Microsoft zijn e-mailaccounts. Recent beklaagde een Franse rechter van het ISH zich er in Le Monde over dat hij om dezelfde reden geen gebruik meer kan maken van diensten van Amazon, Airbnb en PayPal.
Lees verder
Inklappen
Navraag bij Logius – de overheidsdienst die verantwoordelijk is voor DigiD – leert dat de software (de applicatie zelf) in handen is van de staat. Dus in die zin blijft DigiD Nederlands.
Maar dat zegt niets over de vraag of Solvinity ‘toegang’ heeft tot de data die hiermee worden verwerkt, en hoe groot de rol van het bedrijf is voor de applicatie.
Die blijkt cruciaal. Volgens Logius is Solvinity verantwoordelijk voor ‘het leveren en beheren van het platform waarop de DigiD-software draait: de servers, de opslag en de beveiliging.’ Solvinity levert dus de hardware (‘servers’) waar DigiD op draait, het beheer daarvan en de beveiliging van de applicatie.
Dit betekent dat Solvinity de stekker uit de applicatie kan trekken onder druk van de Amerikaanse regering. Als beheerder van het platform zit het nu eenmaal aan de knoppen.
Solvinity kan wél bij DigiD-data
Gezien de sleutelrol van Solvinity vroeg Follow the Money het ministerie van Binnenlands Zaken (BZK) of er technische maatregelen zijn getroffen die voorkomen dat Solvinity kan meekijken op dit platform.
Het ministerie (waar Logius onder valt) antwoordde: ‘Logius heeft afspraken (operationeel, technisch en contractueel) met Solvinity om te voorkomen dat Solvinity toegang heeft tot persoonsgegevens in DigiD.’ Maar BZK wil het niet uitsluiten.
Jaap-Henk Hoepman, universitair hoofddocent Digital Security (Radboud Universiteit), noemt de afspraken ‘volstrekt onvoldoende’. ‘Want dat betekent dat Solvinity zelf maatregelen treft en ze dus ook zelf kan omzeilen. Dat is ernstig, want je geeft een vreemde mogendheid de mogelijkheid om de belastinginning totaal lam te leggen.’
Cyberexpert en voormalig toezichthouder op de veiligheidsdiensten Bert Hubert is eveneens duidelijk: ‘Technisch gezien betekent dit dat Solvinity-medewerkers toegang hebben tot DigiD-data en -systemen. Er zal best afgesproken zijn dat ze daar niet aan zullen komen en dat er mogelijk nog technische maatregelen worden getroffen die de toegang bemoeilijken. Maar meer dan een belofte is het niet.’
Het is moeilijk om een beheerder van een server weg te houden van data die daarop staan
Privacy-advocaat Ot van Daalen
‘Als dat het antwoord is van BZK, is het case closed. Dan zijn er dus alleen maatregelen die ervan afhankelijk zijn of Solvinity haar afspraken nakomt,’ zegt Ot van Daalen, privacy-advocaat die promoveerde op het belang van encryptie voor de bescherming van mensenrechten. ‘Het is moeilijk om een beheerder van een server weg te houden van data die daarop staan. Het kan in theorie wel met versleuteling, maar dat betekent dat het in de praktijk heel lastig wordt om met die data te werken.’
Van Daalen wijst op technische mogelijkheden om hier een mouw aan te passen, ‘maar die zijn exotisch en nog niet op een punt dat je ervan uit mag gaan dat die hier goed zouden werken. Als ze zoiets zouden toepassen, zouden ze echt iets heel bijzonders aan het doen zijn. Maar ik lees dat helemaal nergens.’
Cybersecurity-specialist Floris Meester is het eens met Hubert en Van Daalen. Hij las de aanbestedingsdocumenten voor het beheer van DigiD (2019): ‘Er staat niets in over harde maatregelen die voorkomen dat Solvinity bij de data kan die via DigiD worden verwerkt.’
Gebrek aan transparantie
BZK zegt dat op het platform wel veiligheidsmaatregelen worden getroffen, zoals het ‘versleutelen van persoonsgegevens in databases en versleutelen van back-ups’. Of dat ook is gebeurd in het geval van DigiD, en zo ja, wie over de sleutels beschikt, wil het ministerie uit ‘veiligheidsoverwegingen’ niet zeggen.
Het antwoord op die vragen is van wezenlijk belang, zegt Hoepman, maar Logius en BZK weigeren hier ondanks herhaaldelijke verzoeken duidelijkheid over te geven.
Hoepman vindt dat gebrek aan transparantie onaanvaardbaar: ‘Hoe DigiD beveiligd is, moet publiek controleerbaar zijn.’
Biedt versleuteling bescherming?
Opvallend genoeg staat er in de aanbestedingsdocumenten voor DigiD nagenoeg niets over de versleuteling van data die binnen DigiD zijn opgeslagen. En ook niet over het blokkeren van toegang van Solvinity tot deze data.
Data die onderweg zijn van het account van een ingelogde DigiD-gebruiker naar de servers van Solvinity, zijn in ieder geval zichtbaar voor het bedrijf.
Ze worden wel via een beveiligde verbinding verstuurd, maar in platte, leesbare tekst, zegt cybersecurity-expert Floris Meester. Voor FTM monitorde hij de data die heen en weer wordt gestuurd tussen het DigiD-account van een gebruiker en de servers als die gebruiker inlogt. ‘Het gaat dan onder meer om je inloggegevens en je wachtwoord.’
Interessanter, zegt hij, wordt het als iemand SMS-verificatie gebruikt in het inlogproces: ‘Dan moet je als gebruiker namelijk ook je veiligheidscode uit die SMS naar de servers sturen ter controle.’
Voordat die informatie de servers van DigiD bereikt, loopt die zowel op de heen- als op de terugweg door een tool die zich daar tussenin bevindt. Dat volgt uit het onderzoek van Meester. Uit de aanbestedingsdocumenten blijkt dat het gaat om een beveiligingstool die het verkeer scant en filtert op ongewenste inhoud, zoals malware. De leverancier van die tool is Solvinity, zo volgt uit diezelfde documenten. ‘Dat betekent dat het voor hen technisch mogelijk is om die informatie te bekijken,’ zegt Meester. ‘En zo’n inlogcode is vijftien minuten geldig. Een derde die daar in die periode over beschikt, kan daar dan mee inloggen op iemands account.’
Lees verder
Inklappen
Kortom: dat de software van DigiD Nederlands blijft, verhult dat deze vitale dienst binnen het bereik komt van de Verenigde Staten.
In geval van vitale infrastructuur kan het kabinet een overname tegenhouden op grond van de Wet veiligheidstoets investeringen fusies en overnames. Bedrijven in aangewezen sectoren moeten een overname of fusie melden bij het Bureau Toetsing Investeringen (BTI) van het ministerie van Economische Zaken en Klimaat (EZK). Solvinity liet eerder aan Follow the Money weten de overname te hebben gemeld.
Opvallend is dat Solvinity op het moment van de aanbesteding in 2019 al lang en breed in handen was van de Britse durfinvesteerder Vitruvian Partners. Een mogelijke verkoop aan Amerikanen was toen dus al voorzienbaar.
De vraag is of het kabinet het aandurft om de VS voor het hoofd te stoten. Zal digitale autonomie de doorslag geven?
Geopolitieke spanningen
Die beslissing wordt genomen tegen de achtergrond van grote geopolitieke spanningen tussen Europa en de VS. Afgezanten van de VS proberen een vredesakkoord te bereiken tussen Rusland en Oekraïne. Volgens critici komt het voorstel, dat vergaande territoriale concessies van Oekraïne verlangt, grotendeels uit de koker van het Kremlin. Het riep dan ook grote weerstand op bij Europese leiders.
Washington wil anti-Europese, rechts-radicale partijen in het zadel helpen
Saillant in dit licht is de Nationale Security Strategy die de regering-Trump vorige week lanceerde. Die pleit voor verzwakking van de Europese Unie, onder meer door expliciet te stellen dat de VS ‘weerstand’ tegen het Europese project steunt. Ergo: Washington wil anti-Europese, rechts-radicale partijen in het zadel helpen.
De strategie schenkt weinig aandacht aan Rusland als militaire dreiging. Niet president Poetin maar Europa is schuldig aan het voortduren van de oorlog in Oekraïne. Het is een Amerikaans ‘kernbelang’ om zo snel mogelijk een einde te maken aan de oorlog, om zo ‘strategische stabiliteit’ met Rusland te bereiken.
Daarvoor is het nodig om een einde te maken aan het idee dat de NAVO en de EU alsmaar kunnen uitbreiden met nieuwe lidstaten. Daarbij benadrukt de strategie dat Europa militair op eigen benen moet staan.
De koers kan op instemming rekenen van het Kremlin. Dat heeft belang bij een verzwakt, verdeeld Europa dat niet meer kan schuilen onder de Amerikaanse veiligheidsparaplu.
‘Risico heel klein’
De discussie over digitale autonomie speelt niet alleen rond DigiD, maar ook rondom de Belastingdienst. Die stapt voor kantoorautomatisering over naar Microsoft, zo maakte de minister van Financiën Eelco Heinen (VVD) begin november bekend.
In antwoord op Kamervragen vorige week onderschrijft Heinen de wens van de Kamer om minder afhankelijk te zijn van Amerikaanse technologie, maar hij stelt dat er geen volwaardig Europees alternatief beschikbaar is.
Dat de Amerikaanse overheid toegang krijgt tot overheidsdata, kan Heinen niet ‘uitsluiten’
Dat de Amerikaanse overheid toegang krijgt tot overheidsdata, kan Heinen niet ‘uitsluiten’, maar hij acht het risico ‘heel klein’.
Deze inschatting is gebaseerd op een ‘onderzoek’ van het Amerikaanse advocatenkantoor Greenberg Traurig uit 2022, dat zich weer baseert op informatie van Microsoft zelf.
‘Microsoft committeert zich,’ schrijft de bewindsman, ‘dat het zich waar mogelijk (juridisch) zal verzetten tegen bevelen tot afgifte van data en geeft aan nog nooit data van een EU-overheidsklant verstrekt te hebben aan enige overheid (inclusief de Amerikaanse overheid).’
Het onderzoek waaraan Heinen refereert, beperkt zich echter tot (het risico van) de zogeheten CLOUD Act, die wordt ingezet voor strafrechtelijke onderzoeken, terwijl de Amerikaanse overheid ook spionagewetten ter beschikking heeft om informatie op te vragen bij haar onderdanen.
Bovendien heeft Microsoft voor de Franse senaat al verklaard dat de Amerikaanse wetten voor haar prevaleren boven Europese en andere nationale wetgeving.
Ook data Justitie in geding
Er is nog een categorie data die binnen Amerikaans bereik komt. Solvinity is ook een belangrijke dienstverlener voor het ministerie van Justitie en Veiligheid (JenV), het Openbaar Ministerie (OM), de rechtspraak en alle andere partijen in de justitieketen. Dat onthulde Follow the Money vorige week.
Zo loopt alle e-mail van Justitie door de kanalen van Solvinity, dat bovendien fungeert als draaischijf tussen justitiële organisaties. Een voorbeeld is Bestandenpostbus, gebruikt door onder andere het Openbaar Ministerie, de rechtspraak en justitie-medewerkers om onderling documenten uit te wisselen. Het is de vraag welke toegang het bedrijf heeft tot de uiterst gevoelige data over bijvoorbeeld georganiseerde criminaliteit bij de rechtspraak.
Voor deze kwestie is vooralsnog geen aandacht geweest.
Follow the Money staat voor radicaal onafhankelijke onderzoeksjournalistiek. Ons werk is mogelijk dankzij het vertrouwen van onze betalende leden. Nog geen lid? Meld je dan nu aan