De voorgenomen overname van een belangrijke IT-dienstverlener van de Nederlandse overheid zorgt voor onrust binnen bestuurlijke en digitale kringen. De Chief Privacy Officer van Logius, de organisatie achter DigiD, heeft een kort geding aangespannen tegen de Staat. Hij wil voorkomen dat gevoelige persoonsgegevens van Nederlandse burgers indirect onder Amerikaanse wetgeving komen te vallen.
Zorgen over Amerikaanse toegang tot DigiD-gegevens
Pieter van Oordt, privacychef bij Logius, verzet zich tegen de geplande overname van IT-bedrijf Solvinity door het Amerikaanse technologiebedrijf Kyndryl. Solvinity is momenteel betrokken bij de hosting van DigiD, het digitale identificatiesysteem dat in Nederland wordt gebruikt voor toegang tot overheidsdiensten zoals belastingaangifte, zorg en gemeentelijke administratie.
Volgens Van Oordt brengt de overname grote risico’s met zich mee. Hij stelt dat de Amerikaanse overheid, via wetgeving zoals de CLOUD Act, mogelijk toegang kan krijgen tot gevoelige gegevens van vrijwel alle Nederlandse burgers. Daarnaast zou er in theorie invloed kunnen worden uitgeoefend op de beschikbaarheid van DigiD, bijvoorbeeld door systemen tijdelijk buiten werking te stellen.
Deze zorgen zijn gebaseerd op een interne veiligheidsanalyse van Logius. Uit dat onderzoek blijkt dat aanvullende maatregelen onvoldoende bescherming bieden tegen buitenlandse toegang tot data.
Interne waarschuwingen genegeerd
De bevindingen uit het interne onderzoek zijn niet nieuw. Al op 24 november werden de risico’s gedeeld met de ambtelijke top van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). In die analyse werd expliciet gewaarschuwd voor de gevolgen van de overname.
Volgens berichtgeving van de Volkskrant en NOS gaat het onder meer om persoonsgegevens die beschikbaar zijn via MijnOverheid, zoals naam, geboortedatum, woonplaats en inkomensgegevens.
De analyse stelt dat het huidige systeem technisch niet zo kan worden ingericht dat een leverancier volledig wordt uitgesloten van toegang tot data of invloed op de dienstverlening. Daarmee zou de controle van Logius over DigiD in de praktijk beperkt worden.
Logius buitenspel bij risicobeperking
In het interne document wordt bovendien gesteld dat maatregelen om risico’s te beperken niet waterdicht zijn en aanzienlijke inspanningen vereisen. Voor veel overheidsdiensten zou dit complexe en kostbare aanpassingen betekenen.
Van Oordt benadrukt dat deze analyse niet is gedeeld met de Tweede Kamer. Daarmee zouden volksvertegenwoordigers onvoldoende inzicht hebben gehad in de mogelijke gevolgen van de overname.
Kort geding en crowdfunding
Omdat overleg met betrokken ministers volgens Van Oordt niets opleverde, heeft hij besloten juridische stappen te zetten. Via een kort geding wil hij de overname blokkeren.
Op sociale media geeft hij aan dat hij herhaaldelijk heeft geprobeerd in gesprek te gaan met beleidsmakers, zonder resultaat. Daarom zoekt hij nu ook steun vanuit de samenleving. Voor de financiering van de rechtszaak is een crowdfundingcampagne gestart.
Van Oordt stelt dat hij handelt uit zorg voor digitale soevereiniteit, continuïteit van overheidsdiensten en de bescherming van persoonsgegevens van alle Nederlanders.
Het ministerie van Binnenlandse Zaken laat weten dat het juridisch tegenhouden van de verkoop “geen serieuze optie” is.
Toezicht en politieke besluitvorming
De overname is eind februari goedgekeurd door toezichthouder Autoriteit Consument & Markt (ACM). Daarnaast onderzoekt het Bureau Toetsing Investeringen (BTI) de mogelijke gevolgen voor de nationale veiligheid.
Het BTI adviseert de minister van Economische Zaken, die uiteindelijk beslist of de overname definitief doorgaat. Die beslissing wordt op korte termijn verwacht.
Opvallend is dat zowel het ministerie van Binnenlandse Zaken als het ministerie van Justitie en Veiligheid al maanden vóór de publieke aankondiging op de hoogte waren van de plannen.
Breder debat over digitale afhankelijkheid
De kwestie raakt aan een breder debat in Nederland en Europa over digitale autonomie en afhankelijkheid van buitenlandse technologiebedrijven. Met name de rol van Amerikaanse cloud- en IT-dienstverleners ligt daarbij onder een vergrootglas.
Eerder wezen experts al op spanningen tussen Europese privacywetgeving, zoals de AVG, en Amerikaanse regelgeving die bedrijven kan verplichten data te delen met autoriteiten.
Conclusie
De rechtszaak van de Logius-klokkenluider onderstreept de groeiende zorgen over digitale soevereiniteit in Nederland. Terwijl de overheid inzet op efficiënte digitale dienstverlening, rijst de vraag in hoeverre die systemen onafhankelijk en veilig blijven. De uitkomst van het kort geding en het politieke besluit over de overname kunnen verstrekkende gevolgen hebben voor de toekomst van DigiD en het vertrouwen van burgers in digitale overheidsdiensten.
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”