Ondanks maatregelen blijft het risico dat de Amerikaanse overheid DigiD-gegevens in handen krijgt
De Tweede Kamer maakt zich grote zorgen om DigiD. Het platform waarop dat systeem draait, dreigt in handen te komen van een Amerikaans bedrijf. Gevolg: de overheid van de Verenigde Staten kan DigiD-gegevens opvragen en de digitale inlogmethode platleggen.
„Ja, ik maak me wel zorgen”, zegt Joris van Hoboken, hoogleraar informatierecht aan de Universiteit van Amsterdam. Hij richt zich in het bijzonder op recht en digitale infrastructuur. „We geven extra macht over onze digitale infrastructuur aan de Amerikaanse overheid. En die invloed is al zo groot.”
Niet alleen Van Hoboken maakt zich zorgen, ook de Tweede Kamer kijkt met argusogen naar de ontwikkelingen van DigiD. Die ongerustheid bleek bijvoorbeeld woensdagmiddag. Tweede Kamerleden die zich richten op digitale zaken, werden bijgepraat in een technische briefing.
DigiD zelf is eigendom van Logius, van de Nederlandse overheid. De zorgen gaan over het platform waarop DigiD draait, met de naam Solvinity. Dat dreigt overgenomen te worden door het Amerikaanse bedrijf Kyndryl, volgens Solvinity om zijn diensten „te blijven beveiligen en te innoveren.” En daar zit het pijnpunt.
Want als die overname realiteit wordt, mag de Amerikaanse overheid volgens haar wetgeving gegevens vorderen bij bedrijven. Ook bij Kyndryl. Dat zou dus kunnen betekenen dat er gevoelige gegevens van Nederlanders die via DigiD verwerkt worden, in handen kunnen komen van de autoriteiten in de Verenigde Staten. Naast DigiD regelt Solvinity ook digitaal verkeer voor het ministerie van Justitie en Veiligheid.
Chanteren
Er zijn eigenlijk twee hoofdzorgen, zegt Van Hoboken. „De veiligheid van de DigiD-gegevens is allereerst heel belangrijk. Een Nederlands bedrijf moet aan strenge privacyregels voldoen. Als een Amerikaans bedrijf bij DigiD is betrokken, kan zijn overheid aankloppen en zeggen: geef deze gegevens maar aan ons, want we zitten achter deze persoon aan. En de wetgeving in de Verenigde Staten gaat vrij ver in het afstaan van gegevens aan de overheid. Er ontstaat dus een nieuwe kwetsbaarheid.”
Maar een nog groter gevaar is volgens de hoogleraar dat de dienstverlening van Solvinity door de Amerikaanse overheid kan worden gestopt. Terwijl het volgens hem „superbelangrijk” is dat DigiD altijd werkt. „Het kan zijn dat een buitenlandse mogendheid DigiD stopzet om Nederland te chanteren. Voor dit soort specifieke diensten wil je dat gewoon niet hebben.”
Een voorbeeld van dat laatste gevaar is wat de hoofdaanklager van het Internationaal Strafhof in Den Haag overkwam in mei vorig jaar. De regering-Trump legde sancties op tegen het hof vanwege arrestatiebevelen tegen de Israëlische premier Netanyahu en zijn voormalig minister van Defensie. Als gevolg daarvan blokkeerde Microsoft de e-mail van de hoofdaanklager, waardoor zijn werk deels stil kwam te liggen.
Overrulen
Ambtenaren van onder meer de ministeries Binnenlandse Zaken en Koninkrijksrelaties en Economische Zaken, gaven woensdag aan dat de overheid „onderhandelt” over de voorwaarden van de overname. Ook werd duidelijk dat er geen mogelijkheid is om de overname te voorkomen, tenzij het Bureau Toetsing Investeringen die als een bedreiging voor de nationale veiligheid ziet. Daar loopt nog onderzoek naar. Op de uiteindelijke conclusie heeft de overheid geen invloed.
Wel gaven ambtenaren aan dat er nu al maatregelen worden onderzocht om Solvinity een veilig platform te houden. Een voorbeeld daarvan is dat er alleen nog medewerkers met een Europese nationaliteit aan Solvinity zouden mogen werken. Ook zouden de ministeries Solvinity en Kyndryl vragen om zich te verzetten tegen een eventueel verzoek om gegevens van de Amerikaanse overheid.
Toch blijft de wet staan dat de bedrijven de gegevens móéten afstaan als de overheid dat vraagt. Zelf noemt Solvinity zulke scenario’s „uiterst onwaarschijnlijk”. „Zou het kunnen zijn dat we dusdanige maatregelen treffen die dat helemaal voorkomen?” vroeg Chris Stoffer van de SGP aan de ambtenaren. „Er zal altijd een restrisico zijn”, was de weinig hoopvolle reactie.
BBB’er Henk Vermeer vroeg zich af of de maatregelen die de Nederlandse overheid treft, niet zinloos zijn omdat de Amerikanen die met hun wetgeving kunnen „overrulen”. „De maatregelen zijn bedoeld om die invloed in te perken”, luidde het antwoord. „Honderd procent uitsluiten kun je nooit.”
