Al maanden is in het nieuws dat DigiD in handen van de Amerikanen komt. De oplettende nieuwsconsument weet al dat dit niet helemaal klopt: eigenlijk is er ophef over de overname van het bedrijf Solvinity door een Amerikaans bedrijf, Kyndryl. Maar als je zo'n nieuwsconsument vervolgens vraagt waarom dat precies een probleem is, wordt het ingewikkeld.
Die overname blijkt inderdaad zorgwekkend te zijn, zo legt PowerDNS-maker en techexpert Bert Hubert uit. Dat heeft alleen niets te maken met het via Amerika lopen van onze gegevens; dat gebeurt namelijk helemaal niet.
Iedereen kent DigiD, maar wat is Solvinity?
Om het nieuws rondom DigiD op waarde te kunnen schatten, dien je eerst te begrijpen wie al die partijen zijn. DigiD is voor de meesten wel duidelijk: deze overheidsdienst laat Nederlandse burgers veilig inloggen bij overheden. Daarvoor moet je eerst een onlineaccount aanmaken aan de hand van je burgerservicenummer, ofwel je BSN. Dat is wellicht het gevoeligste persoonlijke nummer dat een mens heeft. DigiD is een zeer veilige manier van tweefactorauthenticatie, die mensen zullen beschouwen als onderdeel van de Nederlandse overheid. Dat klopt ook grotendeels.
/i/2008000784.png?f=imagegallery)
Die dienst wordt namelijk beheerd door Logius, een onderdeel van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Deze organisatie ontwikkelt de dienst, zorgt voor de beveiliging en controleert of aangesloten partijen zich aan alle regels houden.
Want er zijn aangesloten externe partijen, waaronder het veelbesproken Solvinity. Dit van oorsprong Nederlandse commerciële bedrijf regelt de cloudinfrastructuur die nodig is om DigiD aan te bieden. Solvinity is als het ware de netwerkbeheerder van de dienst. Dat onderdeel van de DigiD-keten, en alleen dat onderdeel, komt in handen van een Amerikaans bedrijf, de ict-dienstverlener Kyndryl. Overigens werkt Solvinity ook met andere overheidsdiensten, waaronder het Ministerie van Justitie en Veiligheid.
Zo werkt DigiD
Alle vermelde partijen hebben dus iets te maken met je inlogverzoek via DigiD. Om het risico van Amerikaanse inmenging in te zien, is het belangrijk om te weten hoe de dienst eigenlijk werkt.
In het kort: iedere inlogpoging verloopt via of met de hulp van allerlei systemen van overheden en externe leveranciers. Er zijn strenge eisen aan welke partij welke gegevens mag ontvangen of aanleveren. De simpelste daarvan is dat gegevens in principe altijd geanonimiseerd of versleuteld zijn.:strip_exif()/i/2008000782.jpeg?f=imagegallery)
Een woordvoerder van Logius legt uit: "Het zwarte kader in de afbeelding staat voor de DigiD-database. Naast de databaseservers zijn er ook applicatieservers nodig om de dienst te laten werken. Deze worden beheerd door Logius. Solvinity zorgt voor de verbinding tussen al die componenten van de DigiD-applicatie. Doordat er versleuteling wordt toegepast, kan Solvinity in principe niet bij persoonsgegevens in de database of tijdens transport."
Als de authenticatie gelukt is, ontvangt de dienstverlener waarbij de persoon wil inloggen het BSN van die persoon. Dat gebeurt zoals vermeld versleuteld. De dienstverlener weet op basis van het verkregen nummer welke gegevens die moet tonen, bijvoorbeeld de juiste belastingaangiften of DUO-schuld. Een gedetailleerdere uitleg is op deze pagina te vinden.
Kort door de bocht krijgt Solvinity in het hele inlogproces alleen het IP-adres en het e-mailadres van de gebruiker. Logius: "Het IP-adres is nodig voor de verbinding via internet en het e-mailadres is nodig voor het sturen van notificaties." Eenmaal ingelogd is er hoe dan ook geen interactie meer met de DigiD-systemen. Alle gegevens die door de dienstverlener getoond worden, zijn dus hoe dan ook niet inzichtelijk voor Solvinity.
Is DigiD echt zo belangrijk?
DigiD is de standaardmanier voor Nederlanders om in te loggen bij digitale overheidsdiensten. Hoewel het niet verplicht is om een DigiD-account te hebben, zijn de belangrijkste overheidszaken zonder een account niet online te regelen. Je kunt zonder DigiD niet digitaal studiefinanciering aanvragen, je pensioen regelen, bij je zorgverzekeraar inloggen, belastingaangifte doen en ga zo maar door.
Het wegvallen van de dienst zou enorme gevolgen hebben voor de manier waarop burgers contact hebben met overheden. De onlinecomponent valt dan vrijwel volledig weg. Overheidsdiensten zijn tegenwoordig niet meer ingericht om die miljoenen interacties fysiek of telefonisch te regelen.
De dienst is daarom zonder al te veel mentale gymnastiek een onderdeel van de kritieke digitale Nederlandse infrastructuur te noemen. De dienst heeft 16,6 miljoen gebruikers en verwerkte alleen in 2025 al 550 miljoen authenticaties, gemiddeld ruim 33 inlogacties per gebruiker per jaar. Op piekdagen voert de dienst wel drie miljoen authenticaties uit. Naar verwachting stijgt het aantal jaarlijkse authenticaties in 2026 naar 700 miljoen.
Inlogproces is niet inzichtelijk, dus wat is het probleem?
Beheerder Logius verzekert dat DigiD Nederlands is en blijft. De gegevens worden hier verwerkt en gaan niet via de VS. Solvinity heeft geen inzage in de gegevens en zegt op zijn website dat alleen een beperkt aantal goedgekeurde werknemers werkzaamheden voor DigiD-software mag uitvoeren. Het systeem wordt in een 'dubbel beveiligd overheidsdatacenter in Nederland' gehost. Dat blijft ook zo.
Geen zorgen dan, toch? Daar denkt Hubert, en met hem menig tweaker en politicus, helaas anders over: "Dat alles in Nederland blijft, geloof ik wel, maar de Amerikanen beheren uiteindelijk de servers. Als de baas van Kyndryl een brief van de Amerikaanse overheid krijgt en data moet delen, moet hij gehoorzamen. Zijn alternatief is de gevangenis." Het maakt niet uit waar de servers van het dochterbedrijf staan. Kyndryl moet dan aan dat verzoek voldoen.
En er worden nogal wat gegevens van de gebruiker verwerkt op de systemen van DigiD. Het is een beetje afhankelijk van de inlogmethode, maar in principe heeft DigiD alle onderstaande informatie van een gebruiker. Logius stelt: "Solvinity kan in principe niet bij persoonsgegevens in de database." In principe niet, maar dat kan kennelijk simpelweg niet uitgesloten worden.
| Gegevens waartoe DigiD toegang heeft | ||
|---|---|---|
| Gedeeld met DigiD | Uit overheidsdatabase BRP | Via browser of app |
|
BSN |
Controlegegevens Adres |
Apparaatinformatie Pincode (app) Kenmerken sessie en software Unieke nummers en cryptografische sleutels |
Dreiging van de Amerikanen is reëel
Zelfs Solvinity erkent dat de Amerikaanse overheid via Kyndryl gegevens van DigiD kan verkrijgen. Dit zou alleen 'uiterst onwaarschijnlijk' zijn en Kyndryl zou dit alleen doen als dat wettelijk verplicht is. De Verenigde Staten kunnen echter op allerlei manieren wettelijk toegang vragen.
Volgens de Nederlandse landsadvocaat, de advocaat die de Nederlandse Staat adviseert over moeilijke kwesties, kan de Amerikaanse overheid toegang krijgen tot de systemen van Solvinity via de Cloud Act, de Foreign Intelligence Surveillance Act en Executive Order 12333. Dat zijn al drie losse wetten dus, die instanties zoals Amerikaanse handhaving en geheime diensten het recht kunnen geven om gegevens van Amerikaanse bedrijven en hun dochterbedrijven op te vragen.
Clouddiensten hinderen als drukmiddel
Amerikaanse bedrijven kunnen, op het niet zo vriendelijke verzoek van bijvoorbeeld de OFAC, Europese bedrijven of zelfs individuen hinderen. Volgens critici gebeurde het zelfs al.
Zo zou de e-mailtoegang van een aanklager van het Internationaal Strafhof in Den Haag geblokkeerd zijn door Microsoft, naar verluidt als politieke reactie van de Verenigde Staten op handelingen van het strafhof. Microsoft ontkent dit overigens. De actie was een vergelding voor de vervolging van de Israëlische president Netanyahu, aldus het AP.
Het ministerie van Economische Zaken benadrukt dat dit de Amerikanen niet het recht geeft om een dienst simpelweg uit te schakelen. Maar ook het hinderen van een bepaald stukje van een clouddienst zou de hele infrastructuur al kunnen ontregelen.
"Dan heb je ook nog de OFAC, de Office of Foreign Assets Control, de financiële overheidsorganisatie die economische sancties handhaaft. Dat is de partij die de Kyndryl-baas in dit scenario een brief stuurt", vult techexpert Hubert aan.
Nu heeft Solvinity ongetwijfeld alleen integere werknemers die nooit zouden voldoen aan het verzoek tot het delen van data met de Amerikanen. Hubert heeft daar echter geen boodschap aan: "Dan zet Kyndryl er nieuwe werknemers neer die wél doen wat er van ze gevraagd wordt; Kyndryl is uiteindelijk immers de baas."
Manieren om de overname te dwarsbomen
Het is om die reden dan ook geen geheim dat verschillende Nederlandse instanties onderzoeken of de overname van Solvinity wel een goed idee is. Op dit moment loopt er bijvoorbeeld een onderzoek door de onafhankelijke Autoriteit Consument & Markt. Die doet dat in principe altijd bij grote en belangrijke overnames. De markttoezichthouder geeft nooit informatie over lopende onderzoeken. Naar verwachting wordt er in maart een conclusie gepresenteerd.
Tegelijkertijd neemt de overheid op allerlei manieren maatregelen om de veiligheid van de systemen te waarborgen. Er worden allerlei zogenoemde 'generieke maatregelen' in de overeenkomst opgenomen. Verder zijn er op verschillende manieren risicoanalyses gemaakt door onder meer de ministeries van Binnenlandse Zaken, Justitie en Veiligheid en Economische Zaken.
'Er blijft alleen altijd een restrisico over', zo erkent de Rijksoverheid. Het is uiteindelijk aan de politiek om te bepalen of dat risico acceptabel is en zo niet, wat dan eventuele alternatieven zijn. De Nederlandse overheid heeft daarvoor al lang een plan: een eigen overheidscloud die afhankelijkheid van derden – Amerikaans of niet – zou moeten voorkomen. Tot het zover is, moet DigiD roeien met de riemen die het heeft.
/i/2008000786.png?f=imagegallery)
Mocht er ooit een soeverein cloudsysteem komen, dan is het een kwestie van overhevelen, zo stelt Hubert. "DigiD is gebaseerd op het opensourceplatform Kubernetes. Dit is een manier om software in containers te draaien en maakt het opschalen en verhuizen van systemen relatief gemakkelijk, voor ontwikkelaarsbegrippen tenminste."
De rest van de samenwerking met Solvinity is volgens hem helaas niet zo gemakkelijk stop te zetten. Het bedrijf host bijvoorbeeld ook de hele berichtenbox van het ministerie van Justitie en Veiligheid. Dat is volgens Hubert een nog veel groter probleem. Dit is minder tastbaar omdat de meeste mensen geen directe verbinding daarmee hebben, in tegenstelling tot het alomaanwezige DigiD.
Conclusie
Toen de samenwerking met Solvinity in 2020 gestart werd, was Nederland wellicht nog wat naïef over de rol van de derde partij. Nu heeft een Amerikaans bedrijf zijn pijlen gericht op de leverancier van cloudinfrastructuur. Ook dat was zes jaar geleden misschien nog niet beangstigend. De VS was toen immers nog onze trouwe bondgenoot.
Inmiddels lopen de geopolitieke spanningen tussen Europa en de VS op. Dat maakt de overeenkomst tussen Solvinity en Kyndryl minder reden voor champagne. Uiteraard moet de overname nog goedgekeurd worden door onder meer de ACM. Als dat uiteindelijk doorgaat, verzekeren beheerder Logius en Solvinity dat DigiD gewoon net zo Nederlands en veilig blijft als het nu is.
De realiteit is echter iets genuanceerder. Met het felle handelsbeleid van Donald Trump en de oplopende spanning tussen de VS en Europa is DigiD het concrete spanningsveld geworden van Europese, of in dit geval Nederlandse, soevereiniteit. Dat is niet zo gek, want leuker gaan de Amerikanen het zeker niet maken voor ons, en misschien ook niet makkelijker.
Redactie: Yannick Spinner • Eindredactie: Marger Verschuur
/i/2004735554.png?f=fpa)
/i/1212175022.png?f=fpa)
/i/2005662334.png?f=fpa)
/i/2005822240.png?f=fpa)
:strip_exif()/i/2004256066.jpeg?f=fpa)
:strip_exif()/i/2004648160.jpeg?f=fpa)
:strip_icc():strip_exif()/u/269054/crop6064049cee9ab_cropped.jpg?f=community){kind=small}
/u/394109/crop5c5d6d2d76f2d.png?f=community){kind=small}
:strip_exif()/u/448613/Image00001.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
/u/15038/logo.GIF?f=community){kind=logo}
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
:strip_exif()/u/283849/crop5eff21eeb115e_cropped.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/16567/my_avatar2.jpg?f=community){kind=avatar}