Amerikaner werden bald Zugang zu DigiD haben – trotz der Zusage des Staatssekretärs

ALollef on 14.12.2025 4:09 p.m.

Het IT-bedrijf achter DigiD komt mogelijk in Amerikaanse handen. Volgens staatssecretaris Eddie van Marum blijft DigiD desondanks ‘gewoon’ Nederlands en krijgen de Amerikanen geen toegang tot de persoonsgegevens van burgers. Dat klopt niet, zeggen deskundigen.

DigiD komt mogelijk in andere handen. Deze beveiligde manier voor burgers om in te loggen bij overheden, pensioenfondsen en zorgverzekeraars, geldt als een cruciale dienst. Vandaar dat onlangs de nodige ophef ontstond toen bekend werd dat het Amerikaanse IT-bedrijf Kyndryl de leverancier van DigiD, Solvinity, wil overnemen.

Want daarmee komt het systeem binnen het bereik van verstrekkende Amerikaanse wetten. Dat betekent dat de Amerikaanse overheid data kan opeisen, ongeacht op welke locatie ze zijn opgeslagen. Als de Amerikaanse president daarom vraagt, kunnen Amerikaanse bedrijven bovendien hun dienstverlening staken of Nederland daarmee onder druk zetten.

Staatssecretaris Eddie Van Marum (Binnenlandse Zaken, BBB) zei 27 november bij WNL dat DigiD Nederlands ‘blijft’, en voegde eraan toe dat Solvinity geen toegang heeft tot DigiD. Bovendien is er nog een onderzoek gaande, zei Van Marum, dat kan leiden tot ingrijpen. De ophef was volgens hem overtrokken.

**Blijft DigiD Nederlands?**

In een interview met NRC vorige week echode Ron Bravenboer, de Nederlands directeur van Kyndryl, de woorden van de staatssecretaris: DigiD blijft Nederlands en dus ‘veilig’. Ook zei de directeur dat de data zijn ‘versleuteld’, waarmee hij wilde suggereren dat de Amerikanen er niet bij kunnen.

Zijn de sussende woorden van de staatssecretaris terecht? Is het pleidooi van Bravenboer, die de belangen van zijn Amerikaanse baas dient, geruststellend?

Navraag bij Logius – de overheidsdienst die verantwoordelijk is voor DigiD – leert dat de software (de applicatie zelf) in handen is van de staat. Dus in die zin blijft DigiD Nederlands.

Maar dat zegt niets over de vraag of Solvinity ‘toegang’ heeft tot de data die hiermee worden verwerkt, en hoe groot de rol van het bedrijf is voor de applicatie.

Die blijkt cruciaal. Volgens Logius is Solvinity verantwoordelijk voor ‘het leveren en beheren van het platform waarop de DigiD-software draait: de servers, de opslag en de beveiliging.’ Solvinity levert dus de hardware (‘servers’) waar DigiD op draait, het beheer daarvan en de beveiliging van de applicatie.

Dit betekent dat Solvinity de stekker uit de applicatie kan trekken onder druk van de Amerikaanse regering. Als beheerder van het platform zit het nu eenmaal aan de knoppen.

**Solvinity kan wél bij DigiD-data**

Gezien de sleutelrol van Solvinity vroeg Follow the Money het ministerie van Binnenlands Zaken (BZK) of er technische maatregelen zijn getroffen die voorkomen dat Solvinity kan meekijken op dit platform.

Het ministerie (waar Logius onder valt) antwoordde: ‘Logius heeft afspraken (operationeel, technisch en contractueel) met Solvinity om te voorkomen dat Solvinity toegang heeft tot persoonsgegevens in DigiD.’ Maar BZK wil het niet uitsluiten.

Jaap-Henk Hoepman, universitair hoofddocent Digital Security (Radboud Universiteit), noemt de afspraken ‘volstrekt onvoldoende’. ‘Want dat betekent dat Solvinity zelf maatregelen treft en ze dus ook zelf kan omzeilen. Dat is ernstig, want je geeft een vreemde mogendheid de mogelijkheid om de belastinginning totaal lam te leggen.’

Cyberexpert en voormalig toezichthouder op de veiligheidsdiensten Bert Hubert is eveneens duidelijk: ‘Technisch gezien betekent dit dat Solvinity-medewerkers toegang hebben tot DigiD-data en -systemen. Er zal best afgesproken zijn dat ze daar niet aan zullen komen en dat er mogelijk nog technische maatregelen worden getroffen die de toegang bemoeilijken. Maar meer dan een belofte is het niet.’

‘Als dat het antwoord is van BZK, is het case closed. Dan zijn er dus alleen maatregelen die ervan afhankelijk zijn of Solvinity haar afspraken nakomt,’ zegt Ot van Daalen, privacy-advocaat die promoveerde op het belang van encryptie voor de bescherming van mensenrechten. ‘Het is moeilijk om een beheerder van een server weg te houden van data die daarop staan. Het kan in theorie wel met versleuteling, maar dat betekent dat het in de praktijk heel lastig wordt om met die data te werken.’

Van Daalen wijst op technische mogelijkheden om hier een mouw aan te passen, ‘maar die zijn exotisch en nog niet op een punt dat je ervan uit mag gaan dat die hier goed zouden werken. Als ze zoiets zouden toepassen, zouden ze echt iets heel bijzonders aan het doen zijn. Maar ik lees dat helemaal nergens.’

Cybersecurity-specialist Floris Meester is het eens met Hubert en Van Daalen. Hij las de aanbestedingsdocumenten voor het beheer van DigiD (2019): ‘Er staat niets in over harde maatregelen die voorkomen dat Solvinity bij de data kan die via DigiD worden verwerkt.’

**Gebrek aan transparantie**

BZK zegt dat op het platform wel veiligheidsmaatregelen worden getroffen, zoals het ‘versleutelen van persoonsgegevens in databases en versleutelen van back-ups’. Of dat ook is gebeurd in het geval van DigiD, en zo ja, wie over de sleutels beschikt, wil het ministerie uit ‘veiligheidsoverwegingen’ niet zeggen.

Het antwoord op die vragen is van wezenlijk belang, zegt Hoepman, maar Logius en BZK weigeren hier ondanks herhaaldelijke verzoeken duidelijkheid over te geven.

Hoepman vindt dat gebrek aan transparantie onaanvaardbaar: ‘Hoe DigiD beveiligd is, moet publiek controleerbaar zijn.’

Kortom: dat de software van DigiD Nederlands blijft, verhult dat deze vitale dienst binnen het bereik komt van de Verenigde Staten.

In geval van vitale infrastructuur kan het kabinet een overname tegenhouden op grond van de Wet veiligheidstoets investeringen fusies en overnames. Bedrijven in aangewezen sectoren moeten een overname of fusie melden bij het Bureau Toetsing Investeringen (BTI) van het ministerie van Economische Zaken en Klimaat (EZK). Solvinity liet eerder aan Follow the Money weten de overname te hebben gemeld.

Opvallend is dat Solvinity op het moment van de aanbesteding in 2019 al lang en breed in handen was van de Britse durfinvesteerder Vitruvian Partners. Een mogelijke verkoop aan Amerikanen was toen dus al voorzienbaar.

De vraag is of het kabinet het aandurft om de VS voor het hoofd te stoten. Zal digitale autonomie de doorslag geven?

View 3 Comments

3 Kommentare

ALollef on 14.12.2025 4:09 p.m.

https://archive.ph/FiZIZ

Het IT-bedrijf achter DigiD komt mogelijk in Amerikaanse handen. Volgens staatssecretaris Eddie van Marum blijft DigiD desondanks ‘gewoon’ Nederlands en krijgen de Amerikanen geen toegang tot de persoonsgegevens van burgers. Dat klopt niet, zeggen deskundigen.

DigiD komt mogelijk in andere handen. Deze beveiligde manier voor burgers om in te loggen bij overheden, pensioenfondsen en zorgverzekeraars, geldt als een cruciale dienst. Vandaar dat onlangs de nodige ophef ontstond toen bekend werd dat het Amerikaanse IT-bedrijf Kyndryl de leverancier van DigiD, Solvinity, wil overnemen.

Want daarmee komt het systeem binnen het bereik van verstrekkende Amerikaanse wetten. Dat betekent dat de Amerikaanse overheid data kan opeisen, ongeacht op welke locatie ze zijn opgeslagen. Als de Amerikaanse president daarom vraagt, kunnen Amerikaanse bedrijven bovendien hun dienstverlening staken of Nederland daarmee onder druk zetten.

Staatssecretaris Eddie Van Marum (Binnenlandse Zaken, BBB) zei 27 november bij WNL dat DigiD Nederlands ‘blijft’, en voegde eraan toe dat Solvinity geen toegang heeft tot DigiD. Bovendien is er nog een onderzoek gaande, zei Van Marum, dat kan leiden tot ingrijpen. De ophef was volgens hem overtrokken.

**Blijft DigiD Nederlands?**

In een interview met NRC vorige week echode Ron Bravenboer, de Nederlands directeur van Kyndryl, de woorden van de staatssecretaris: DigiD blijft Nederlands en dus ‘veilig’. Ook zei de directeur dat de data zijn ‘versleuteld’, waarmee hij wilde suggereren dat de Amerikanen er niet bij kunnen.

Zijn de sussende woorden van de staatssecretaris terecht? Is het pleidooi van Bravenboer, die de belangen van zijn Amerikaanse baas dient, geruststellend?

Navraag bij Logius – de overheidsdienst die verantwoordelijk is voor DigiD – leert dat de software (de applicatie zelf) in handen is van de staat. Dus in die zin blijft DigiD Nederlands.

Maar dat zegt niets over de vraag of Solvinity ‘toegang’ heeft tot de data die hiermee worden verwerkt, en hoe groot de rol van het bedrijf is voor de applicatie.

Die blijkt cruciaal. Volgens Logius is Solvinity verantwoordelijk voor ‘het leveren en beheren van het platform waarop de DigiD-software draait: de servers, de opslag en de beveiliging.’ Solvinity levert dus de hardware (‘servers’) waar DigiD op draait, het beheer daarvan en de beveiliging van de applicatie.

Dit betekent dat Solvinity de stekker uit de applicatie kan trekken onder druk van de Amerikaanse regering. Als beheerder van het platform zit het nu eenmaal aan de knoppen.

**Solvinity kan wél bij DigiD-data**

Gezien de sleutelrol van Solvinity vroeg Follow the Money het ministerie van Binnenlands Zaken (BZK) of er technische maatregelen zijn getroffen die voorkomen dat Solvinity kan meekijken op dit platform.

Het ministerie (waar Logius onder valt) antwoordde: ‘Logius heeft afspraken (operationeel, technisch en contractueel) met Solvinity om te voorkomen dat Solvinity toegang heeft tot persoonsgegevens in DigiD.’ Maar BZK wil het niet uitsluiten.

Jaap-Henk Hoepman, universitair hoofddocent Digital Security (Radboud Universiteit), noemt de afspraken ‘volstrekt onvoldoende’. ‘Want dat betekent dat Solvinity zelf maatregelen treft en ze dus ook zelf kan omzeilen. Dat is ernstig, want je geeft een vreemde mogendheid de mogelijkheid om de belastinginning totaal lam te leggen.’

Cyberexpert en voormalig toezichthouder op de veiligheidsdiensten Bert Hubert is eveneens duidelijk: ‘Technisch gezien betekent dit dat Solvinity-medewerkers toegang hebben tot DigiD-data en -systemen. Er zal best afgesproken zijn dat ze daar niet aan zullen komen en dat er mogelijk nog technische maatregelen worden getroffen die de toegang bemoeilijken. Maar meer dan een belofte is het niet.’

‘Als dat het antwoord is van BZK, is het case closed. Dan zijn er dus alleen maatregelen die ervan afhankelijk zijn of Solvinity haar afspraken nakomt,’ zegt Ot van Daalen, privacy-advocaat die promoveerde op het belang van encryptie voor de bescherming van mensenrechten. ‘Het is moeilijk om een beheerder van een server weg te houden van data die daarop staan. Het kan in theorie wel met versleuteling, maar dat betekent dat het in de praktijk heel lastig wordt om met die data te werken.’

Van Daalen wijst op technische mogelijkheden om hier een mouw aan te passen, ‘maar die zijn exotisch en nog niet op een punt dat je ervan uit mag gaan dat die hier goed zouden werken. Als ze zoiets zouden toepassen, zouden ze echt iets heel bijzonders aan het doen zijn. Maar ik lees dat helemaal nergens.’

Cybersecurity-specialist Floris Meester is het eens met Hubert en Van Daalen. Hij las de aanbestedingsdocumenten voor het beheer van DigiD (2019): ‘Er staat niets in over harde maatregelen die voorkomen dat Solvinity bij de data kan die via DigiD worden verwerkt.’

**Gebrek aan transparantie**

BZK zegt dat op het platform wel veiligheidsmaatregelen worden getroffen, zoals het ‘versleutelen van persoonsgegevens in databases en versleutelen van back-ups’. Of dat ook is gebeurd in het geval van DigiD, en zo ja, wie over de sleutels beschikt, wil het ministerie uit ‘veiligheidsoverwegingen’ niet zeggen.

Het antwoord op die vragen is van wezenlijk belang, zegt Hoepman, maar Logius en BZK weigeren hier ondanks herhaaldelijke verzoeken duidelijkheid over te geven.

Hoepman vindt dat gebrek aan transparantie onaanvaardbaar: ‘Hoe DigiD beveiligd is, moet publiek controleerbaar zijn.’

Kortom: dat de software van DigiD Nederlands blijft, verhult dat deze vitale dienst binnen het bereik komt van de Verenigde Staten.

In geval van vitale infrastructuur kan het kabinet een overname tegenhouden op grond van de Wet veiligheidstoets investeringen fusies en overnames. Bedrijven in aangewezen sectoren moeten een overname of fusie melden bij het Bureau Toetsing Investeringen (BTI) van het ministerie van Economische Zaken en Klimaat (EZK). Solvinity liet eerder aan Follow the Money weten de overname te hebben gemeld.

Opvallend is dat Solvinity op het moment van de aanbesteding in 2019 al lang en breed in handen was van de Britse durfinvesteerder Vitruvian Partners. Een mogelijke verkoop aan Amerikanen was toen dus al voorzienbaar.

De vraag is of het kabinet het aandurft om de VS voor het hoofd te stoten. Zal digitale autonomie de doorslag geven?
FlyingNederlander on 14.12.2025 4:19 p.m.

Echt weer een typisch VVD verhaal, de halve staat privatiseren, en dan de Nederlandse burger maar weer de pineut maken…
Maximum-Diet-6976 on 14.12.2025 4:19 p.m.

Dat was te verwachten

Du musst angemeldet sein, um einen Kommentar abzugeben.

Die Hyundai Motor Group verzeichnet im Januar aufgrund von Zollproblemen ein Rekordergebnis in den USA

Briefmarke von 1960 aus Pakistan mit der Aufschrift „endgültiger Status noch nicht festgelegt“ Kaschmirs sowie Junagarh [Junagadh] und Manavadar

[OC] Daten zum Verhalten von Videospiel-Spielern für Rocket League

Hühner fraßen sich gegenseitig bei lebendigem Leibe – es wurden jedoch keine Kontrollen durchgeführt

„Kollege hat 8.000 Euro für Fahrrad bezahlt“: Kuriere tragen Kosten selbst, wenn Pakete „verschwinden“

„Ich habe mein Leben vorübergehend ruiniert.“ Die Spielerin hat 300 Stunden darauf verwendet, etwas zu bekommen, das nur 14 Menschen auf der Welt haben, und am Ende hat sie es bereut, weil der Preis zu hoch war

Rekordhoher Strompreis im Januar 2026

Amerikaner werden bald Zugang zu DigiD haben – trotz der Zusage des Staatssekretärs

3 Kommentare

Die Hyundai Motor Group verzeichnet im Januar aufgrund von Zollproblemen ein Rekordergebnis in den USA

Briefmarke von 1960 aus Pakistan mit der Aufschrift „endgültiger Status noch nicht festgelegt“ Kaschmirs sowie Junagarh [Junagadh] und Manavadar

[OC] Daten zum Verhalten von Videospiel-Spielern für Rocket League

Hühner fraßen sich gegenseitig bei lebendigem Leibe – es wurden jedoch keine Kontrollen durchgeführt

„Kollege hat 8.000 Euro für Fahrrad bezahlt“: Kuriere tragen Kosten selbst, wenn Pakete „verschwinden“

„Ich habe mein Leben vorübergehend ruiniert.“ Die Spielerin hat 300 Stunden darauf verwendet, etwas zu bekommen, das nur 14 Menschen auf der Welt haben, und am Ende hat sie es bereut, weil der Preis zu hoch war

Rekordhoher Strompreis im Januar 2026

Schlagwörter

Amerikaner werden bald Zugang zu DigiD haben – trotz der Zusage des Staatssekretärs

3 Kommentare