Ook met extra maatregelen komen bij de overname van DigiD gevoelige persoonsgegevens in Amerikaanse handen, waarschuwde agentschap Logius in een interne veiligheidsanalyse. Logius’ hoogste privacy-adviseur treedt nu naar buiten in de hoop de overname tegen te houden.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Pieter van Oordt, de Centrale Privacy Officer (CPO) van Logius, het agentschap dat onder Binnenlandse Zaken valt, zegt dat de veiligheid van Nederland in het geding is. De ‘gedetailleerde persoonsgegevens van alle Nederlanders’ die in MijnOverheid beschikbaar zijn, dreigen in handen te komen van de Verenigde Staten. Ook kunnen de VS de toegang tot DigiD blokkeren.
De ambtenaar slaat alarm nu de minister van Economische Zaken, Heleen Herbert, de overname van DigiD door het Amerikaanse Kyndryl ieder moment kan gaan goedkeuren. Van Oordt: ‘Ik kan het niet simpeler zeggen: de VS kunnen DigiD voor langere tijd uitzetten en geheime informatieverzoeken uitvaardigen.’
De veiligheidsanalyse van Logius, waarvan de conclusie op 24 november werd gedeeld met het kerndepartement van Binnenlandse Zaken (BZK), waarschuwt expliciet voor de risico’s van de Amerikaanse overname. ‘Gezien de huidige architectuur is het platform technisch niet zodanig dicht te zetten dat de leverancier niet meer bij data/persoonsgegevens zou kunnen komen of de beschikbaarheid zou kunnen beïnvloeden.’
Ook extra maatregelen hebben geen zin: ‘Mitigerende maatregelen die Logius zou kunnen nemen, zijn niet waterdicht en zullen voor veel voorzieningen een enorme inspanning vergen.’ Het document is volgens de ambtenaar nooit met de Tweede Kamer gedeeld.
Van Oordt is de belangrijke privacy-adviseur van Logius, onder andere verantwoordelijk voor DigiD en MijnOverheid. In november raakte hij betrokken bij de overname van het oorspronkelijk Nederlandse bedrijf Solvinity dat DigiD in beheer heeft. Toen werd de transactie van aandelen naar het Amerikaanse Kyndryl aangekondigd.
Als de overname definitief rond is, vallen DigiD en MijnOverheid onder Amerikaanse wetgeving. Dan kunnen Amerikaanse veiligheidsdiensten met een beroep op de Cloud Act of de Foreign Intelligence Surveillance Act (Fisa) gegevens vorderen. Ook kunnen de VS met sanctiewetgeving de beschikbaarheid van DigiD langere tijd blokkeren.
De privacy-adviseur heeft intern bij Binnenlandse Zaken meermaals gewaarschuwd voor de risico’s. Van Oordt: ‘Escalaties tot het hoogste ambtelijke niveau hebben geen oplossing geboden. Ik ben niet toegelaten tot de staatssecretaris van Binnenlandse Zaken.’ Hij ziet daarom geen andere keus dan naar buiten te treden en de politiek via de samenleving te informeren, in de hoop zo de overname tegen te houden en voor een alternatief plan te kiezen.
DigiD is de levensader van de Nederlandse digitale samenleving: via het platform hebben zeventien miljoen mensen toegang tot de overheid, ziekenhuizen en pensioenfondsen. Dagelijks zijn er twee miljoen inlogsessies. Via MijnOverheid worden jaarlijks honderd miljoen brieven met gevoelige informatie verstuurd naar inwoners. Daarin staan bijzonder gevoelige gegevens, zoals informatie over gezinssamenstelling, namen, leeftijd, adres, kenteken, toeslagen, belasting(schulden), studiebijdragen, bijzondere persoonsgegevens en meer.
In een Kamerbrief in februari schreef de staatssecretaris van Binnenlandse Zaken dat ‘drie sporen’ worden doorlopen om tot een afweging te komen. Onderdeel daarvan is een toets door de Autoriteit Consument en Markt (ACM) en Bureau Toetsing Investeringen (BTI). De ACM heeft inmiddels toestemming gegeven. Meerdere bronnen, zowel binnen als buiten de overheid, zeggen tegen de Volkskrant te verwachten dat het BTI ook geen bezwaar zal uiten. Onder meer omdat Solvinity een relatief kleine partij is die aan beheer op afstand doet.
Daarnaast vinden onder coördinatie van BZK gesprekken plaats met Solvinity en Kyndryl over ‘aanvullende maatregelen’ om dataveiligheid te garanderen. Van Oordt is hier sceptisch over. ‘Aanvullende maatregelen zijn in alle gevallen onvoldoende om uitval van DigiD en onrechtmatig gebruik te voorkomen.’
Een woordvoerder van Binnenlandse Zaken zegt dat er momenteel ‘geen nieuws’ te melden is over het traject. Over de interne strijd van Pieter van Oordt schrijft zij: ‘Het ministerie is bekend met het plan van de CPO van Logius over de Solvinity-casus. De juridische opties die hierin worden aangedragen, zijn zorgvuldig onderzocht en gewogen door onder anderen de landsadvocaat. Uit deze afweging bleek dat deze (juridische) oplossing helaas geen serieuze optie is. Dit is ook met meneer gedeeld.’
Van Oordt heeft begin april zijn werkgever, BZK, geïnformeerd een rechtszaak tegen het ministerie en de Staat der Nederlanden te beginnen. Middels een kort geding wil hij toetsen of hij als ambtenaar bescherming krijgt om zijn strijd voor privacy voort te zetten.
Een woordvoerder van Economische Zaken wil niet ingaan op vragen over de status van de overname en zegt dat er ‘niet nu iets te melden is’.
Een probleem, zegt een bron met jarenlange ervaring in de top van ministeries die niet officieel met de media mag praten, is dat dergelijke overnames worden bekeken vanuit het principe van de open markt. ‘En zo bezien zijn de juridische middelen om het tegen te houden beperkt.’
Privacybezwaren zijn daarbij geldig, maar moeilijk te onderbouwen, zegt hij. De Autoriteit Persoonsgegevens is bijvoorbeeld niet om een advies gevraagd. Bovendien, zegt de bron, heerst bij een deel van de overheid nog de overtuiging dat de VS een belangrijke bondgenoot zijn. ‘Bondgenootschappen veranderen momenteel snel.’
De zorgen over de overname van Solvinity zouden inmiddels ook op andere departementen spelen. Het bedrijf doet ook het beheer van de IT-systemen van de Nationale Politie, het Openbaar Ministerie, Justitie en de gemeente Amsterdam.
Luister hieronder ook naar de podcast Schaduwoorlog. Al onze podcasts vind je op volkskrant.nl/podcasts.
Wilt u belangrijke informatie delen?
Mail naar tips@volkskrant.nl of kijk op onze tippagina.
Geselecteerd door de redactie
Source: Volkskrant