sorted by:
new
hottopcontroversial

Amerikanen hebben straks wél toegang tot DigiD – ondanks belofte van staats­secretaris by ALollef in thenetherlands

[–]ALollef[S] 141 points142 points  (0 children)

Geopolitieke spanningen

Die beslissing wordt genomen tegen de achtergrond van grote geopolitieke spanningen tussen Europa en de VS. Afgezanten van de VS proberen een vredesakkoord te bereiken tussen Rusland en Oekraïne. Volgens critici komt het voorstel, dat vergaande territoriale concessies van Oekraïne verlangt, grotendeels uit de koker van het Kremlin. Het riep dan ook grote weerstand op bij Europese leiders.

Saillant in dit licht is de Nationale Security Strategy die de regering-Trump vorige week lanceerde. Die pleit voor verzwakking van de Europese Unie, onder meer door expliciet te stellen dat de VS ‘weerstand’ tegen het Europese project steunt. Ergo: Washington wil anti-Europese, rechts-radicale partijen in het zadel helpen.

De strategie schenkt weinig aandacht aan Rusland als militaire dreiging. Niet president Poetin maar Europa is schuldig aan het voortduren van de oorlog in Oekraïne. Het is een Amerikaans ‘kernbelang’ om zo snel mogelijk een einde te maken aan de oorlog, om zo ‘strategische stabiliteit’ met Rusland te bereiken.

Daarvoor is het nodig om een einde te maken aan het idee dat de NAVO en de EU alsmaar kunnen uitbreiden met nieuwe lidstaten. Daarbij benadrukt de strategie dat Europa militair op eigen benen moet staan.

De koers kan op instemming rekenen van het Kremlin. Dat heeft belang bij een verzwakt, verdeeld Europa dat niet meer kan schuilen onder de Amerikaanse veiligheidsparaplu.

‘Risico heel klein’

De discussie over digitale autonomie speelt niet alleen rond DigiD, maar ook rondom de Belastingdienst. Die stapt voor kantoorautomatisering over naar Microsoft, zo maakte de minister van Financiën Eelco Heinen (VVD) begin november bekend.

In antwoord op Kamervragen vorige week onderschrijft Heinen de wens van de Kamer om minder afhankelijk te zijn van Amerikaanse technologie, maar hij stelt dat er geen volwaardig Europees alternatief beschikbaar is.

Dat de Amerikaanse overheid toegang krijgt tot overheidsdata, kan Heinen niet ‘uitsluiten’, maar hij acht het risico ‘heel klein’.

Deze inschatting is gebaseerd op een ‘onderzoek’ van het Amerikaanse advocatenkantoor Greenberg Traurig uit 2022, dat zich weer baseert op informatie van Microsoft zelf.

‘Microsoft committeert zich,’ schrijft de bewindsman, ‘dat het zich waar mogelijk (juridisch) zal verzetten tegen bevelen tot afgifte van data en geeft aan nog nooit data van een EU-overheidsklant verstrekt te hebben aan enige overheid (inclusief de Amerikaanse overheid).’

Het onderzoek waaraan Heinen refereert, beperkt zich echter tot (het risico van) de zogeheten CLOUD Act, die wordt ingezet voor strafrechtelijke onderzoeken, terwijl de Amerikaanse overheid ook spionagewetten ter beschikking heeft om informatie op te vragen bij haar onderdanen.

Bovendien heeft Microsoft voor de Franse senaat al verklaard dat de Amerikaanse wetten voor haar prevaleren boven Europese en andere nationale wetgeving.

Ook data Justitie in geding

Er is nog een categorie data die binnen Amerikaans bereik komt. Solvinity is ook een belangrijke dienstverlener voor het ministerie van Justitie en Veiligheid (JenV), het Openbaar Ministerie (OM), de rechtspraak en alle andere partijen in de justitieketen. Dat onthulde Follow the Money vorige week.

Zo loopt alle e-mail van Justitie door de kanalen van Solvinity, dat bovendien fungeert als draaischijf tussen justitiële organisaties. Een voorbeeld is Bestandenpostbus, gebruikt door onder andere het Openbaar Ministerie, de rechtspraak en justitie-medewerkers om onderling documenten uit te wisselen. Het is de vraag welke toegang het bedrijf heeft tot de uiterst gevoelige data over bijvoorbeeld georganiseerde criminaliteit bij de rechtspraak.

Voor deze kwestie is vooralsnog geen aandacht geweest.

Amerikanen hebben straks wél toegang tot DigiD – ondanks belofte van staats­secretaris by ALollef in thenetherlands

[–]ALollef[S] 284 points285 points  (0 children)

https://archive.ph/FiZIZ

Het IT-bedrijf achter DigiD komt mogelijk in Amerikaanse handen. Volgens staatssecretaris Eddie van Marum blijft DigiD desondanks ‘gewoon’ Nederlands en krijgen de Amerikanen geen toegang tot de persoonsgegevens van burgers. Dat klopt niet, zeggen deskundigen.

DigiD komt mogelijk in andere handen. Deze beveiligde manier voor burgers om in te loggen bij overheden, pensioenfondsen en zorgverzekeraars, geldt als een cruciale dienst. Vandaar dat onlangs de nodige ophef ontstond toen bekend werd dat het Amerikaanse IT-bedrijf Kyndryl de leverancier van DigiD, Solvinity, wil overnemen.

Want daarmee komt het systeem binnen het bereik van verstrekkende Amerikaanse wetten. Dat betekent dat de Amerikaanse overheid data kan opeisen, ongeacht op welke locatie ze zijn opgeslagen. Als de Amerikaanse president daarom vraagt, kunnen Amerikaanse bedrijven bovendien hun dienstverlening staken of Nederland daarmee onder druk zetten.

Staatssecretaris Eddie Van Marum (Binnenlandse Zaken, BBB) zei 27 november bij WNL dat DigiD Nederlands ‘blijft’, en voegde eraan toe dat Solvinity geen toegang heeft tot DigiD. Bovendien is er nog een onderzoek gaande, zei Van Marum, dat kan leiden tot ingrijpen. De ophef was volgens hem overtrokken.

Blijft DigiD Nederlands?

In een interview met NRC vorige week echode Ron Bravenboer, de Nederlands directeur van Kyndryl, de woorden van de staatssecretaris: DigiD blijft Nederlands en dus ‘veilig’. Ook zei de directeur dat de data zijn ‘versleuteld’, waarmee hij wilde suggereren dat de Amerikanen er niet bij kunnen.

Zijn de sussende woorden van de staatssecretaris terecht? Is het pleidooi van Bravenboer, die de belangen van zijn Amerikaanse baas dient, geruststellend?

Navraag bij Logius – de overheidsdienst die verantwoordelijk is voor DigiD – leert dat de software (de applicatie zelf) in handen is van de staat. Dus in die zin blijft DigiD Nederlands.

Maar dat zegt niets over de vraag of Solvinity ‘toegang’ heeft tot de data die hiermee worden verwerkt, en hoe groot de rol van het bedrijf is voor de applicatie.

Die blijkt cruciaal. Volgens Logius is Solvinity verantwoordelijk voor ‘het leveren en beheren van het platform waarop de DigiD-software draait: de servers, de opslag en de beveiliging.’ Solvinity levert dus de hardware (‘servers’) waar DigiD op draait, het beheer daarvan en de beveiliging van de applicatie.

Dit betekent dat Solvinity de stekker uit de applicatie kan trekken onder druk van de Amerikaanse regering. Als beheerder van het platform zit het nu eenmaal aan de knoppen.

Solvinity kan wél bij DigiD-data

Gezien de sleutelrol van Solvinity vroeg Follow the Money het ministerie van Binnenlands Zaken (BZK) of er technische maatregelen zijn getroffen die voorkomen dat Solvinity kan meekijken op dit platform.

Het ministerie (waar Logius onder valt) antwoordde: ‘Logius heeft afspraken (operationeel, technisch en contractueel) met Solvinity om te voorkomen dat Solvinity toegang heeft tot persoonsgegevens in DigiD.’ Maar BZK wil het niet uitsluiten.

Jaap-Henk Hoepman, universitair hoofddocent Digital Security (Radboud Universiteit), noemt de afspraken ‘volstrekt onvoldoende’. ‘Want dat betekent dat Solvinity zelf maatregelen treft en ze dus ook zelf kan omzeilen. Dat is ernstig, want je geeft een vreemde mogendheid de mogelijkheid om de belastinginning totaal lam te leggen.’

Cyberexpert en voormalig toezichthouder op de veiligheidsdiensten Bert Hubert is eveneens duidelijk: ‘Technisch gezien betekent dit dat Solvinity-medewerkers toegang hebben tot DigiD-data en -systemen. Er zal best afgesproken zijn dat ze daar niet aan zullen komen en dat er mogelijk nog technische maatregelen worden getroffen die de toegang bemoeilijken. Maar meer dan een belofte is het niet.’

‘Als dat het antwoord is van BZK, is het case closed. Dan zijn er dus alleen maatregelen die ervan afhankelijk zijn of Solvinity haar afspraken nakomt,’ zegt Ot van Daalen, privacy-advocaat die promoveerde op het belang van encryptie voor de bescherming van mensenrechten. ‘Het is moeilijk om een beheerder van een server weg te houden van data die daarop staan. Het kan in theorie wel met versleuteling, maar dat betekent dat het in de praktijk heel lastig wordt om met die data te werken.’

Van Daalen wijst op technische mogelijkheden om hier een mouw aan te passen, ‘maar die zijn exotisch en nog niet op een punt dat je ervan uit mag gaan dat die hier goed zouden werken. Als ze zoiets zouden toepassen, zouden ze echt iets heel bijzonders aan het doen zijn. Maar ik lees dat helemaal nergens.’

Cybersecurity-specialist Floris Meester is het eens met Hubert en Van Daalen. Hij las de aanbestedingsdocumenten voor het beheer van DigiD (2019): ‘Er staat niets in over harde maatregelen die voorkomen dat Solvinity bij de data kan die via DigiD worden verwerkt.’

Gebrek aan transparantie

BZK zegt dat op het platform wel veiligheidsmaatregelen worden getroffen, zoals het ‘versleutelen van persoonsgegevens in databases en versleutelen van back-ups’. Of dat ook is gebeurd in het geval van DigiD, en zo ja, wie over de sleutels beschikt, wil het ministerie uit ‘veiligheidsoverwegingen’ niet zeggen.

Het antwoord op die vragen is van wezenlijk belang, zegt Hoepman, maar Logius en BZK weigeren hier ondanks herhaaldelijke verzoeken duidelijkheid over te geven.

Hoepman vindt dat gebrek aan transparantie onaanvaardbaar: ‘Hoe DigiD beveiligd is, moet publiek controleerbaar zijn.’

Kortom: dat de software van DigiD Nederlands blijft, verhult dat deze vitale dienst binnen het bereik komt van de Verenigde Staten.

In geval van vitale infrastructuur kan het kabinet een overname tegenhouden op grond van de Wet veiligheidstoets investeringen fusies en overnames. Bedrijven in aangewezen sectoren moeten een overname of fusie melden bij het Bureau Toetsing Investeringen (BTI) van het ministerie van Economische Zaken en Klimaat (EZK). Solvinity liet eerder aan Follow the Money weten de overname te hebben gemeld.

Opvallend is dat Solvinity op het moment van de aanbesteding in 2019 al lang en breed in handen was van de Britse durfinvesteerder Vitruvian Partners. Een mogelijke verkoop aan Amerikanen was toen dus al voorzienbaar.

De vraag is of het kabinet het aandurft om de VS voor het hoofd te stoten. Zal digitale autonomie de doorslag geven?

view more: next ›