Vooraf werd vastgesteld dat DigiD wordt beheerd door Logius (onderdeel van het ministerie van BZK), terwijl Solvinity het platform levert waarop DigiD draait. Dat platform staat in een overheidsdatacentrum. Solvinity is daarmee leverancier van DigiD en geen eigenaar.
Branche waarschuwt Kamer voor 'te simpele aannames' over veiligheid Cloud
De beoogde overname van Solvinity door het Amerikaanse IT-bedrijf Kyndryl is op 27 januari onderwerp van een rondetafelgesprek van de Vaste Commissie Digitale Zaken. Branchevertegenwoordigers NLdigital en Dutch Cloud Community (DCC) leverden ieder een position paper, waarin zij hun visie geven op cloudgebruik, leveranciersrisico’s en digitale autonomie in relatie tot DigiD.
Inbreng NLdigital
NLdigital plaatste de overname in een breder kader van cloudgebruik en digitale autonomie. Volgens de organisatie is cloud voor veel organisaties geen keuze meer, maar een randvoorwaarde. Cloud biedt schaalbaarheid, flexibiliteit en toegang tot moderne beveiligingsfunctionaliteit en kan door standaardisatie voordelen opleveren op het gebied van kosten en energie.
Tegelijkertijd waarschuwde NLdigital voor te simpele aannames over veiligheid op basis van herkomst van leveranciers. De discussie moet volgens de brancheorganisatie worden gevoerd op basis van concrete risico’s en passende beheersmaatregelen, afgestemd op het type data en de kritikaliteit van toepassingen.
Centraal stond het begrip leveranciersrisico: situaties waarin beschikbaarheid, betrouwbaarheid of keuzevrijheid wordt beïnvloed door factoren buiten directe controle van de afnemer. NLdigital benadrukte dat afhankelijkheden altijd bestaan, ook bij eigen beheer, omdat hardware, firmware, open source en specialistische kennis vaak internationaal zijn.
Jurisdictie
Een belangrijk aandachtspunt is jurisdictie. Ook als data fysiek in Europa staat, kan andere wetgeving van toepassing zijn op een leverancier, zoals de Amerikaanse CLOUD Act of Europese e-evidence-regels. Daarom moet jurisdictie standaard onderdeel zijn van leveranciersafwegingen.
Contracten alleen zijn volgens NLdigital onvoldoende. Technische maatregelen zoals versleuteling waarbij de leverancier geen toegang heeft tot sleutels, strikte toegangscontrole en scheiding van netwerken kunnen risico’s verkleinen. NLdigital stelde voor om risico’s te beoordelen via drie veiligheidsdoelen: beschikbaarheid, integriteit en vertrouwelijkheid. Daarnaast moeten organisaties scenario’s doordenken rond wetgeving, geopolitiek, cyberdreigingen en leverancierscontinuïteit, inclusief exit-opties en overstapmogelijkheden.
Digitale autonomie is volgens NLdigital een gedeelde verantwoordelijkheid: leveranciers leveren maatregelen, maar afnemers moeten zelf data classificeren, toegangsrechten beheren en versleuteling organiseren. Diversificatie van leveranciers kan risico’s spreiden, maar kan ook beheercomplexiteit vergroten.
Inbreng Dutch Cloud Community
Dutch Cloud Community richtte zich specifieker op de gevolgen van de overname van Solvinity door Kyndryl en benoemde drie aandachtspunten. Ten eerste de mogelijke toegang tot gevoelige data. Een EU-bedrijf kan na overname onder niet-Europese wetgeving vallen, waardoor in theorie een buitenlandse overheid gegevens kan opvragen. DCC stelde dat dit voor data in systemen als DigiD voorkomen zou moeten worden.
Ten tweede wees DCC op risico’s voor de continuïteit van dienstverlening. Sancties of handelsmaatregelen kunnen ertoe leiden dat een Amerikaanse eigenaar verplicht wordt dienstverlening te beperken of te beëindigen, met gevolgen voor overheidsdiensten. Ten derde benoemde DCC het concentratierisico. Grote niet-Europese partijen worden dominanter door overnames van Europese bedrijven die een rol spelen in essentiële overheidsdiensten, wat de afhankelijkheid kan vergroten.
Aanbestedingen
DCC koppelde deze zorgen aan aanbestedingen. De vereniging vroeg aandacht voor de wijze waarop contracten tot stand komen en of er vooraf een risicoanalyse plaatsvindt. Verwijzend naar een Rekenkamerrapport uit januari 2025 stelde DCC dat zo’n analyse vaak ontbrak.
De brancheorganisatie pleitte ervoor om continuïteit, integriteit van data en exit-strategieën standaard onderdeel te maken van aanbestedingen. Genoemde opties waren onder meer een 'gouden aandeel', contractuele ontbindingsclausules bij overname, vooraf geregelde alternatieven bij andere leveranciers en spreiding van diensten over meerdere partijen. Een consortium van Nederlandse bedrijven werd als mogelijke optie genoemd.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.