DigiD-aansluitingen voldoen aan regel, nu de staatssecretaris nog

Wie niet voldoet krijgt een boze brief van Logius, de beheerder van DigiD, een nieuwe termijn en riskeert daarna afsluiting. Tegelijkertijd erkent de staatssecretaris van Binnenlandse Zaken, in antwoorden op Kamervragen van JA21, impliciet dat de beveiliging bij datzelfde Logius helemaal niet op orde is.

De stille erkenning in Den Haag

De staatssecretaris schrijft in zijn antwoorden dat het “niet mogelijk is om voor augustus 2026 over te stappen naar een andere IT-leverancier zonder dat de continuïteit en veiligheid van de dienstverlening in gevaar komt.” Daarom wordt het contract met de huidige leverancier, Solvinity, met twee jaar verlengd. Dat klinkt als een praktische mededeling. Het is meer dan dat.

De Baseline Informatiebeveiliging Overheid (BIO), waarvoor diezelfde Erik van den Burg aan de lat staat, is het verplichte beveiligingskader voor alle overheidsorganisaties. Dat is dus inclusief Logius. Zowel de huidige versie (BIO 1) als de nieuwe versie (BIO 2) stellen ondubbelzinnige eisen aan leveranciersafhankelijkheid. De afhankelijkheid van die leverancier moet beheersbaar zijn. Er moet een bedrijfscontinuïteitsplan zijn voor als er iets misgaat.

Als een overstap naar een andere leverancier de veiligheid van een nationale digitale basisvoorziening bedreigt, dan is BCM niet gelukt. De staatssecretaris zegt het niet zo, maar dat is wat er staat.

Business continuïteit: het probleem zit dieper

Business continuity management (BCM) gaat over precies dit: wat doe je als iets of iemand waarvan je afhankelijk bent, wegvalt of niet langer betrouwbaar is? Voor een dienst als DigiD, die de toegang regelt tot vrijwel alle digitale overheidsdiensten, is dat geen theoretische vraag.

Het antwoord dat de staatssecretaris geeft, is in feite: wij hebben geen werkbaar alternatief, dus we verlengen. Dat is geen BCM, maar het accepteren van dit risico.

Zowel BIO 1 als BIO 2 verplichten dat de afhankelijkheid van een leverancier contractueel beheersbaar is gemaakt. Die route bestaat kennelijk niet, of in elk geval niet binnen een aanvaardbare termijn.

Het raakt niet alleen Logius

DigiD is geen intern systeem. Het is de digitale sleutel die burgers gebruiken om bij de overheid te komen, maar ook om in te loggen bij hun zorgverzekeraar, hun huisarts of hun ziekenhuis. Steeds meer zorgaanbieders maken hun elektronisch patiëntendossier toegankelijk via DigiD. Dat is handig, maar het betekent ook dat de beveiligingsstatus van DigiD direct doorwerkt naar de zorg.

Al die organisaties, gemeenten, provincies, uitvoeringsinstanties, zorgverzekeraars en zorgverleners, leveren vandaag hun jaarlijkse DigiD-assessment in. Ze verklaren te voldoen aan de beveiligingseisen voor het gebruik van DigiD. Maar als de kern van dat systeem zelf niet voldoet aan de BIO, dan heeft hun eigen compliance een zwakke plek die ze niet zelf hebben veroorzaakt en ook niet zelf kunnen oplossen.

Extra risico voor gecertificeerde organisaties

Voor organisaties met een ISO 27001-certificering (voor informatiebeveiliging in het algemeen) of een NEN 7510-certificering (specifiek voor de zorg) is er een bijkomend probleem. Beide normen vereisen dat risico's in de keten worden geïdentificeerd en beheerst. Een bekende zwakheid in een kritieke externe koppeling, zoals DigiD, die niet wordt geadresseerd, is een risico dat aantoonbaar in het risicoregister thuishoort. Wie dat niet doet, loopt bij een audit het gevaar zijn certificaat te verliezen, of in elk geval een bevinding te krijgen.

Wat nu?

De staatssecretaris informeert de Kamer in juni over de verdere aanpak. Tot die tijd geldt: de beveiliging van een nationale digitale sleuteldienst voldoet aantoonbaar niet aan de eigen normen van de overheid. En iedereen die vandaag zijn assessment inlevert, tekent voor compliance aan een systeem waarvan de kern onder de maat is.

Er is werk aan de winkel. Want we spreken nu alleen nog maar over beschikbaarheid. Wat als je de indentiteit niet meer kan vertrouwen….?