DigiD wordt extra beveiligd

Na de geplande overname van ICT‑leverancier Solvinity door het Amerikaanse Kyndryl liet Logius eind 2025 een extra kwetsbaarhedenscan uitvoeren op het platform waarop onder meer DigiD en MijnOverheid draaien. Op basis daarvan zijn vier stevige maatregelen geselecteerd, vooral gericht op zwaardere versleuteling van gegevens en betere continuïteit.

Maatregelen

Voor DigiD wordt nu extra versleuteling van persoonsgegevens in de database voorbereid, boven op drie maatregelen die al eerder zijn doorgevoerd, zoals aanvullende versleuteling in logging en opslag en back‑ups in een ander overheidsdatacenter, schrijft de staatssecretaris. Ook bij MijnOverheid gaan de voorgestelde maatregelen volledig door; bij andere voorzieningen schuiven de aanpassingen mee in de reguliere vernieuwing.

Daarnaast wordt de vinger aan de pols op het Solvinity‑platform strakker. Logius breidt het aantal detectieregels uit en haalt de monitoring naar het eigen Security Operations Center (SOC), dat de bewaking de komende maanden verder optuigt.

Aanbesteding onder de Aanbestedingswet Defensie

Intussen loopt de klok door richting een nieuwe aanbesteding. Het huidige contract met Solvinity is begin mei verlengd en loopt uiterlijk tot augustus 2028, maar de controversiële – en inmiddels door het kabinet verboden – overname door Kyndryl was voor Logius aanleiding om het hele aanbestedingstraject opnieuw tegen het licht te houden.

Op advies van de landsadvocaat is gekozen voor een aanbesteding onder de Aanbestedingswet Defensie en Veiligheid, in plaats van een reguliere Europese procedure. Die route geeft de overheid meer ruimte om partijen uit landen te weren waar wetgeving het makkelijker maakt om gegevens van Nederlandse burgers op te vragen. Op dit moment treft Logius de voorbereidingen voor het uitvoeren van de aanbesteding. Er volgt pas weer nieuws zodra het contract daadwerkelijk wordt gegund, aldus de staatssecretaris.