Na de aankondiging van de overname van Solvinity is er direct opgeschaald, zegt Voorbraak in een verklaring op de eigen site. Op dit moment onderzoekt het kabinet de mogelijke gevolgen van de voorgenomen overname. Een direct verbod sluit minister Rijkaart van Binnenlandse Zaken vooralsnog uit.
Hoe veilig blijft DigiD?
De commotie rond de overname van Solvinity houdt de gemoederen in Den Haag bezig. Vandaag stelde Bert Voorbraak, algemeen directeur bij Logius, dat DigiD Nederlands is en blijft. ‘Als de impactanalyse een onacceptabel risico laat zien, worden onmiddellijk passende maatregelen genomen.’
Logius beheert DigiD
Solvinity levert het platform waarop DigiD draait. Logius is verantwoordelijk voor het beheer van DigiD, dat voor veel burgers de toegangspoort is tot de digitale dienstverlening van overheidsorganisaties. Bert Voorbraak lijkt de politiek gerust te willen stellen. ‘DigiD verstrekt alleen het BSN’, schrijft hij, ‘dit BSN is versleuteld en kan niet ingezien worden door een partij als Solvinity. Gegevens over iemands inkomen of medische gegevens worden beheerd door overheidsorganisaties zelf.’
'Als de impactanalyse een onacceptabel risico laat zien, worden onmiddellijk passende maatregelen genomen.'
Bert Voorbraak, directeur Logius
Versleuteling als veiligheidsgarantie?
Bij de bovengenoemde versleuteling worden wat kanttekeningen gemaakt op LinkedIn. Mendel Mobach merkt op dat bij de versleuteling onderscheid gemaakt moet worden naar het type systeem dat gebruikt wordt.
In moderne technische koppelingen wordt het BSN inderdaad niet rechtstreeks meegestuurd, maar wordt het versleuteld, zodat het niet leesbaar is voor systemen die het bericht doorsturen.
In oudere DigiD-koppelingen die SAML gebruiken, staat het BSN in het bericht zelf in platte tekst (dus niet versleuteld binnen het bericht). Iedereen of elk systeem dat het SAML-bericht kan openen, kan het BSN daarin gewoon zien. Alleen tijdens het versturen over het netwerk is het bericht beveiligd. Dit is minder privacyvriendelijk dan de nieuwere methoden waar het BSN in het bericht zelf al versleuteld is.
In een reactie erkent Logius dat het er inderdaad ‘een beetje krom staat’.
Betrouwbaarheid staat voorop
Solvinity zelf denkt dat de overname door Kyndryl juist nieuwe mogelijkheden biedt op het gebied van IT-beheer, beveiliging en automatisering. Het zou in ieder geval geen invloed hebben op de dienstverlening aan klanten. Ook Logius meldt dat de eisen die gesteld worden aan de veiligheid en continuïteit van het platform Kracht blijven. Maar, ‘Als de impactanalyse een onacceptabel risico laat zien, worden onmiddellijk passende maatregelen genomen. De veiligheid en betrouwbaarheid van de gegevens van Nederlandse burgers zijn niet onderhandelbaar’, aldus Algemeen Directeur Bert Voorbraak.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Kijk niet alleen naar versleuteling, kijk ook naar de Meta-data. Dus kan Solvinity zien:
Welke instanties zijn aangesloten?
Wie bij welke instantie inlogt?
Is dat nog steeds geen probleem als Trump abortus en LHBTIQ+ zorg op de sanctielijst zet?
Dat laatste is niet ondenkbaar, de opdracht om landen met abortustoegang, LGBTQ+-bescherming, DEI-beleid en hate-speechwetten als mensenrechtenschenders aan te merken ligt al bij het Amerikaanse buitenlandse zaken: https://reportersonline.nl/trump-dag-310-gelekt-gesprek-toont-dat-witkoff-russen-hielp-in-benadering-trump-epa-versoepelt-fijnstofnormen-landen-met-abortustoegang-gelabeld-als-mensenrechtenschenders-70-trump-kiezers-wil-ste/
Dat abortus- en gender klinieken op een sanctielijst komen is te verwachten. Dan is Sovinity verplicht deze af te sluiten, en de gegevens die ze eventueel hebben over te dragen.