Tweede Kamer bezorgd over DigiD na Amerikaanse overname Solvinity
Partijen in de Tweede Kamer maken zich zorgen over DigiD en andere overheidsdiensten nu het Nederlandse cloudbedrijf Solvinity in Amerikaanse handen lijkt te komen. Na GroenLinks-PvdA heeft ook de SGP Kamervragen over het onderwerp gesteld. Zo wil de partij onder andere weten of de overname kan worden tegengehouden. DigiD draait op servers van het cloudbedrijf, alsmede de dienst MijnOverheid. Ook het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid draait er.
"Deelt u de zorg dat door deze overname essentiële overheidsdiensten, waaronder DigiD en MijnOverheid, feitelijk in buitenlandse handen komen, met alle risico's van dien, bijvoorbeeld op het gebied van digitale soevereiniteit en (data)veiligheid?", vraagt SGP-Kamerlid Stoffer aan demissionair staatssecretaris Van Marum voor Digitalisering. De bewindsman moet ook duidelijk maken of er mogelijkheden zijn om een overname te verbieden of voorwaarden te stellen.
"Wat is op dit moment de eigendomsstructuur van de it-diensten achter DigiD, MijnOverheid en Digipoort? Welke onderdelen zijn in handen van Solvinity, en wat betekent de overname praktisch voor de eigendom en exploitatie van deze cruciale infrastructuur?", wil Stoffer verder weten. Het SGP-Kamerlid vraagt ook hoe de staatssecretaris waarborgt dat andere belangrijke overheidsdiensten, die nu in Nederlandse handen zijn, niet op termijn eveneens kunnen worden overgenomen door buitenlandse partijen.
Verder wil Stoffer duidelijkheid in hoeverre het kabinet concrete stappen heeft gezet om te investeren in digitale autonomie, bijvoorbeeld op het gebied van een nationale of ‘soevereine’ overheidscloud. Staatssecretaris Van Marum heeft drie weken om met een reactie te komen.
Misschien wordt het tijd om "vriendschappen" te herzien...
1) Goedkeuring door mededingingsautoriteiten (zoals de ACM in Nederland en mogelijk Europese instanties).
2) Advies van de ondernemingsraden.
Dat de politieke partijen "bezorgd" zijn is dus niet genoeg.
Zou elk licht op groen zijn gezet, dan eind 2025, begin 2026 is het gedaan met DigiD in Nederlandse handen.
Deze transactie moet gewoon geblokkeerd worden.
Dit soort gegevens moet in handen van de staat blijven, op zich al bedenkelijk genoeg, maar toch.
Ze hebben plannen klaarliggen om plotseling hun servers fysiek of digitaal te verhuizen naar een andere aanbieder.
(Of tenminste, ik hoop dat ze die plannen hebben omdat ze die behoren te hebben...)
En als de overheid deze overstap niet kan maken, dan pas blokkeer je de overname...
Ze hebben plannen klaarliggen om plotseling hun servers fysiek of digitaal te verhuizen naar een andere aanbieder.
(Of tenminste, ik hoop dat ze die plannen hebben omdat ze die behoren te hebben...)
En als de overheid deze overstap niet kan maken, dan pas blokkeer je de overname...
Dat is net zoiets als in je woonkamer vuurwerk afsteken, doordat je een brandalarm hebt, water uit de kraan komt om brand te blussen als het fout gaat, en een communicatieplan naar je buren hebt. Soms is voorkomen beter dan genezen. En dit is bij uitstek zo'n voorbeeld, zeker gezien het huidige gedrag in Amerika. Het ICC zal ook vast prachtige uitwijkplannen hebben gehad voor hun data op Amerikaanse servers. Heeft niet veel geholpen.
Op papier werken die plannen vast heel goed. Ik heb ze ook gezien. Prachtige vuistdikke BCM- en uitwijkplannen. En toen ging het mis, en konden de servers niet eens binnen twee weken opgebouwd worden, want ja, het bleek allemaal toch wat complexer dan initieel voorzien.
Vergader echter vooral nog een paar maanden verder. We merken vanzelf wat er gebeurt wanneer we kritieke informatievoorzieningsdiensten van onze overheid buiten de deur zetten. We zagen hetzelfde bij corona en de afhankelijkheid die we decennialang hebben opgebouwd van het buitenland. Na corona: mooie plannen, ambitievolle vergezichten. Eindresultaat: nog steeds even ellendig als 10 jaar geleden, en de IC-patienten rollen we bij de eerste de beste pandemie nog naar Duitsland. Maar zet vooral alles buiten de deur, want we hebben een plan. Mike Tyson had daar een treffende uitspraak over.
Dat is helaas makkelijker gezegd dan gedaan natuurlijk maar ze moeten nu wel echt ergens gaan beginnen.
Al is het maar dat de kritische dingen in eerste aanleg weg worden gehaald bij de Big Tech.
Ze hebben plannen klaarliggen om plotseling hun servers fysiek of digitaal te verhuizen naar een andere aanbieder.
(Of tenminste, ik hoop dat ze die plannen hebben omdat ze die behoren te hebben...)
En als de overheid deze overstap niet kan maken, dan pas blokkeer je de overname...
Nee. Op grond van het voorzorgsprincipe blokkeer je als overheid (bijv. toezichthouder) eerst de overname, zodat de staat de tijd heeft om uit te zoeken of zij beschikt over tijdig uitvoerbare plannen om DigiD te verhuizen EN goed te laten functioneren op servers in Nederland.
Als dan blijkt dat dit gerealiseerd kan worden, maak je een tijdplan om die verhuizing te implementeren. Pas nadat de feitelijke implementatie heeft plaatsgevonden en succesvol is, geef je toestemming voor de overname.
Basisbeginselen van security, weet je wel?
M.J.
Toen hoorde je die politici nooit, maar nu de gemeenteraadsverkiezingen en opnieuw tweede kamerverkiezingen aankomen opeens wel. Blijft een vreemde gewaarwording.
Misschien wordt het tijd om "vriendschappen" te herzien...
Alleen de NSA?
Volgens mij is Wilders heimelijke bewonderaar van Trump. Met die Israelische electronische speeltjes. Waar Nederland in het verleden ook gretig zaken mee deed, dat dan weer wel.
(Russische software is vaak wat brakkig, alleen Tetris is echt goed, maar sinds het bestaan van privébezit ("servers") in de voormalig communistische gebiedsdelen, timmeren cybercriminelen ook aan de weg)
Basisbeginselen van security, weet je wel?
M.J.
Security-principe zegt inderdaad eerst blokkeren en dan pas kijken en ik hoop dat ze dat ook doen.
Maar Solvinity is een bedrijf in de privé sector en heeft in principe een aantal rechten.
De overheid kan dus niet zomaar dingen dwingen zonder goede reden.
(Maar natuurlijk mag de daadwerkelijke overname niet worden gestart voordat de overheid al hun servers heeft verplaatst...)
Basisbeginselen van security, weet je wel?
M.J.
Security-principe zegt inderdaad eerst blokkeren en dan pas kijken en ik hoop dat ze dat ook doen.
Maar Solvinity is een bedrijf in de privé sector en heeft in principe een aantal rechten.
De overheid kan dus niet zomaar dingen dwingen zonder goede reden.
(Maar natuurlijk mag de daadwerkelijke overname niet worden gestart voordat de overheid al hun servers heeft verplaatst...)
Als het gaat om de privacy van het overgrote deel van de Nederlandse burgers, denk ik dat het staatsraison zou moeten zijn om die overname gewoon te blokkeren en als overheid ook in te grijpen bij het bedrijf. Vergelijk het recente ingrijpen van de Nederlandse overheid bij Nexperia (waar gevreesd werd voor overheveling van assets naar China). Niks overeenkomst conform burgerlijk recht, maar simpelweg nationale soevereiniteit en het primaat van de politiek. De privacy van Nederlandse burgers bij hun communicatie met de Nederlandse overheid moet beschouwd worden als een onderdeel van onze nationale veiligheid.
Ik begrijp dat dit idee bij 99,99% van onze selectief slapende politici, ambtenaren en "volksvertegenwoordigers" nog nooit op was gekomen, omdat zij de Nederlandse overheid in de praktijk steeds stilzwijgend hebben beschouwd als iets wat niet of nauwelijks iets te maken heeft met (het belang en de veiligheid van) Nederlandse burgers.
Dan is het nu tijd om... tromgeroffel... wakker te worden!
M.J.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?