Van Marum: VS kan na overname Solvinity toegang tot gegevens krijgen
De Amerikaanse overheid kan na de overname van Solvinity toegang krijgen tot gegevens waarover het bedrijf beschikt, zo laat demissionair staatssecretaris Van Marum voor Digitalisering op Kamervragen weten. Solvinity maakte vorige maand bekend dat het door een Amerikaans bedrijf wordt overgenomen. De aangekondigde overname zorgde onder andere in de politiek voor de nodige ophef en leidde tot Kamervragen van verschillende partijen. Zo draait DigiD bij Solvinity. Experts waarschuwen dat straks gegevens van Nederlandse burgers in Amerikaanse handen kunnen komen.
GroenLinks-PvdA vroeg staatssecretaris Van Marum om opheldering. De bewindsman laat weten dat meerdere ministeries gebruikmaken van diensten van Solvinity, waaronder Binnenlandse Zaken, en dan specifiek DigiD-beheerder Logius, Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid, Volksgezondheid en Financiën. "Momenteel wordt geïnventariseerd of er kritieke processen afhankelijk zijn van de dienstverlening door Solvinity. Door deze inventarisatie wordt inzicht in het totale risicobeeld verkregen. Op basis hiervan kunnen afwegingen gemaakt worden ten aanzien van het handelingsperspectief", aldus Van Marum. Hij verwacht dat de inventarisatie nog dit jaar wordt afgerond.
"Levert Solvinity momenteel diensten gebaseerd op Amerikaanse Platformas-a-Service (PaaS) producten zoals Azure? Bestaat er in de huidige situatie al een mogelijk weglekken van overheidsinformatie naar Amerikaanse partijen?", wilde GroenLinks-PvdA-Kamerlid Kathmann weten. "Voor enkele departementen levert Solvinity toegang tot de genoemde PaaS-diensten op Microsoft Azure. Bij gebruik van dit soort cloud diensten is er vrijwel altijd een risico dat data mogelijk wordt opgevraagd door Amerikaanse autoriteiten", reageert Van Marum.
Kathmann had de staatssecretaris ook gevraagd welke gevolgen de overname van Solvinity heeft voor de vertrouwelijkheid en veiligheid van overheidsinformatie die bij het bedrijf worden ondergebracht, en het bedrijf vermoedelijk onder Amerikaanse wetgeving zoals de CLOUD Act (Clarifying Lawful Overseas Use of Data Act), de Foreign Intelligence Surveillance Act (FISA) en Executive Order 12333 komt te vallen.
"De drie genoemde wettelijke instrumenten maken het, in ieder geval in theorie, mogelijk dat autoriteiten in de VS onder de in deze wetgeving genoemde voorwaarden toegang kunnen krijgen tot de gegevens waarover een onderneming in de VS beschikt, óók wanneer de gegevens zich bevinden onder een dochtervennootschap en op servers buiten de VS", laat Van Marum daarop weten.
De staatssecretaris voegt toe dat als Solvinity door een Amerikaans bedrijf wordt overgenomen, deze wetten ook voor Solvinity gaan gelden. "Het gevolg daarvan kan, in ieder geval in theorie, zijn dat autoriteiten in de VS in voorkomend geval toegang krijgen tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt." Van Marum herhaalt ook, zoals hij op eerdere Kamervragen al had laten weten, dat er mogelijkheden zijn om contracten met Solvinity te ontbinden en er meerdere onderzoeken naar de overname lopen.
Verkoop blokkeren, de dienst zelf overnemen of overschakelen naar een andere dienstverlener.
Edward Snowden probeerde ons te waarschuwen voor deze "permanent record".
Meel in de mond van deze minister. ALLE processen van de rijksoverheid en ALLE processen waarbij persoonsgegevens van burgers zonder hun vrijwillige toestemming worden verwerkt, zijn "kritieke" processen. Voor de overheid of voor de burgers.
Gezien alle dwarsverbanden tussen het beleid van verschillende ministeries kun je geen scherp onderscheid maken tussen "kritieke" en "niet-kritieke" processen. Het valt niet te voorspellen waar het beleid van het ene ministerie het beleid van het andere ministerie gaat raken. Het valt ook niet te voorspellen welk beleid opeens politiek (internationaal) gevoelig kan worden. Een soeverein land waarborgt de data-soevereiniteit van alle overheidsprocessen.
Voorbeeldje. Een binnenlands proces zoals het vervolgen van een Nederlandse verdachte van drugshandel door het OM (openbaar ministerie), kan zomaar leiden tot het niet meer toelaten in de VS van de advocaten van die verdachte. Het niet toelaten van Nederlandse advocaten tot de VS gebeurde een jaar of zeven geleden al tijdens het eerste Trump-presidentschap, hoewel het nooit opgehelderd is waarom die advocaten niet werden toegelaten.
Speelgoed met een IoT-verbinding wordt ook niet als "kritiek" beschouwd. Maar als zo'n leuk speelgoedautootje van het zoontje van de minister van defensie doorrijdt naar pappa's of mamma's werkkamer en daar in een hoekje onder een kast gaat staan luisteren? Zo makkelijk makkelijk kan iets "kritiek" worden.
Als je zegt: "Het waarborgen van de cyberveiligheid van burgers is geen kritiek proces", dan laat je daarmee als minister of als regering zien dat je volledige minachting hebt voor de burgers waarvan je roept dat je die aan het "dienen" bent. Plus dat je dan ook laat zien dat je eigenlijk heel andere bazen dient.
Kortom, het maken van onderscheid tussen "kritieke" en "niet-kritieke" overheidsprocessen is in dit geval een smoes om geen verantwoordelijkheid te nemen voor de plicht van de overheid om de integriteit van haar eigen werkprocessen en het privé-leven van haar burgers te beschermen.
Als de overheid hun burgers oplegt om gebruik te maken van bijv. DigiD, zullen zij hun burgers moeten garanderen dat de privacy gewaarborgd wordt.
Partijen als SSC-ICT, Belastingdienst, ODC-Noord kunnen dergelijke diensten toch ook hosten? Leuk die marktwerking, maar de directie van Solvinity zal het echt aan hun derriere oxideren waar burgerdata terecht komt.
Kan je als overheid niet garanderen dat de data van haar burgers in Nederland staat, leeft, bewaard en vernietigd wordt, dan moet je de burger een alternatief bieden.
Kortom; laat die verkoop van Solvinity doorgaan maar trek per direct de stekker uit deze overeenkomsten en plaats het bij de Belastingdienst!
De werkelijkheid is dat de Lage Landen worden uitverkocht en door de Verenigde Staten digitaal worden gekoloniseerd.
Ik word hier gewoon niet goed van!
Nogmaals: versleutelde data die ten hoogste het BSN bevat. Wat wil en/of kan je er mee, als het al ontsleuteld kan worden. Disruptie van dienstverlening is een veel grote probleem, waarbij DigiD door één druk op de knop niet meer te gebruiken is.
Met andere woorden:
Mocht een stel onderzeese glasvezels stuk gaan, of als Trump ons niet welgezind is, dan hebben we geen DigiD meer.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?