Kabinet kan niet uitsluiten dat gegevens uitgewisseld via Zivver in VS terechtkomen
Het demissionaire kabinet kan niet uitsluiten dat via Zivver uitgewisselde gegevens in de Verenigde Staten terechtkomen, zo laat demissionair staatssecretaris Van Marum voor Digitalisering weten. De bewindsman reageerde op Kamervragen over de overname van de Nederlandse databeveiliger door het Amerikaanse bedrijf Kiteworks. Aanleiding voor de vragen van GroenLinks-PvdA is een artikel van Follow the Money waarin wordt gesteld dat door de overname gevoelige informatie over Nederlandse burgers in handen van Kiteworks komt.
Kamerlid Kathmann wilde weten of kan worden uitgesloten dat gegevens die uitgewisseld worden via Zivver in de Verenigde Staten of Israël terechtkomen. "Het kabinet heeft op dit moment geen aanwijzingen dat gegevens in strijd met het gegevensbeschermingsrecht in handen van de overheid in de VS of Israël terechtkomen, maar kan het ook niet met volledige zekerheid uitsluiten", reageert Van Marum.
Zivver wordt veel in de zorg gebruikt, maar ook verschillende overheidsorganisaties wisselen via de dienst informatie uit. De staatssecretaris merkt op dat door de overname Amerikaanse wetgeving, zoals de CloudAct, ook van toepassing kan zijn op de diensten van Zivver. "Verwerkingsverantwoordelijke departementen moeten dit gewijzigde stelsel betrekken in hun risicoafweging bij het gebruik van Zivver", voegt de bewindsman toe.
Kathmann wilde ook weten of het blijven gebruiken van Zivver, nu het in handen van een Amerikaans bedrijf is gekomen, bijdraagt aan de cyberveiligheid en autonomie van Nederland. "Een dergelijke verandering maakt het wenselijk om risico’s opnieuw te beoordelen in de context van het concrete gebruik, de aard van gegevens die worden uitgewisseld, de getroffen beveiligingsmaatregelen, en de specifieke geldende contractuele (juridische) en technische waarborgen", reageert Van Marum.
De staatssecretaris kreeg ook de vraag of het mogelijk is om op korte termijn de diensten van Zivver in te wisselen voor een eigen alternatief. "Binnen de rijksoverheid maken verschillende departementen reeds gebruik van andere oplossingen voor het veilig uitwisselen van bestanden en berichten", luidt het antwoord. Van Marum voegt toe dat er momenteel vanuit de Nederlandse Digitaliseringsstrategie een verkenning loopt naar het opzetten van een overheidsbrede soevereine cloud, waarin mogelijk ook vertrouwelijke gegevensuitwisseling kan gaan plaatsvinden.
Was kennelijk een goede beslissing.
We moeten ook als particulieren onze bijdrage leveren en stoppen met Amerikaanse software.
1. Klassieke soevereiniteit
Het koningschap (later de staat) legitimeerde zichzelf door bescherming.
Bescherming tegen buitenlandse machten, roof, invloed, rechtspraak van buitenaf.
Jurisdictie en geweldsmonopolie waren exclusief nationaal.
2. Moderne equivalent: data en communicatie
Gegevens zijn nu wat land, mensen en belastinginkomsten ooit waren.
Wie toegang heeft tot data, heeft macht: politiek, economisch, juridisch.
CloudAct is géén technisch detail maar een extraterritoriale machtsclaim.
3. Wat het kabinet feitelijk zegt
“We kunnen het niet uitsluiten” = verlies van controle.
Dat is een impliciete erkenning dat Nederlandse rechtsbescherming niet sluitend is.
De verantwoordelijkheid wordt doorgeschoven naar “verwerkingsverantwoordelijken”.
-> Fragmentatie van soevereiniteit.
4. Breuk met het oude beschermingsmodel
Vroeger: centrale macht beschermt collectief.
Nu: individuele organisaties moeten zelf risico’s afwegen tegen buitenlandse wetgeving.
Dat is geen soeverein bestuur, dat is risicodelegatie.
5. Zivver is hier slechts een casus
Het probleem is niet Zivver.
Het probleem is afhankelijkheid van infrastructuur buiten eigen rechtsmacht.
Nationaliteit van eigendom > locatie van servers > juridische afdwingbaarheid.
6. De “soevereine cloud” verkenning
Dit is een late correctie op een structurele fout.
Soevereiniteit achteraf herstellen is altijd duurder en politiek zwakker.
Zonder harde uitsluiting van extraterritoriale claims is het symbolisch.
Conclusie
Wat het koningshuis ooit deed met muren en legers, zou de staat nu moeten doen met:
infrastructuur
cryptografie
eigendom
jurisdictie
Als de staat zegt “we kunnen het niet uitsluiten”, dan erkent hij feitelijk dat hij die rol niet meer volledig vervult. Dat is geen technisch falen, maar een soevereiniteitsvraag.
1. Klassieke soevereiniteit
Het koningschap (later de staat) legitimeerde zichzelf door bescherming.
Bescherming tegen buitenlandse machten, roof, invloed, rechtspraak van buitenaf.
Jurisdictie en geweldsmonopolie waren exclusief nationaal.
2. Moderne equivalent: data en communicatie
Gegevens zijn nu wat land, mensen en belastinginkomsten ooit waren.
Wie toegang heeft tot data, heeft macht: politiek, economisch, juridisch.
CloudAct is géén technisch detail maar een extraterritoriale machtsclaim.
3. Wat het kabinet feitelijk zegt
“We kunnen het niet uitsluiten” = verlies van controle.
Dat is een impliciete erkenning dat Nederlandse rechtsbescherming niet sluitend is.
De verantwoordelijkheid wordt doorgeschoven naar “verwerkingsverantwoordelijken”.
-> Fragmentatie van soevereiniteit.
4. Breuk met het oude beschermingsmodel
Vroeger: centrale macht beschermt collectief.
Nu: individuele organisaties moeten zelf risico’s afwegen tegen buitenlandse wetgeving.
Dat is geen soeverein bestuur, dat is risicodelegatie.
5. Zivver is hier slechts een casus
Het probleem is niet Zivver.
Het probleem is afhankelijkheid van infrastructuur buiten eigen rechtsmacht.
Nationaliteit van eigendom > locatie van servers > juridische afdwingbaarheid.
6. De “soevereine cloud” verkenning
Dit is een late correctie op een structurele fout.
Soevereiniteit achteraf herstellen is altijd duurder en politiek zwakker.
Zonder harde uitsluiting van extraterritoriale claims is het symbolisch.
Conclusie
Wat het koningshuis ooit deed met muren en legers, zou de staat nu moeten doen met:
infrastructuur
cryptografie
eigendom
jurisdictie
Als de staat zegt “we kunnen het niet uitsluiten”, dan erkent hij feitelijk dat hij die rol niet meer volledig vervult. Dat is geen technisch falen, maar een soevereiniteitsvraag.
Tja, het invoeren/doordrammen van een ideologie (welke ideology dan ook) zonder serieus te kijken naar de echte gevolgen zal altijd tot dit leiden. Want we volgen toch allemaal de ideolgie, hebben we onze handtekening onder gezet. Dus wat kan er fout gaan. Jammer dan, niet alle mensen zijn gelijk.
Kijk eens naar Aruba en Curacao nu.. hoe kan de soeverein van het Koninkrijk dat accepteren!?
1. Klassieke soevereiniteit
Het koningschap (later de staat) legitimeerde zichzelf door bescherming.
Bescherming tegen buitenlandse machten, roof, invloed, rechtspraak van buitenaf.
Jurisdictie en geweldsmonopolie waren exclusief nationaal.
2. Moderne equivalent: data en communicatie
Gegevens zijn nu wat land, mensen en belastinginkomsten ooit waren.
Wie toegang heeft tot data, heeft macht: politiek, economisch, juridisch.
CloudAct is géén technisch detail maar een extraterritoriale machtsclaim.
3. Wat het kabinet feitelijk zegt
“We kunnen het niet uitsluiten” = verlies van controle.
Dat is een impliciete erkenning dat Nederlandse rechtsbescherming niet sluitend is.
De verantwoordelijkheid wordt doorgeschoven naar “verwerkingsverantwoordelijken”.
-> Fragmentatie van soevereiniteit.
4. Breuk met het oude beschermingsmodel
Vroeger: centrale macht beschermt collectief.
Nu: individuele organisaties moeten zelf risico’s afwegen tegen buitenlandse wetgeving.
Dat is geen soeverein bestuur, dat is risicodelegatie.
5. Zivver is hier slechts een casus
Het probleem is niet Zivver.
Het probleem is afhankelijkheid van infrastructuur buiten eigen rechtsmacht.
Nationaliteit van eigendom > locatie van servers > juridische afdwingbaarheid.
6. De “soevereine cloud” verkenning
Dit is een late correctie op een structurele fout.
Soevereiniteit achteraf herstellen is altijd duurder en politiek zwakker.
Zonder harde uitsluiting van extraterritoriale claims is het symbolisch.
Conclusie
Wat het koningshuis ooit deed met muren en legers, zou de staat nu moeten doen met:
infrastructuur
cryptografie
eigendom
jurisdictie
Als de staat zegt “we kunnen het niet uitsluiten”, dan erkent hij feitelijk dat hij die rol niet meer volledig vervult. Dat is geen technisch falen, maar een soevereiniteitsvraag.
Tja, het invoeren/doordrammen van een ideologie (welke ideology dan ook) zonder serieus te kijken naar de echte gevolgen zal altijd tot dit leiden. Want we volgen toch allemaal de ideolgie, hebben we onze handtekening onder gezet. Dus wat kan er fout gaan. Jammer dan, niet alle mensen zijn gelijk.
Wanneer heb joj precies jouw handtekening eronder gezet? Toen je werd geboren? Toen je 18 werd? Ik weet het niet meer.
Voor de leuke (woord)spelletjes, elkaar afkatten, aandeelhouders / directies van grootbedrijven ondersteunen en versterken?
Of zijn het afgevaardigden die namens alle nederlanders het "algemeen belang" zo goed mogelijk behartigen.
Uitverkoop van onze souvereiniteit zou wel het laatste op het lijstje moeten zijn.
Zijn alle contracten met zivver al opgezegd, verbod op gebruik door overheden ingesteld met 1 jan als ingangs datum?
Of wordt het weer een gevalletje "gaat u maar rustig slapen" van Colijn?
Waarschijnlijk gaat het nu anders geformuleerd worden, worden de risico's lager ingeschat, zodat zivver amerikaans kan worden, want geen alternatief beschikbaar, het integreert zo goed, en we zijn er al zo aan gewend. Ja dat klinkt bekend, en Kiteworks kan zomaar door google of microsoft overgenomen worden natuurlijk, dat is alleen nog een kwestie van tijd nu.
Hopelijk verliest ze de moed niet en blijft ze zich hier tegen verzetten. De vele voorkeurstemmen die ze bij de laatste verkiezingen kreeg laten wel zien hoe dat gewaardeerd wordt.
https://ibestuur.nl/digitalisering-en-democratie/politiek-en-beleid/barbara-kathmann-keert-dankzij-voorkeurstemmen-terug-in-de
Zivver is een volledig overbodige oplossing. In de zorg is men al jaren bezig om van dit soort extreme bureaucratie af te komen. Het probleem is alleen dat de wetgeving (NTA 7516) letterlijk is geschreven door commerciële partijen zoals Zivver en dit is letterlijk zo gefaciliteerd door VWS. Het is een puur zelf gecreëerd probleem dat prima opgelost zou kunnen worden met open standaarden en de juiste instellingen van je eigen e-mail omgeving.
Zal mij niets verbazen dat er straks opeens zorgaanbieders worden overgenomen, zorgverzekeraars en dan Nederlanders met de ballen op het blok worden gezet.
Zal mij niets verbazen dat er straks opeens zorgaanbieders worden overgenomen, zorgverzekeraars en dan Nederlanders met de ballen op het blok worden gezet.
Ze weten 100% zeker dat ze bij onze data kunnen en deze ook zullen harvesten. Alle historische data hebben ze zowieso al opgeslagen maar het is makkelijker als alle mutaties ook direct doorgsluist worden.
Dat wordt alleen een lastig verhaal om te vertellen door de ministe
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?