Nieuws
image

CPO Logius waarschuwt voor Amerikaanse toegang tot data MijnOverheid

donderdag 16 april 2026, 14:26 door Redactie, 21 reacties

De Centrale Privacy Officer (CPO) van Logius waarschuwt dat de Amerikaanse overheid toegang tot de gegevens in MijnOverheid kan krijgen als de overname van Solvinity door het Amerikaanse Kyndryl doorgaat. Solvinity beheert sinds 2020 het IT-infrastructuurplatform voor DigiD, MijnOverheid en Digipoort in opdracht van Logius.

Pieter van Oordt, de CPO van Logius zegt, "Ik kan het niet simpeler zeggen: de VS kunnen DigiD voor langere tijd uitzetten en geheime informatieverzoeken uitvaardigen". Van Oordt heeft contact gezocht met de Volkskrant omdat er intern niet naar zijn waarschuwingen werd geluisterd.

Momenteel wordt de overname van Solvinity nog beoordeeld. Mocht de toezichthouder besluiten dat de overname schadelijk is, dan kan het een negatief advies uitbrengen aan de minister van Economische Zaken. Binnen de Tweede Kamer is er al langer onrust over de geplande overname en de gevolgen daarvan voor de privacy van Nederlandse staatsburgers. Van Oordt hoopt dat de overname wordt geblokkeerd en dat er gekozen wordt voor een alternatief plan.

Reacties (21)
Reageer met quote
Gisteren, 14:33 door Anoniem
Heb je daar een CPO voor nodig? Het KAN.
DUS het gebeurt. Moeilijker is het niet.
Reageer met quote
Gisteren, 14:37 door Anoniem
Deze IT zaken moeten helemaal niet bij een drede partij liggen. Dit moet inhuis door een overheid instantie zelf gehost worden. Dan wel een uitwijk in een ander Europees land. Maar lokaal door eigen IT-en security personeel.

het blijft van de zotte. De Minister kan ook het eea tegen houden als het om Nexperia gaat. Dan kan dit volgens mij in een handomdraai gedaan worden. Anders direct de overname doen en alle wat overbodig is weg halen en het belangrijke behouden.

De overheid is enorm laconiek óf naïef het is maar hoe je het bekijkt als het gaat om IT/Cyber Security.
Reageer met quote
Gisteren, 15:26 door Anoniem
We verkopen alles aan de Amerikanen. Van voedselproductie tot fietsenfabrieken tot digitale dienstverlening enz. Daar hangt een prijskaartje aan. We gaan de rekening nog een keer betalen.
Reageer met quote
Gisteren, 15:47 door Anoniem
Door Anoniem: Deze IT zaken moeten helemaal niet bij een drede partij liggen. Dit moet inhuis door een overheid instantie zelf gehost worden. Dan wel een uitwijk in een ander Europees land. Maar lokaal door eigen IT-en security personeel.

het blijft van de zotte. De Minister kan ook het eea tegen houden als het om Nexperia gaat. Dan kan dit volgens mij in een handomdraai gedaan worden. Anders direct de overname doen en alle wat overbodig is weg halen en het belangrijke behouden.

De overheid is enorm laconiek óf naïef het is maar hoe je het bekijkt als het gaat om IT/Cyber Security.

Nexperia was China.
Dit is hun grote vrind de VS.

Iets van met twee maten meten, en geen reet geven wat er met de data de burgers gebeurt.
Reageer met quote
Gisteren, 16:01 door Anoniem
Door Anoniem: Heb je daar een CPO voor nodig? Het KAN.
DUS het gebeurt. Moeilijker is het niet.

Precies dit. Alles dat misbruikt KAN worden, ZAL op een gegeven moment misbruikt worden, ongeacht de zalvende woorden van politici of de tegenpartij. Je ziet het in alles terug. Denk b.v. aan "AI mag niet zelfstandig besluiten nemen om mensen te doden". Uiteindelijk zal iemand in een leger zeggen "zoek het uit, dit gaat ons een voorsprong opleveren, AI gaat dat wel doen". Net zo met deze kritieke data: "nee, het mag niet, maar hé, we hebben de data en het komt nu wel HEEL goed uit om even in die informatie te grasduinen of om het als pressiemiddel te gebruiken, dus hupsakee, doen! Wie maakt ons wat? Dat kikkerlandje dat niets voorstelt?"

Zolang mensen met trots zeggen dat een complete civilisatie weggebombardeerd gaat worden denk ik dat we nog maar eens even heel goed moeten kijken wat we aan wie overhandigen. De naïviteit en de "ach, zo'n vaart zal het met een beetje geluk niet lopen" houding zijn schokkend.
Reageer met quote
Gisteren, 16:11 door Anoniem
Helaas weet deze meneer niet inhoudelijk hoe de voorzieningen werken: er wordt ingelogd met DigiD, dat het BSN terugl evert aan de organisatie waar ingelogd wordt (in dit geval MijnOverheid). MijnOverheid vraagt bevraagt op basis van het BSN de basisregisters om informatie te kunnen geven (bijvoorbeeld BRP). Voor aangesloten organisaties waar de informatie niet beschikbaar is via elektronische uitwisseling, wordt doorverwezen daar de website van die organisatie.

MijnOverheid slaat GEEN gegevens op...
Reageer met quote
Gisteren, 16:59 door Anoniem
Nederland wil nergens meer in-control over zijn. Triest
Reageer met quote
Gisteren, 17:34 door Anoniem
Door Anoniem: Helaas weet deze meneer niet inhoudelijk hoe de voorzieningen werken: er wordt ingelogd met DigiD, dat het BSN terugl evert aan de organisatie waar ingelogd wordt (in dit geval MijnOverheid). MijnOverheid vraagt bevraagt op basis van het BSN de basisregisters om informatie te kunnen geven (bijvoorbeeld BRP). Voor aangesloten organisaties waar de informatie niet beschikbaar is via elektronische uitwisseling, wordt doorverwezen daar de website van die organisatie.

MijnOverheid slaat GEEN gegevens op...
Dus er is minimaal een koppeling met een mailadres, en BSN..
En toegang tot andere data...

maar wacht Digid hoort ook bij de boedel dus er is wel meer mogelijk.

Beetje naive visie imho.
Reageer met quote
Gisteren, 17:41 door Anoniem
Door Anoniem: Helaas weet deze meneer niet inhoudelijk hoe de voorzieningen werken: ...

Lees nog even goed de quote van Pieter van Oordt:
"de VS kunnen DigiD voor langere tijd uitzetten en geheime informatieverzoeken uitvaardigen"
Hij zegt niet dat de VS directe toegang tot de data hebben.
Reageer met quote
Gisteren, 18:13 door Anoniem
Door Anoniem: Helaas weet deze meneer niet inhoudelijk hoe de voorzieningen werken: er wordt ingelogd met DigiD, dat het BSN terugl evert aan de organisatie waar ingelogd wordt (in dit geval MijnOverheid). MijnOverheid vraagt bevraagt op basis van het BSN de basisregisters om informatie te kunnen geven (bijvoorbeeld BRP). Voor aangesloten organisaties waar de informatie niet beschikbaar is via elektronische uitwisseling, wordt doorverwezen daar de website van die organisatie.

MijnOverheid slaat GEEN gegevens op...
Reken maar dat daar wel degelijk gegevens staan die privacygevoelig zijn. Zoals de Volkskrant aangeeft:
informatie over gezinssamenstelling, namen, leeftijd, adres, kenteken, toeslagen, belasting(schulden), studiebijdragen, bijzondere persoonsgegevens en meer.
En hoe denk je dat MijnOverheid weet welke gegevens ze moeten tonen als ze een BSN van DigiD krijgen? En hoe kan bijvoorbeeld een gemeente een bericht in jouw berichtenbox geplaatst krijgen zonder je BSN door te geven? Het BSN is het gegeven waarmee die koppelingen worden gelegd, het is de primaire sleutel voor de toegang. Natuurlijk heeft MijnOverheid dat ook.
Reageer met quote
Gisteren, 18:45 door Anoniem
De veiligheidsanalyse van Logius, waarvan de conclusie op 24 november werd gedeeld met het kerndepartement van Binnenlandse Zaken (BZK), waarschuwt expliciet voor de risico’s van de Amerikaanse overname. ‘Gezien de huidige architectuur is het platform technisch niet zodanig dicht te zetten dat de leverancier niet meer bij data/persoonsgegevens zou kunnen komen of de beschikbaarheid zou kunnen beïnvloeden.’ Ook extra mitigerende maatregelen hebben geen zin.

door Huib Modderkolk, 16 april 2026

https://www.volkskrant.nl/tech/privacy-adviseur-binnenlandse-zaken-overname-van-digid-bedreigt-veiligheid-van-nederland~b6be96c0/
Reageer met quote
Gisteren, 19:24 door Anoniem
Door Anoniem:
Door Anoniem: Helaas weet deze meneer niet inhoudelijk hoe de voorzieningen werken: ...

Lees nog even goed de quote van Pieter van Oordt:
"de VS kunnen DigiD voor langere tijd uitzetten en geheime informatieverzoeken uitvaardigen"
Hij zegt niet dat de VS directe toegang tot de data hebben.
Als je het authenticatie proces kan beïnvloeden kom je volgens mij overal binnen, dan maakt het niet uit waar de data zelf staat.
Reageer met quote
Gisteren, 20:50 door Anoniem
Door Anoniem: Helaas weet deze meneer niet inhoudelijk hoe de voorzieningen werken: er wordt ingelogd met DigiD, dat het BSN terugl evert aan de organisatie waar ingelogd wordt (in dit geval MijnOverheid). MijnOverheid vraagt bevraagt op basis van het BSN de basisregisters om informatie te kunnen geven (bijvoorbeeld BRP). Voor aangesloten organisaties waar de informatie niet beschikbaar is via elektronische uitwisseling, wordt doorverwezen daar de website van die organisatie.

MijnOverheid slaat GEEN gegevens op...
Volgens mij werk je bij de overheid, dus totaal geen visie betreffende de situatie.
Reageer met quote
Gisteren, 21:41 door Anoniem
Door Anoniem: Nederland wil nergens meer in-control over zijn. Triest
Misschien hebben ze de kennis niet meer. Ik sta er niet van te kijken als dat de werkelijke rede is want dat krijg je als je alles door andere laat regelen.
Reageer met quote
Vandaag, 08:02 door Drs Security en Privacy
MijnOverheid slaat niets op?
behalve alle berichten die in je inbox worden gezet en toegang tot alle registers op basis van je BSN nummer in de achtergrond.
De data is toegankelijk en het zal er dus sterk van afhangne in hoeverre de Amerikaanse overheid weet hoe ze de data kunnen krijgen, hoe de eisen aan de Amerikaanse eigenaar geformuleerd gaan worden.

En ja, de overheid heeft deels de kennis niet meer. Deels is het ook gewoon standaard beleid: als de markt het net zo goed of beter kan, gaat het over de muur.
Er staat nog veel meer bij Solvinity, zoals bijvoorbeeld het "beveiligde" communicatiesysteem van Veiligheid en Justitie.
Reageer met quote
Vandaag, 08:08 door Drs Security en Privacy
Ik vind het overigens van een zeer laag en achterbaks niveau de CPO van Logius af te zeiken hier.
De goede man steekt zijn nek uit vanuit de rol die hij heeft.
Het gaat niet om de technische details, maar om de waarschuwing.
Hij weet er meer vanaf dan de gehele 2e kamer samen.
Hij had het ook bij een intern stuk kunnen laten en daarna zich als nette ambtenaar het daarbij te laten. Daar heeft hij niet voor gekozen met alle eventuele gevolgen voor hemzelf en zijn positie.
En het enigste wat sommigen hier kunnen is janken over wat hij volgens hen niet weet of had behoren te weten. Terwijl nog maar de vraag is of de azijnpissers hier zelf wel weten hoe het echt werkt.

Wat mij nog meer opvalt is dat de CPO van Logius dit blijkbaar wel ziet en durft, maar waar is de FG van die organisatie?
Waar is de interne toezichthouder?
Als er eentje is die dit hard zou kunnen spelen, dan is het de FG wel en wel op basis van hoofdstuk vijf AVG.
Eventueel samen met het AP, waar de FG immers het interne verlengstuk van is.
Reageer met quote
Vandaag, 10:37 door Anoniem
Door Drs Security en Privacy: MijnOverheid slaat niets op?
behalve alle berichten die in je inbox worden gezet en toegang tot alle registers op basis van je BSN nummer in de achtergrond.
De data is toegankelijk en het zal er dus sterk van afhangne in hoeverre de Amerikaanse overheid weet hoe ze de data kunnen krijgen, hoe de eisen aan de Amerikaanse eigenaar geformuleerd gaan worden.

En ja, de overheid heeft deels de kennis niet meer. Deels is het ook gewoon standaard beleid: als de markt het net zo goed of beter kan, gaat het over de muur.
Er staat nog veel meer bij Solvinity, zoals bijvoorbeeld het "beveiligde" communicatiesysteem van Veiligheid en Justitie.

En ja, de overheid heeft deels de kennis niet meer. Deels is het ook gewoon standaard beleid: als de markt het net zo goed of beter kan, gaat het over de muur.
En daar gaat het dus fout, je zult, zeker, als overheid na moeten blijven denken over wat de eventuele consequenties zouden kunnen zijn want de markt op hun blauwe ogen geloven moet je zeker niet want die hebben maar 1 belang en dat is geld verdienen op welke wijze dan ook.

Overigens denk ik dat het probleem nog veel groter is want als je in Europa iets nieuws op poten wilt zetten heb je een groot probleem vanwege een slecht investeringsklimaat en een regelgeving die alles dwars zit dus komt er maar weinig nieuws van de grond, welke partijen hier schuld aan hebben laat ik maar in het midden maar het zijn wel de grootste graaiers.

Nederland en Europa, Europa wellicht iets minder maar daar kan ik me in vergissen, zijn al sinds jaar en dag verworden tot dozenschuivers en zijn ingedut qua innovaties.
Reageer met quote
Vandaag, 10:43 door Anoniem
Als Pieter slim is, doet hij een www.monsterboard.nl

Dit is toch niet meer te stoppen.
Reageer met quote
Vandaag, 12:02 door Anoniem
Door Drs Security en Privacy: Wat mij nog meer opvalt is dat de CPO van Logius dit blijkbaar wel ziet en durft, maar waar is de FG van die organisatie?
Waar is de interne toezichthouder?
Als er eentje is die dit hard zou kunnen spelen, dan is het de FG wel en wel op basis van hoofdstuk vijf AVG.
Eventueel samen met het AP, waar de FG immers het interne verlengstuk van is.
Even rondsnuffelend blijkt Logius in zijn privacyverklaring voor de FG een e-mailadres bij BZK te noemen en niet bij Logius zelf. Logius valt natuurlijk onder BZK, en dit suggereert dat ze geen eigen FG hebben maar dat die er voor het hele ministerie is. De FG zit dus op veel meer afstand dan deze CPO, en heeft wellicht veel minder IT-expertise dan iemand die bij Logius zelf werkt, het is goed mogelijk dat dat een jurist is, of een afdeling met primair juristen, bijvoorbeeld. Mensen met expertise op het ene vlak kunnen opmerkelijk ongevoelig zijn voor argumenten van mensen met expertise op het andere vlak. Dat gebeurt maar al te vaak over en weer, trouwens.

Het e-mailadres van de FG voor Logius staat hier: https://www.logius.nl/privacyverklaring
Reageer met quote
Vandaag, 13:19 door karma4 - Bijgewerkt: Vandaag, 13:22
Door Anoniem: Heb je daar een CPO voor nodig? Het KAN.
DUS het gebeurt. Moeilijker is het niet.
Die even vasthouden open source Linux is onder controle van de US het kan dat ze daarmee overal toegang mee kunnen krijgen. Het kan dus gebeurt het, moeiljker is het niet.

Hier gat een CPO erstig de fout in door zijn eigen gelijk te willen halen via de media. Daar kunnen enkel verliezers uit komen.
Ik verbaas me al tijden over de dwang dat alles een app moet zijn op de smartphone onder controle van Google / Apple

Door Drs Security en Privacy: ....
Wat mij nog meer opvalt is dat de CPO van Logius dit blijkbaar wel ziet en durft, maar waar is de FG van die organisatie?
Waar is de interne toezichthouder?
Als er eentje is die dit hard zou kunnen spelen, dan is het de FG wel en wel op basis van hoofdstuk vijf AVG.
Eventueel samen met het AP, waar de FG immers het interne verlengstuk van is.
L:ees wat beter de GDPR de FG CPO heeft een adviserende rol, hier gaat hij flink de fout in door een machtspositie in te willen nemen, dat heeft de GDPR nooit zo bedoeld, Dat de AVG op die manier misbruikt wordt geeft aan dat die nodig herzien moet worden.
Reageer met quote
Vandaag, 14:39 door Anoniem
Door karma4: Die even vasthouden open source Linux is onder controle van de US het kan dat ze daarmee overal toegang mee kunnen krijgen. Het kan dus gebeurt het, moeiljker is het niet.

Wat is je bron voor deze stelling?
Hoe controleer de US "open soure Linux" (en wat is dat exact in jouw ogen)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components