Wanneer het DigiD-beheer dat Solvinity levert wordt ondergebracht bij een andere partij is er zes tot twaalf maanden nodig voor de overdracht, zo stelt staatssecretaris Van der Burg van Binnenlandse Zaken. De bewindsman reageerde op Kamervragen van JA21 over de veiligheidsrisico’s, juridische reikwijdte en afhankelijkheden rond DigiD, Solvinity en Kyndryl. Onlangs besloot staatssecretaris Aerdts voor Digitale Economie om de beoogde overname van Solvinity door het Amerikaanse Kyndryl te verbieden.

Volgens Van der Burg kunnen ondernemingen die onder de Amerikaanse rechtsmacht vallen op grond van de CLOUD Act worden verplicht om gegevens te verstrekken, ook wanneer deze gegevens zich (op servers) buiten de Verenigde Staten bevinden. "Daarbij is bepalend of de onderneming “possession, custody or control” heeft over de gegevens. Het gaat hierbij onder meer om aanbieders van elektronische communicatie- en clouddiensten", legt de staatssecretaris uit.

Van der Burg merkt op dat Kyndryl Inc. als Amerikaanse onderneming binnen het bereik van deze en andere Amerikaanse wetten valt. "Kyndryl’s US zeggenschap over haar buitenlandse dochters, Kyndryl Nederland B.V. en eventueel overgenomen partijen, heeft tot gevolg dat deze ook binnen het bereik vallen van de bovengenoemde wetten."

Toegang gegevens DigiD-gebruikers

JA21-Kamerlid Van den Berg wilde ook van de staatssecretaris weten hoe de stelling zich verhoudt dat Solvinity in beginsel geen toegang heeft tot burgerservicenummer, adres en telefoonnummer van DigiD-gebruikers tot de eerdere kabinetsuitspraak dat Amerikaanse autoriteiten 'in theorie' toegang kunnen krijgen tot gegevens die door Solvinity in opdracht van de Staat worden verwerkt.

Van der Burg antwoordt dat medewerkers van Solvinity bij het uitvoeren van reguliere beheerwerkzaamheden geen toegang tot de database hebben waarin gegevens van burgers en gegevens over waar burgers inloggen staan opgeslagen. "Dit sluit niet uit dat medewerkers toegang kunnen krijgen tot deze databases. Het zal hierbij dan gaan om (on)geautoriseerde toegang. Mogelijk is daarmee de medewerker strafbaar", voegt de bewindsman toe.

Alternatief

Van den Berg vroeg ook hoe het staat gesteld met Nederlandse of Europese alternatieven. "Het kabinet is van mening dat er momenteel wel gelijkwaardige technologieën zijn van Nederlandse en Europese aanbieders", reageert de staatssecretaris. Die wijst naar onderzoek van de ACM dat na een eventuele overname van Solvinity voldoende concurrentie over zou blijven. Wel kan volgens Van der Burg het versneld onderbrengen van de dienstverlening van Solvinity bij een andere partij leiden tot risico’s.

In het geval van Logius geldt volgens de staatssecretaris een overdrachtsperiode van zes tot twaalf maanden wanneer het DigiD-beheer dat Solvinity levert wordt ondergebracht bij een andere beheerorganisatie. "Deze periode is nodig om een andere beheerorganisatie kennis en ervaring te laten opdoen met het beheer van het platform om zo de continuïteit en veiligheid van DigiD en andere voorzieningen te garanderen." Een dergelijke overdrachtsperiode kan echter pas ingaan wanneer er een nieuwe partij is geworven. Onlangs besloot het kabinet om het contract voor het DigiD-beheer door Solvinity met twee jaar te verlengen.