De overheid heeft nadat de Amerikaanse overnameplannen van Solvinity bekend werden een kwetsbaarhedenscan uitgevoerd en besloten de versleuteling van DigiD uit te breiden. Ook wordt de monitoring van het Solvinity-platform uitgebreid. Dat schrijft staatssecretaris Van der Burg van Binnenlandse Zaken in een brief aan de Tweede Kamer. Toen Solvinity eind vorig jaar aan Logius bekendmaakte dat het Amerikaanse Kyndryl het bedrijf wilde overnamen, liet Logius een kwetsbaarhedenscan uitvoeren.

DigiD draait op servers van Solvinity, alsmede de dienst MijnOverheid. Ook het beveiligde communicatiesysteem van het ministerie van Justitie en Veiligheid draait er. Logius is de overheidsinstantie die DigiD en MijnOverheid ontwikkelt en beheert. Op basis van de uitgevoerde scan is onder andere besloten om de versleuteling van DigiD uit te breiden. Het gaat dan om aanvullende versleuteling van persoonsgegevens in de DigiD-database, aanvullende versleuteling van persoonsgegevens in de logging en aanvullende versleuteling van persoonsgegevens vóór opslag op de storage van Solvinity.

Tevens werd besloten om back-ups te maken bij een ander overheidsdatacenter als vangnet voor continuïteit en herstelbaarheid. De werkzaamheden voor het doorvoeren van extra versleuteling van de database worden nu voorbereid en ingepland. De overige maatregelen zijn al door DigiD doorgevoerd. Daarnaast wordt ook de monitoring van het Solvinity-platform uitgebreid. Dit zal worden gedaan door het aantal detectieregels verder uit te bereiden en de monitoring daarvan onder te brengen bij het Logius Security Operations Center (SOC). Deze werkzaamheden staan voor de komende maanden gepland.

Aanbestedingen

Onlangs besloot het kabinet om de beoogde Amerikaanse overname van Solvinity te verbieden. Daarnaast werd de huidige DigiD-beheerovereenkomst met Solvinity verlengd tot augustus 2028. Voor toekomstige aanbestedingen zal de Aanbestedingswet Defensie en Veiligheid (ADV) worden toegepast. "Die biedt meer mogelijkheden dan een reguliere Europese Aanbesteding om risico’s voor de nationale veiligheid te beperken, zoals het uitzonderen van partijen afkomstig uit landen met lokale wetgeving die het mogelijk maakt data van Nederlandse burgers op te vragen", aldus de staatssecretaris. Die voegt toe dat Logius op dit moment de voorbereidingen treft voor het uitvoeren van de aanbesteding.

"Logius, en DigiD, zijn een belangrijk deel van onze digitale dienstverlening. Zo wordt DigiD inmiddels door meer dan 16,5 miljoen mensen gebruikt. Het is goed om grip te hebben op de systemen waar Nederlanders dagelijks mee te maken hebben", laat staatssecretaris van der Burg in een persbericht weten. Daarin staat ook dat de Tweede Kamer bij het toekennen van de aanbesteding opnieuw zal worden geïnformeerd.