Klokkenluider bij Logius klaagt Nederland aan om DigiD uit handen VS te houden

In dit artikel:

Pieter van Oordt, centrale privacyofficer van Logius, heeft een kort geding aangespannen tegen de Nederlandse staat om de voorgenomen verkoop van DigiD-hoster Solvinity aan het Amerikaanse bedrijf Kyndryl te blokkeren. Uit een interne veiligheidsanalyse van Logius — die op 24 november aan het ministerie van Binnenlandse Zaken is voorgelegd maar niet met de Tweede Kamer gedeeld — zou blijken dat vrijwel alle DigiD-gegevens van Nederlanders na de overname binnen het bereik van Amerikaanse autoriteiten kunnen komen. De analyse waarschuwt dat technische en organisatorische maatregelen onvoldoende zijn om te voorkomen dat de leverancier bij persoonsgegevens komt of de beschikbaarheid van DigiD beïnvloedt.

Het gaat om zeer gevoelige informatie die via MijnOverheid beschikbaar is, zoals namen, geboortedata, woonplaatsen en inkomensgegevens. Van Oordt vreest dat de Amerikaanse rechtsorde Kyndryl dwingt om data af te geven of diensten stil te leggen, en zegt dat gesprekken met verantwoordelijke bewindslieden geen resultaat opleverden. Daarom zoekt hij publiekelijke steun en startte hij een crowdfundingsactie om zijn juridische kosten te dekken.

De regering houdt vol dat juridisch ingrijpen tegen de verkoop geen reële optie is. Markttoezichthouder ACM keurde de overname eind februari al goed; het Bureau Toetsing Investeringen onderzoekt ondertussen mogelijke gevolgen voor de nationale veiligheid en adviseert de minister. Een definitief besluit wordt binnenkort verwacht. Van Oordts actie plaatst digitale soevereiniteit en continuïteit van DigiD centraal in de discussie over buitenlandse overnames van kritieke IT-diensten.