Logius versterkt beveiliging DigiD en kiest ADV-aanbesteding

vrijdag, 5 juni 2026 (15:09) - Techzine

In dit artikel:

Het kabinet verbood op 26 mei de voorgenomen overname van hostingbedrijf Solvinity door Kyndryl. Staatssecretaris Van der Burg (BZK) heeft de Tweede Kamer vervolgens geïnformeerd over aanvullende technische en organisatorische stappen voor het Logius-platform — met name voor de cruciale diensten DigiD en MijnOverheid — en over de keuze voor een specifieke aanbestedingsroute.

Een kwetsbaarhedenscan door de CISO van Logius eind 2025 identificeerde vier prioritaire maatregelen: extra versleuteling van persoonsgegevens in databases, versleuteling van loggegevens, versleuteling vóór opslag bij leveranciers en het onderbrengen van back-ups bij een ander overheidsdatacenter om continuïteit en herstel te waarborgen. DigiD had al drie van de vier maatregelen ingevoerd; voor aanvullende database-encryptie wordt uitvoering gepland. MijnOverheid zet alle vier maatregelen daadwerkelijk door. Voor overige Logius-voorzieningen worden de verbeteringen meegenomen in het reguliere doorontwikkeltraject, maar niet direct uitgevoerd.

Daarnaast wordt de beveiligingsmonitoring van het huidige Solvinity-platform versterkt: meer detectieregels en verplaatsing van de monitoring naar het eigen Security Operations Center van Logius, werkzaamheden die de komende maanden plaatsvinden. Het lopende contract met Solvinity is op 6 mei 2026 verlengd en kan maximaal doorlopen tot augustus 2028.

Voor de opvolgende aanbesteding kiest het kabinet de Aanbestedingswet Defensie en Veiligheid (ADV). Deze procedure biedt meer instrumenten om partijen uit te sluiten die uit landen komen waarvan nationale wetgeving het mogelijk maakt buitenlandse overheden toegang te geven tot data (denk aan voorbeelden zoals de Amerikaanse CLOUD Act). De Landsadvocaat is geraadpleegd; de ADV-procedure publiceert de gunning pas na toewijzing. De kwetsbaarhedenscan werd in april 2026 vertrouwelijk aan de Kamer gepresenteerd. Experts reageerden overwegend positief op het verbod, maar stelden vragen bij de verdere afhandeling. Van der Burg waarschuwt dat IT-ketens nooit volledig risicovrij zijn, maar dat de genomen en geplande maatregelen de geconstateerde risico’s aanzienlijk moeten verkleinen.

Achtergrond: Logius beheert voor de Nederlandse overheid diensten als DigiD (digitale identiteitsverificatie) en MijnOverheid (persoonlijke overheidsberichten), waardoor veiligheidszorgen rondom eigendom en toegang tot data politieke en operationele urgentie krijgen.