Nederland kan niet-EU-bedrijven uitsluiten als toekomstige DigiD-hoster

In dit artikel:

De Nederlandse overheid kan bij de aanbesteding voor de opvolger van DigiD-hoster Solvinity partijen uitsluiten die niet in een EU-lidstaat zijn gevestigd. Dat schrijft staatssecretaris Eric van der Burg aan de Tweede Kamer. Het huidige contract met Solvinity loopt af in augustus 2028; eerder dit jaar werd het al met twee jaar verlengd. Vorig jaar had het Amerikaanse Kyndryl een overname van Solvinity aangekondigd, maar die voorgenomen transactie werd vorige maand door de overheid tegengehouden uit zorgen voor het publieke belang en mogelijke risico’s op toegang tot DigiD.

DigiD, beheerd door overheidsorganisatie Logius, wordt door Solvinity gehost. De aanbesteding voor een nieuwe host verloopt via de Aanbestedingswet Defensie en Veiligheid (ADV), die extra mogelijkheden biedt om nationale veiligheidsrisico’s te beperken — waaronder het uitsluiten van niet-EU-aanbieders. Solvinity zelf is in handen van een Britse investeringsmaatschappij en valt daarmee niet onder EU-locatie.

Daarnaast neemt de overheid technische maatregelen na een niet-openbare kwetsbaarheidsscan: sterkere versleuteling van persoonsgegevens in DigiD en MijnOverheid, extra back-ups bij een ander overheidsdatacenter en uitgebreidere monitoring met meer detectieregels. Logius bereidt de aanbesteding voor; de Kamer wordt opnieuw geïnformeerd zodra de opdracht is toegewezen.