Afhankelijk ICT Een technische briefing voor Tweede Kamerleden over de mogelijke overname van Solvinity, het bedrijf dat de ict voor DigiD beheert, werkte niet geruststellend voor Kamerleden.
Solvinity, dat DigiD beheert, wordt mogelijk overgenomen door een Amerikaans bedrijf. Een deel van de Kamerleden hoopt dat er Nederlandse of Europese eigenaren komen.
De overname van het bedrijf dat onder meer DigiD beheert, Solvinity, door een veel grotere Amerikaanse branchegenoot heeft de ambtenaren die de ict voor de ministeries regelen flink doen schrikken. Ze proberen op allerlei manieren garanties in te bouwen, om te voorkomen dat die overname het nationale inlogsysteem kwetsbaar maakt. Dat bleek woensdag tijdens een technische briefing voor de Tweede Kamer over de geplande overname door het Amerikaanse Kyndryl.
De betrokken directeuren van verschillende ministeries en diensten zeiden bijvoorbeeld dat „meerdere overheidsorganisaties worden geraakt door deze overname.” Dat DigiD „een van de meest kritieke digitale voorzieningen is” en dat het klopt dat Solvinity hierdoor straks onder Amerikaanse wetten valt die ertoe kunnen leiden dat de Amerikaanse overheid toegang eist. Tot die conclusie is de landsadvocaat ook gekomen.
Of de overname definitief doorgaat is nog niet duidelijk. De minister van Economische Zaken krijgt daarover een zwaarwegend advies van het Bureau Toetsing Investeringen, dat onder meer moet beoordelen of de nationale veiligheid ermee in gevaar komt. Ook de Autoriteit Consument & Markt is gevraagd ernaar te kijken, hoewel de zorgen niet over mededinging gaan. Het is onbekend wanneer beide onafhankelijke toezichthouders met hun conclusies komen. Een deel van de Kamerleden liet duidelijk blijken te hopen dat de overname wordt tegengehouden en Solvinity in plaats daarvan Nederlandse of Europese eigenaren krijgt.
Tijdens de technische briefing bleek dat er geen eenvoudige uitwegen zijn. Het contract van het ministerie van Binnenlandse Zaken met Solvinity loopt tot augustus 2028. In theorie zou het kunnen worden ontbonden, maar dan moet het ministerie DigiD zelf gaan beheren en dat kan het niet op korte termijn. Bovendien kan het verhuizen van ict-diensten ook voor kwetsbaarheden zorgen. Het ministerie werkt wel aan een nieuwe aanbesteding op korte termijn, die ervoor moet zorgen dat het contract niet automatisch met twee jaar wordt verlengd. Algemeen werd meerdere keren benadrukt dat er naar wordt gestreefd dat „de overheid stap voor stap meer grip krijgt op haar digitale fundament.”
In de tussenliggende periode wordt al wel druk onderhandeld met Solvinity en Kyndryl over technische en juridische maatregelen om DigiD veilig te houden. Ook het ministerie van Justitie praat met de bedrijven: voor de justitieketen worden zo’n 150 verschillende applicaties door Solvinity verzorgd. Over die onderhandelingen werden weinig details gegeven. „We zijn het over 70 tot 80 procent inmiddels eens en hopen er spoedig uit te zijn”, zei Hilly Buyne, het hoofd van de speciaal voor de gesprekken ingestelde interdepartementale taskforce. Toen Kamerleden doorvroegen over het gedeelte waar geen overeenstemming over is, werd de briefing achter gesloten deuren voortgezet.
Het komt niet vaak voor dat de Tweede Kamer naar aanleiding van de overname van een relatief kleine Nederlandse ict-speler een technische briefing krijgt, die ook nog eens deels vertrouwelijk is. In Nederland horen bedrijfsovernames bij de vrijheid voor ondernemers. Volgens de VVD speelt er echter een groter belang, namelijk de nationale veiligheid. VVD-Kamerlid Silvio Erkens: „Het gaat niet om een transactiesysteem maar om een publieke dienst, met alle informatie van Nederlanders. Álles staat erop, waardoor we ons genoodzaakt zien om tegen de overname te zijn.”
Dat opeens iedereen de bedrijfsnaam Solvinity lijkt te kennen, laat zien hoe snel de liefde voor de Verenigde Staten is omgeslagen in angst nu president Donald Trump er aan de macht is. En hoe snel het besef is gegroeid dat Nederland ongezond afhankelijk is van diensten van Amerikaanse techbedrijven. Dat geldt met name voor Nederlandse landelijke en lokale overheden en hun afhankelijkheid van Microsoft. Maar ook voor zelfstandige bestuursorganen en tal van diensten. De nationale inlog-applicatie DigiD is in die context uitgegroeid tot symbool van de kwetsbaarheid.
„De voorgenomen overname vindt plaats in een veranderende wereld”, zei Bert Voorbraak, directeur van ict-beheerorganisatie Logius die namens de overheid het contract met Solvinity beheert. En: „de gemaakte risicoafweging in het verleden is soms misschien aan herziening toe.”
DigiD is vooral een manier om in te loggen bij onder meer overheden en bij overheidsdiensten, zoals de Belastingdienst en uitkeringsinstanties Sociale Verzekeringsbank (SVB) en UWV. Over de digitale kwetsbaarheid van dat soort instanties is ook debat. De Belastingdienst nam afgelopen jaar het besluit om de migratie van systemen naar de Microsoft-cloud door te zetten. Het zag geen goede alternatieven voor die stap, stond in de toelichting voor de Tweede Kamer, die had opgeroepen dit soort ‘migraties’ juist voorlopig te pauzeren.
Het UWV heeft al langer haar systemen en gegevens op door Amerikanen beheerde servers staan. Deze week kwam ook de SVB onder vuur te liggen. Aanleiding was een blogpost van techexpert Bert Hubert, die op basis van vertrouwelijke informatie voorspelt dat de SVB de komende tijd veel afhankelijker wordt van Microsoft-cloud Azure.
De SVB verwerkt als partij die onder meer de AOW en de kinderbijslag overmaakt, miljoenen persoonsgegevens van Nederlanders. De aanbesteding is „vergevorderd, maar nog niet afgerond”, zegt een woordvoerder. Het is dus nog niet bekend welke partij daaruit rolt. Barbara Kathmann van GroenLinks/PvdA is er bij voorbaat bezorgd over. Ze vindt de mogelijke verdere afhankelijkheid van de SVB van een groot Amerikaans techbedrijf ‘de hoogste categorie van erg’, net zoals de verkoop van Solvinity.
Na het debat bleken de zorgen bij bepaalde Kamerleden over de overname van Solvinity niet kleiner te zijn geworden, maar groter. Zo ook bij de VVD. Silvio Erkens: „Dat ze zoveel mitigerende acties van plan zijn te nemen, zegt iets over de ernst van de situatie. Die zouden ze niet nemen als er geen risico aan zit.” Ook voor het CDA zijn de zorgen groter geworden, aldus Kamerlid Jantine Zwinkels. „Er werd hier duidelijk gemaakt dat de overname ruimte geeft aan Amerika om gegevens in te zien. We moeten daarin niet naïef zijn en afhankelijkheden afbouwen.” Ook Groenlinks-PvdA is niet gerustgesteld. Barbara Kathmann: „Onze wetgeving is niet klaar voor deze geopolitieke ontwikkelingen. We moeten aan de bak.”
Terugblikken, extra analyses en leestips bij de laatste uitzending van de podcast Wereldzaken.
Source: NRC