Het ministerie van BZK heeft al op 27 maart jongstleden besloten dat Logius zijn contract met Solvinity mag verlengen met twee jaar. De ondertekening van deze verlenging vindt begin volgende maand plaats. Zo antwoordt staatssecretaris Eric van der Burg (BZK) op vragen van het JA21-kamerlid Daniël van den Berg.
Aanleiding tot deze vragen was het artikel in de Volkskrant van 16 april 2026 ‘Privacy-adviseur Binnenlandse Zaken: overname van DigiD bedreigt veiligheid van Nederland’. Opmerkelijk is dat afgelopen 21 april een overgrote meerderheid van de Tweede Kamer een dringend beroep op de regering deed om af te zien van verlenging van het DigiD-contract met Solvinity. Deze Nederlandse it-dienstverlener dreigt namelijk in Amerikaanse handen van Kyndryl te vallen. Vandaag stuurde staatssecretaris Van der Burg, vlak voor het mei-reces, aan het einde van de dag de Kamer een brief waarin staat dat het besluit tot verlenging al eind maart vaststond.
Volgens de staatssecretaris is het niet mogelijk om voor augustus aanstaande over te stappen naar een andere partij, zonder dat hierbij de continuïteit en veiligheid van de dienstverlening van Logius in gevaar komt. Een dergelijk traject is langdurig en vraagt een overdracht en een zorgvuldige voorbereiding en uitvoering voor de ondersteuning van het DigiD-platform.
Non-actief
Tech-expert Bert Hubert zei eerder dat verhuizing van DigiD binnen een half jaar valt te regelen. Dit betekent dat als Logius in januari was begonnen met de voorbereiding van de migratie, een overstap mogelijk was geweest. Van den Burg laat weten dat Logius al wel werkt aan een nieuwe aanbesteding. Momenteel wordt uitgewerkt onder welke voorwaarden Logius zijn it-fundament zo snel mogelijk opnieuw kan gaan aanbesteden. In juni volgt hier meer informatie over.
JA21 stelde ook nog meerdere vragen over de positie van Pieter van Oordt, de chief privacy officer van Logius die waarschuwde voor de overname van DigiD. Bert Voorbraak, algemeen directeur Logius, zat bepaald niet op die adviezen te wachten. Van Oordt werd binnen de dienst monddood gemaakt. Van den Burg gaat niet op dit individuele geval in en antwoordt in zeer algemene termen. Wel is Van Oordt met bijzonder verlof gestuurd. Logius heeft zijn toegangspas voor zijn werk geblokkeerd.
Wat een suggestieve titel. Alsof er ‘bekokstoofd’ wordt om de boel expres om de tuin te leiden. Contractverlengingen worden gewoon maandelijks van te voren besproken. Dat is vaste prik.
Wat me in het bijzonder opvalt: Als je als Tech Expert te boek staat, weet je toch dat een complex systeem als DigiD niet even in 4 maandjes te verhuizen valt? Dat kan gewoon niet, althans, niet zonder serieuze risico’s en grote impact. Ik zit zelf in de IT (bij een andere overheidsinstantie). Een dergelijk systeem verhuizen is complex, vooral omdat er ook eel ketenpartners bij betrokken zijn.
Daarnaast lees ik dat DigiD al gewoon in het datacenter van Logius zelf draait? Overheidsdatacenter? Op het Standaard Platform? Dat zal de overgang vergemakkelijken en ook het risico verminderen van Amerikaanse inmenging. Want ja, ook als Nederlandse Burger vind ik dat belangrijk. Maar dan nog moeten we niet vergeten dat onderhoud van een dergelijk platform ontzettend veel expertise kost. Dat moet er ook maar zijn.
Dat het inderdaad niet “even” te verhuizen is, is precies het punt. DigiD is niet alleen een loginvoorziening, maar een ketenvertrouwenssysteem met BSN-dragende SAML-assertions, backchannels, certificaten, jaarlijkse assessments en aangesloten dienstaanbieders.
Doordat het BSN zo centraal staat, passen rechtspersonen, vertegenwoordiging, ondernemers, verenigingen en stichtingen daar niet netjes in. Vervolgens krijg je aparte stelsels zoals eHerkenning, machtigen en andere ketenafhankelijkheden. Er is te veel in de basislaag gestopt, waardoor de rest eromheen moet worden opgelost.
Onhanteerbare complexiteit ontstaat bij de overheid vaak eerst als gevolg van verkeerde ontwerpkeuzes, en wordt daarna gebruikt als excuus waarom er niets meer anders kan. Inherent aan de denk- en werkwijze, vermoed ik. Verliesoogmerk als verdienmodel.
SAML en trusted backchannels zijn op zichzelf niet fout. Maar riskant zodra je het BSN tot sleutel van het protocol maakt en backchannels buiten de eigen organisatie gebruikt. Vervolgens met audits bij honderden organisaties de keten moeten bewaken. Zo worden medewerkers, ex-medewerkers, leveranciers en beheerpartijen onderdeel van de security boundary.
Het kan ook gewoon goed. Netjes gelaagd voor optimale stapeling in bruikbaarheid op basis van goed doordachte standaards die doen wat ze moeten doen en vooral niets teveel doen. Kost ook nog eens niets vergeleken met de huidige praktijk.
Zoals ik beschrijf werkt volgens mij buiten de NL-overheid de hele wereld, trouwens. Dus dat het werkt hoeft niet meer bewezen te worden.
Zou me niet verbazen dat Noorwegen de komende 10, 20 jaar dezelfde kant op gaat. Een overheid die schatrijk wordt door olie- en gasinkomsten – zoals Nederland 60 jaar lang – verwordt tot een konkelmachine tussen de ambenarij en de grotere bedrijven. De meerderheid heeft er vrede mee. Duizelingwekkende bedragen met altijd nog weer overschrijdingen in tijd en geld.
Juiste titel omdat “er ‘bekokstoofd’ wordt om de boel expres om de tuin te leiden.”
Belangrijk informatie bij tweede kamer weggehouden.
Besluitvorming wordt vertraagd.
Compleet met klokkenluider die ontslagen wordt, want die leest ergens dattie ex-medewerker is 😉
Dit is niet het enige artikel in deze soap.
Logius heeft regie en geen datacenter.
Dat heeft Solvinity die het uitvoerende werk doet (tenisch infra beheer) en die wordt dus overgenomen door een Amerikaans bedrijf Kyndryl.
Zelfs als het technisch al zo complex zou zijn, dan het nog de moeite waard om
er tijd en geld in te steken.