De overname van it-dienstverlener Solvinity door Kyndryl kan wel degelijk leiden tot het weglekken van persoonsgegevens en andere kritieke overheidsinformatie naar Amerikaanse partijen. Solvinity, dat het platform voor DigiD levert, valt dan onder de reikwijdte van Amerikaanse wetgeving die autoriteiten in de VS toegang biedt tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt.
Dit blijkt uit antwoorden van staatssecretaris Eddie van Marum (BBB, verantwoordelijk voor digitalisering) op Kamervragen van Barbara Kathmann (GroenLinks-PvdA). Daarmee herroept hij uitspraken die eind november zijn gedaan bij WNL op zondag. Van Marum zei toen dat DigiD ‘Nederlands blijft’ en dat Solvinity ‘geen toegang heeft’ tot DigiD. Dat werd later tegengesproken door experts en onderzoeksjournalisten zoals die van Follow the Money.
De omstreden overname door het Amerikaanse Kyndryl betekent een potentieel lek, geeft Van Marum toe. ‘In ieder geval in theorie,’ probeert hij het gevaar in de Kamerbrief te bagatelliseren. Maar bagatelliseren wordt moeilijk, nu de Tweede Kamer zich volop op deze kwestie heeft gestort. D66 en CDA willen eind januari een hele serie overleggen, ook met Solvinity, Kyndryl en Logius, om op dit punt de onderste steen boven water te krijgen. Ook Van Marum zal zich moeten verantwoorden.
Amerikaanse Cloud Act
Volgens hem maakt de mogelijke overname van Solvinity door Kyndryl geen verschil met betrekking tot het risico dat data mogelijk worden opgevraagd door Amerikaanse autoriteiten. Want voor enkele departementen levert Solvinity toegang tot de genoemde platform-as-a-service (paas)-diensten op Microsoft Azure. Bij gebruik van dit soort clouddiensten bestaat er vrijwel altijd een risico dat een beroep wordt gedaan op wetgeving zoals de Amerikaanse Cloud Act, aldus de staatssecretaris.
Zelfs wanneer data zich buiten de VS bevinden, kunnen Amerikaanse autoriteiten toegang eisen, zolang ze onder beheer staan van een Amerikaans bedrijf zoals Kyndryl. Dat raakt direct aan de digitale autonomie van Nederland. Ook de veiligheid van persoonsgegevens van miljoenen burgers is in het geding.
Geen pogingen
Verder blijkt dat Solvinity al in maart van dit jaar de directeur van Logius heeft ingeseind dat het bedrijf naar een nieuwe eigenaar zocht. Twee maanden later mocht hij deze informatie delen met het ministerie van BZK. In november werd bekend dat het om het Amerikaanse Kyndryl ging. Kamerleden zullen willen weten waarom het ministerie al die tijd geen pogingen ondernam om Solvinity in Europese handen te houden.
De landsadvocaat onderzoekt of in de lopende contracten met Solvinity een ontbindende voorwaarde opgenomen in het geval het bedrijf wordt overgenomen door een bedrijf dat onder niet-Europese surveillancewetgeving valt. Op dit moment worden verschillende contracten beoordeeld.
De landsadvocaat bekijkt ook of er andere mogelijkheden zijn om de contracten met Solvinity te ontbinden, als inderdaad blijkt dat door de Amerikaanse overname de vertrouwelijkheid en veiligheid van kritieke overheidsinformatie in het geding komt. De Algemene Rijksvoorwaarden bij it-overeenkomsten 2022 biedt mogelijkheden als er sprake is van een ingrijpende wijziging in de zeggenschap, bijvoorbeeld bij een overname.
Ik zou er niet teveel op hopen dat dit soort ontbindende voorwaarden in de contracten staan. De ambtenarij heeft zelfs verzuimd om de rechten van broncode op te eisen van software die op kosten van de overheid ontwikkeld is. Incompetentie ten top!!
Er zit niets anders op dat de regering de overname verbiedt op basis van nationale veiligheid. Gebeurt dit niet dan zijn onze regering en parlement feitelijk een machteloze praatclub die alleen maar over punten en komma’s discussieert.
Eerst niet en dan weer wel maakt van een (demissionair) kabinet een praatclub zonder macht omdat het de ambtenaren zijn die aan de touwtjes trekken. Zo trekken ook ambtenaren bij de belastingdienst hun eigen plannen als het om uitbesteding van strategische ICT naar Amerikaanse providers gaat. Het is dan ook een beetje als een herhaling van DigiNotar alleen dan anders als we kijken naar een laissez-faire beleid.
Lang leve Trump die het licht in het kippenhok aandeed als het gaat om soevereiniteit en een verplichte exit strategie want Edward Snowden waarschuwde ons al voor een misplaatst vertrouwen in de keten. En wantrouwen is dan ook het nieuwe uitgangspunt omdat DigID en in mindere mate DigiNotar niet om de infrastructuur gaat maar om de non-repudiation van de informatie. Het is dan ook niet Cloud Act waar ik me zorgen over maak maar de clowns die aan de touwtjes trekken.
Niemand weet dat ik Repelsteeltje heet behalve een inlichtingsdienst raakt niet alleen de zorg van Edward Snowden als we kijken naar publiek-private samenwerking. De ironie hiervan gaat om de grijze muizen van boekhouders die weten wie voor wat betaald wordt. De staatsecretaris moet bakzeil halen omdat Follow the Money gedaan heeft wat Logius verzaakt heeft, de zoektocht naar een nieuwe eigenaar gaat meestal om de boekhouding.
had het kunnen weten.
caroline nam een tractor mee naar het werk en geen laptop.
ondanks korte draaicirkel toch 2 slagen.
1) Solvinity heeft wel toegang
2) maar dat boeit niet want VS kunnen er toch wel bij, door cloud act.
Eerste was dus zomaar wat roepen, maar dat zijn we gewend van bbb.
Tweede is niets nieuws, maar wel om dat als argument te gebruiken voor passiviteit.
De wereld op zn kop regeert de leugen met het nihilisme van de omgekeerde nationale vlag.
De boute uitspraken van van Marum zijn een toonbeeld van politieke onwetendheid. Als je er geen verstand van hebt ga dan niet dit soort stellige uitspraken lopen doen maar laat je eerst goed informeren. Als zijn ambtenaren hem verzekerd hebben dat er geen risico’s waren dan moet hij er toch maar eens over nadenken om die ambtenaren te vervangen.
Maar het is al positief dat hij zijn fouten toegeeft en tot inkeer komt.
Vraag is nu: wat gaat de Nederlandse regering doen? Reken maar dat de Amerikaanse regering zware druk uitoefent om de overname door te laten gaan. Als de Nederlandse regering de overname verbiedt kan het zijn dat er represailles komen tegen onze bedrijven.
Het zou mij niet verbazen dat de regering weer genoegen neemt met een inlegvelletje waarin staat dat Amerika belooft (vingers gekruist achter de rug) om niet onze data te stelen en te misbruiken of de dienst buiten werking te stellen.
De draaicirkel van een trekker en het kort door de bocht gaan van Dino zit in de constatering dat de directeur van Logius zweeg over het dilemma van het eigenaarschap. Was dit een bestuurlijke keuze om het publieke debat uit te stellen of nalatigheid in transparantie?
Gezien het politieke belang van een publiek debat voor de profilering van Kamerleden ligt het antwoord voor de hand. Want sommige Kamerleden gaan nu vol op het orgel om zich te profileren op het publieke debat. Wel handig hierin is om nut en noodzaak van DigiD duidelijk te hebben, het eigenaarschap van de oplossing en niet te vergeten de kosten ervan.
Bestuurlijke voorzichtigheid of politiek timing gaan om de agenda, never waste a good crisis veranderd echter niks aan het onderwerp. Want het begrip non-repudiation is niet publiek ingebed maar gaat wel om de basis van DigiD. Het begrip betekent dat je later niet kunt ontkennen dat jij iets (digitaal) hebt getekend, goedgekeurd of ingediend in de communicatie met de overheid.
Non-repudiation betekent dus controle over het bewijs, de keten en de integriteit en de overheid heeft geen één van deze punten door eerdere uitbesteding van de infrastructuur waar ik het CDA en D66 niet over hoorde. Van eigenaar naar toezichthouder die als een dompteur de papieren tijgers temt maak ik me daarom meer zorgen over de clowns dan CLOUD act.
Juridische pandora-effect hiervan is tenslotte niet veel anders als onze nationale Wet op de Inlichtingen- en Veiligheidsdiensten die bekend staat als de sleepwet.