In maart komt er hoogstwaarschijnlijk een nieuwe aanbesteding voor het technisch beheer van DigiD. De nieuwe leverancier zou dan de rol van Solvinity uiterlijk 2028 kunnen overnemen. Dat bleek tijdens de technische briefing van Vaste Kamercommissie Digitale Zaken. Maar de Tweede Kamer wil het liefst dat de verkoop van Solvinity aan de Amerikaanse dienstverlener Kyndryl afketst.
Onverminderd groot blijven de zorgen dat deze Nederlandse leverancier van het platform, waarop DigiD draait, in Amerikaanse handen komt. Dit bleek afgelopen woensdag tijdens een technische briefing waarbij de Vaste Kamercommissie Digitale Zaken zich liet bijpraten over de aangekondigde transactie tussen Solvinity en Kyndryl.
Hoewel de overheid via de Interdepartementale Taskforce Digitale Veiligheid er alles aan doet om de risico’s te beperken, blijft er altijd een ‘restrisico’. Niet volledig valt uit te sluiten dat Amerikaanse inlichtingendiensten op grond van wetgeving toegang tot het DigiD-systeem eisen en persoonlijke data opvragen. Een ander risico is dat Donald Trump Kyndryl gebiedt om de stekker uit DigiD te halen.
Drie keuzes
Er zijn drie mogelijkheden om de bezorgdheid hierover weg te nemen. De meest radicale stap is de overname te verbieden. De Wet ongewenste zeggenschap telecom (WOZT) is namelijk ook toepasbaar op bepaalde digitale infrastructuur. Hosting-providers en communicatienetwerken vallen daaronder. De toezichthouder op de WOZT kan ook een goedkeuring onder voorbehoud geven. Alleen als niet aan bepaalde voorwaarden wordt voldaan, bestaat dan de mogelijkheid het contract te ontbinden.
Ook het Bureau Toetsing Investeringen (BTI) dat onder Economische Zaken valt, kan een overname blokkeren of voorwaarden opleggen. Maar dan moet de nationale veiligheid in het geding zijn. DigiD is aangewezen als vitale infrastructuur en Solvinity levert diensten die onderdeel zijn van deze vitale keten. Daarom valt de overname onder toezicht van de Wet veiligheidstoets investeringen, fusies en overnames (Vifo).
De tweede mogelijkheid is Solvinity door een bedrijf uit Nederland of de EU te laten overnemen. Het GroenLinks-PvdA-kamerlid Barbara Kathmann opperde de mogelijkheid dat de Nederlandse Staat een gouden aandeel in Solvinity neemt. Invest-NL kan daarbij worden betrokken. Zo’n aandeel geeft een vetorecht bij belangrijke besluiten. Ook biedt deze constructie bescherming van nationale belangen in vitale sectoren. Het is ook een instrument om strategische autonomie te waarborgen. GroenLinks-PvdA denkt ook aan een apart soort raad van commissarissen.
Aanbesteding?
Laatste, maar zeker niet de minste, mogelijkheid is het contract met Solvinity voor het technisch beheer in augustus dit jaar op te zeggen. De huidige overeenkomst loopt volgens het aanbestedingsbestek dan af, maar er ligt nog een optie tot verlenging met twee jaar. Tijdens de technische briefing werd gesproken over dat het contract doorloopt tot in 2028 maar niet duidelijk is of Logius gebruik heeft gemaakt om de optie tot verlenging te lichten. Wel werd gemeld dat er een nieuwe aanbesteding voor het DigiD-platform wordt voorbereid. In maart volgt de publicatie hiervan. Dat het dan nog zo’n twee jaar kan duren voordat een nieuwe leverancier Solvinity opvolgt, is wel een lange tijd.
Het VVD-kamerlid Silvio Erkens wees in dit kader op artikel 2.23 van de aanbestedingswet. Overheidsopdrachten hoeven niet onder de normale aanbestedingsregels te vallen als de nationale veiligheid in het geding is. Logius-directeur Bert Voorbraak wilde niet zeggen of bij de nieuwe aanbesteding dit artikel een rol gaat spelen. ‘Alle opties liggen op tafel hoe de aanbesteding eruit gaat zien,’ reageerde hij.
Omdat Logius als onderdeel van het ministerie van BZK de intellectuele eigendomsrechten bezit, hoeft geen nieuw platform meer te worden gebouwd. Solvinity staat ook buiten het applicatie-beheer. Het streven is om op de lange termijn als overheid weer zelf het technisch beheer te gaan doen en een overheidscloud te gebruiken. Met dat laatste wil de overheid voorzichtig beginnen. Een cruciaal systeem als DigiD dat 16,6 miljoen gebruikers kent en vorig jaar 550 miljoen authenticaties deed, leent zich daar in de beginfase helemaal niet voor.
Risico’s beperken
Veel aandacht ging tijdens de briefing uit naar het overleg dat de Interdepartementale Taskforce Digitale Veiligheid voert met Solvinity en Kyndryl. De Tweede Kamer is met name benieuwd in hoeverre het de overheid lukt om extra maatregelen af te dwingen die de risico’s inperken. Volgens Hilly Buyne, programmacoördinator Samenwerking Rijk en ICT-bedrijfsleven, zijn partijen het over 70 procent à 80 proceent van de maatregelen eens geworden. Maar de onderhandelingen verlopen grillig. Buyne vergeleek de situatie met dagkoersen op de beurs. ‘Het springt van de ene kant naar de andere kant.’ Kyndryl wil het Nederlandse bedrijf straks sterk integreren waardoor het meer Amerikaans wordt. En dat voornemen staat weer haaks op wat de betrokken Haagse ministeries willen.
Behalve algemene maatregelen die de dataveiligheid, zeggenschap en continuïteit vergroten, zijn ook aanvullende specifieke technische maatregelen nodig. Dit geldt met name voor de ‘private dedicated hosting’. Voor de ‘shared private hosting’ ligt dit moeilijker omdat ook andere overheden zoals de politie en CBG daarbij zijn betrokken. Op de platforms die onder beheer van Solvinity zijn, draaien 150 applicaties. Per applicatie worden momenteel de risico’s geduid. Ook is het mogelijk bepaalde functies niet meer door Solvinity te laten beheren. Leo Peereboom, directeur Informatievoorziening en Inkoop (DI&I) bij het ministerie van Justitie en Veiligheid (JenV), noemde als voorbeeld de bestanden-postbus. Het is de vraag of we daarbij Solvinity nodig hebben dan wel dit elders onderbrengen, aldus Peereboom.
Geopolitiek klimaat
Het SGP-kamerlid Chris Stoffer eindigde het openbare gedeelte van de technische briefing met de vraag of de zorgen over DigiD terecht of overtrokken zijn. De aanwezige ambtenaren lieten de beantwoording over aan een volgende Kamervergadering waarbij een minister zich daarover uitspreekt. Zeker is wel dat een discussie zoals nu over de aangekondigde overname van Solvinity in een milder geopolitiek klimaat anders zou verlopen. Een deel van de technische briefing was besloten. Dit met het oog op de lopende gesprekken met Solvinity en Kyndryl.
