De overname van it-dienstverlener Solvinity door Kyndryl, waardoor het DigiD-platform onder de Amerikaanse invloedssfeer komt, is nabij. Een privacy-jurist van het ministerie heeft een alternatief plan voor DigiD ontwikkeld.
Als het Bureau Toetsing Investeringen (BTI) geen bezwaren tegen de voorgenomen transactie ziet, krijgt de regering Trump spoedig als het ware de sleutels in handen tot DigiD, MijnOverheid, eHerkenning en Digipoort.
Binnen het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) en de uitvoeringsorganisatie Logius, opdrachtgever van Solvinity, is hierover grote onrust ontstaan. Een privacy-jurist van het ministerie heeft op persoonlijke titel een alternatief plan ontwikkeld. Maar de ambtelijke top van BZK wil daar niets van weten. De secretaris-generaal wenst de overname door te laten gaan, zeggen bronnen. Maar dan met mitigerende voorwaarden die de privacy en continuïteit van DigiD verbeteren.
Geen soelaas
It-experts hebben in een gesprek met de Kamercommissie Digitale Zaken al laten weten dat deze verzachtende maatregelen weinig soelaas en zeker geen garanties bieden. Gezien de huidige architectuur is het platform technisch niet zodanig dicht te zetten dat de leverancier niet meer bij data/persoonsgegevens zou kunnen komen of de beschikbaarheid zou kunnen beïnvloeden.
Een meerderheid van de Tweede Kamer heeft grote bezwaren tegen een Amerikaanse overname. Grootste potentiële gevaar is dat de regering in Washington in de toekomst na een conflict met Nederland het DigiD-platform uitschakelt met alle gevolgen van dien.
Oplossing
In een uiterste poging om zo’n doemscenario af te wenden heeft Pieter van Oordt, chief privacy officer van Logius, een oplossing uitgewerkt die de persoonlijke gegevens bij de overheid beschermt en het gebruik van DigiD niet buiten Nederland of de EU laat komen.
De oplossing is met partijen te overleggen over het uitstellen van de overname met enkele maanden. Die tijd is nodig totdat het platform met DigiD (en andere genoemde diensten) is weggehaald bij Solvinity. Per augustus kan de Britse investeerder VP dan de beoogde exit doen, echter zonder DigiD. Ter compensatie voor het uitpellen van het DigiD-platform moet de Nederlandse Staat wel met een schadevergoeding komen.
Maar volgens Van Oordt wegen deze kosten niet op tegen eventuele toekomstige kosten en de impact op de Nederlandse samenleving van Amerikaanse overheidsbemoeienis met DigiD. Ook bespaart men de kosten van de mitigerende maatregelen. Om in het gesprek met de eigenaren van Solvinity het initiatief te kunnen behouden wordt Solvinity eerst geïnformeerd over de juridische consequenties van het niet willen meewerken aan de exitstrategie en het uitstel van de overname.
Achterdeur
Van Oordt meent dat het doorzetten van de verkoop een onrechtmatige daad is (waarschijnlijk), omdat hiermee direct een ‘achterdeur’ in het platform wordt gezet waardoor de privacy en continuïteit van DigiD niet meer te garanderen zijn. Volgens Van Oordt voorziet zijn aanpak in 100% behoud van soevereiniteit, autonomie en beschikbaarheid van DigiD.
De privacy-officer van Logius zal zich met de openbaring van zijn plan niet populair maken bij de ambtelijke top van BZK. Al sinds begin november, toen de overname van Solvinity door Kyndryl bij Logius bekend werd, probeert hij dit alternatief onder de aandacht te brengen. Maar de ambtelijke top heeft er geen oren naar, want die vindt dat de verkoop gewoon moet doorgaan inclusief het DigiD-platform. Van Oordt is ook verboden zijn plan aan de toenmalige staatssecretaris Eddie van Marum en diens opvolger Eric van der Burg toe te lichten. Hij hoopt nu op response vanuit de Tweede Kamer. Op LinkedIn heeft hij al honderden reacties gekregen.
Deze overname is een enorme klucht aan het worden. Het toont ook de machteloosheid van de regering en het parlement inzake besluitvorming in dit land.
Er zijn allerlei belangen die spelen, zoals dat van de ambtenarij, de leverancier, Logius en politieke partijen. Niemand heeft feitelijk de regie en we verbergen ons achter regeltjes, commissies, rapporten en procedures waardoor niemand het feitelijk voor het zeggen heeft en de besluitvorming heel diffuus en ontransparant is.
Waarom zou het de SG uitmaken of de overname doorgaat? Wat maakt het hem uit waar DigiD draait? Staat hij onder druk van bepaalde politieke partijen die weer belangen hebben dat de overname doorgang vindt?
Zelfs Groenlinks/PvdA hoor ik hier niet meer over. Kathmann is waarschijnlijk verboden om een motie in te dienen die de overname verbiedt. Kennelijk zijn daar op links toch ook mensen die zakelijke belangen hebben bij deze overname.
Stelling dat bij een private transitie van de infrastructuur de regering Trump de sleutels in handen krijgt is gewoon 100% agitprop want versleutelde data zonder sleutels is praktisch waardeloos. Dus de Cloud Act is niet het probleem als ik kijk naar het vestoren van werking door Executive Orders want zonder toegang tot de kluis is inderdaad de dienst onbruikbaar.
Nu is die dienst een door de overheid opgedrongen verplichting tot identificatie die vanuit Europese wetgeving daarom niet teveel mag kosten omdat anders de overheid zijn eigen markt maakt. De kosten gooien altijd roet in het eten want de impact zit niet in een Amerikaanse overheidsbemoeienis met DigiD maar een beperkte functionaliteit door Europese bemoeienis. Eén Europese digitale identiteit is trouwens nog niet een gedeelde culturele identiteit.
Of Kathmann gehoorzaam is aan de partijdiscipline is een interessante vraag als ik kijk naar een partij die doet alsof ze één zijn maar eigenlijk versplinterd is door een gedwongen in plaats van een gedeelde identiteit. Want ‘To be or not to be’ gaat meer om de attributen dan de identiteit. Een privacy-jurist die feitelijk als Don Quichot acteert gaat om de politiek want de bestuurlijke molens draaien mee met de wind.
De werkelijke vraag is namelijk of DigiD – en daarmee Logius – nog wel waarde hebben als één Europese digitale identiteit om de technische vraag van de attributen gaat want sluiten we nu niet de arbeidsmigranten uit door nationale muren als het om diensten gaat?