Solvinity, het bedrijf dat de infrastructuur levert waarop DigiD (en andere belangrijke applicaties van Logius, zoals MijnOverheid) draaien, komt in handen van Kyndryl, een Amerikaans bedrijf. Het is echter nog steeds niet precies duidelijk hoe voorkomen wordt dat de Amerikaanse overheid (via Solvinity) toegang krijgt tot de gegevens die DigiD en MijnOverheid verwerkt. Dat gebrek aan transparantie is onaanvaardbaar, want de beveiliging van zulke kritieke infrastructuur moet publiek controleerbaar zijn. Terecht dus dat een groep experts om meer openheid hieromtrent hebben gevraagd. In dit specifieke geval is de beveiligingsanalyse ook nog eens behoorlijk complex, en zal het beveiligingsrisico door verschillende personen waarschijnlijk ook anders ingeschat worden. Laat me dat proberen uit te leggen voor de geïnteresseerde leek.
Meestal gaan we er vanuit dat het besturingssysteem van de computers waar we onze applicaties op draaien te vertrouwen is. (Datzelfde geldt overigens ook voor de hardware.) We zullen wel moeten, omdat het besturingssysteem normaal gesproken onbeperkt toegang heeft tot alle hardware. Geheugenchips bijvoorbeeld, waar tijdelijke data worden opgeslagen, en harde schijven of SSDs die gebruikt worden voor permanente opslag van data. Daarmee kan het besturingssysteem (in theorie) zien welke gegevens allemaal worden verwerkt en kan zij die gegevens ook veranderen, verwijderen, of fabriceren.
Soms is dat onbegrensde vertrouwen niet helemaal terecht, en worden er extra maatregelen genomen. Bijvoorbeeld door extra veilige hardware toe te voegen waar zelfs het besturingssysteem niet bij kan. Dit soort hardware zit in veel moderne computers en smartphones, en wordt onder meer gebruikt om je vingerafdruk of wachtwoord veilig op te slaan, zodat zelfs het besturingssysteem er niet bij kan. Zo wordt bijvoorbeeld voorkomen dat kwaadwillende software, die je per ongeluk (of zonder dat je het doorhebt) hebt gedownload, die gegevens kan stelen.
In het geval van Logius levert Solvinity de hardware (servers) en het besturingssysteem waar de diensten van Logius (zoals DigiD) als software applicaties op draaien. (Strikt gesproken zijn het geen applicaties maar zogenaamde ‘containers’, maar ik wil het hier zo simpel en begrijpelijk mogelijk houden zonder de essentie geweld aan te doen.) Logius kan de hardware en het besturingssysteem waar DigiD op draaien dan ook niet (langer) onbegrensd vertrouwen. Daarmee ontstaan mogelijk risico’s wat betreft de beschikbaarheid, vertrouwelijkheid en integriteit van DigiD (en diensten als MijnOverheid die van DigiD gebruik maken). Laten we die mogelijke beveiligingsrisico’s nader bestuderen.
De meeste ophef rond de overname van Solvinity betreft de beschikbaarheid van DigiD en daarmee de toegang tot de digitale informatievoorziening van de Nederlandse overheid aan haar burgers.
Om in te loggen op een digitale overheidssite heb je DigiD nodig. Er bestaat hiervoor geen ander inlogmiddel. Als DigiD niet werkt is de online toegang tot MijnOverheid, de Belastingdienst maar bijvoorbeeld ook je zorgverzekering geblokkeerd. En dat is dus bijvoorbeeld het geval als de door Solvinity beheerde hardware niet goed werkt.
Het beheren van servers - zoals die waarop DigiD draait - betekent dat medewerkers van Solvinity bijvoorbeeld software updates kunnen doen, of hardware kunnen vervangen. En ook dat ze de servers uit kunnen schakelen. Onduidelijk is of dat beheer ook op afstand gedaan kan worden, of dat medewerkers van Solvinity dat alleen in het datacentrum van de overheid - waar de servers voor DigiD fysiek staan - kunnen doen.
Na de overname is Kyndryl verantwoordelijk voor dit beheer. Omdat Kyndryl een Amerikaans bedrijf is, is zij (ook) gehouden aan Amerikaanse wet- en regelgeving. In die hoedanigheid kan het zijn dat zij van de Amerikaanse overheid de opdracht krijgt haar dienstverlening aan DigiD te staken, en dat zij op basis van Amerikaanse wet- en regelgeving zich genoodzaakt ziet om aan die opdracht gehoor te geven. In die zin krijgt de Amerikaans overheid dus indirect controle over de aan/uit knop voor toegang tot de digitale dienstverlening van de Nederlandse overheid. Dat zo’n opdracht totaal in strijd is met contracten, afspraken of misschien zelfs wel Nederlandse wetten is dan minder relevant, omdat in de spagaat tussen Amerikaanse en Nederlandse wetten een Amerikaans bedrijf voor haar Amerikaanse hachje zal moeten kiezen. Vragen om extra juridische waarborgen is dus zinloos.
De conclusie is dat er een wel degelijk een beschikbaarheidsrisico ontstaat als Kyndryl de hardware van DigiD gaat beheren. Hoe hoog dat risico is, valt moeilijk te zeggen. Dat hangt af van politieke factoren, maar bijvoorbeeld ook van de vraag of het beheer alleen fysiek of ook afstand plaats vindt. In het eerste geval zouden lokale (Nederlandse?) beheerders kunnen besluiten om opdrachten van hogerhand alsnog te negeren.
Ook worden er zorgen geuit over de vertrouwelijkheid van de gegevens die door DigiD verwerkt worden. Zouden die ook in Amerikaanse handen kunnen vallen? Om dat (enigzins) te kunnen begrijpen is een korte uitleg over hoe computers werken noodzakelijk.
Computers bestaan uit hardware, een besturingssysteem, en een aantal software applicaties. De applicaties bestaan uit instructies die door de processor (CPU, een van de hardwareonderdelen) worden uitgevoerd, waarbij data uit het werkgeheugen worden opgehaald, door de processor verwerkt, en het resultaat in het werkgeheugen wordt teruggeschreven. Om gegevens permanent op te slaan (op een harde schijf of solid-state drive (SSD)) roept de applicatie de hulp in van het besturingssysteem. Datzelfde gebeurt als de applicatie data van het Internet wil halen, of data die vanuit het Internet binnenkomt wil verwerken.
Zoals eerder geschetst heeft het besturingssysteem toegang tot alle hardware, inclusief het werkgeheugen. Dat betekent dat het besturingssysteem in theorie alle instructies en data van een applicatie zoals die in het werkgeheugen tijdelijk worden opgeslagen in de gaten zou kunnen houden, zou kunnen wijzigen of ergens anders op zou kunnen slaan. Maar om dat daadwerkelijk in de praktijk iets nuttigs mee te doen is een ander verhaal: het besturingssysteem zou daarvoor precies moeten weten hoe de applicatie stap voor stap werkt en waar en hoe precies ze welke gegevens op slaat in het werkgeheugen. Dat kan in theorie zeker, maar is in de praktijk een heidens karwei. Ikzelf schat de kans nihil dat Solvinity (al dan niet in opdracht van anderen) al die moeite zou doen om te achterhalen welke gegevens DigiD verwerkt. Maar goed, dat is een persoonlijk inschatting.
Met andere woorden: we kunnen er praktisch gezien vanuit gaan dat alle data die binnen de applicatie worden verwerkt buiten bereik van Solvinity te houden zijn. Maar data die permanent opgeslagen worden, of data die via het Internet binnenkomen of verzonden worden, ziet het besturingssysteem per definitie. En ook naderhand heeft het besturingssysteem onbeperkt toegang tot de data die extern (onder haar beheer) zijn opgeslagen. Om die data alsnog buiten het bereik van het besturingssysteem te houden moet de applicatie zelf de gegevens versleutelen met een door de applicatie zelf gegenereerde en beheerde sleutel (die dus ergens opgeslagen moet worden waar het besturingssysteem zelf niet bij kan, zie boven) voordat die data worden doorgegeven aan het besturingssysteem om ergens op te slaan of ergens naar toe te versturen. Dit is veilig onder de aanname dat alle data die binnen de applicatie worden verwerkt buiten bereik van Solvinity te houden zijn.
Wat niet werkt, is om Solvinity verantwoordelijk te maken voor het versleutelen van data: dan hebben ze zelf de sleutel, en kunnen ze dus ook zelf beslissen om de data te ontsleutelen. Wat ook niet werkt is om via het Internet binnenkomend DigiD verkeer, dat normaal gesproken versleuteld is, in een proxy te ontsleutelen en dan onversleuteld via de Solvinity infrastructuur door te sturen aan de DigiD applicatie.
De vraag of er een vertrouwelijkheidsrisico is hangt dus af van hoe gegevens van en naar de DigiD applicatie worden verstuurd en hoe die extern worden opgeslagen. Als dat op de juiste manier versleuteld gebeurt is er mijns inziens geen noemenswaardig risico. In het geval van DigiD al helemaal niet omdat DigiD zelf in principe alleen het burgerservicenummer (BSN) verwerkt. Weliswaar een privacygevoelig gegeven, maar iets wat de Amerikaanse overheid veel simpeler binnen kan zuigen bij de paspoortcontroles aan de Amerikaanse grens (zeker toen het BSN nog machine-leesbaar op het Nederlandse paspoort stond).
Deze analyse is overigens misschien anders als het gaat om andere overheidsdiensten waar Solvinity het platform beheert (150 applicaties van alleen het Ministerie van Justitie), en MijnOverheid zelf bijvoorbeeld, die veel meer persoonlijke gegevens zelf verwerkt.
Ook is het zo dat de manier waarop DigiD precies werkt betekent dat de overheidswebsite of ziektekostenverzekeraar waar je met DigiD inlogt zelf ook direct contact zoekt met DigiD. Dat zou theoretisch nog kunnen betekenen dat Solvinity het IP adres van de site waar je op inlogt kan koppelen aan jou IP adres, en dus kan achterhalen wie op welke site inlogt.
Echter…. Er zit nog een addertje onder het gras.
Naast beschikbaarheid en vertrouwelijkheid is ook integriteit van dienstverlening een beveiligingsaspect, waar vreemd genoeg in de context van DigiD weinig over gesproken wordt. Terwijl daar wel mogelijkerwijs een risico ligt.
Om dat te begrijpen moeten we even iets beter kijken naar wat DigiD doet.
Met DigiD kunnen we inloggen op overheidswebsites, en krijgen we toegang op onze persoonlijke informatie die op die sites opgeslagen staat. Als wij inloggen, controleert DigiD onze inloggegevens (met behulp van gebruikersnaam en wachtwoord, of met de DigiD app). Als DigiD vindt dat deze gegevens kloppen, dan stuurt ze een beveiligd bericht met ons BSN naar de overheidswebsite. Dat gaat overigens via een direct bericht tussen DigiD en de website, om te voorkomen dat de browser het BSN kan onderscheppen of veranderen. Op basis van dit BSN geeft deze site toegang tot ónze informatie (en niet die van iemand anders). Daarbij vertrouwt de site er volledig op dat DigiD deze controle correct uitvoert én dat DigiD het juiste BSN doorstuurt. In feite heeft DigiD dus de sleutel tot de digitale kluisjes met onze persoonlijke informatie op die overheidssites.
DigiD zou je kunnen vergelijken met de receptionist van een hotel, waar je de sleutel van je hotelkamer achter moet laten. De hotelkamer staat in deze metafoor dan voor de website met het digitale kluisje vol met onze persoonlijke informatie. Om je hotelkamer binnen te komen moet je de receptionist vragen om de sleutel. (Het is natuurlijk de bedoeling dat jij de sleutel van jou eigen kamer krijgt, en niet die van iemand anders.) De receptionist weet op deze manier wanneer je weggaat, en wanneer je weer terug komt. Oftewel, DigiD weet welke website je bezoekt, wanneer, en hoe vaak. We hebben dit hierboven ook al besproken onder het kopje vertrouwelijkheid. De receptionist ziet zo nog niet wat je op je kamer doet, of wat je daar hebt liggen.
De receptionist kan echter ook zo kwaadwillend zijn dat hij of zij op eigen houtje naar je hotelkamer gaat om eens rond te neuzen in je persoonlijke spulletjes. Precies zo kan DigiD dus ook zelfstandig besluiten om een digitaal kluisje van een persoon op een overheidswebsite te openen. Immers de website vertrouwt er volledig op dat DigiD correct doorgeeft wie er op dit moment probeert in te loggen. Dat zal DigiD nooit doen natuurlijk (en bovendien, waarom zouden ze, de overheid heeft die informatie toch al). De cruciale vraag is echter of Solvinity, als beheerder van de servers en de besturingssystemen waar DigiD op draait, niet ook technisch in staat is om de berichten die namens DigiD worden verstuurd zo te manipuleren of te fabriceren (een inbreuk op de integriteit van DigiD) dat zij in staat is om de toegang te forceren tot zo’n digitale kluis op een of andere overheidswebsite. En zo de Amerikaanse overheid toegang te geven tot de persoonlijke gegevens van bepaalde Nederlanders.
Of dit echt mogelijk is durf ik niet te zeggen. Dat hangt af van de precieze architectuur van DigiD, die ik niet ken. Maar het is dus wel een belangrijke vraag om een goed onderbouwd antwoord op te krijgen.
En los van deze analyse is de fundamentele vraag of je als overheid voor zo’n kritieke dienst als DigiD je überhaupt afhankelijk wil maken van een externe partij.
Mooi stuk! Heb ik in mijn artikel https://ellentimmer.com/2026/01/22/digid-16/ gemeld.
– Ellen Timmer ellentimmer.com