18 uren geleden
2
In 2022 deed ict-architect en encryptie-expert een beroep op de Wet openbaarheid bestuur om de broncode van DigiD te laten openbaren. Hij gelooft in opensource, software waarvan de code voor iedereen te controleren en ook te gebruiken is. Er was op dat moment net een maatschappelijke discussie geweest over de CoronaMelder-app, met veel vragen over digitale surveillance door de overheid. Ook die werd uiteindelijk opensource gemaakt om het wantrouwen weg te nemen.
„Ik ben voor een transparante overheid”, zegt Mobach, die zelf ook veel voor de overheid werkt. Het duurde even, maar het ministerie van . Eerst werd in 2023 de broncode van de applicatie DigiD – de app die gebruikers vaak op hun telefoon hebben – geopenbaard. Maar dat is alleen de interface, het gedeelte dat mensen zien. Een jaar later, het had wat voeten in de aarde, ook de code die regelt wat er onder de oppervlakte gebeurt om DigiD te laten functioneren. Mobach heeft hem en concludeert: „Het is een redelijk hip en veilig inlogsysteem.” Als iemand probeert mee te kijken binnen DigiD, ziet die weinig.
Voor dat meegluren is nu veel angst. Dat komt doordat Solvinity, het bedrijf dat cruciaal is voor het laten draaien van DigiD wordt overgenomen door een Amerikaans bedrijf, Kyndryl, een afsplitsing van IBM. Dat geeft Amerikanen om te proberen via DigiD te spioneren, of om DigiD plat te leggen, als de regering-Trump dat zou willen. Vooral dat laatste is heel vervelend, zeggen kenners. „Een technische oplossing is een politiek probleem geworden”, vat Mobach samen.
Met de data die worden verstuurd binnen het DigiD-inlogysteem kan een kwaadwillende niet zo heel veel, maar DigiD is belangrijk geworden voor het functioneren van Nederland. Zo’n 16,6 miljoen burgers gebruiken het, jaar. Voor hun belastingaangifte, hun zorgverzekering of om hun pensioen te checken bijvoorbeeld. Wie daar de stekker uit kan trekken heeft dus macht. Daarom is de vraag relevant: hoe werkt DigiD precies? Wat doet het betrokken bedrijf en wat doet de overheid zelf? En wat verandert er als de overname doorgang vindt?
1Wat is een DigiD?
Een DigiD is een digitaal identiteitsbewijs, dat is gebaseerd op de basisregistratie persoonsgegevens. Om zo’n identiteitsbewijs te verkrijgen wordt via de DigiD-website of app informatiegedeeld uit het paspoort, rijbewijs of identiteitskaart en wordt geautomatiseerd gecheckt of dat correspondeert met wat in de basisregistratie staat. Het systeem creëert een eigen unieke veilige digitale sleutel, die gebruikt wordt om veilig in te loggen bij organisaties die op DigiD zijn aangesloten. Bij elk gebruik van DigiD wordt een beveiligde koppeling gemaakt met een database, waarin versleuteld staat opgeslagen bij wie de DigiD hoort. De organisatie waar wordt ingelogd controleert de DigiD vervolgens ook op echtheid en of die aan u is uitgegeven.
2Wie zorgen dat DigiD werkt?
DigiD is een dienst van de overheid, maar voor de uitvoering zijn meerdere bedrijven ingeschakeld. Die contracten worden afgesloten door Logius, de ict-beheerorganisatie van het ministerie van Binnenlandse Zaken. Politie, defensie en de inlichtingendiensten hebben veel ict in eigen huis. Dat geldt niet voor de ministeries. Die huren in en besteden veel uit, ook essentiële diensten als DigiD, Berichtenbox MijnOverheid (11,6 miljoen gebruikers) en bijvoorbeeld het beveiligde verkeer in de justitieketen.
/s3/static.nrc.nl/wp-content/uploads/2025/12/18122557/171225ECO_2027292902_digid2.jpg)
De Berichtenbox van MijnOverheid.
Foto Ramon van Flymen/ANP3Hoe zijn de taken tussen de overheid en de betrokken bedrijven verdeeld?
De verdeling tussen publiek en privaat maakt het complexer om te zien wie precies waar toegang toe heeft. DigiD bestaat sinds 2005. Het intellectueel eigendom van de software ligt bij opdrachtgever Logius, oftewel de Nederlandse staat De broncode is dus openbaar. De computerkracht die nodig is om het te laten draaien komt uit een overheidsdatacentrum. Hoewel dat klinkt als iets wat in handen is van de staat is dat niet de praktijk. Het grote Amerikaanse bedrijf Equinix bouwt voor dit datacentrum de ruimtes, trekt de kabels, zorgt voor de verbindingen, de koeling en de rekken met servers.
De huidige onrust draait om de laag tussen die twee in. Om het runnen van de servers en de software die maakt dat de dienst DigiD werkt. In dit geval: die ervoor zorgt dat als burgers ergens willen inloggen er een seintje gaat naar de database met door de overheid geverifieerde DigiD’s en er een seintje terugkomt waaruit blijkt of de gebruiker is wie hij zegt te zijn.
De software die daarvoor nodig is, moest eerst gebouwd worden en vervolgens onderhouden, onder meer om ervoor te zorgen dat hij niet kwetsbaar is voor cyberaanvallen. Dat is uitbesteed aan bedrijven. Sinds het begin van DigiD hebben er verschillende met wisselend succes aan gewerkt. In 2019 won Solvinity de aanbesteding. Dat is een van oorsprong Nederlandse ict-dienstverlener met veel klanten bij de overheid. Solvinity is ook verantwoordelijk voor de beveiligde communicatie binnen de justitieketen.
4Hoe cruciaal is Solvinity voor DigiD?
De mensen die dagelijks met DigiD bezig zijn, zijn grotendeels werknemers van Solvinity en straks waarschijnlijk van het Amerikaanse bedrijf Kyndryl. Zij plegen het onderhoud en staan paraat om te kunnen reageren als er iets mis is of als DigiD wordt aangevallen. Die taken kunnen ze alleen uitvoeren als ze erin kunnen. Ze hebbende digitale sleutels. Wie toegang tot de infrastructuur heeft, kan DigiD dus ook platleggen, saboteren of meegluren.
Lees ook
Baas van Solvinity probeert zorgen rond DigiD weg te nemen. ‘DigiD is en blijft Nederlands, en het blijft veilig’
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2025/12/02120857/021225ECO_2025047811_solvinity.jpg)
Daarover schrijft Logius in een reactie: „Dat iemand met infrastructuurtoegang theoretisch schade zou kunnen aanrichten, geldt voor elke kritieke IT-voorziening, ook wanneer die volledig door de overheid zelf wordt beheerd.”
5Hoe is DigiD beveiligd?
Als een burger wil inloggen met DigiD moet er een verbinding worden gemaakt tussen drie partijen. De gebruiker, de organisatie waar hij wil inloggen en de database met DigiD’s, waar moet worden gecontroleerd of die burger bestaat en is wie hij zegt te zijn.
Uit veiligheidsoverwegingen wordt zo min mogelijk persoonlijke data van gebruikers verstuurd. Alleen het BSN-nummer wordt gedeeld. De data die onderweg zijn van het account van een ingelogde DigiD-gebruiker naar de servers van Solvinity, zijn wel zichtbaar voor het bedrijf, zocht Follow the Money uit.
Volgens de Nederlandse Kyndryl-directeur is DigiD op zo’n manier versleuteld dat buitenstaanders niets met de informatie zouden kunnen. Maar dat is niet helemaal waar.
/s3/static.nrc.nl/wp-content/uploads/2025/12/18170953/191225-ECO-Digid-web-2.jpg)
6Is de beveiliging sterk?
Ja. Door de versleuteling kan een buitenstaander niet meelezen. Maar „niets is 100 procent waterdicht”, zegt Herbert Bos. Hij is hoogleraar systeem- en netwerkbeveiliging aan de Vrije Universiteit Amsterdam. Bos legt uit: je kunt informatie die je op gehuurde computers (cloud) parkeert heel goed beveiligen, vooral door die te versleutelen, maar er zijn altijd ‘side channels’, manieren zonder dat je die (versleutelde) data in kunt zien.
Bos gebruikt een hoteleigenaar als metafoor om dat uit te leggen. Die eigenaar kan in principe in elke hotelkamer komen, net als de schoonmakers. Maar de eigenaar kan ook speciale hotelkamers verhuren, met afgeplakte ramen, die nooit worden schoongemaakt. „Dat betekent echter niet dat je niets kunt leren over wat daar gaande is. Als je allemaal kunstmest en wekkers naar binnen ziet gaan en je hoort explosies, dan denk je: misschien maken ze bommen.”
7Verandert er iets in de beveiliging als het bedrijf Amerikaans wordt?
Praktisch waarschijnlijk niet. Er is geen reden om te denken dat er technisch iets zal veranderen of verslechteren. In theorie zou het zelfs kunnen verbeteren, omdat de nieuwe eigenaar een groter bedrijf is met meer specialisten en meer geld om te innoveren.
Maar juridisch is het een ander verhaal. Door de overname worden werknemers van een Amerikaans bedrijf verantwoordelijk voor de DigiD-infrastructuur. Dat betekent dat naast Nederlands en Europees recht, ook Amerikaans recht van kracht is. Er kunnen dus situaties ontstaan waarin de mensen van het bedrijf moeten kiezen naar wie ze luisteren. En in een echte krachtmeting tussen de Verenigde Staten en Nederland is het niet gek te denken dat Nederland het onderspit zou delven.
Nog een risico: als er een wereldwijde storing is, staat een Nederlandse klant bij een Amerikaans bedrijf mogelijk niet bovenaan de prioriteitenlijst.
8En de kans op spionage? Meekijkende Amerikanen in dit geval?
Die bestaat. Amerikaanse bedrijven vallen onder een aantal Amerikaanse wetten, waaronder de Cloud Act en FISA, die erop neerkomen dat ze mee moeten werken als Amerikaanse inlichtingendiensten dat eisen. Die kunnen toegang verplichten tot de systemen van die bedrijven en dus meekijken in het dataverkeer van DigiD. Daarbij maakt het niet uit of die data in Europa of in de Verenigde Staten is opgeslagen, het gaat erom wie de eigenaar van het bedrijf is.
Over de vraag of ze dat kunnen bestaat bij juristen geen twijfel. „Er is bij Amerikaanse bedrijven toegang tot de gegevens, ongeacht waar die staan”, zegt Arno Lodder, hoogleraar internetrecht aan de VU. Bedrijven moeten daar gehoor aan geven, zonder hun klanten te informeren. Dat gebeurt met zogeheten gag-orders. Vrij vertaald: een knevel-bevel. Het gaat dus geruisloos.
Je moet dat vergelijken met aftappen, zegt internetbeveiligingsexpert en ondernemer Ronald Prins. „De KPN mag het ook niet zeggen als ze een tap op iemand hebben gezet in opdracht van de politie. Anders heeft zoiets ook geen zin.”
9Zijn de DigiD-gegevens interessant dan?
Dat valt wel mee. DigiD is alleen een manier om in te loggen, niet om gevoelige informatie te versturen. De versleutelde DigiD-gegevens zijn waarschijnlijk niet zo interessant en bruikbaar voor Amerikaanse inlichtingendiensten. Mogelijk ligt dat anders in de justitieketen, waar Solvinity de beveiligde communicatie verzorgt. Uit de informatie die voor DigiD wordt verstuurd is alleen het BSN-nummer af te leiden en waar mensen proberen in te loggen.
Voor wie mensen wil bespioneren zijn er gemakkelijkere en interessantere bronnen. Prins maakt zich er in het geval van DigiD geen grote zorgen over. „Als Amerikanen bij informatie in Nederland willen, hebben ze DigiD niet nodig .” Sterker nog, dan zouden ze waarschijnlijk niet zo’n juridische weg bewandelen, denkt Prins, want daarbij laat je altijd een papieren spoor achter.
Mobach en Lodder zijn het daarmee eens. Lodder: „Controle op de infrastructuur is een groter gevaar dan dat ze er gegevens uit halen. Als Trump gekker wordt, kan hij bedrijf verbieden nog diensten te leveren, en dan kan het zijn dat je geen DigiD meer hebt. Dat ligt dan op z’n gat.” Alleen al daarmee kunnen dreigen in onderhandelingen is vervelend, stelt Mobach.
De verkoop geeft Lodder daardoor „geen heel prettig gevoel”. „Je wilt wel controle hebben over je identificatietechnologie. Dat moet niet uit handen raken.”
10Moet de verkoop worden tegengehouden en kan dat?
De overname is niet definitief. Het ministerie van Economische Zaken en mededingingsautoriteit ACM moeten nog een oordeel vellen.
Op dit moment inventariseren departementen of er kritieke processen afhankelijk zijn van Solvinity. Daarvoor hebben ze zichzelf tot het einde van het jaar gegeven, bleek donderdag in antwoord op Kamervragen. De landsadvocaat bekijkt of er handvatten zijn om de contracten eventueel te ontbinden of extra garanties af te spreken. Ook wordt bekeken of dit soort ‘infrastructuurdienstverlening’ in de toekomst binnen de overheid kan worden geregeld of alleen Europees kan worden ingekocht.
Als ondernemer die in het verleden zelf ook een ict-bedrijf heeft gehad en verkocht (Fox IT) heeft Ronald Prins gemengde gevoelens over de discussie. Als de overheid een dienst heel belangrijk vindt moet ze die in eigen hand houden, vindt hij. Als ze dat niet doet is er altijd een kans dat een bedrijf wordt verkocht. Dat kun je niet voorkomen en moet je in zijn ogen ook niet willen, want daarmee maak je Nederlandse bedrijven onaantrekkelijk voor buitenlandse investeerders. „En dat is niet goed voor de innovatie.”
Hoogleraar Lodder vindt „innovatie nooit zo’n sterk argument als het over nationale veiligheid gaat”. „Economie en recht zijn niet altijd met elkaar in evenwicht te brengen. Het is gemakkelijk om te zeggen dat het innovatie belemmert. Je moet ook ergens een grens trekken.”
„Ik wil eigenlijk wel garanties”, zegt Bos. Hij trekt dezelfde conclusie als Prins en Lodder. Is het verstandig dat de overheid voor een vitale dienst als DigiD afhankelijk is van een bedrijf? „Als het echt gaat om de stabiliteit van een samenleving, moet dat niet afhangen van de inschatting van iemand binnen een bedrijf.”
11Kun je nog wel zonder DigiD als Nederlands burger?
Officieel wel. Organisaties met een publieke taak moeten burgers ook op een niet-digitale manier kunnen helpen. De praktijk is anders. Bij gemeenten, huisartsen, apotheken, ziekenhuizen, de Belastingdienst en bijvoorbeeld het UWV zitten niet meer genoeg mensen aan de balie om dat te doen.
De journalistieke principes van NRC
/s3/static.nrc.nl/wp-content/uploads/2025/12/19082233/191225ECO_2027788091_japan.jpg)
/s3/static.nrc.nl/wp-content/uploads/2025/12/19075548/web-1912ECOblogTennet.jpg)
/s3/static.nrc.nl/wp-content/uploads/2025/12/16164643/161225VER_2027434511_beerta.jpg)
/s3/static.nrc.nl/wp-content/uploads/2025/12/16154858/161225BUI_2027225371_2.jpg)
English (US) ·