Handelen regering rond DigiD kan privacy en veiligheid burgers in gevaar brengen | opinie

woensdag, 20 mei 2026 (11:26) - Leeuwarder Courant

In dit artikel:

DigiD, het Nederlandse inlogsysteem voor (semi-)overheidsdiensten dat door Logius (BZK) wordt beheerd, draait technisch op infrastructuur van dienstverlener Solvinity. Die leverancier dreigt uiteindelijk in Amerikaanse handen te vallen: Kyndryl, een afsplitsing van IBM, wil Solvinity overnemen. Dat wekt al maanden bezorgdheid bij Tweede Kamerleden vanwege de mogelijke toegang van Amerikaanse autoriteiten tot persoonsgegevens van vrijwel alle Nederlanders (volgens Amerikaanse wetgeving).

De kwestie escaleerde dit voorjaar. Al in november waren er signalen van risico’s; een samenvatting van een veiligheids- en impactanalyse concludeerde dat de genomen maatregelen onvoldoende zijn voor beschikbaarheid en privacy. Op 21 april nam de Kamer een motie aan om het contract met Solvinity niet te verlengen, maar tijdens het debat werd niet gemeld dat de staatssecretaris op 27 maart al had besloten het contract met twee jaar te verlengen — ondertekening zou begin mei plaatsvinden. De volledige risicoanalyse wordt na het reces op 11 mei met de hele Kamer gedeeld.

Pieter van Oordt, centrale privacyofficer bij Logius, maakte de zorgen publiek nadat hij geen gehoor vond bij BZK en een kort geding tegen de Staat aanspande; kort daarna werd hij ontslagen. Daarnaast dienden Nederlandse tech-experts en journalisten op 29 april een bezwaarschrift in bij het ministerie van EZ naar aanleiding van het voornemen om Solvinity in 2028 onder Kyndryl te laten vallen. Drie burgers spanden een kort geding aan tegen de Staat, maar de rechter wees hun vordering op 6 mei af; de motivering volgt.

Critici wijzen op inconsistent beleid: terwijl Nederland hard optrad tegen Chinese leveranciers als Huawei en ingreep bij Nexperia uit veiligheids- en economische overwegingen, lijkt de mogelijke Amerikaanse overname minder kritisch bejegend. Tegelijk sloot het Rijk een raamovereenkomst met het Duitse cloudplatform Stackit, met een exitclausule voor situaties waarin een leverancier buiten de EER komt. Volgens betrokkenen zijn er bovendien twee Nederlandse bedrijven bereid om de DigiD-taken over te nemen.

De kern van het debat is breder dan techniek: het gaat om digitale autonomie, bestuurlijke keuzes en de vraag hoe ver de overheid gaat in het beschermen van privacy en nationale veiligheid. De zaak roept ook democratische vragen op over transparantie richting parlement en de behandeling van een klokkenluidende ambtenaar. De bijdrage is van Albert Nauta uit Franeker, oud-ICT-professional. (Extra context: Amerikaanse wetgeving zoals de CLOUD Act kan Amerikaanse bedrijven verplichten data aan autoriteiten te verstrekken, ook als die data in het buitenland staan.)