Key Takeaways:
Buitenlandse controle over vitale data: De mogelijke Amerikaanse overname van de IT-partij achter DigiD toont aan hoe kwetsbaar onze kritieke digitale infrastructuur is.
Wetgeving overstijgt locatie: Zelfs als data fysiek in Europa staat, kan buitenlandse wetgeving (zoals de Amerikaanse Cloud Act) overheden de macht geven om toegang te eisen of systemen te verstoren.
Van IT-probleem naar boardroom-issue: Digitale afhankelijkheid is een strategisch risico. Organisaties moeten direct een eigen ‘DigiD-stresstest’ uitvoeren om te zien wie er écht aan de knoppen zit.
Tot niet zo heel lang geleden kraaide er geen haan naar dat gevoelige Nederlandse gegevens op Amerikaanse servers staan. In de VS resideert nu eenmaal Big Tech, en de Amerikanen hebben het beste met ons voor. Toch? Sinds Trump waait er echter een gure wind van over de Atlantische oceaan. En dus zorgt een Amerikaanse overname van de beheerder achter DigiD en MijnOverheid voor onrust en Kamervragen.
Wake-up call
Het zit zo: DigiD wordt beheerd door Logius, de IT-dienstverlener van de overheid. De onderliggende technologie draait echter op systemen van Solvinity, een Nederlands bedrijf dat nu mogelijk wordt overgenomen door het Amerikaanse Kyndryl. Daarmee komt een cruciaal onderdeel van de digitale infrastructuur indirect onder Amerikaanse zeggenschap.
En daar is al maanden onrust over. Terecht? Cybersecurity-expert Harm Teunis vindt van wel. „Een wake-up call was toen rechters van het Internationaal Strafhof uit hun Microsoft-accounts werden gegooid na Amerikaanse sancties. Dat was een moment waarop we in Europa beseften: dit moeten we niet willen. Bij vitale infrastructuur waar we als samenleving op leunen, moet je hier kritisch naar kijken.”
Als dit wegvalt, kun je in één keer niet meer communiceren met je overheid. Dat raakt direct aan het functioneren van de rechtsstaat
Harm Teunis
Raakt het functioneren van de rechtsstaat
Dat laatste gebeurt ook. Een meerderheid in de Tweede Kamer zei afgelopen week het beheer van DigiD bij Solvinity weg te willen halen in het geval van een Amerikaanse overname. Het kabinet kijkt ondertussen nadrukkelijk naar Europese alternatieven om minder afhankelijkheid te zijn van Amerikaanse cloudleveranciers.
Teunis, die techverslaggever was bij RTL voordat hij besloot zich bij ESET fulltime te wijden aan cyberveiligheid, vindt de commotie rond DigiD allesbehalve overdreven. „DigiD is wettelijk aangemerkt als vitale infrastructuur. We hebben het nodig voor belastingaangifte, zorgportalen en communicatie met instanties zoals het UWV. Als dit wegvalt, kun je in één keer niet meer communiceren met je overheid. Dat raakt direct aan het functioneren van de rechtsstaat.”
Niet de techniek, maar de controle
Opvallend genoeg zit het grootste risico volgens Teunis niet in de technologie zelf. „De techniek verandert in essentie niet. Het gaat om macht. De juridische en politieke dynamiek verandert. Daarmee verschuift de discussie van cybersecurity naar geopolitiek. Wie heeft uiteindelijk de controle over systemen die cruciaal zijn voor een samenleving?”
Een concreet voorbeeld daarvan is de Amerikaanse Cloud Act. Die geeft Amerikaanse autoriteiten het recht om toegang te vorderen tot data van Amerikaanse bedrijven, ook als die data fysiek in Europa staat. „Als een moederbedrijf Amerikaans is, kan dat gevolgen hebben voor wie er aan de knoppen zit. Bij een ernstig conflict kan zo’n systeem in theorie als drukmiddel worden ingezet richting een overheid.”
Hardnekkige mythe
De discussie rond DigiD legt volgens Teunis een veelvoorkomend misverstand bloot. „Er wordt vaak gedacht: als data in Europa staat, zit het wel goed. Maar dat is niet zo. Het gaat om wie de dienst bezit, niet waar de server staat.”
Zelfs met de strenge Europese privacywetgeving, zoals de AVG, ben je niet volledig beschermd tegen buitenlandse invloed, waarschuwt hij. „De AVG is een supersterke privacywet, maar geen geopolitiek schild. Als de eigenaar Amerikaans is, kan de Amerikaanse overheid volgens hun wetten rechtmatig meekijken.”
Lees ook: Nederlandse cloudaanbieder Cyso: ‘We zien een toenemende belangstelling sinds Trump aan de macht is’
Dat besef begint inmiddels ook in de politiek door te dringen. De recente discussie over DigiD past in een bredere trend waarin Europese landen kritischer kijken naar hun digitale afhankelijkheid. De discussie gaat daarmee allang niet meer alleen over één systeem. Het raakt aan een bredere vraag die steeds urgenter wordt voor bestuurders: hoe afhankelijk wil – en kun – je zijn van buitenlandse technologie?
Ongemerkt gegroeid in de cloud
Voor bedrijven is de DigiD-kwestie vooral een signaal dat ze hun eigen digitale afhankelijkheden opnieuw moeten beoordelen. „We leunen in Europa voor ongeveer 90 procent op diensten van buiten de EU”, zegt Teunis. „Dat kan als drukmiddel worden gebruikt.”
Die afhankelijkheid is vaak ongemerkt gegroeid, via cloudoplossingen, softwareplatforms en IT-diensten die diep in de organisatie zijn verankerd. „Het gaat niet alleen om technologie, maar om waar je die technologie onderbrengt. De discussie rond DigiD maakt dat risico tastbaar. Wat gebeurt er als een cruciale dienst ineens niet meer beschikbaar is, of onder invloed komt van een andere jurisdictie? Organisaties moeten zichzelf de vraag stellen: welke van onze systemen kan iemand buiten onze invloed zomaar uitzetten?”
Digitalisering is niet meer weg te denken, maar we moeten beter begrijpen waar we van afhankelijk zijn
Harm Teunis
Van efficiëntie-instrument naar strategische asset
Wat begint als een politiek debat over DigiD, raakt daarmee aan een strategisch vraagstuk voor vrijwel iedere organisatie. Digitale afhankelijkheid is niet langer alleen een IT-thema, maar een boardroom-issue. Teunis ziet de huidige discussie dan ook als een kantelpunt. „Digitalisering is niet meer weg te denken, maar we moeten beter begrijpen waar we van afhankelijk zijn.” Voor bestuurders betekent dat een andere manier van kijken naar technologie: niet alleen als efficiëntie-instrument, maar als strategische asset met geopolitieke implicaties.
Doe de stresstest binnen je eigen organisatie
De DigiD-discussie is volgens Teunis bij uitstek geschikt als stresstest voor organisaties. Hij geeft de volgende praktische tips:
Maak een inventarisatie van kritieke systemen: Breng in kaart welke digitale diensten essentieel zijn voor je bedrijfsvoering.
Analyseer afhankelijkheden: Kijk niet alleen naar technologie, maar vooral naar eigenaarschap en jurisdictie.
Voer een ‘DigiD-check’ uit: Welke systemen kunnen buiten jouw invloed worden uitgeschakeld?
Beoordeel geopolitieke risico’s: Denk na over scenario’s waarin internationale spanningen impact hebben op je IT.
Ontwikkel een exit-strategie: Zorg dat je kunt switchen als een leverancier wegvalt of onbetrouwbaar wordt.
Veranker dit in beleid: Maak digitale autonomie onderdeel van risicomanagement en governance.
Investeringsklimaat: rem of kwaliteitskenmerk?
Teunis juicht het toe dat de politiek - een Kamerlid als Barbara Kathmann (Pro) voorop – zich druk maakt over de DigiD-overname. Maar wat zijn de gevolgen van politieke inmenging voor het investeringsklimaat? Is het blokkeren van overnames niet schadelijk voor innovatie en internationale samenwerking?
Lees ook: Soevereiniteit? Nederland geeft controle DigiD en andere digitale kroonjuwelen juist uit handen
Teunis ziet dat genuanceerder. „Regelgeving kan een rem lijken op innovatie, maar je kunt het ook zien als een kwaliteitskenmerk. Als we voldoen aan deze regels, kan dat een kracht zijn bij aanbestedingen. Als de kaders duidelijk en consistent zijn, liggen er juist kansen voor investeringen in Europese spelers. Hierdoor ontstaat een vliegwiel van bedrijven die elkaar versterken. 'Koop lokaal' kan uiteindelijk zorgen voor een mooier investeringsklimaat in Europa.”
Ontvang elke week het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in:
