De overname van IT-bedrijf Solvinity door Kyndryl roept alsnog vragen op over de kwetsbaarheid van identificatietool DigiD. DigiD wordt gebruikt door oveheden om burgers toegang te geven tot persoonlijke informatie, bijvoorbeeld in selfservice-omgevingen.
In reactie op kamervragen van Barbara Kathmann (GroenLinks-PvdA) heeft staatssecretaris Eddie van Marum (BBB, verantwoordelijk voor digitalisering) bevestigd dat er weldegelijk nieuwe risico’s ontstaan als it-dienstverlener Solvinity wordt overgenomen door Kyndryl. Solvinity is de ontwikkelaar van het DigiD-platform.
Het bestuur van Solvinity heeft die risico’s tot nu toe gebagatelliseerd of ontkend. De meerderheid van Solvinity is in handen van een private equity investeerder die het bedrijf nu wil verkopen. 40% is in handen van de oprichters.
Als die verkoop doorgaat, valt Solvinity onder de reikwijdte van Amerikaanse CLOUD Act. Volgens die wet kunnen autoriteiten in de VS toegang opeisen tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt, heeft Van Marum nu ook bevestigd in de antwoorden op de Kamervragen.
Solvinity levert diensten aan meerdere departementen, waaronder BZK(Logius), JenV, SZW, VWS, Financiën.
Reactie staatssecretaris
“De (…) wettelijke instrumenten maken het, in ieder geval in theorie, mogelijk dat autoriteiten in de VS onder de in deze wetgeving genoemde voorwaarden toegang kunnen krijgen tot de gegevens waarover een onderneming in de VS beschikt, óók wanneer de gegevens zich bevinden onder een dochtervennootschap en op servers buiten de VS. Als Solvinity wordt overgenomen door een onderneming in de VS brengt dit Solvinity onder de reikwijdte van deze wetgeving. Het gevolg daarvan kan, in ieder geval in theorie, zijn dat autoriteiten in de VS in voorkomend geval toegang krijgen tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt,” aldus het antwoord.
Vervolgstappen
Bij de landsadvocaat wordt momenteel advies ingewonnen over het ontbinden van het contract tussen Logius (beheerder van DigiD) en Solvinity. Daarnaast wordt geïnventariseerd of er kritieke processen afhankelijk zijn van de dienstverlening door Solvinity. Door deze inventarisatie wordt inzicht in het totale risicobeeld verkregen. Op basis hiervan kunnen afwegingen gemaakt worden ten aanzien van het handelingsperspectief. De verwachting is dat de inventarisatie in de komende twee weken wordt afgerond, aldus de brief.
(Ziptone, NRC, Computable)
Ook interessant
-
15 september 2016 - Nederlanders deden dit voorjaar 4,8 procent van hun uitgaven aan supermarktproducten…
-
20 november 2017 - Het Vlaamse bedrijf Callexcell is op zoek naar 120 nieuwe werknemers. Daarbij wil…
-
Zowel bij Belfius als bij KBC behandelt een chatbot nu meer vragen dan dat er…