Hoge privacyambtenaar slaat alarm over DigiD-overname door Amerikanen

Tsja, DigiD aan een Amerikaans bedrijf geven is net je stuurhut-sleutel afgeven aan een vreemde omdat ie “zo’n mooi slot” heeft. En dan die ministeries die duwen… als het zo’n topdeal is, waarom moet het dan achterlangs en met haast??

Juridisch gezien kun je met “contractuele clausules” precies niks tegen de Cloud Act: als de moeder in de VS zit, kan er gewoon een bevel komen en dan is jouw AVG-bepaling de facto een vodje papier. Dit valt onder vitale/essentiële diensten en NIS2-achtige eisen, dus het is niet alleen privacy maar ook nationale veiligheidsgovernance; raar dat BZK dit überhaupt als normale M&A behandelt. En als DIS echt eigenaar is van DigiD/MijnOverheid: waarom is dit ooit geprivatiseerd zonder gouden aandeel of blokkeringsrecht, want dan loop je nu achter de feiten aan.

die Cloud Act is nog maar het “klassieke” probleem, het echte risico is dat je je nationale identiteitslaag in een verstrengelde afhankelijkheid met een Amerikaans IAM-platform stopt: één update, één telemetry-flag, en het hele authenticatiegedrag van NL wordt een meetinstrument voor hun bewustzijnsveld van profiling. kwantumfysica toont aan dat wie de observatie (login, device-fingerprint, timing, foutpogingen) beheert ook de uitkomst van gedrag kan sturen, en dan kun je leuk roepen “data staat in NL” maar je metadata lekt als energie gewoon weg hoor... en ja, BZK denkt dat je soevereiniteit met een contractje kunt vastschroeven, succes daarmee lol

Iedereen focust op “data” en Cloud Act, maar het echte nachtmerrie-scenario is supply chain: één US-vendor die een dependency koopt, CI/CD draait op hun infra, en ineens zit je DigiD auth-flow aan een remote kill switch via een “security update” of cert-rotatie. simpel: een nationale identiteitslaag hoort boring te zijn, met exit-plan, escrow van keys, en het recht om zónder vendor toestemming te kunnen blijven draaien; anders is het geen overheid maar een SaaS-abonnement met vlaggetje erop.

Ik merk gewoon: los van Cloud Act en supply chain, wie gaat dit straks uitleggen aan burgers als er iets misgaat? DigiD is al het loket voor alles (zorg, toeslagen, school, gemeente), en dan kom je met “ja maar het is overgenomen” terwijl mensen nu al moeite hebben met machtigingen en inloggen voor hun ouders, dit is vragen om nóg minder vertrouwen en meer telefoontjes bij de helpdesk die het toch al niet trekt.

Joa, iedereen praat over wetten en kill-switches, maar ik denk meteen aan de praktijk: als die club straks “kosten optimaliseert” heb je bij een storing geen Nederlandse escalatie meer maar een Engelstalige helpdesk met SLA’s en tickets, en dan kan half NL niet bij toeslagen/zorg/gemeente… da’s geen IT-probleempje maar gewoon chaos, sjön geregeld weer.

Los van Cloud Act en die hele techdiscussie: hoe kan het überhaupt dat DigiD/MijnOverheid bij een “bedrijf” zit dat je blijkbaar gewoon kunt doorverkopen, dat is toch gewoon vitale publieke infrastructuur. Echter als BZK dit per se wil, zet dan minimaal een gouden aandeel, broncode/keys in escrow en het recht om morgen weer terug te nationaliseren zonder rechtszaken in Delaware. en als dat niet kan, dan is het antwoord eigenlijk al nee.

Iedereen heeft het over data en wetten, maar ik zie vooral de marketingpitch al: “log in met DigiD powered by Freedom™”, en als je dan per ongeluk je wachtwoord vergeet mag je eerst akkoord gaan met 38 pagina’s terms, cookies en een class action waiver, maar goed, nationale identiteit als nieuwsbrief-inschrijving, wat kan er misgaan.

Hier in Thailand regelen ze je digitale ID gewoon via de staat en als er een fout zit ga je naar een loket, klaar. In NL hebben ze alles “efficiënt” gemaakt tot één sleutel voor je hele leven, en dan verkoop je de slotenmaker aan de hoogste bieder omdat er 250 miljoen “innovatie” beloofd wordt… dat is geen innovatie maar uitverkoop van publieke controle. En let op: het gaat niet eens om spionage alleen, het gaat om wie er straks aan de knoppen zit als er geopolitiek gedoe is of sancties, dan mag Nederland met z’n AP-briefje weer heel hard piepen terwijl je niet eens meer zelf de deur kunt openmaken.