Kabinet verlengt DigiD-contract met Solvinity, ondanks wens Kamer

Feit is dat continuïteit bij DigiD echt geen luxe is, als dat plat gaat kun je zorg, toeslagen en halve overheid meteen mee laten vallen. Maar dan moet je niet met een geheime impactanalyse komen na het reces, privacy en buitenlandse zeggenschap zijn juist dingen die je publiek moet kunnen uitleggen. En als Kyndryl straks toch aan knopjes kan zitten, wil ik wel weten wie er aansprakelijk is als er data lekt, want dat “we hebben het beoordeeld” zegt precies niks.

Hier op het land: DigiD is voor mij gewoon “kan ik m’n mestboekhouding, subsidies en belasting nog in” en als dat eruit klapt ligt alles stil, dus snap dat ze niet ff gaan knippen en plakken. Maar dan moet je wél nu regelen dat data en beheer echt in NL/EU blijft en dat er een exit-plan klaar ligt, anders zit je over 2 jaar weer met dezelfde smoes en een contract dat vanzelf verlengt. En zo’n impactanalyse “vertrouwelijk na reces” voelt gewoon als: we hopen dat iedereen het tegen die tijd vergeten is.

Ja sorry hoor maar “vertrouwelijke impactanalyse na reces” klinkt als: we laten ’t eerst ff over Koningsdag waaien en dan zien we wel… ik hoorde van een klant die bij een gemeente-ICT club zit dat die contracten altijd vol staan met boeteclausules en “support in het buitenland”, dus laat ze dan minimaal zwart-op-wit zetten waar die logs en backups staan en wie er om 03:00 echt de stekker eruit trekt als ’t misgaat.

Men vergeet gemakkelijk dat dit soort “continuïteit” vaak gewoon betekent: we hebben onszelf in een vendor lock-in gemanoeuvreerd en nu durft niemand de stekker eruit te trekken. Als die impactanalyse echt zo gevoelig is dat hij vertrouwelijk moet, dan is dat juist een reden om nú publiek te maken welke waarborgen er wél zijn; anders is het democratische controle op een kernstuk van de rechtsstaat. En dat Amerikaanse eigenaarschap is niet alleen privacy, maar ook geopolitiek: morgen een sanctiepakket of een CLOUD Act-verzoek en je staat als Nederland met je rug tegen de muur.

Ik merk gewoon dat “continuïteit” altijd het toverwoord is, maar dat komt ook omdat ze DigiD nooit zo hebben ingericht dat je makkelijk van leverancier kan wisselen zonder paniek. Als je dan tóch 2 jaar verlengt, zet er dan meteen keihard in dat er parallel gebouwd wordt aan een exit en dat er elk half jaar openbaar gerapporteerd wordt wat er al is om weg te kunnen, anders is het over 2 jaar weer hetzelfde liedje.

Ik heb in de zorg gezien hoe “continuïteit” altijd het excuus is om alles maar door te duwen, en daarna blijkt ineens dat er wél alternatieven waren maar niemand durfde de stekker uit het verdienmodel te trekken… ik was zelf ook zo hoor, tot corona liet zien hoe snel regels buigen als het uitkomt. En dan nu een impactanalyse “vertrouwelijk” delen, ja dag, dat betekent gewoon dat wij het niet mogen zien maar Amerikaanse juristen straks wél via de achterdeur kunnen meekijken als ze willen!! DigiD is geen webshop-login, dit is je hele leven, en Den Haag doet alsof het een technisch detail is… pffff.

Continuïteit roepen ze altijd, maar waarom kan ik dan niet gewoon bij de balie met m’n paspoort iets regelen als DigiD eruit ligt? Alles MOET digitaal en dan besteden ze de sleutel uit aan een club met Amerikaanse lijntjes, en de burger mag het risico slikken… ik was vroeger ook van “ach, IT is IT”, tot je zag hoe snel ze tijdens corona systemen aan elkaar knoopten en niemand meer wist wie er toegang had!! Als die impactanalyse zo “vertrouwelijk” is, dan zit er dus iets in wat ze niet aan het publiek durven uitleggen, punt.

Ja jong, als die impactanalyse “vertrouwelijk” moet, laat dan in elk geval de Autoriteit Persoonsgegevens er nu openlijk iets van zeggen en niet alleen Den Haag onderling zitten knikken. En maak meteen een papieren noodroute voor mensen die hun paspoort/uitkering moeten regelen, want als DigiD plat ligt staode ge nu gewoon met lege handen bij ’t loket.

Continuïteit roepen ze altijd, maar niemand vraagt wie er ’s nachts adminrechten heeft als er “spoedpatches” moeten worden gedraaid: zit dat team gewoon in Utrecht of ook ergens in North Carolina met een koffiemok “I love compliance”. En die impactanalyse vertrouwelijk na het reces… ja mooi, dan weet je dus al dat het publiek “nee” zou zeggen als ze het wél mochten lezen, zeg maar.

Nou ja, waar ik nou altijd gek van word is dat je als burger bij elk loketje DigiD móét hebben, maar als er dan iets misgaat sta je dus met lege handen en kun je nergens heen, regel dan tenminste een fatsoenlijke papieren noodroute bij gemeente en UWV, hoor, anders is “continuïteit” gewoon een mooi woord voor gijzeling, toch. En die impactanalyse geheim, ja sorry, dan kan ik alleen maar denken: als het zo veilig is, waarom durven ze het dan niet gewoon uit te leggen in normaal Nederlands, toch.

Dat “continuïteit” is ook gewoon een bestuurlijke reflex: als het misgaat met DigiD heb je morgen Kamervragen, als privacy langzaam weglekt heb je… een rapport over 3 jaar. Enerzijds snap ik dat je niet even een nationale inlog-voorziening omkat, anderzijds is dit precies waarom de overheid altijd achter de feiten aanloopt: je koopt rust door afhankelijkheid te verlengen en noemt dat dan risicobeheersing. En die impactanalyse “vertrouwelijk” delen is niet alleen irritant, het maakt burgers weer toeschouwer van hun eigen digitale identiteit; democratische controle wordt dan een soort VIP-zaal waar je alleen in mag als je Kamerlid bent. Zet dan tenminste wettelijk vast dat de broncode/architectuur en audits publiek toetsbaar zijn, want anders is dit gewoon: over 2 jaar weer verlengen, weer “te spannend om te migreren”, en klaar.