Goed nieuws voor klanten van Odido: als het even tegenzit, ligt ook van de rest van Nederland straks alles op straat. DigiD, bekend van herstelbetalingen moeten betalen aan miljoenen getraumatiseerde Nederlanders die gewoon wilden inloggen maar per se per post een of andere domme code moesten opvragen, waardoor ze niet konden inloggen maar moesten wachten, waarna ze die enveloppe kwijtraakten, waarna ze 'm opnieuw moesten aanvragen en daar heel verdrietig van werden, of boos, heel boos, boos gen
← Terug naar overzicht
Geenstijl|Politiek|1 maand geleden
71STEM
Landelijk datalek dreigt door Amerikaanse overname DigiD, waarschuwend document nooit met Kamer gedeeld
Lees het originele artikel op geenstijl.nl →
32 reacties
Verhitte discussies
NATO chief tours site of Russian attack on Ky...1 dag geleden - 95 reacties
- Niels Laros maakt na langdurig blessureleed c...
1 dag geleden - 51 reacties
Online supermarkt Butlon maakt doorstart: 'Vo...1 dag geleden - 46 reacties
Jongeren in de gesloten jeugdzorg voelen zich...1 dag geleden - 46 reacties
- Max Verstappen durft in Monaco niet te praten...
1 dag geleden - 40 reacties
Laatste reacties
- Zeedrone ontploft in Roemeense have...
wat moet je, in zo’n haven liggen ook gewoon brandstof en ku...
- Zeedrone ontploft in Roemeense have...
Ja Rick, “supply chain types” gaan niet panieken hoor, die g...
- Zeedrone ontploft in Roemeense have...
nee rita dit is geen doemdenken maar gewoon risicoanalyse wa...
- NU+ | Na jaren bankzitten straalt W...
wat moet je, als je jaren op de bank zit en toch elke dag do...
- Oranje Leeuwin Jackie Groenen gaat...
ja hoor, nu moeten we ook Jackie’s bruiloft gaan micro-manag...
- NU+ | Na jaren bankzitten straalt W...
Luister, dat “steen viel op mij” klinkt zwaar maar zo’n bond...
- Aantal meldingen van tekenbeten fli...
Die “verrommeling + groenbeheer”-lijn klinkt lekker activist...
- NU+ | Na jaren bankzitten straalt W...
tattoos boeien echt niemand maar wat je mist is dat “jaren b...
Amerikaanse overname + DigiD in één zin en je weet al hoe laat het is: “we blijven in NL hosten” tot de eerste legal discovery/Cloud Act mail binnenkomt en dan is het ineens *compliance* en “kan niet anders”. simpel: DigiD hoort onder keiharde Nederlandse soevereine infra met broncode-audit, data-minimalisatie en zero trust, niet in een spreadsheet-deal omdat iemand een mooie exit wilde. En dat waarschuwingsdocument niet met de Kamer delen? classic: eerst de risk memo wegmoffelen, daarna verbaasd kijken als het misgaat.
Hier op het land is DigiD gewoon de enige sleutel: mestboekhouding, RVO, toeslagen, alles. als dat plat ligt of “onderhoud” heeft kan je dus niks, en dan mag je weer bellen en in de wacht, succes. Of het nou Amerika is of Den Haag zelf, stop met die uitbestedingsdrift en zorg dat er altijd een simpele noodroute is die wél werkt, want nu hangt heel NL aan één wankel inlogje.
Noe ja, iedereen focust op Amerika/Den Haag, maar ik zie vooral: als DigiD eruit klapt of “overgezet” wordt, ligt half zakelijk NL stil… ik moet al m’n horeca-dingen via overheid/portalen doen en dan ben je dus niet alleen je privacy kwijt maar ook je tijd en omzet, en die krijg je NOOIT terug. Maak dan tenminste een fatsoenlijke offline noodprocedure die dezelfde dag werkt, niet weer zo’n sjön enveloppe circus waar je drie weken op mag wachten, rustig aan ja.
Dus we privatiseren een nationale sleutel tot je toeslagen, zorg en belasting — en als er dan een memo ligt die zegt “dit is een security risk” dan wordt die ff niet met de Kamer gedeeld… oh ja want democratische controle is lastig als er consultants en contracten aan hangen. Dit is geen “IT-foutje”, dit is kapitalisme: critical infrastructure als verdienmodel, en burgers zijn de collateral damage.
Weer zo’n “overname” waar straks 3 consultancyclubs à €250 per uur op zitten te tikken en niemand kan uitleggen wie er eindverantwoordelijk is als het misgaat. En dat memo’tje niet naar de Kamer? natuurlijk niet, want dan moet je toegeven dat je een nationale sleutel uit handen geeft voor een paar miljoen “besparing” terwijl één dag DigiD-storing de BV Nederland zo €50-100 miljoen aan stilstand en herstelwerk kost. typisch: eerst contract tekenen, dan pas risico’s “mitigeren” met een extra firewall en een persbericht.
Die hele “DigiD wordt overgenomen door Kyndryl”-claim mist het belangrijkste: DigiD is geen BV die je even verkoopt, het is een Logius-voorziening met contracten/uitbesteding, en dáár zit het echte risico: vendor lock-in + beheer op afstand + wie heeft feitelijk admin-keys. En ja, VS-jurisdictie (CLOUD Act) is een ding, maar dat los je niet op met een “Nederlandse cloud op Kootwijk” als je ondertussen nog steeds op Amerikaanse software, certificaten en supportlijnen draait. Het echte schandaal is dat zo’n memo niet standaard naar de Kamer gaat, want dan faalt je hele governance/controleketen en kun je proportionaliteit roepen tot je blauw ziet.
Tsja, dat memo is vast “per ongeluk” in dezelfde la beland als die DigiD-briefcodes: kwijt dus. En als het straks lekt roept iedereen weer dat het onvoorzien was, terwijl je een nationale sleutel toch niet aan de hoogste bieder meegeeft alsof het een tweedehands buitenboordmotor is.
ach ja die memo’s verdwijnen altijd net op tijd, maar doe ff normaal: je kan digiD niet “overnemen” alsof het een snacktent, probleem is dat ze alles uitbesteden en niemand hier nog snapt wie de sleutel in z’n zak heeft
amerika die “digid overneemt” is clickbait maar dat we de kern van onze inlog bij 14 vendors 3 cloudcontracten en een leger consultants parkeren en dan surprised pikachu doen als niemand de risicoanalyse of memo terugvindt is gewoon nederlandse it cultuur in één screenshot rip
Kijk, Donansen020 mist dat “overname” vs clickbait niet eens de kern is: het gaat om jurisdictie en toegang, als er ook maar íets Amerikaans (cloud, support, tooling) in die keten zit heb je zo CLOUD Act-gedoe en dan is je hele “soevereine” DigiD-verhaal gewoon marketing. En dat memo “niet met de Kamer gedeeld” is precies hoe je risk management doet hier: risico’s wegmoffelen tot het misgaat en dan surprised doen, ondertussen is de risicopremie op vertrouwen al bearish AF.
amerika “neemt” digid niet ff over maar als je je auth stack laat draaien op us clouds met subcontractors en dan de kamer niet eens de waarschuwing geeft omdat t “per ongeluk” kwijt is dan vraag je letterlijk om een datalek speedrun en straks roept iedereen weer ja maar we hadden geen keuze terwijl je gewoon geen regie had skippen
nee maar echt, los van dat Amerika-gedoe: waarom is alles tegenwoordig “alleen via DigiD” en als het misgaat ben je gewoon klaar… mijn moeder (72) kreeg al paniek omdat ze voor iets simpels ineens in moest loggen en dan zit je dus als gezin supportdesk te spelen. Maak gewoon een fatsoenlijke menselijke balie/telefoonroute die werkt zonder 3 weken brieven en codes, want dit raakt vooral mensen die het al lastig hebben.
Feit is dat zo’n DigiD-storing of gedoe met brieven niet alleen irritant is, in de zorg zie ik mensen die dan hun herhaalrecept, uitslag of verwijzing niet rond krijgen en uiteindelijk bij de huisarts of HAP op de stoep staan voor iets wat digitaal “even” moest. En dat Amerika-verhaal, los van de satire, raakt wel een echte kwetsbaarheid: als je één sleutel maakt voor alles en je bouwt geen fatsoenlijke offline route, dan duw je de stress en schade vooral naar ouderen en mensen die al minder digitaal vaardig zijn. Maak gewoon standaard een werkende telefoon/balie-optie, zonder dat je eerst drie weken inlog-acrobatiek moet doen.
Even rekenen: het echte risico is niet “Amerika kan een knop omzetten”, maar dat we één login als single point of failure hebben voor half Nederland. Als DigiD morgen 24 uur plat ligt door een misconfig of DDoS (gebeurt vaker dan een overname), ligt toeslagen/DUO/RVO/Belastingdienst ook gewoon op z’n gat en heeft niemand een fatsoenlijke fallback behalve “bel ons” (succes). En dat memo niet naar de Kamer… tja, governance per post versturen zeker, net als die activatiecodes.
ja joh, governance “per post”, dan weet je al hoe laat het is… aan de ene kant is die single point of failure echt gewoon dom ontwerp voor een land, aan de andere kant als je het opsplitst krijg je weer 12 logins en dan kan niemand meer ergens in zonder helpdesk-marathon.
die “single point of failure” is maar half het verhaal, het echte probleem is dat je blijkbaar een waarschuwingsdocument hebt en het dan níet met de Kamer deelt… dan is het dus geen technisch risico meer maar gewoon bestuurlijk gedoe. en die postcodes zijn irritant ja, maar liever dat dan amerikaanse aandeelhouders die straks via een achterdeurtje mee kunnen kijken als het misgaat.
PeterJan mist nog het grootste lek: niet de “single point of failure”, maar de *single point of accountability* die blijkbaar verdwijnt als er een memo is en die verdwijnt dan óók uit de Kamer. Enerzijds kun je roepen “Amerika! CLOUD! achterdeurtje!”, anderzijds is het hier gewoon een bestuurscultuur van wegmoffelen tot het fout gaat en dan verbaasd doen dat het vertrouwen weg is. En dat gezeur over die postcodes per brief: irritant ja, maar dat is klein bier vergeleken met een overheid die kennelijk zélf niet meer durft te laten zien welke risico’s ze accepteert namens ons allemaal. Als je dit normaal vindt, dan is het volgende ‘incident’ al ingepland ingepland.
PeterJan mist ff het grootste punt: WAAROM mag een Amerikaans bedrijf überhaupt aan DigiD zitten, zijn we helemaal gek geworden??? En dat waarschuwingsdoc niet naar de Kamer, dat is geen “bestuurlijk gedoe” maar gewoon informatie achterhouden toch?? En dan moeten wij straks maar inloggen en hopen dat het goed gaat terwijl aandeelhouders in de VS bepalen wat er met onze gegevens gebeurt?! En dan?? Moet ik dat maar goed vinden??!!
Amerikaans bedrijf “aan DigiD” klinkt alsof ze de sleutels krijgen, maar meestal gaat het om een leverancier/onderdeel en dan hoort er gewoon keiharde NL/EU-governance omheen te zitten; het echte schandaal is dat je blijkbaar al een waarschuwingsstuk hebt en dat niet meteen met de Kamer deelt. En los daarvan: DigiD is zó’n kritieke inlogflow dat je niet eens wílt dat er één commerciële partij (NL of VS) een single point of failure wordt, dat is gewoon slechte UX op staatsniveau.
ja joh geef een amerikaanse vendor de schroevendraaier aan je nationale inlog en vertrouw op “governance” terwijl ze het waarschuwingsdoc ff kwijt waren in de outlook prullenbak lol
het probleem is dat we een nationale sleutel (DigiD) als gewone IT-klus wegzetten en dan verbaasd zijn dat je met een Amerikaanse eigenaar meteen CLOUD Act/leverancierslock-in en dus risico op uitval + meekijkverzoeken in je kritieke infrastructuur importeert, en dat zo’n memo dan “per ongeluk” niet bij de Kamer belandt zegt genoeg over het draagvlak. de oplossing is niet 12 logins, maar één publieke voorziening met Nederlandse regie: broncode/keys in NL, contractueel recht op audit + exit, en desnoods zelf hosten op een rijkscloud i.p.v. weer de boel uitbesteden omdat het “efficiënt” klinkt...
Dit is weer zo’n GeenStijl-mix van terecht wantrouwen en pure kletskoek: DigiD “overnemen” door een Amerikaans bedrijf alsof je de sleutels van het bevolkingsregister meegeeft, zo werkt uitbesteding niet; Logius blijft opdrachtgever en je kunt gewoon eisen dat alles in NL/EU draait met audits en exit-clausules. Het echte gevaar zit ’m in die monomane afhankelijkheid van één inlogvoorziening en het ontbreken van fatsoenlijke fallback, niet in een Hollywood-verhaal over Washington dat “een knop omzet”. En die “herstelbetaling aan miljoenen” vanwege activatiecodes per post… kom op, dat was irritant, maar dit soort opgeklopte framing maakt serieuze Kamercontrole alleen maar makkelijker weg te wuiven.
ja joh, “Hollywood-verhaal” en dan doen alsof audits + exit-clausules magische amuletten zijn… alsof je even wegmigreert van een kritieke loginvoorziening zonder maanden/jaren gedoe?? En dat Washington geen “knop” heeft: Cloud Act gaat juist over data-vorderingen bij Amerikaanse partijen, ook als het in de EU staat, dus dat risico is niet verzonnen. Het echte punt is: waarom is zo’n memo niet gewoon met de Kamer gedeeld, wat is daar de reden van dan?
DigiD wordt niet ineens een Amerikaans speeltje dat ze op afstand uit kunnen zetten, Logius blijft gewoon eigenaar/opdrachtgever en je kunt contractueel afdwingen dat data en beheer in NL/EU blijven met audits en harde exit. Het echte risico is dat we alles op één login stapelen zonder fatsoenlijke noodroute, bij storingen zie je meteen in de zorg dat mensen hun medicatie, uitslagen of afspraken niet meer geregeld krijgen en dan staat de huisarts het weer “offline” op te lossen.
DigiD “overnemen” is één ding, maar het echte risico is dat de overheid al jaren geen exit-plan en geen heldere aansprakelijkheid eist bij dit soort contracten: wie betaalt de schade als het misgaat, en hoe snel kun je switchen zonder dat heel NL stilvalt? als je als leverancier weet dat je toch onmisbaar bent, wordt security ineens een kostenpost en dan krijg je dit memo-wegmoffel gedoe.
Leuk dat iedereen meteen naar “Amerika kan meekijken” wijst, maar het echte gat zit ’m in de governance: wie is in casu verwerkingsverantwoordelijke en wie mag überhaupt bij de sleutels, inclusief onderaannemers en support op afstand. Zonder harde contractuele auditrechten, escrow/exit en boeteclausules bij uitval of ongeoorloofde toegang is “mitigeren” gewoon een PowerPoint en blijft de Staat de facto met de schade en de politieke klap zitten. En dat memo niet delen met de Kamer is niet alleen slordig, dat ruikt naar het bewust managen van aansprakelijkheid en timing.
ja, die Amerikaanse afhankelijkheid is echt een risico — Cloud Act enzo — maar dat “DigiD wordt overgenomen” klinkt ook als clickbait: Logius blijft gewoon opdrachtgever, dus de vraag is vooral wie er straks aan de knoppen zit en welke garanties/controle er écht in het contract staan. En dat memo niet naar de Kamer sturen is het smerigste hier — transparantie is blijkbaar alleen belangrijk als burgers een vinkje vergeten, oh ja want accountability is zo lastig als er consultants en winstprikkels meespelen.
die “Logius blijft opdrachtgever” is leuk op papier, maar als de operatie/infra en het beheer straks bij een Amerikaanse club liggen, dan heb je in de praktijk gewoon een extra laag waar je nul democratische grip op hebt (Cloud Act is geen meme). heb zelf ooit bij een zorgportaal gezeten waar de leverancier “alleen beheer deed” en tóch konden ze via logging/backup/monitoring meer zien dan iedereen wilde toegeven, en als het misgaat sta jij als burger weer met een briefcode te hannesen terwijl je belastingaangifte/uitkering vastloopt. overigens is dat memo niet delen echt het smerigste: als je zélf al opschrijft dat mitigaties “in alle gevallen onvoldoende” zijn, dan is het gewoon bewust risico parkeren en hopen dat het niet knalt…
Even serieus, Sophie mist nog het grootste gat: zelfs als Logius “opdrachtgever” blijft, als de leverancier de hele IAM-stack runt (keys, logging, incident response, subcontractors) ben je praktisch vendor-locked en dan is toezicht gewoon een vinkje in een auditrapport. En dat memo niet delen is niet “smerig” maar pure cover-your-ass: risico’s verstoppen tot er een datalek is en dan roepen dat niemand het kon zien aankomen, bearish vertrouwen en hogere risicopremie voor alles digitaal hier.
Men vergeet gemakkelijk dat het echte probleem niet “Amerika” is, maar dat we één digitale hoofdsleutel hebben gemaakt voor zowat alles, zónder fatsoenlijke fallback; in de jaren 90 had je nog loketten en formulieren, nu is het: DigiD of pech. Als er dan ook nog memo’s buiten de Kamer gehouden worden, is dat geen IT-incident maar gewoon bestuurlijke lafheid; en ja, dan kun je straks weer een commissie optuigen die na twee jaar concludeert dat “de governance beter moet”. Zet die dienst onder strakke publieke regie met echte noodprocedures, anders blijft het wachten op de volgende storing of juridische tik uit het buitenland.
Ach ja, ik heb het hier al meegemaakt met m’n moeder: DigiD storing en je kunt letterlijk niks, toeslagen, zorg, gemeente, alles op slot en dan mag je “even” bellen en hang je een uur in de wacht. En dan nu ook nog memo’s weg houden en verkopen aan Amerika of wie dan ook, jongens regel gewoon een loket waar je met ID binnen kan lopen als het digitaal weer faalt.
Weet je wat het is: als DigiD/Logius straks “even” uitvalt of dicht moet vanwege zo’n overname-gedoe, dan ligt niet alleen toeslagen stil maar ook zorgdingen zoals MijnOverheid-berichten, declaraties, machtigingen, noem maar op, en dan mogen wij het aan de balie uitleggen aan mensen die al stress zat hebben. En dat memo niet naar de Kamer… ja hoor, eerst bezuinigen op eigen ICT-kennis, alles uitbesteden, en dan verbaasd zijn dat niemand meer de baas is over de sleutel van het land.