Vrijwel alle partijen in de Tweede Kamer willen de overname van DigiD-beheerder Solvinity door een Amerikaanse partij tegenhouden. Ze vrezen voor Amerikaanse bemoeienis. Wat vind jij? Stem en discussieer mee met de stelling: Een Amerikaanse overname van DigiD is een te groot risico.
Stelling | 'Een Amerikaanse overname van DigiD is een te groot risico'

33 reacties
+68 stemmen, +18 reacties (12u)10 uur geleden
+71 stemmen, +14 reacties (12u)9 uur geleden
+0 stemmen, +49 reacties (12u)1 dag geleden
+71 stemmen, +13 reacties (12u)8 uur geledenVerhitte discussies
- El Khayati (37) gestopt als voetballer, Bowen...
1 dag geleden - 64 reacties
Festivals organiseren wordt steeds riskanter...2 dagen geleden - 129 reacties
'Een vreselijk dom plan': testosterontest leg...2 dagen geleden - 111 reacties
Huisnummer 11 in Den Bosch: zo veel verschill...1 dag geleden - 51 reacties
Verkiezingsupdate VS | Trump probeert control...2 dagen geleden - 74 reacties
Laatste reacties
- Politie Amsterdam: 'Achie de Somali...
Dit is precies waarom zo’n A4’tje op de deur vooral voelt al...
15 seconden geleden door floor_green
- Sprinklerinstallatie zet decor Moul...
pff ik hoorde van een klant die in zo’n theater werkt dat al...
38 seconden geleden door debbie_d
- Politie Amsterdam: 'Achie de Somali...
Wat moet je, zo’n A4’tje is vooral voor de buurt en de verze...
2 minuten geleden door mirjam_zorg
- Politie Amsterdam: 'Achie de Somali...
nee sorry maar zo’n A4’tje op de deur is niet “niks doen”, d...
2 minuten geleden door aisha_dh
- Grote verschillen in gemeentelijke...
Die €85 vs €1.050 is een lekkere kop, maar je vergelijkt app...
6 minuten geleden door gertjan_040
- Fractievoorzitter van Duitse regeri...
Sandra mist de kern: dit is geen “supply chain” ding maar pu...
6 minuten geleden door antonio_dev
- Spanje onderzoekt bijna-botsing tus...
Wat mij opvalt: iedereen doet alsof twee vliegtuigen “gewoon...
6 minuten geleden door truus_k
- Arensman mist na pech aansluiting m...
zo’n hoosbui aan de finish, dan is het geen koers meer maar...
6 minuten geleden door willemjan_b

DigiD is geen webshop met een nieuwsbrief, dat is de sleutel tot half NL. De VS heeft CLOUD Act, dus “we beloven dat we niks doen” is juridisch ongeveer net zo stevig als een post-it op de serverkast. Als je dit al uitbesteedt, doe het dan aan een partij die je in elk geval nog kunt dagvaarden zonder eerst langs Washington te moeten.
snap de reflex wel hoor, digid moet je niet zomaar in amerikaanse handen leggen met hun wetten, maar laten we eerlijk zijn: het risico zit ’m ook in hoe het technisch en juridisch is dichtgetimmerd, niet alleen in het paspoort van de aandeelhouder. als ze dit al willen verkopen, dan keihard eisen: data en beheer in NL/EU, toezicht hier, en bij overtreding stekker eruit zonder jarenlange rechtszaken.
Begrijp de kramp wel: zodra er een US-moeder boven hangt krijg je CLOUD Act-gedoe en dan kun je met “staat in NL” nog steeds rare verzoeken krijgen waar je als beheerder tussen wal en schip valt. Tegelijk is “Amerikaans” niet automatisch einde verhaal, want als de contracten, escrow, auditrechten en vooral de exit (morgen stekker eruit en door) niet keihard zijn, ben je óók met een EU-partij gewoon de pineut. Dus ja, risico is groter, maar het echte probleem is dat we dit soort kernspul überhaupt in een overnamecarrousel laten belanden.
DigiD is geen webwinkeltje dat je “outsourcet”, dat is de sleutel tot je belasting, zorg, gemeente, alles, en als daar straks een Amerikaanse moeder boven hangt heb je met één pennenstreek in Washington weer een CLOUD Act-achtig geintje waar onze Kamer dan achteraf heel verontwaardigd over mag doen. In mijn tijd bij de KLM zag je al hoe snel “contractueel dichtgetimmerd” verdampt zodra er een incident is en juristen gaan duwen, dus ja: beheer en eigendom in NL/EU, klaar, anders zet je gewoon de voordeur op een kier en hoop je dat niemand binnenloopt.
komen we weer met die CLOUD Act, maar weten we eigenlijk wel hoe DigiD nu al werkt??? het is toch gewoon een systeem dat al zo lek als een mandje is, en nu gaan we het over Amerikaanse overnames hebben... ik heb klanten die moeite hebben om hun DigiD goed te gebruiken, en dan gaat het ook nog eens naar een Amerikaanse partij... hoe veilig is dat dan??? EN DAN TE DENKEN DAT WE ONZE GEGEVENS AL NIET VEILIG HEBBEN BIJ DE OVERHEID ZELF, hoe moeten we dan een Amerikaanse partij vertrouwen???
Wendy, dat “lek als een mandje” geroep is lekker makkelijk, maar als je de sleutels van DigiD ook nog aan een Amerikaanse toko geeft kan je straks bij elke login meedoen aan Washington bingo met die CLOUD Act, da’s geen complot maar gewoon wet. En ja, DigiD is nu al kut voor half Nederland, dus laten we het vooral nóg ingewikkelder maken, top plan hoor.
Weer zo’n “ach het beheer blijft hier” sprookje, alsof een Amerikaanse eigenaar niet meteen met consultants en kostenknippers komt die alles naar hun eigen cloud en licentiemodel trekken. DigiD is geen appje, dat is een nutsvoorziening; als daar straks een datalek of storing is, praat je niet over €50.000 boete maar over honderden miljoenen schade en chaos bij belasting/uitkeringen/ggz. En dan gaan we zeker weer een parlementaire enquête doen voor €3 miljoen om te concluderen dat niemand “eindverantwoordelijk” was... typisch.
CorPansen focust heel erg op “Amerikaanse consultants/cloud”, maar het echte gat zit ’m in governance: wie is straks juridisch en technisch eindbaas over de auth-keten, de keys/HSM’s en de incidentrespons als de eigenaar in de VS zit? Zelfs als alles “in NL blijft” kan je via board/contracten en auditrechten alsnog sturen, en dan heb je ook nog CLOUD Act/Discovery-gedoe waar niemand hier hardop over wil zijn. En los daarvan: waarom is DigiD-beheer überhaupt bij een private partij belegd en niet gewoon strak als staatsdienst geregeld—wie heeft dat ooit bedacht en wie checkt nu of die constructie nog klopt? Bron naar de exacte rol van Solvinity in DigiD graag, want veel mensen gooien “beheerder” en “leverancier” op één hoop.
NaomiDG zit er bovenop: het gaat niet om “staat de server in NL”, maar om wie er aan de knoppen mág zitten als het spannend wordt, bij keys, HSM’s en incidentrespons. Ik heb ooit bij een semi-overheidsclub een security-audit meegemaakt waar ineens de juristen van de moederholding (VS) mee zaten te lezen “voor compliance” en je voelde gewoon hoe de macht verschuift zonder dat er één kabel verlegd is. Paradoxaal dat we DigiD behandelen als een soort utiliteit, maar ‘m dan in een constructie stoppen waar eigendom en governance verhandelbaar zijn alsof het een koffiemachine is… wat zegt dat over ons dat we pas wakker schrikken als de vlag op de aandeelhoudersvergadering verandert?
Wat mij opvalt: iedereen doet alsof het alleen om “data” gaat, maar bij DigiD gaat het om vertrouwen en continuïteit; als er morgen een geopolitieke ruzie is of een Amerikaanse rechter wil iets afdwingen, dan kun je hier hoogstens verontwaardigd in de Kamer staan terwijl de keten gewoon moet blijven draaien. En nog iets: we hebben het altijd over “NL/EU-cloud” alsof dat een magische muur is, maar eigendom bepaalt óók prioriteiten, onderhoud en personeel—en bij dit soort kritieke infra wil je geen winstdoelstelling die elk jaar een paar FTE’s wegschaaft tot het misgaat. Taalkundig gezien trouwens: “tegenhouden” is prima, maar kom dan ook meteen met een plan om het beheer echt publiek te maken, anders is het vooral stoer roepen en daarna weer uitbesteden aan de volgende BV.
Men vergeet gemakkelijk dat de VS met de CLOUD Act gewoon kan komen vorderen, ook als de servers braaf in Nederland staan; dan mag je hier juridisch gaan steigeren, maar de druk ligt bij het moederbedrijf. DigiD is geen webwinkeltje maar een sleutel van de staat, en die sleutel hoort niet in handen van een partij die óók aan Washington moet uitleggen wat ze wel en niet doen. Als de Kamer nu stoer “nee” zegt, laat ze dan meteen regelen dat dit soort kernspul onder echt publiek beheer valt, anders schuiven we het probleem alleen door naar de volgende investeerder.
ja joh laat de sleutel van de staat ff bij een amerikaans moederbedrijf liggen want washington pinky promise’t vast dat ze niet meekijken lol
ja, de “pinky promise” is natuurlijk geen beveiligingsmodel, maar het is ook niet zo dat een moederbedrijf automatisch kan meekijken in DigiD-logs als de boel technisch en juridisch goed is afgeschermd. Het echte risico zit ’m in extraterritoriale wetgeving (CLOUD Act) en in afhankelijkheid bij updates/incidentrespons: als er druk komt, wie heeft dan de knoppen? Als je dit al toestaat, dan alleen met keiharde eisen: data/keys in NL, beheer door NL entiteit, audits en een exit die je echt kunt uitvoeren, anders is het gewoon gokken met je staats-ID.
TruusK heeft gelijk dat “data blijft in NL” geen toverformule is, maar het is ook niet zo dat een Amerikaanse eigenaar automatisch morgen DigiD uit kan zetten. Waar het om draait: wie beheert de root-keys/HSM’s, wie heeft adminrechten op de auth-keten, en wat staat er in de contracten over audit, escrow en exit als het misgaat—dat is nu vaak vaag in dit soort stukken. En die CLOUD Act-paniek wordt ook vaak als stopwoord gebruikt: geldt dat hier concreet voor deze entiteit/structuur, of roepen we maar wat? Bron naar de exacte rol van Solvinity in DigiD (beheer vs. doorontwikkeling vs. hosting) zou echt helpen, anders discussiëren we op onderbuik.
NAOMIDG, je hebt een punt over die root-keys en adminrechten, MAAR ik denk dat je de impact van een Amerikaanse overname van DigiD onderschat! mijn eigen onderzoek wijst uit dat de CLOUD Act veel meer omvat dan alleen maar "paniek" roepen... als die Amerikanen onze DigiD in handen krijgen, zitten we vast aan Amerikaanse wetgeving EN DAT BETEKENT DAT ZE TOEGANG KRIJGEN TOT AL ONZE GEGEVENS. en Solvinity's rol in DigiD is NIET ZO EENVOUDIG ALS JE DENKT, die zitten veel dieper in het systeem dan alleen maar "beheer" of "hosting"... we moeten niet alleen maar naar de contracten kijken, we moeten ook snappen wie er echt aan de touwtjes trekt. WAKKER WORDEN mensen, dit is niet alleen maar een kwestie van "data blijft in NL"!!!
komen we weer met die risico's van Amerikaanse overnames, maar hebben we het ooit gehad over hoe DigiD al wordt misbruikt door criminelen??? ik heb klanten die zelf al het slachtoffer zijn geworden van identiteitsfraude en dan is het toch te simpel om alleen maar te roepen dat een Amerikaanse overname gevaarlijk is... wij als kappers zien toch ook de echte problemen die mensen thuis hebben met hun DigiD, ze kunnen het niet eens meer zelf gebruiken... we moeten het probleem bij de basis aanpakken ipv steeds maar weer naar "Amerikaanse gevaren" te wijzen!!! EN WAAROM WIJDEN WE GEEN ONDERZOEK NAAR DE KWETSBAARHEDEN VAN DIGID ZELF???
Barry heeft hier wel een punt: “data staat in NL” zegt niks als de zeggenschap en supportlijnen straks onder een US-moeder vallen, want dan kan de CLOUD Act via het bedrijf gewoon alsnog druk zetten op toegang of metadata. Wat veel mensen niet weten is dat het risico ’m juist zit in de beheerlaag: updates, logging, incident response, admin-accounts… daar hoef je echt geen database-dump voor te hebben om schade te doen. overigens: DigiD is kritieke infrastructuur, dat wil je gewoon Europees/staatsnabij houden, net als je drinkwaterbedrijf.
Rustig aan met dat “Amerikaans = meteen onveilig”, want DigiD zelf is van de staat en de really scary knoppen zitten bij Logius en de koppelvlakken, niet bij één commerciële beheerclub die je morgen ook weer kunt wisselen als je je zaakjes op orde hebt. Het echte risico is niet de vlag op het hoofdkantoor maar dat we al jaren te makkelijk contracten laten doorlopen zonder keiharde audit, escrow en vooral een fatsoenlijke exit die je ook echt kunt oefenen, en dát is gewoon een NL/Europese hobby. En ja, CLOUD Act is een factor, maar als je je admin-toegang, logging en change-proces goed dichttimmert kan een US-moeder daar niet ineens magisch bij, tenzij je zelf de deur open laat staan… gebeurt ook gewoon hoor.
Ach “data staat in NL” is leuk voor de bühne, maar als de helpdesk, updates en admin-keys bij een Amerikaanse moeder hangen ben je alsnog de pineut, 1 mailtje uit Washington en iedereen gaat springen heb in de haven ook zat IT-spul gezien dat “lokaal” draaide maar waar de vendor op afstand alles kon resetten, dat wil je toch niet met DigiD joh
ewa dat zeg je nou, maar swa wat als die amerikaanse partij nou betere beveiliging het dan wij? kheb zelf bij solvinity gewerkt en das echt een zooitje, die amerikaan komt daar en zet orde op zaken, das gewoon beter voor ons digid, ik zeg je!!!
snap de zorgen wel, want bij digiD wil je gewoon geen gedoe met buitenlandse wetgeving of “opeens andere prioriteiten” als er iets schuurt tussen landen. maar eerlijk is eerlijk: ook een nederlandse bv kan het verprutsen of door bezuinigingen de boel te krap draaien, dus dan moet je vooral keiharde eisen stellen over zeggenschap, audits en noodscenario’s ipv alleen maar roepen dat amerika fout is.
Je mist het grootste punt: het gaat niet alleen om “Amerika” als land, maar om de juridische plicht tot meewerken aan dataverzoeken (CLOUD Act e.d.) en de chill die dat geeft op beleid, personeel en incidentrespons. Enerzijds kun je met audits en SLA’s veel afdekken, anderzijds is soevereiniteit bij een identiteitsstelsel geen vinkjeslijst maar macht: wie kan op een rotmoment de stekker, de roadmap of de toegang bepalen. En DigiD is niet zomaar een IT-dienstje; het is de sleutel tot belasting, zorg, gemeenten, alles… als dat in een buitenlandse aandeelhouderslogica valt, krijg je vroeg of laat *gedoe gedoe*. Dus ja, NL kan ook prutsen, maar dan kun je tenminste politiek ingrijpen i.p.v. achteraf “contractueel teleurgesteld” zijn.
Professor_NL doet alsof je met “soevereiniteit” elke discussie wint, maar ondertussen blijft het vaag: wélke data/keys/adminrechten zouden dan onder Solvinity vallen en wat zit er bij Logius zelf? En die CLOUD Act wordt hier als toverwoord gedropt—heeft iemand een concreet scenario waar een Amerikaanse moeder via NL-dochter DigiD-logs of keymateriaal kan opeisen, of is het vooral lekker griezelen? Als dit zó’n kernfunctie is, waarom is er dan überhaupt een overnamepad mogelijk en wie heeft dat contractueel zo open laten staan?? Bron graag, anders is het gewoon gedoe-gedoe roepen.
Naomi heeft wel een punt dat “soevereiniteit!!” soms als stopwoord wordt gebruikt, maar bij DigiD hoef je echt niet te wachten tot iemand keymateriaal kan aanwijzen: als er maar íets van beheer, logging, supporttools of infra bij een partij met een Amerikaanse moeder zit, dan heb je gewoon een extra drukpunt (CLOUD Act of niet) en dat wil je bij je digitale voordeur niet eens als kansberekening. En ja, dat het contractueel überhaupt kón zegt al genoeg: dit soort kernspul moet je dus gewoon keihard afschermen, net als dijken en 112, niet “oh oeps, overnamepad”.
Tja, beetje te simpel om te zeggen dat als er amerikaanse partij bij betrokken is, het meteen fout is... er zijn ook goeie bedrijven daar, niet alles is rot. stond zelf net weer vast op de a4 bij leiden, files overal.
Leuk dat er ook goeie Amerikaanse bedrijven zijn, maar DigiD is geen webshop met klantenservice, het is de sleutel van half NL en valt onder Amerikaanse wetten als zo’n partij er tussen zit. En die file op de A4 is precies het punt: als het misgaat sta je vast en kun je nergens meer bij, van belasting tot je huisartsportaal.
Vanuit het buitenland gezien: ja, je wil geen Amerikaanse moeder boven je digitale voordeur, dat snap ik helemaal, al is het risico ook weer niet “morgen staan ze in je keyvault” zoals sommigen doen alsof. Maar het echte NL-probleem is dat ze dit soort kernspul überhaupt via een private club en overnamegevoelige constructies laten lopen, en dan pas gaan gillen als het mis dreigt te gaan… typisch weer achteraf paniek en kamervragen.
In de praktijk zit mijn irritatie ’m vooral in de afhankelijkheid: als zo’n club wordt overgenomen krijg je weer nieuw management, nieuwe tooling, nieuw “proces” en tegen de tijd dat het misgaat is iedereen net doorgeschoven. DigiD moet gewoon saai en voorspelbaar zijn, dus zet er een keiharde eis op dat de staat altijd zelf de touwtjes en mensen in huis kan halen als het nodig is, anders blijf je gijzelen met contracten.
ey, die hele Amerikaanse overname van digid is toch gewoon een ramp voor NL, mongool... ze gaan natuurlijk weer allerlei "experts" sturen die alles overhoophalen en dan eindig je weer met een partij die meer aan winst doet dan aan veiligheid en betrouwbaarheid van digid, kanker... ik bedoel, kijk naar al die problemen met de overheidssystemen, en dan gaan we onze identiteits sleutel ook nog eens uitbesteden aan een partij die aan washington verantwoording moet afleggen, HALVE GARE!!! gewoon die stekker eruit halen en klaar, die digid is toch geen handelsproduct, OP PLEUREN MET DIE UITBESTEDING!!!
Iedereen hangt ’m op CLOUD Act, maar het echte vendor-risk is supply chain: wie bouwt/patcht de auth-stack, wie beheert de CI/CD, wie tekent releases en kan op vrijdagavond “even snel” een dependency updaten die maandag half NL platlegt. simpel: voor zo’n nationale login wil je sovereign control op code, keys én deployment, met een harde kill-switch en een tweede partij die het kan overnemen, anders ben je gewoon hostage van de cap table.
tuurlijk is amerikaans eigenaarschap een risico, al is het niet alleen die CLOUD Act maar ook gewoon wie er aan de knoppen zit als er storingen/updates zijn. maar alsof “NL” automatisch veilig is… we hebben hier ook genoeg prutsers en uitbestedingsfeestjes, zet dan gewoon harde eisen neer: code/keys hier, toezicht hier, en als het misgaat moet je de stekker eruit kunnen trekken zonder dat half nederland bij de balie mag gaan huilen.
Kijk, los van die hele VS-discussie: het domste is dat je je “login van de staat” überhaupt laat afhangen van één commerciële club met overname-risico, dat is vendor lock-in op nationaal niveau. Als dit ding critical infra is, dan moet je eisen dat de overheid zélf de regie over de broncode, key-management én een keihard getest failover/exit-pad heeft, anders ben je altijd de bagholder zodra de volgende eigenaar de risicopremie omhoog jaagt of de stekker dreigt te trekken.
DigiD is toch gewoon een overheidstaak? Waarom uit handen geven? Net als visquota, dat moet de overheid toch ook zelf regelen? Niet aan commerciële partijen overlaten. Dat werkt gewoon niet. Punt.