'Amerikaanse overname DigiD-beheer maakt manipulatie mogelijk'

In dit artikel:

Security-experts waarschuwen dat de grootste dreiging bij de voorgenomen overname van Solvinity door het Amerikaanse Kyndryl niet zozeer sabotage is, maar het overnemen van DigiD-identiteiten. In een aflevering van de podcast Cyberhelden bespreekt Ronald Prins (voormalig eigenaar van Fox-IT) samen met collega’s, onder wie prof. Eric Verheul (cybersecurity, Nijmegen/Amsterdam), welke risico’s ontstaan wanneer beheer van DigiD meer onder Amerikaanse jurisdictie komt te vallen.

DigiD is de sleutel tot veel Nederlandse dienstverlening (Belastingdienst, UWV, zorgverzekeraars). Volgens Verheul en Prins zou een beheerder onder Amerikaanse wetgeving — met instrumenten zoals de Cloud Act, FISA en eerdere voorbeelden van NSA-operaties — technische toegang kunnen krijgen om accounts te manipuleren. Een concreet scenario: in de DigiD-database wordt het BSN gekoppeld aan een andere DigiD-inlog, waardoor een aanvaller zich als een ander kan voordoen en toegang krijgt tot diens persoonsgegevens en overheidsdiensten. Dit is technisch uitvoerbaar, zeker met geavanceerde ondersteuning van Amerikaanse inlichtingendiensten, stellen de sprekers, die herinneren aan eerdere spionageacties zoals die op Merkel en Belgacom.

Daarnaast vormen de DigiD-gegevens zelf een waardevolle referentieset: IP-adressen en andere metadata kunnen bulkverzamelingen verrijken en surfgedrag herleidbaar maken. Een derde risico is dat de Amerikaanse regering via juridische middelen kan afdwingen dat beheer wordt stilgelegd; een uitval van DigiD zou burgers maandenlang kunnen blokkeren.

De Tweede Kamer heeft al vragen en krijgt de komende weken meerdere briefings. Er wordt onderzocht of de verkoop aan Kyndryl nog tegen te houden is; toezichthouder ACM ziet Prins niet snel mogelijkheden om dit tegen te houden. Mogelijke beantwoordingen zijn: het ministerie kan contractbeëindiging overwegen of zelf het technisch onderhoud op zich nemen, mits aanbestedingsregels en bestuurlijke bereidheid dat toestaan.

De podcastaflevering is beschikbaar via Spotify, Apple Podcasts, Google Podcast, Telegram en Cyberhelden.nl. De discussie onderstreept dat digitale infrastructuur politiek en geopolitiek is geworden en roept op tot grondige toetsing van risico’s voordat beheer van cruciale systemen in buitenlandse handen komt.