Opnieuw waarschuwing over deal Solvinity met Kyndryl
De nationale veiligheid komt in gevaar door de voorgenomen overname van het Nederlandse bedrijf Solvinity, dat onder meer DigiD beheert, door het Amerikaanse techbedrijf Kyndryl.
Hiervoor waarschuwt Pieter van Oordt, de Centrale Privacy Officer van Logius. Logius is het agentschap van de overheid voor digitale voorzieningen.
Van Oordt noemt in de Volkskrant de overname van Solvinity door Kyndryl bijzonder risicovol. Dit omdat cruciale digitale infrastructuur zoals DigiD en MijnOverheid onder Amerikaanse wetgeving zou vallen. Hierdoor zouden Amerikaanse autoriteiten via wetgeving als de Cloud Act en FISA toegang kunnen krijgen tot zeer gevoelige persoonsgegevens van vrijwel alle Nederlanders, en zou het in het uiterste geval zelfs de beschikbaarheid van DigiD kunnen blokkeren.
In november suste Logius de onrust nog over de deal. Volgens het overheidsagentschap zou DigiD Nederlands blijven, ook wanneer clouddienstenleverancier Solvinity wordt overgenomen door Kyndryl. In februari keurde de ACM de deal goed, maar daarbij werd wel aangetekend dat de waakhond uitsluitend toetst op concurrentiegevoeligheid.
Van Oordt benadrukt in de Volkskrant dat deze risico’s niet theoretisch zijn, maar voortkomen uit de huidige technische inrichting. Die zou volgens een interne veiligheidsanalyse niet zodanig kunnen worden afgeschermd dat toegang door de leverancier volledig uitgesloten is. Zelfs aanvullende maatregelen bieden volgens Van Oord geen afdoende bescherming.
De ernst van de situatie wordt volgens Van Oordt vergroot door het belang van DigiD en MijnOverheid als fundament van de Nederlandse digitale samenleving. Miljoenen Nederlanders gebruiken deze systemen dagelijks voor toegang tot overheidsdiensten, zorg en financiële gegevens, waarbij grote hoeveelheden gevoelige informatie worden verwerkt.
Van Oordt is zeer sceptisch over de gesprekken die het ministerie voert met betrokken partijen over aanvullende veiligheidsmaatregelen. Volgens hem kunnen die in geen enkel scenario voorkomen dat data onrechtmatig wordt ingezien of dat systemen uitvallen. Zijn zorgen zijn zo groot dat hij inmiddels een rechtszaak voorbereidt tegen de Staat, om zijn positie als klokkenluider en zijn inzet voor privacybescherming juridisch te laten toetsen.
De kern van zijn waarschuwing is dat de overname van Solvinity geen gewone markttransactie is, maar een beslissing met potentieel verstrekkende gevolgen voor de digitale soevereiniteit en veiligheid van Nederland, terwijl de huidige procedures en afwegingen die risico’s volgens hem onvoldoende erkennen.
LEES OOK: De strategische investeringsagenda van Wennink: een impuls voor M&A activiteit
