Met de overname van onder andere MijnOverheid en DigiD door een Amerikaans bedrijf komen gevoelige persoonsgegevens in Amerikaanse handen, zegt Pieter van Oordt, COP van agentschap Logius, vandaag in De Volkskrant.

Het gebeurt niet vaak, dat een hoge ambtenaar van het ministerie van Binnenlandse Zaken naar buiten treedt met informatie omdat hij intern geen gehoor krijgt. Maar Pieter van Oordt, Central Privacy Officer (CPO) van het agentschap Logius dat verantwoordelijk is voor onder meer DigiD en MijnOverheid, vindt nu toch dat hij alarm moet slaan.

Logius staat namelijk op het punt om te worden overgenomen door het Amerikaanse techbedrijf Kyndryl. Minister van Economische Zaken Heleen Herbert kan dat elk moment goedkeuren. En daarmee is de Nederlandse veiligheid in het geding, zegt Van Oordt vandaag in een artikel van Huib Modderkolk in De Volkskrant. 

Gezinssamenstelling en schulden

‘De gedetailleerde persoonsgegevens van alle Nederlanders die in MijnOverheid beschikbaar zijn, dreigen met de overname in handen te komen van de Verenigde Staten’, zegt Van Oordt in dat artikel. Onder die gegevens vallen onder andere gezinssamenstelling, kentekens, toeslagen en schulden.

Bovendien kunnen de Verenigde Staten, als ze dat willen, de toegang tot DigiD blokkeren. Omdat Kyndryl een Amerikaans bedrijf is, valt het namelijk onder Amerikaanse wetgeving – zelfs als het datacenter waar de gegevens zijn opgeslagen in Nederland staat.

De Amerikaanse wetgeving bevat onder meer de CLOUD act, waarin staat dat de bedrijven verplicht zijn om desgevraagd gegevens te verstrekken, en die de mogelijkheid biedt om bedrijven of landen sancties op te (laten) leggen. Zo sloot Microsoft in mei 2025 de e-mail en andere Microsoft-diensten af voor de hoofdaanklager van het Internationaal Strafhof, in opdracht van het Witte Huis.

Veiligheidsanalyse

De mogelijk overname van Logius – of eigenlijk van het Nederlandse bedrijf Solvinity dat de clouddiensten van Logius regelt – hangt al sinds eind 2025 in de lucht. Het kabinet heeft toen de gevolgen van een mogelijke overname laten onderzoeken.

Uit die veiligheidsanalyse kwam naar voren dat het platform ‘gezien de huidige architectuur niet zodanig is dicht te zetten dat de leverancier niet meer bij de data/persoonsgegevens zou kunnen komen’, schrijft De Volkskrant. Dat is ook met extra maatregelen niet op te lossen: die zijn nooit waterdicht. Volgens Van Oordt is deze analyse echter nooit met de Tweede Kamer gedeeld. 

Rechtszaak

Op LinkedIn vergelijkt Van Oordt de digitale rijksoverheid met een beveiligde bunker, die door de overname een achterdeur krijgt waardoor de Verenigde Staten met een chip ongemerkt naar binnen en buiten kunnen lopen.

Van Oordt komt daar met een voorstel voor een – in zijn eigen woorden – chique oplossing, namelijk om de overname van Solvinity met enkele maanden uit te stellen en die tijd te gebruiken om diensten als DigiD en Mijn Overheid bij Solvinity weg te halen. Dat zal gepaard moeten gaan met een schadevergoeding voor Kyndryl, die dan immers minder krijgt dan het dacht, maar dat weegt niet op tegen de impact en kosten die in de toekomst te verwachten zijn als het niet gebeurt, denkt Van Oordt.  

Hij vindt het zo belangrijk de overname tegen te houden, dat hij nu een rechtszaak wil beginnen tegen het ministerie en de Staat der Nederlanden. Zijn werkgever is daarvan op de hoogte.

En meer...

Overigens spelen de zorgen ook op andere departementen, schrijft Modderkolk: Solvinity doet ook het beheer van de IT-systemen van de Nationale Politie, het Openbaar Ministerie, Justitie en de gemeente Amsterdam. 

Openingsbeeld: Depositphotos