Amerikanen kunnen niet bij data DigiD, maar wel toegang…

Het is een beetje beeldspraak, een beetje subjectief en een er zit een kern van waarheid in. Zou het vooral niet te zwaar tilen. Gaat overigens om Nederlanders, ik weet niet hoe dat in Portugal zit!
For the sake of argument: BSN is permanent en moet voor de meest gevoelige overheidsinteracties gebruikt worden. Daarbij zijn de meeste nummers van een persoon wel ergens te vinden in databases en datalekken, BSN niet. Vind het daarom wel een prima te verdedigen zin

ZZP'ers hebben jaren en jaren gewoon hun BSN moeten publiceren in de vorm van hun BTW nummer. Dus zo spannend is dat niet. Een BSN is ook nooit bedoelt om als identificatiecode te dienen. Het moet ook altijd icm andere factoren worden gebruikt om iemands identiteit vast te stellen.

Denk dat TS vooral valt over 'een mens heeft'. Maak daar logischer van: "Dat is wellicht het gevoeligste persoonlijke nummer dat Nederlandse inwoners hebben.'

Goedemiddag @YannickSpinner en @Marger, een paar puntjes.

Tenzij anders aangegeven komt onderstaande informatie uit dit artikel van Follow the Money (FTM): https://www.ftm.nl/artike...fte-van-staats-secretaris

1
"Dit van oorsprong Nederlandse commerciële bedrijf (...)"
Zoals ook aangegeven bij een eerder artikel is Solvinity momenteel in handen van "de Britse durfinvesteerder Vitruvian Partners". Tevens was dit al zo ten tijde van de aanbesteding in 2019. Volgens mij is het van oorsprong inderdaad een Nederlands bedrijf. Maar bovenstaande is denk ik wel de moeite van het vermelden waard, het bedrijf was dus al in handen van een buitenlandse partij (zoals bij het vorige artikel toen is toegevoegd).

2
De titel "Amerikanen kunnen niet bij data DigiD, maar wel toegang dwarsbomen via Solvinity" vind ik misleidend.

Ze mógen niet bij de data. Maar het is niet uit te sluiten dat ze het wel kunnen. En uit de tabel blijkt ook dat het best om wat gegevens gaat.

Zoals Hubert bij FTM zei:

Cyberexpert en voormalig toezichthouder op de veiligheidsdiensten Bert Hubert is eveneens duidelijk: ‘Technisch gezien betekent dit dat Solvinity-medewerkers toegang hebben tot DigiD-data en -systemen. Er zal best afgesproken zijn dat ze daar niet aan zullen komen en dat er mogelijk nog technische maatregelen worden getroffen die de toegang bemoeilijken. Maar meer dan een belofte is het niet.’

Het stukje versleuteling zegt ook niet zoveel zonder dat bekend is wie de sleutels beheert.
Sommige data is in ieder geval (op een punt in de keten) niet versleuteld:

Ze worden wel via een beveiligde verbinding verstuurd, maar in platte, leesbare tekst, zegt cybersecurity-expert Floris Meester. Voor FTM monitorde hij de data die heen en weer wordt gestuurd tussen het DigiD-account van een gebruiker en de servers als die gebruiker inlogt. ‘Het gaat dan onder meer om je inloggegevens en je wachtwoord.’

Een ander ding dat wordt genoemd is de SMS-verificatie. In principe kan Solvinity bij de verstuurde code. En daarmee kan "een derde" dus inloggen op andermans account.

Zoals FTM schreef over het bezoek van Kyndryl-managers aan de Tweede Kamer:

quote: https://www.ftm.nl/nieuws...eiden-de-kamer-over-digid

‘Het komt neer op vertrouwen,’ zei een van de vier Kyndryl-managers in de Tweede Kamer. Dat klopt dan wel weer helemaal, want garanties zijn er dus niet.

3
Naast de beoordeling van de ACM is er nog een veel interessantere toetsing, namelijk door het Bureau Toetsing Investeringen (BTI). Die kunnen op basis van "de Wet veiligheidstoets investeringen, fusies en overnames" (Vifo) een overname van kritieke infrastructuur tegenhouden. Alleen over de openbaarheid van de resultaten is veel te doen. Zie: nieuws: Experts eisen inzicht in verkoop Nederlandse DigiD-hoster aan Amerika..., https://www.ftm.nl/artike...ame-van-digid-leverancier en skimine in "De Nederlandse politiek 2026: regeerakkoord"