Amerikanen kunnen niet bij data DigiD, maar wel toegang…

Het is een beetje beeldspraak, een beetje subjectief en een er zit een kern van waarheid in. Zou het vooral niet te zwaar tilen. Gaat overigens om Nederlanders, ik weet niet hoe dat in Portugal zit!
For the sake of argument: BSN is permanent en moet voor de meest gevoelige overheidsinteracties gebruikt worden. Daarbij zijn de meeste nummers van een persoon wel ergens te vinden in databases en datalekken, BSN niet. Vind het daarom wel een prima te verdedigen zin

ZZP'ers hebben jaren en jaren gewoon hun BSN moeten publiceren in de vorm van hun BTW nummer. Dus zo spannend is dat niet. Een BSN is ook nooit bedoelt om als identificatiecode te dienen. Het moet ook altijd icm andere factoren worden gebruikt om iemands identiteit vast te stellen.

Denk dat TS vooral valt over 'een mens heeft'. Maak daar logischer van: "Dat is wellicht het gevoeligste persoonlijke nummer dat Nederlandse inwoners hebben.'

Goedemiddag @YannickSpinner en @Marger, een paar puntjes.

Tenzij anders aangegeven komt onderstaande informatie uit dit artikel van Follow the Money (FTM): https://www.ftm.nl/artike...fte-van-staats-secretaris

1
"Dit van oorsprong Nederlandse commerciële bedrijf (...)"
Zoals ook aangegeven bij een eerder artikel is Solvinity momenteel in handen van "de Britse durfinvesteerder Vitruvian Partners". Tevens was dit al zo ten tijde van de aanbesteding in 2019. Volgens mij is het van oorsprong inderdaad een Nederlands bedrijf. Maar bovenstaande is denk ik wel de moeite van het vermelden waard, het bedrijf was dus al in handen van een buitenlandse partij (zoals bij het vorige artikel toen is toegevoegd).

2
De titel "Amerikanen kunnen niet bij data DigiD, maar wel toegang dwarsbomen via Solvinity" vind ik misleidend.

Ze mógen niet bij de data. Maar het is niet uit te sluiten dat ze het wel kunnen. En uit de tabel blijkt ook dat het best om wat gegevens gaat.

Zoals Hubert bij FTM zei:

Cyberexpert en voormalig toezichthouder op de veiligheidsdiensten Bert Hubert is eveneens duidelijk: ‘Technisch gezien betekent dit dat Solvinity-medewerkers toegang hebben tot DigiD-data en -systemen. Er zal best afgesproken zijn dat ze daar niet aan zullen komen en dat er mogelijk nog technische maatregelen worden getroffen die de toegang bemoeilijken. Maar meer dan een belofte is het niet.’

Het stukje versleuteling zegt ook niet zoveel zonder dat bekend is wie de sleutels beheert.
Sommige data is in ieder geval (op een punt in de keten) niet versleuteld:

Ze worden wel via een beveiligde verbinding verstuurd, maar in platte, leesbare tekst, zegt cybersecurity-expert Floris Meester. Voor FTM monitorde hij de data die heen en weer wordt gestuurd tussen het DigiD-account van een gebruiker en de servers als die gebruiker inlogt. ‘Het gaat dan onder meer om je inloggegevens en je wachtwoord.’

Een ander ding dat wordt genoemd is de SMS-verificatie. In principe kan Solvinity bij de verstuurde code. En daarmee kan "een derde" dus inloggen op andermans account.

Zoals FTM schreef over het bezoek van Kyndryl-managers aan de Tweede Kamer:

quote: https://www.ftm.nl/nieuws...eiden-de-kamer-over-digid

‘Het komt neer op vertrouwen,’ zei een van de vier Kyndryl-managers in de Tweede Kamer. Dat klopt dan wel weer helemaal, want garanties zijn er dus niet.

3
Naast de beoordeling van de ACM is er nog een veel interessantere toetsing, namelijk door het Bureau Toetsing Investeringen (BTI). Die kunnen op basis van "de Wet veiligheidstoets investeringen, fusies en overnames" (Vifo) een overname van kritieke infrastructuur tegenhouden. Alleen over de openbaarheid van de resultaten is veel te doen. Zie: nieuws: Experts eisen inzicht in verkoop Nederlandse DigiD-hoster aan Amerika..., https://www.ftm.nl/artike...ame-van-digid-leverancier en skimine in "De Nederlandse politiek 2026: regeerakkoord"

YannickSpinner schreef op donderdag 5 februari 2026 @ 14:01:
[...]

De rest van je feedback is wat mij betreft nuttig en verdiepend, maar te ver voor dit artikel.

Ik vind het vreemd dat je dit te ver vind gaan voor het artikel, want het spreekt de titel van het artikel keihard tegen. Het is helemaal niet evident dat "Amerikanen kunnen niet bij data DigiD". Hooguit is het zo dat "Logius zegt dat Amerikanen niet bij data van DigiD kunnen".

Ik vind het een nogal on-Tweakers verhaal. Jullie nemen klakkeloos over wat Logius hierover gezegd heeft, terwijl in FtM iets heel anders staat. It also just doesn't pass the smell test dat Solvinity infrastructuur beheert maar geen toegang zou kunnen krijgen tot de data. Het wordt ook niet echt duidelijk of de expert die jullie geraadpleegd hebben (Hubert) het hier mee eens is, en of jullie andere experts geraadpleegd hebben voordat jullie deze boude stelling in de titel hebben gezet.

Daarnaast, en dat is misschien wel het grootste bezwaar tegen het artikel @YannickSpinner, komt helemaal niet uit het artikel naar voren dat Solvinity naast DigiD ook MijnOverheid beheert. Die dienst verwerkt veel meer gevoelige data van allerlei andere overheidsdiensten (familierelaties inclusief BSN, trouwdata, kadasterdata, etc.). Dat maakt het staatje dat in het artikel gegeven wordt over "Gegevens waartoe DigiD toegang heeft" een beetje een wassen neus.

Als laatste heb ik eerder getipt hoe de structuur en verdeling tussen Logius en Solvinity precies ziet (namelijk zoals op dit diagram). Dat lijkt me een stuk relevanter dan het staatje uit het artikel.

Jammer dat je het zo ziet. Uiteraard kan een artikel voor een bredere doelgroep niet altijd iedereen van de gewenste info voorzien. In het artikel staat weldegelijk dat de Amerikanen erbij kunnen, maar die nuance van encrypted info en niet overheidsinfo maar wel gegevens die je aan DigiD geeft past niet in de kop.

Ook de bredere samenwerking met Solvinity wordt meermaals in het artikel genoemd, maar valt buiten de scope. DigiD is wat leeft onder mensen, vandaar deze afweging. Ik snap je take van wassen neus. Maar ook de andere casussen zijn ongetwijfeld genuanceerder dan dat.

En voor de duidelijkheid: ik neem niks kwakkeloos over en ik vind die insinuatie eerlijk gezegd beledigend. Logius is een overheidsinstantie en wat zij zeggen heeft gewicht. Dus dat citeren we. Dat mag on the record staan. Vervolgens mag een expert daar zijn kijk op geven. Dat is een gewoon journalistiek principe

YannickSpinner schreef op donderdag 5 februari 2026 @ 17:23:
Logius is een overheidsinstantie en wat zij zeggen heeft gewicht. Dus dat citeren we. Dat mag on the record staan.

Maar jullie citeren helemaal niet in de titel, Tweakers stelt: Amerikanen kunnen niet bij data DigiD. Zonder quotes. Dat is juist het probleem wat ik probeer aan te kaarten. Deze stelling wordt gedaan, terwijl verschillende experts (waarvan me nog steeds niet duidelijk is of jullie die wel over de stelling in de titel geraadpleegd hebben) onder andere in een FtM-artikel zeggen dat het niet klopt.

Bijvoorbeeld Hubert zegt in FtM "Technisch gezien betekent dit dat Solvinity-medewerkers toegang hebben tot DigiD-data (...) meer dan een belofte [om die data niet in te zien] is het niet". Los hiervan wordt in het artikel opgemerkt dat "In principe niet, maar [toegang tot data door Solvinity] kan kennelijk simpelweg niet uitgesloten worden", waarvan ik geen idee heb hoe dat te rijmen valt "Amerikanen kunnen niet bij data".

Het is allemaal gewoon keihard in tegenspraak wat Tweakers in de titel stelt. En als je nu beweert dat het een Logius-quote is (wat me niet helemaal duidelijk is), moeten die quotes gewoon in de titel gerectificeerd worden.

YannickSpinner schreef op donderdag 5 februari 2026 @ 17:23:
In het artikel staat weldegelijk dat de Amerikanen erbij kunnen, maar die nuance van encrypted info en niet overheidsinfo maar wel gegevens die je aan DigiD geeft past niet in de kop.

Dat een kop maar beperkte ruimte voor een genuanceerde stelling heeft wil niet zeggen dat er iets in hoeft te staan dat (nogmaals, namens experts) onjuist is. Overigens valt er een hoop voor te zeggen valt dat een ongenuanceerde versie dit verhaal is "Amerikanen mogen formeel niet, maar kunnen wel degelijk bij data DigiD".

YannickSpinner schreef op donderdag 5 februari 2026 @ 17:23:
Ook de bredere samenwerking met Solvinity wordt meermaals in het artikel genoemd, maar valt buiten de scope. DigiD is wat leeft onder mensen, vandaar deze afweging. Ik snap je take van wassen neus. Maar ook de andere casussen zijn ongetwijfeld genuanceerder dan dat.

Het is dan handig als de lezer wordt meegenomen in die scope-beperking (MijnOverheid wordt niet eens ge-namedropped). Die beperking heeft namelijk nogal wat invloed op de conclusie van het artikel, zeker als er heel uitgebreid op de categorieën persoonsgegevens wordt ingegaan, maar er eigenlijk nog een volledig product naast staat dat je hele doopceel licht.

Het heeft vooral betrekking op de quote "Alle gegevens die door de dienstverlener getoond worden, zijn dus hoe dan ook niet inzichtelijk voor Solvinity", want bij MijnOverheid is dit precies wél het geval. Solvinity ziet daar simpelweg alles wat je op de pagina ziet bij MijnOverheid (want dat wordt door Solvinity over een TLS-verbinding die bij hen eindigt naar je toegestuurd).

YannickSpinner schreef op donderdag 5 februari 2026 @ 17:23:En voor de duidelijkheid: ik neem niks kwakkeloos over en ik vind die insinuatie eerlijk gezegd beledigend. Logius is een overheidsinstantie en wat zij zeggen heeft gewicht. Dus dat citeren we. Dat mag on the record staan. Vervolgens mag een expert daar zijn kijk op geven. Dat is een gewoon journalistiek principe

Ik snap wel dat je dit als een belediging ziet. Ik begrijp ook na je reactie niet hoe de titel (namelijk niet een citaat maar een stelling) op die journalistieke principes tot stands is gekomen, anders dan dat die redelijk kritiekloos is overgenomen van Logius beweert over "encryptie" en "in principe kan Solvinity (...) niet bij persoonsgegevens". Een rectificatie zou nog steeds op z'n plaats zijn.

Volgens de Nederlandse landsadvocaat, de advocaat die de Nederlandse Staat adviseert over moeilijke kwesties

Nou nee, over juridische kwesties.

Titel is aangescherpt