Wanneer het DigiD-beheer dat Solvinity levert wordt ondergebracht bij een andere partij is er zes tot twaalf maanden nodig voor de overdracht, zo stelt staatssecretaris Van der Burg van Binnenlandse Zaken. De bewindsman reageerde op Kamervragen van JA21 over de veiligheidsrisico’s, juridische reikwijdte en afhankelijkheden rond DigiD, Solvinity en Kyndryl. Onlangs besloot staatssecretaris Aerdts voor Digitale Economie om de beoogde overname van Solvinity door het Amerikaanse Kyndryl te verbieden.

Volgens Van der Burg kunnen ondernemingen die onder de Amerikaanse rechtsmacht vallen op grond van de CLOUD Act worden verplicht om gegevens te verstrekken, ook wanneer deze gegevens zich (op servers) buiten de Verenigde Staten bevinden. "Daarbij is bepalend of de onderneming “possession, custody or control” heeft over de gegevens. Het gaat hierbij onder meer om aanbieders van elektronische communicatie- en clouddiensten", legt de staatssecretaris uit.

Van der Burg merkt op dat Kyndryl Inc. als Amerikaanse onderneming binnen het bereik van deze en andere Amerikaanse wetten valt. "Kyndryl’s US zeggenschap over haar buitenlandse dochters, Kyndryl Nederland B.V. en eventueel overgenomen partijen, heeft tot gevolg dat deze ook binnen het bereik vallen van de bovengenoemde wetten."

Van der Burg antwoordt dat medewerkers van Solvinity bij het uitvoeren van reguliere beheerwerkzaamheden geen toegang tot de database hebben waarin gegevens van burgers en gegevens over waar burgers inloggen staan opgeslagen. "Dit sluit niet uit dat medewerkers toegang kunnen krijgen tot deze databases. Het zal hierbij dan gaan om (on)geautoriseerde toegang. Mogelijk is daarmee de medewerker strafbaar", voegt de bewindsman toe.

In het geval van Logius geldt volgens de staatssecretaris een overdrachtsperiode van zes tot twaalf maanden wanneer het DigiD-beheer dat Solvinity levert wordt ondergebracht bij een andere beheerorganisatie. "Deze periode is nodig om een andere beheerorganisatie kennis en ervaring te laten opdoen met het beheer van het platform om zo de continuïteit en veiligheid van DigiD en andere voorzieningen te garanderen." Een dergelijke overdrachtsperiode kan echter pas ingaan wanneer er een nieuwe partij is geworven. Onlangs besloot het kabinet om het contract voor het DigiD-beheer door Solvinity met twee jaar te verlengen.

Bron: Security.nl