◆ Kamervraag· 2026Z08716Open
De feitelijke veiligheidsrisico’s, juridische reikwijdte en afhankelijkheden rond DigiD, Solvinity en Kyndryl
D.J. van den BergJA2122 apr 2026
Bekijk op tweedekamer.nlDit document onderzoekt de risico's van de techniek van DigiD. Het kijkt naar de afspraken met externe bedrijven. Ook onderzoekt het wat er gebeurt bij uitval van de systemen.
Afhankelijkheid van externe IT-dienstverleners voor DigiD vormt een potentieel risico voor de digitale toegankelijkheid van overheidsdiensten.
Dit document onderzoekt de risico's en juridische afspraken rondom de technische systemen van DigiD. Er wordt gekeken naar de rol van externe bedrijven die de techniek beheren en wat er gebeurt als deze systemen uitvallen.
Afhankelijkheid van externe IT-dienstverleners voor DigiD vormt een potentieel risico voor de digitale toegankelijkheid van overheidsdiensten.
Jouw stem · kamervraag
Jouw stem · kamervraag
Stem· kamervraag
Nog geen stemmen — wees de eerste.
Vragen
V1Bent u bekend met de voorgenomen overname van Solvinity Group B.V. door Kyndryl Netherlands B.V., de rol van Solvinity als leverancier van het platform waarop DigiD draait, en de eerdere beantwoording van Kamervragen over deze casus?
V2Kunnen de Verenigde Staten volgens u gezien worden als een bondgenoot? Zo nee, waarom niet?
V3Acht u het waarschijnlijk dat een NAVO-bondgenoot als de Verenigde Staten doelbewust DigiD of vergelijkbare Nederlandse kritieke digitale overheidsinfrastructuur zou uitschakelen? Graag een onderbouwing op basis van dreiging, intentie, capaciteit, precedent en diplomatieke consequenties.
V4Acht u een dergelijk scenario realistisch, of gaat het primair om een theoretische mogelijkheid die in de risicoanalyse wel moet worden meegenomen, maar niet gelijkgesteld mag worden aan een waarschijnlijke dreiging? Graag een expliciet onderscheid tussen «mogelijk», «aannemelijk», «waarschijnlijk» en «urgent».
V5Kunt u per juridisch instrument, CLOUD Act, FISA Section 702, Executive Order 12333 en eventuele andere relevante Amerikaanse bevoegdheden, uiteenzetten wat de wettelijke grondslag is, welke autoriteit bevoegd is, welk type gegevens kan worden gevorderd of verzameld, welke rechterlijke toetsing plaatsvindt, of kennisgeving aan de betrokkene, Logius of de Nederlandse Staat verplicht, verboden of beperkt kan zijn en hoe dit zich verhoudt tot de Algemene verordening gegevensbescherming (AVG), verwerkersovereenkomsten en contractuele geheimhoudingsplichten?
V6Kunt u expliciet onderscheid maken tussen toegang tot gegevens enerzijds en operationele zeggenschap over systemen anderzijds? Klopt het dat wetgeving zoals de CLOUD Act primair ziet op toegang tot elektronische gegevens en niet zonder meer op het met «één druk op de knop» uitschakelen van infrastructuur?