In Nederland is een nieuw platform gestart dat DigiD wil beschermen tegen Amerikaanse invloed. Het gaat om het digitale inlogsysteem van de overheid, beheerd door Logius onder het ministerie van Binnenlandse Zaken. De initiatiefnemers willen voorkomen dat onderdelen worden overgenomen of uitbesteed aan een bedrijf uit de Verenigde Staten. Zij wijzen op privacyrisico’s, Europese wetgeving en de gevolgen voor Europese digitalisering en het bedrijfsleven rond overheidsportalen.
Zorg om digitale soevereiniteit
Het platform stelt dat een Amerikaanse overname of uitbesteding de zeggenschap over kritieke digitale infrastructuur kan ondermijnen. Het wijst op de Amerikaanse CLOUD Act, die bedrijven kan verplichten data te delen met autoriteiten. Dat botst volgens hen met Europese regels en het Nederlandse beleid voor dataminimalisatie en encryptie. De kern van de zorg: de overheid moet de toegang tot publieke diensten niet afhankelijk maken van buitenlandse jurisdicties.
DigiD is een sleutelsysteem voor belastingzaken, zorgportalen en gemeentelijke diensten. Het wordt beheerd door Logius, dat valt onder het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Inkoop van technologie verloopt via aanbestedingen met beveiligingseisen, waaronder de Baseline Informatiebeveiliging Overheid (BIO). Bij keuzes voor cloud of software spelen ook Europese richtlijnen en nationale wetgeving een rol.
De discussie sluit aan op bredere Europese zorgen over strategische autonomie. Sinds het Schrems II-arrest zijn doorgiften van persoonsgegevens naar de VS juridisch complexer. Hoewel er een nieuw EU-VS Data Privacy Framework is, vragen toezichthouders om Transfer Impact Assessments en extra waarborgen. Dat vergroot de druk om waar mogelijk in de EU te hosten.
Wat het platform wil
De actiegroep vraagt om harde aanbestedingseisen voor DigiD en aanverwante diensten. Denk aan datalokalisatie binnen de EU, contracten met uitsluitend Europese of Europees-rechtelijke entiteiten en transparante beveiligingsaudits. Ook willen zij dat broncode waar mogelijk open beschikbaar is, zodat onafhankelijke experts kunnen controleren. Het doel is minder afhankelijkheid van niet-Europese leveranciers en een beter publiek toezicht.
Daarnaast pleit het platform voor duidelijke politieke kaders. De Tweede Kamer zou volgens hen moeten vastleggen dat identiteitsinfrastructuur in publieke handen blijft. Ook vragen zij de Autoriteit Persoonsgegevens om extra aandacht voor internationale datastromen rond DigiD. Daarmee willen zij vooraf juridische onzekerheden en privacyrisico’s beperken.
Tot slot willen de initiatiefnemers meer burgerbetrokkenheid. Zij zetten in op een publiekscampagne en een open debat met Logius, gemeenten en zorgaanbieders. Zo moet beter zichtbaar worden welke contractkeuzes de overheid maakt. En welke technische en juridische garanties daarbij horen.
DigiD en wetgeving uitgelegd
DigiD is de digitale sleutel tot de overheid. Inloggen kan met de DigiD-app, sms-controle of een wachtwoord, en voor sommige diensten met extra stappen voor hogere zekerheid. Die zekerheid is in Europa vastgelegd via eIDAS, de wetgeving voor elektronische identificatie en vertrouwensdiensten. DigiD-diensten worden geclassificeerd op niveaus “substantial” en “high”, afhankelijk van het risico.
De AVG (privacywet) stelt eisen zoals dataminimalisatie, versleuteling en doelbinding. Voor overheidsorganisaties gelden aanvullend de BIO-normen en, afhankelijk van de sector, zorg- of financiële normen. NIS2, de Europese cybersecurityrichtlijn, vergroot het toezicht op essentiële en belangrijke diensten. Voor identiteitsinfrastructuur betekent dit aantoonbare risicobeheersing, incidentmelding en ketenverantwoordelijkheid.
Tegelijk komt er in Europa een nieuwe stap: de Europese Digitale Identiteitswallet (eIDAS 2.0). Die moet straks in alle lidstaten werken, naast nationale middelen zoals DigiD. Keuzes die Nederland nu maakt over leveranciers, cloud en beveiliging, moeten daarmee compatibel zijn. Dat vraagt om lange-termijnzekerheid, contractuele flexibiliteit en technische interoperabiliteit.
Meer dan 15 miljoen Nederlanders gebruiken op het moment van schrijven DigiD voor toegang tot publieke diensten.
Juridische risico’s bij VS-cloud
De Amerikaanse CLOUD Act en FISA 702 geven Amerikaanse autoriteiten toegang tot data bij Amerikaanse dienstverleners, ook als die data in de EU staan. Juristen waarschuwen dat dit kan botsen met de AVG, die strikte voorwaarden stelt aan datadoorgifte. Standard Contractual Clauses en het EU-VS Data Privacy Framework helpen, maar lossen niet elk risico op. Overheden moeten daarom aantonen welke aanvullende technische maatregelen zij nemen.
Encryptie met sleutels die uitsluitend onder EU-recht vallen is een veelgenoemde oplossing. Ook “sovereign cloud”-varianten beloven dat Amerikaanse moederbedrijven geen toegang hebben. Toezichthouders kijken kritisch of dit juridisch en feitelijk standhoudt. Zonder sluitende waarborgen kan een aanbesteding alsnog kwetsbaar zijn.
Voor DigiD geldt dat de lat extra hoog ligt, omdat misbruik grote impact heeft op burgers. Een datalek of uitval raakt belastingaangiftes, zorgtoegang en subsidies. Daarom vragen experts om strikte segmentatie, minimale data-opslag en regelmatige penetratietesten. En om heldere exit-clausules als een leverancier juridisch risico wordt.
Gevolgen voor bedrijfsleven
Keuzes rond DigiD raken ook het bedrijfsleven dat overheidsloketten bouwt en onderhoudt. Strengere eisen voor datalokalisatie en encryptie vragen soms om herbouw van systemen. Dat kost tijd en geld, maar kan de juridische zekerheid vergroten. Voor leveranciers ontstaat een kans voor Europese cloud- en securityoplossingen.
Instellingen in zorg, onderwijs en mobiliteit die DigiD-koppelingen gebruiken, krijgen mogelijk nieuwe contract- en auditplichten. Denk aan verwerkersovereenkomsten, logging en extra monitoring. Ook kunnen responstijden en releasekalenders veranderen door strengere testen. Goede communicatie voorkomt verstoringen voor eindgebruikers.
Voor Europese digitalisering en de gevolgen voor het bedrijfsleven is voorspelbaarheid belangrijk. Een duidelijke routekaart voor DigiD en eIDAS 2.0 helpt investeringsbeslissingen. Transparante aanbestedingen en open standaarden beperken lock-in. Dat versterkt innovatie zonder concessies aan veiligheid.
Politiek en toezicht in 2026
In 2026 lopen meerdere dossiers samen: uitvoering van NIS2, verdere invulling van eIDAS 2.0 en nationale eisen aan publieke IT. De Kamer kan sturen op datalokalisatie, open standaarden en toezichtmodellen. Het kabinet en BZK bepalen hoe Logius dit vertaalt naar contracten en architectuur. Daarbij hoort ook een plan voor noodscenario’s en exit-strategieën.
De Autoriteit Persoonsgegevens blijft toezien op internationale datastromen en DPIA’s, de verplichte risicoanalyses. Voor kritieke diensten zijn periodieke audits en incidentrapportages essentieel. Publieke verantwoording over leverancierskeuzes vergroot het vertrouwen. En maakt zichtbaar of juridische en technische waarborgen werken in de praktijk.
Het debat rond DigiD draait uiteindelijk om vertrouwen en controle. Burgers willen zekerheid dat hun gegevens in veilige handen zijn. En dat politieke wisselingen elders niet leiden tot nieuwe risico’s hier. De komende aanbestedingen en beleidskeuzes zullen dat moeten bewijzen.