Een nieuwe peiling onder deelnemers van het Radar Panel laat zien dat 87% zou stoppen met DigiD bij een Amerikaanse overname. Het gaat om de digitale inlogdienst van de Nederlandse overheid, beheerd door Logius. De uitkomst onderstreept zorgen over privacy, zeggenschap over data en vertrouwen in publieke digitale diensten. Dit raakt ook Europese digitalisering en de gevolgen voor het bedrijfsleven en burgers, omdat DigiD toegang geeft tot zorg, belastingen en onderwijs.
Grote weerstand tegen overname
De gemeten weerstand richt zich op het idee dat een niet-Europese partij eigenaar of beheerder wordt van DigiD. Deelnemers noemen vooral de vrees dat gevoelige persoonsgegevens buiten Europa kunnen belanden. Ook speelt het gevoel mee dat publieke infrastructuur niet in private of buitenlandse handen hoort. Het signaal is daarom breder dan alleen techniek: het gaat om vertrouwen in de overheid en digitale soevereiniteit.
DigiD is de sleutel tot honderden online diensten van overheid en semipublieke instellingen. Denk aan de Belastingdienst, zorgportalen en gemeenten. Als veel mensen hun DigiD niet meer willen gebruiken, dreigt uitsluiting van basisdiensten. Dat maakt het onderwerp urgent voor beleid en uitvoering.
De uitkomst komt uit een consumentenpanel en is niet automatisch representatief voor heel Nederland. Toch is de 87% een opvallend cijfer dat de maatschappelijke gevoeligheid markeert. Het is bovendien een signaal richting inkoop- en uitbestedingskeuzes bij de overheid. En het benadrukt de behoefte aan heldere uitleg over waar data staan en wie erbij kan.
“87% van de deelnemers zegt te stoppen met DigiD bij een Amerikaanse overname.”
Zorgen over Amerikaanse wetgeving
Een veelgenoemde zorg is de Amerikaanse CLOUD Act. Die wet kan Amerikaanse autoriteiten toegang geven tot data van Amerikaanse bedrijven, ook als die data in Europa staan. Voor burgers voelt dat als een risico op ongewenste inzage in hun gegevens. Zeker als het om medische gegevens, inkomen of toeslagen gaat.
Onder de AVG geldt dataverwerking met duidelijke doelen, minimale verzameling en passende beveiliging. Het doorgeven van data buiten de EU mag alleen met waarborgen, zoals standaardcontracten en erkende beschermingsniveaus. Het EU‑VS Data Privacy Framework is op het moment van schrijven van kracht, maar het juridische debat blijft levendig. Dat voedt de twijfel bij mensen die maximale zekerheid wensen over hun data.
Voor identiteitsdiensten gelden bovendien zwaardere eisen aan betrouwbaarheid en toezicht. Denk aan versleuteling, strenge logging en onafhankelijke audits. Zelfs met zulke maatregelen blijft de vraag wie juridisch eindverantwoordelijk is. En of buitenlandse wetgeving dat niet doorkruist.
Wat staat er op het spel
DigiD is basisinfrastructuur voor digitale overheid. Zonder veilige en vertrouwde toegang vallen online diensten stil. Dat raakt burgers, maar ook uitvoeringsorganisaties die afhankelijk zijn van een soepel inlogproces. Elke verstoring vergroot wachttijden en kosten aan de balie en telefoon.
Als het vertrouwen in DigiD afneemt, moeten instanties meer alternatieven bieden. Denk aan fysieke balies, machtigingen op papier of andere inlogmiddelen. Dat is trager en duurder, en vergroot het risico op fouten. Digitale inclusie komt daarmee onder druk te staan.
Ook continuïteit telt: bij uitbesteding spelen vendor lock‑in en migratierisico’s. Een overstap van kernsystemen is complex en risicovol. Daarom vragen aanbestedingen om stevige eisen rond exit‑strategieën, dataportabiliteit en eigenaarschap van sleutelcomponenten. Bij identiteitsdiensten is dat extra belangrijk.
Europese regels sturen digitalisering
De eIDAS‑verordening stelt eisen aan elektronische identificatie en vertrouwensdiensten in de EU. Dat gaat over zekerheid van iemands identiteit en de technische kwaliteit van het inlogsysteem. De opvolger, vaak eIDAS 2.0 genoemd, maakt de weg vrij voor een Europese Digitale Identiteitsportefeuille. Lidstaten, waaronder Nederland, bereiden pilots en integratie voor.
NIS2 legt zwaardere cybersecurity‑plichten op aan essentiële en belangrijke diensten. Voor publieke digitale toegangssystemen betekent dit meer rapportage, risicobeheer en toezicht. Dat vergroot de lat bij uitbesteding aan externe leveranciers. Contracten moeten NIS2‑eisen afdwingen, inclusief incidentmelding en herstel.
De AVG blijft het anker voor privacy. Dataminimalisatie, duidelijke doelen en versleuteling zijn verplicht. Dataresidentie in de EU en end‑to‑end‑beveiliging helpen om juridische en technische risico’s te beperken. Toezicht ligt bij de Autoriteit Persoonsgegevens, die handhaaft op naleving.
Beleid voor publieke identiteit
Een logische optie is kerndiensten zoals DigiD publiek te houden. Beheer door Logius, onderdeel van Binnenlandse Zaken, borgt democratische controle. Externe expertise kan wel worden ingekocht, maar met publieke regie op architectuur en sleutelcomponenten. Zo blijft het eigenaarschap duidelijk en het toezicht stevig.
Als toch onderdelen worden uitbesteed, zijn strikte waarborgen nodig. Denk aan Europese dataopslag, versleuteling met sleutels onder Nederlands beheer en transparante audits. Contracten moeten CLOUD‑Act‑risico’s adresseren, bijvoorbeeld via Europese aanbieders of technische maatregelen die toegang uitsluiten. Ook moet er een werkende exit‑strategie zijn.
Heldere communicatie richting burgers is cruciaal voor vertrouwen. Leg uit waar data staan, wie erbij kan en hoe misbruik wordt voorkomen. Bied begrijpelijke keuzes en goede ondersteuning voor minder digitale inwoners. Zo blijft digitale toegang betrouwbaar én inclusief.
Gevolgen voor diensten en bedrijven
Veel organisaties in zorg, onderwijs en finance laten klanten inloggen met DigiD. Als vertrouwen wegvalt, moeten zij extra kanalen en ondersteuning bieden. Dat verhoogt kosten en maakt processen complexer. Het risico op uitval bij piekbelasting groeit.
Bedrijven die publieke taken uitvoeren, moeten hun integratie met DigiD en opvolgers toekomstvast maken. Open standaarden en modulair ontwerp verkleinen afhankelijkheden. Vooruitkijken naar de Europese Digitale Identiteitsportefeuille helpt om straks sneller te koppelen. Dat past bij Europese digitalisering en de gevolgen voor het bedrijfsleven.
Tot slot vraagt dit om strakke governance. Denk aan periodieke risicoanalyses, tabletop‑oefeningen en duidelijke afspraken over incidentrespons. Zo blijven dienstverlening en vertrouwen overeind, ook als het landschap van identiteitssystemen verandert. Dat is in het belang van burgers én organisaties.