Een meerderheid in de Tweede Kamer wil dat de servers van DigiD in Nederland blijven staan. DigiD is de digitale inlogdienst van Logius, onderdeel van het ministerie van Binnenlandse Zaken. De Kamer benadrukt dat dit nodig is voor privacy, veiligheid en digitale soevereiniteit. De discussie raakt ook aan Europese digitalisering en de gevolgen voor bedrijfsleven en overheid.
Kamer wil Nederlandse hosting
Op het moment van schrijven is er een politieke meerderheid voor het behoud van DigiD-hosting binnen de landsgrenzen. De Kamer roept het kabinet op dit vast te leggen en hierop in te kopen. Het doel is om afhankelijkheid van buitenlandse cloudaanbieders te beperken.
DigiD wordt beheerd door Logius, de uitvoeringsorganisatie voor de digitale overheid. De wens van de Kamer vraagt om duidelijke kaders voor productie, back-up en noodherstel. Ook speelt mee onder welke rechtsorde een leverancier valt.
De oproep is nog geen wetswijziging, maar stuurt het beleid wel. Het ministerie van Binnenlandse Zaken moet met een plan komen. Daarbij hoort ook een tijdpad voor eventuele aanpassingen aan de infrastructuur.
Privacy en soevereiniteit
Bij DigiD gaan het om gevoelige gegevens, zoals inloggegevens en metadata. Dat vraagt om dataminimalisatie en sterke versleuteling, zoals de AVG voorschrijft. Toch blijft de fysieke én juridische locatie van systemen belangrijk.
Data die bij een Amerikaanse aanbieder staan, kunnen onder de Amerikaanse CLOUD Act vallen. Dat risico blijft soms bestaan, ook als de servers fysiek in de EU staan. Het Europese Hof beperkte eerder al doorgifte van persoonsgegevens in de zaak Schrems II.
Door hosting in Nederland te eisen, wil de Kamer juridische onzekerheid verminderen. Verwerkers vallen dan onder Nederlandse en Europese toezichthouders. Dat maakt handhaving en transparantie voor burgers en instellingen eenvoudiger.
DigiD is het digitale identificatiemiddel van de overheid waarmee burgers veilig inloggen bij duizenden online diensten van gemeenten, zorg, onderwijs en rijk.
Gevolgen voor Logius en cloud
Voor Logius betekent dit striktere selectie van datacenters en leveranciers. Contracten moeten eisen vastleggen over sleutelbeheer, ondersteuning en incidentrespons. Redundantie over meerdere Nederlandse locaties wordt belangrijker voor continuïteit.
De keuze voor Nederlandse hosting kan kosten en capaciteit beïnvloeden. Grote internationale clouds bieden schaalvoordelen, maar brengen ook jurisdictierisico’s mee. Een “soevereine cloud” met Europese zeggenschap kan een middenweg zijn.
De komende EU Cloud Cybersecurity Certification Scheme (EUCS) stelt niveaus voor cloudbeveiliging vast. Bij een hoog niveau horen beperkingen rond eigendom en rechtspraak. Dat sluit aan bij de wens om DigiD onder EU-jurisdictie te laten vallen.
Impact voor burgers
Voor gebruikers verandert er op korte termijn niets. Inloggen blijft via de DigiD-app, sms-controle of een gebruikersnaam met wachtwoord. De maatregel richt zich op de achterliggende infrastructuur.
Op langere termijn kan dit de voorspelbaarheid van de dienst vergroten. Bij incidenten zijn Nederlandse partijen sneller aanspreekbaar. Toezicht door de Autoriteit Persoonsgegevens en de Rijksinspectie Digitale Infrastructuur blijft zo beter uitvoerbaar.
Overheden en zorginstellingen die op DigiD steunen, krijgen meer duidelijkheid over compliance. Zij hoeven minder uitzonderingen te regelen voor internationale dataoverdracht. Wel kan een eventuele migratie tijdelijk onderhoud of testen vragen.
Europese digitalisering gevolgen bedrijfsleven
De keuze voor Nederlandse hosting raakt ook leveranciers en datacenters. Europese aanbieders krijgen mogelijk meer kansen bij aanbestedingen. Internationale spelers zullen moeten aantonen dat hun oplossingen aan EUCS en AVG voldoen.
In de context van eIDAS en de aankomende Europese digitale identiteit wordt betrouwbaarheid belangrijker. Cross-border inloggen vraagt heldere afspraken over rechtsmacht en beveiliging. Strakke controle over waar sleutels en gegevens zich bevinden helpt daarbij.
NIS2 legt extra zorgplichten op voor essentiële en belangrijke diensten. DigiD valt in de praktijk onder hoge beveiligings- en rapportage-eisen. Dat werkt door naar softwareleveranciers die op DigiD aansluiten.
Wat nog onduidelijk is
Nog niet helder is welke technische definitie “in Nederland” precies krijgt. Gaat het om fysieke locatie, om juridische zeggenschap, of om beide? En hoe worden uitwijklocaties buiten Nederland beoordeeld?
Ook is de positie van buitenlandse aanbieders met Nederlandse entiteiten onduidelijk. Vallen zij alsnog onder niet-Europese wetgeving, en zo ja, hoe wordt dat ondervangen? Een hoog EUCS-profiel kan hierbij richting geven.
Het kabinet moet de Kamer nog informeren over de uitwerking. Daarbij horen kosten, planning en gevolgen voor bestaande contracten. Op het moment van schrijven is die reactie nog in voorbereiding.