De overheid geeft meer openheid over de toetsing van een voorgenomen overname rond het beheer van de DigiD-software. Het dossier wordt beoordeeld door het Ministerie van Economische Zaken en Klimaat onder de Wet veiligheidstoets investeringen, fusies en overnames (Vifo). De toetsing past in Europese digitalisering en de gevolgen voor het bedrijfsleven, met strengere regels tegen ongewenste overnames. De minister kan ingrijpen als de nationale veiligheid of continuïteit in het geding is.
Minister kan overname verbieden
De Vifo-wet geeft de minister bevoegdheden om risicovolle overnames te stoppen of te begrenzen. Dat kan met een verbod of met zware voorwaarden, zoals toezicht op beheer en de locatie van kritieke processen. Het doel is het voorkomen van ongewenste invloed op vitale diensten.
Het gaat specifiek om het softwarebeheer van DigiD, het inlogmiddel voor onder meer belastingen, gemeenten en zorg. Softwarebeheer is het onderhoud en de doorontwikkeling van programmatuur. Bij overname van zo’n beheerpartij worden zeggenschap en leveringszekerheid nauwkeurig gewogen.
De minister kan een investering verbieden, beperken of aan voorwaarden verbinden als deze risico’s oplevert voor de nationale veiligheid.
Voorwaarden kunnen bijvoorbeeld eisen zijn over broncode-toegang, een escrow-regeling of bestuur onder Nederlandse jurisdictie. Ook kan de overheid eisen dat beveiligingsaudits en incidentmelding verplicht worden. Zo blijft de dienst veilig en beschikbaar voor burgers en instanties.
DigiD is vitaal systeem
DigiD is het digitale identificatiemiddel van de Nederlandse overheid. Miljoenen inwoners gebruiken het om in te loggen bij publieke diensten en zorgportalen. Het beheer van dit systeem is daarom een vitaal onderdeel van de digitale overheid.
De uitvoeringsorganisatie Logius, onderdeel van Binnenlandse Zaken, beheert DigiD op het moment van schrijven. Externe leveranciers ondersteunen met software en techniek. Juist die keten maakt een overname van een beheerpartij gevoelig voor risico’s.
De privacyregels uit de AVG blijven leidend, zoals dataminimalisatie en versleuteling. Maar ook als data bij de staat blijft, kan een wijziging in softwarezeggenschap risico’s geven. Denk aan leveringszekerheid, updatebeleid en toegang tot technische kennis.
Strenge toets via Vifo
De Vifo-wet geldt sinds 2023 voor investeringen in vitale aanbieders en gevoelige technologie. Een beoogde koper moet een overname melden en gedetailleerde informatie aanleveren. Daarna volgt een veiligheidstoets met mogelijkheid tot aanvullende vragen en maatregelen.
De beoordeling richt zich op nationale veiligheid, continuïteit en ongewenste buitenlandse invloed. Ook wordt gekeken naar de herkomst van geld, zeggenschap en de keten van onderaannemers. Het Bureau Toetsing Investeringen voert de analyse uit en adviseert de minister.
Als risico’s beheersbaar zijn, kan de overname onder voorwaarden doorgaan. Zijn de risico’s niet weg te nemen, dan kan de minister de transactie verbieden. In beide gevallen worden betrokken partijen formeel geïnformeerd, vaak zonder publieke details.
Europese screening en veiligheid
Nederland stemt de Vifo-toets af met het Europese kader voor buitenlandse investeringen. De EU-screeningsverordening vraagt lidstaten om elkaar te informeren over strategische deals. Zo ontstaat een gezamenlijk beeld van risico’s voor de interne markt.
Daarnaast gelden Europese cybersecurityregels, zoals NIS2 voor essentiële diensten. Die vragen om aantoonbare risicobeheersing, incidentrespons en ketencontrole. Voor een inloginfrastructuur als DigiD zijn die eisen direct relevant.
De combinatie van Vifo, NIS2 en de AVG legt de lat hoog voor softwarebeheer. Leveranciers moeten laten zien dat zij processen en data goed beschermen. Dat vergroot de betrouwbaarheid voor burgers en instellingen.
Beperkte openheid voor publiek
De overheid deelt bij dit soort toetsingen weinig details tijdens het proces. Dat is bedoeld om marktverstoring en speculatie te voorkomen. Namen van betrokken bedrijven, koopsom en tijdlijn blijven meestal vertrouwelijk.
Wel is nu duidelijk gemaakt dat de zaak actief wordt getoetst en dat ingrijpen mogelijk is. Die bevestiging biedt publiek en politiek meer houvast. Tegelijk blijft de feitelijke risicoanalyse niet openbaar.
Kamerleden vragen geregeld om meer transparantie bij vitale overnames. De minister weegt dat tegen het belang van een zorgvuldige procedure. Pas na het besluit volgt vaak een beperkte toelichting.
Mogelijke voorwaarden en impact
Als de overname doorgaat, zijn voorwaarden waarschijnlijk. Denk aan het behouden van broncode en intellectueel eigendom in Nederland. Ook kunnen er eisen komen voor audits, personele screening en 24/7 continuïteit.
Voor burgers verandert er naar verwachting niets aan het gebruik van DigiD. Inloggen en app-functionaliteit blijven zoals ze zijn. De maatregelen richten zich op de achterkant: zeggenschap, veiligheid en leveringszekerheid.
Voor het bedrijfsleven toont dit dossier de strengere poortwachtersrol van de staat bij Europese digitalisering, met gevolgen voor bedrijfsleven en investeerders. Beleggers moeten rekening houden met langere doorlooptijden en meer voorwaarden. Voor de overheid is het doel helder: controle houden over kritieke digitale infrastructuur.