Het Nederlandse ministerie van Economische Zaken verbiedt de overname van DigiD-hoster Solvinity door het Amerikaanse IT-bedrijf Kyndryl. Dat meldde Tweakers gisteren. Het Bureau Toetsing Investeringen concludeerde op grond van de Wet ongewenste zeggenschap telecommunicatie (Wozt) dat de koop mogelijk een risico vormt voor het publieke belang. Dat zou een einde moeten zijn voor de eindeloze soap rond Solvinity.
“DigiD komt in Amerikaanse handen” was afgelopen jaar steeds de kreet. Formeel onjuist: het ging om de overname van infrastructuurdienstverlener Solvinity, waar de applicatie DigiD op gehost werd. Maar praktisch snap ik de zorg wel, want wie bij je infrastructuur kan, kan alles. En als dat dan moet van die snode CLOUD Act, dan zijn we met huid en haar overgeleverd aan de Yanks.
De maatschappelijke ophef snap ik dus helemaal. Er was alleen niet heel veel aan te doen; Kamervragen kan altijd, maar het contract opzeggen of verlengen was écht de keuze van het ministerie. Een kort geding in mei mocht ook niet baten: dat zou een opzegging op korte termijn van de dienstverlening impliceren, en dat zou weer het functioneren van DigiD in gevaar brengen.
De ingreep van het BTI is verrassend, hoewel het juridisch inderdaad gewoon kan. Het punt is vooral dat die wet geschreven is voor overnames door strategisch vijandige partijen, overnames die een “bedreiging van het publiek belang” opleveren. Het is voor het eerst dat wordt erkend dat Amerikaanse partijen zo’n bedreiging kunnen geven.
Hoe nu verder? Op korte termijn zal het vooral shoppen zijn naar een andere overnamepartij, want Solvinity stond niet voor niets in de verkoop. Maar het zou een wake-upcall kunnen zijn voor overheden om hier dieper na over te denken. Het idee van Bert Hubert om een rijkscloud op te zetten, zou ik alleen maar toejuichen.
Arnoud
Jammer dat het advies van het BTI niet openbaar is. Ik vraag me af hoe Solvinity onder de Wozt valt, want die ziet op “Telecommunicatiepartijen” en Solvinity lijkt me geen elektronisch communicatienetwerk of dienst. Wel een hoster, wat ook onder de definitie valt, maar dat is volgens mij niet wat ze aan de overheid leveren. Daar leveren ze toch alleen beheer?
Als dat inderdaad zo is, dan vind ik het lastig te begrijpen hoe ze dit ingestoken hebben, want de hosting die Solvinity ongetwijfeld ook biedt aan anderen lijkt me niet een strategisch belang. Ik ben heel benieuwd hoe dat in het advies beoordeeld wordt.
Ook al zou het hosting probleem opgelost zijn, dan nog zou de beheerder toch overgenomen kunnen worden? Ook de diensten zoals deze zouden waarborging van continuïteit moeten hebben;
Splitsing naar stichting en het beheer commercieel regelen? Gebeurt dat al ergens?
Er zijn verschillende private bedrijven die een rechtsvorm hebben gekozen die niet makkelijk over te nemen is. Ik vrees echter dat het lastig is om dat helemaal dicht te timmeren als alle betrokkenen (bestuurders) dat ongedaan willen maken. Als het echt cruciaal is, is het beter om die weg niet op te gaan en het ofwel (a) in eigen hand te houden / zelf te doen, (b) wel het beheer uit te besteden (zoals nu) maar met een zinnige exit/migratiestrategie. Dat laatste optie was er mogelijk wel, als er gelijk op het moment van aankondiging al het besluit was genomen om dan weg te migreren. Je kunt niet eindeloos politiek besluiteloos blijven en dan op het laatste moment nog willen over te stappen. Elke exit-strategie is waardeloos als de politiek niet start met het besluit tot exit.
Ik snap op zich dus ook wel waarom het contract nog last minute verlengd is. Vijf maanden is echt te weinig, welke zinnige exit-strategie je ook had. Want bedenk wel dat van die vijf maanden je er sowieso al 3-4 kwijt bent met überhaupt zorgvuldig selecteren en contracteren van een nieuwe partij, laat staan om het in zo’n periode in eigen hand te nemen.
Lang verhaal kort, alles kan, het enige wat nodig is, is wat tijdige besluitvaardigheid.
Zijn de gegevens (in Britse handen) op dit moment wel zo veilig als verondersteld wordt, gelet op de Cloud Act Agreement between the Governments of the U.S., United Kingdom of Great Britain and Northern Ireland?
Welke gegevens kan Solvinity precies bij eigenlijk? Dat zit toch versleuteld in de app van DigiD?
Ik denk dat je heel eenvoudig moet concluderen dat als een partij bij de hardware kan, of volledige rechten heeft op de onderliggende operating systems (in welke vorm dan ook; hypervisors of iets anders) dat ze dan in principe alles kunnen zien. Versleuteling is leuk, maar helpt vooral en met name tijdens transport over een netwerk; uiteindelijk wordt die data ergens door een process verwerkt of in een database opgeslagen. Ook daar kan je encryptie toepassen, maar de sleutel zit dan altijd ergens in memory. Je kan het op verschillende manieren lastiger maken, maar uiteindelijk kan de eigenaar de bitjes in het geheugen lezen.
Wat ik niet begrijp is waarom de overname van zo’n gehele partij kan worden tegengehouden omdat het ministerie een van de klanten is. Ik zou zeggen dat die overname voldoende reden kan zijn voor het ministerie om de spullenboel op te pakken en te verhuizen naar een andere partij, maar de hele overname blokkeren omdat digid een van de klanten is vind ik buitengewoon opmerkelijk.
Het ministerie had, zo blijkt nu dus, geen goede exit-strategie. Er is gekozen voor een cloud-partij, en dat is op zich prima, maar dat betekent niet dat je geen rekening moet houden met verschillende scenario’s, zoals overname, een plots faillisement, of een natuurramp bij het datacenter. Dat de overheid alles heeft wegbezuinigd, alle eieren in een enkel klein mandje heeft gelegd en geen draaiboek klaar heeft liggen voor deze -heel goed vooraf te voorspellen- situatie is wat mij betreft vooral de schuld van het ministerie zelf. Als die dienst zo ontzettend belangrijk is dat die niet enige tijd (gedurende welke je diensten overhevelt naar een andere hoster) kan draaien met een Amerikaanse partij als eigenaar, dan had het ministerie het zelf moeten hosten en het niet aan de markt over moeten laten. We weten al lange tijd dat alle grote marktpartijen Amerikaans zijn, en dat als je het aan een andere marktpartij over laat die kan worden overgenomen. Nu is het dus wel heel belangrijk en super kritisch (genoeg om de overname te blokkeren), maar het draait bij een enkele partij en niet gedistribueerd bij verschillende partijen zodat diensten kunnen worden verplaatst van het ene naar het andere platform. Een totale faal van het ministerie wat mij betreft, en ik gok zomaar het gevolg van het niet meer in-house hebben van voldoende mensen met voldoende kennis. Dit soort dingen krijg je als je alle kennis de deur uit doet, je beslissingen neemt op basis van adviezen van externe consultants die vooral geinteresseerd zijn in hun eigen bottom line, en vervolgens overal de goedkoopste optie kiest. Ik zit niet bij dit ministerie dus dit is maar wat ik denk, maar ik weet genoeg van hoe dit soort dingen gaan bij andere grote overheidsinstellingen dat ik denk dat ik er niet ver naast zit.
Ik ben het er wel mee eens dat de USA als strategische vijand wordt gezien, zeker na het nieuws “Microsoft deelde namen van Nederlandse ambtenaren met Amerikaanse overheid” van eind vorige week.
Je moet dit niet zwart-wit bekijken, maar in meerdere tinten grijs. Risico-analyse gaat over kansen en schades en een kans is nu eenmaal een getal tussen 0 en 1.
Voor DigiD zijn er een aantal vragen:
- Wat is de kans dat de dienst voor langere tijd uit de lucht is?
- Wat is de kans dat de dienst frauduleus gebruikt wordt?
- Wat is de kans dat vertrouwelijke gegevens uit de dienst ongewenst gedeeld worden?
Om een schatting van deze kansen te kunnen maken moet je kijken naar de technische capaciteiten van de aanbieder, maar ook naar de juridische omgeving waarin deze moet werken. Denk bijvoorbeeld aan handelssancties. Vanuit de Nederlandse overheid zou ik grofweg de volgende ranking maken voor juridische omgeving:- Rijkscloud
- Nederlandse commerciële cloud
- EU commerciële cloud
- Cloud in overige vriendelijke landen
- Cloud in onvriendelijke of vijandige landen
Als er een EU-cloud komt die door de EU opgezet en beheerd gaat worden, komt deze op een gedeelde tweede plaats: Sommige zaken hou je liever in eigen hand en andere zaken deel je liever niet met commerciële partijen.Ik zou het helemaal niet gek vinden als Europese bedrijven vanwege de GDPR verplicht worden om hun data in datacenters die onder EU (of EU-compatible) jurisdictie vallen op te slaan.
Wat bedoel je precies met EU-compatible? Want als je bedoelt “in lijn met de AVG”, dan is dat al zo: doorgifte naar derde landen mag alleen mits er ofwel een adequaatheidsbesluit is genomen (bijv. zoals er formeel gezien gewoon geldt voor bedrijven uit de USA die zich aan het Data Privacy Framework houden), of als er voldoende aanvullende passende waarborgen worden genomen. Het doel? Dat de verwerking in desbetreffend derde land minstens dezelfde bescherming biedt als de AVG binnen de EER. Oftewel – dat de verwerking (incl. opslag) in lijn is (compatible is) met de AVG.
Er zijn natuurlijk prima alternatieven in Nederland zoals Pink Roccade of Schuberg Philis die de hosting zouden kunnen doen
Hoe zijn die precies Nederlands?
Het gaat niet om hosting, indien wel dan is dat een contractuele overtreding en iets veel ernstigers van schending van zowel alle verplichtingen waar het moet draaien.
De verwerkingen zouden moeten plaatsvinden in ODC-DJI waarbij het gaat om een co-locatie. Een co-locatie betekent vloer en dak is van iemand anders (equinix) maar de rekken en het ijzer zijn in eigen eigendom. De netwerk aansluitingen zijn zowel op het openbare netwerk (internet publiek) als op het afgesloten eigen overheidsnetwerk Ron onderdeel van Nafin (beheer bij defensie).
Sinds 2010 (!) wordt gepoogd alles in een one-size-fits-all incomplete OS-stack te zetten waarvoor men het ontwerp met alle benodigde basiskennis heeft uitbesteed.
Heit is een dienstverlener voor een klein deel open source kubernetes, de stak heet picard. Dat infrastructuur noemen is veel te kort door de bocht, het zijn wat scripts welke aan beheerders geleverde moeten worden. Solvinity doet geen beheer dat is aan andere partijen via inhuur handjes aanbesteed Dit betreft openbare informatie via Tenderned
De stack zelf is vrij rampzalig in ontwerp en beheer daar heeft de AcICt (voorheen Bit) in 2023 rapporten voor opgeleverd, deze zijn openbaar en te vinden via de 2e kamer verslagen. Interessant daarbij is naar Logius en die aanbestedingen wat er over Nafin-Ron gezegd wordt. Daarmee komen we aan de ODV overheidsdatacenters en hoe daar het werk gedaan wordt. Gat om co-locatie met eigen beheerde rekken.
Als je dat zo op een rijtge zit dan zijn er een aantal mogelijkheden. _ Solvintiy werkt volgens contract en daarmee is de hele ophef een broodje aap. – Solvinity heeft zich niet aan de aanbestedingsopdracht gehouden en doet werk dat contractueel niet mag. – Logius en 2e-kamer zijn volledig de weg kwijt en weten zelf niet wie wat doet en waarom – Waar de datacenter met co-locatie werken zijn alle regels voor co-locatie overtreden Het broodje-aap als mogelijkheid is het minst kwalijke de andere opties zijn structureel veel ernstiger.
Iemand betere onderbouwde andere mogelijkheden?