DigiD-aansluitingen voldoen aan regel, nu de staatssecretaris nog
Vandaag is het 30 april: de dag waarop iedereen die is aangesloten op DigiD zijn jaarlijkse beveiligingsassessment moet inleveren. Gemeenten, zorgverzekeraars, zorgverleners, pensioenfondsen, uitvoeringsorganisaties: zij verklaren allemaal vandaag schriftelijk dat hun digitale beveiliging op orde is. Dat ze voldoen aan de eisen. Dat u gerust kunt zijn.
Wie niet voldoet krijgt een boze brief van Logius, de beheerder van DigiD, een nieuwe termijn en riskeert daarna afsluiting. Tegelijkertijd erkent de staatssecretaris van Binnenlandse Zaken, in antwoorden op Kamervragen van JA21, impliciet dat de beveiliging bij datzelfde Logius helemaal niet op orde is.
De stille erkenning in Den Haag
De staatssecretaris schrijft in zijn antwoorden dat het “niet mogelijk is om voor augustus 2026 over te stappen naar een andere IT-leverancier zonder dat de continuïteit en veiligheid van de dienstverlening in gevaar komt.” Daarom wordt het contract met de huidige leverancier, Solvinity, met twee jaar verlengd. Dat klinkt als een praktische mededeling. Het is meer dan dat.
De Baseline Informatiebeveiliging Overheid (BIO), waarvoor diezelfde Erik van den Burg aan de lat staat, is het verplichte beveiligingskader voor alle overheidsorganisaties. Dat is dus inclusief Logius. Zowel de huidige versie (BIO 1) als de nieuwe versie (BIO 2) stellen ondubbelzinnige eisen aan leveranciersafhankelijkheid. De afhankelijkheid van die leverancier moet beheersbaar zijn. Er moet een bedrijfscontinuïteitsplan zijn voor als er iets misgaat.
Als een overstap naar een andere leverancier de veiligheid van een nationale digitale basisvoorziening bedreigt, dan is BCM niet gelukt. De staatssecretaris zegt het niet zo, maar dat is wat er staat.
Business continuïteit: het probleem zit dieper
Business continuity management (BCM) gaat over precies dit: wat doe je als iets of iemand waarvan je afhankelijk bent, wegvalt of niet langer betrouwbaar is? Voor een dienst als DigiD, die de toegang regelt tot vrijwel alle digitale overheidsdiensten, is dat geen theoretische vraag.
Het antwoord dat de staatssecretaris geeft, is in feite: wij hebben geen werkbaar alternatief, dus we verlengen. Dat is geen BCM, maar het accepteren van dit risico.
Zowel BIO 1 als BIO 2 verplichten dat de afhankelijkheid van een leverancier contractueel beheersbaar is gemaakt. Die route bestaat kennelijk niet, of in elk geval niet binnen een aanvaardbare termijn.
Het raakt niet alleen Logius
DigiD is geen intern systeem. Het is de digitale sleutel die burgers gebruiken om bij de overheid te komen, maar ook om in te loggen bij hun zorgverzekeraar, hun huisarts of hun ziekenhuis. Steeds meer zorgaanbieders maken hun elektronisch patiëntendossier toegankelijk via DigiD. Dat is handig, maar het betekent ook dat de beveiligingsstatus van DigiD direct doorwerkt naar de zorg.
Verder lezen bij de bron- Evaluatie datalek gemeente Epe - 3 juli 2026
- Waarom informatiebeveiliging nooit af is - 3 juli 2026
- De Cloud Act en digitale soevereiniteit ontrafelt - 2 juli 2026
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Evaluatie datalek gemeente Epe | Verder lezen | |
Waarom informatiebeveiliging nooit af is | Verder lezen | |
De Cloud Act en digitale soevereiniteit ontrafelt | Verder lezen | |
AI zet decennia cybersecurity op zijn kop | Verder lezen | |
Privacyklachten stijgen explosief – en de overheid staat in de top 3 | Verder lezen | |
Maatregelen nodig voor automatisering Van Brienenoordbrug | Verder lezen | |
AP stelt procesbeschrijving voor verscherpt toezicht vast | Verder lezen | |
Digitale weerbaarheid: waarom een strategische aanpak noodzakelijk is | Verder lezen | |
Privacyschending bij de verkoop van ‘verloren pakketten’: Bol start onderzoek | Verder lezen | |
Gelderland doet lang over het opvolgen van aanbevelingen | Verder lezen |