Vandaag is het 30 april: de dag waarop iedereen die is aangesloten op DigiD zijn jaarlijkse beveiligingsassessment moet inleveren. Gemeenten, zorgverzekeraars, zorgverleners, pensioenfondsen, uitvoeringsorganisaties: zij verklaren allemaal vandaag schriftelijk dat hun digitale beveiliging op orde is. Dat ze voldoen aan de eisen. Dat u gerust kunt zijn.

Wie niet voldoet krijgt een boze brief van Logius, de beheerder van DigiD, een nieuwe termijn en riskeert daarna afsluiting. Tegelijkertijd erkent de staatssecretaris van Binnenlandse Zaken, in antwoorden op Kamervragen van JA21, impliciet dat de beveiliging bij datzelfde Logius helemaal niet op orde is.

De stille erkenning in Den Haag

De staatssecretaris schrijft in zijn antwoorden dat het “niet mogelijk is om voor augustus 2026 over te stappen naar een andere IT-leverancier zonder dat de continuïteit en veiligheid van de dienstverlening in gevaar komt.” Daarom wordt het contract met de huidige leverancier, Solvinity, met twee jaar verlengd. Dat klinkt als een praktische mededeling. Het is meer dan dat.

De Baseline Informatiebeveiliging Overheid (BIO), waarvoor diezelfde Erik van den Burg aan de lat staat, is het verplichte beveiligingskader voor alle overheidsorganisaties. Dat is dus inclusief Logius. Zowel de huidige versie (BIO 1) als de nieuwe versie (BIO 2) stellen ondubbelzinnige eisen aan leveranciersafhankelijkheid. De afhankelijkheid van die leverancier moet beheersbaar zijn. Er moet een bedrijfscontinuïteitsplan zijn voor als er iets misgaat.

Als een overstap naar een andere leverancier de veiligheid van een nationale digitale basisvoorziening bedreigt, dan is BCM niet gelukt. De staatssecretaris zegt het niet zo, maar dat is wat er staat.

Business continuïteit: het probleem zit dieper

Business continuity management (BCM) gaat over precies dit: wat doe je als iets of iemand waarvan je afhankelijk bent, wegvalt of niet langer betrouwbaar is? Voor een dienst als DigiD, die de toegang regelt tot vrijwel alle digitale overheidsdiensten, is dat geen theoretische vraag.

Het antwoord dat de staatssecretaris geeft, is in feite: wij hebben geen werkbaar alternatief, dus we verlengen. Dat is geen BCM, maar het accepteren van dit risico.

Zowel BIO 1 als BIO 2 verplichten dat de afhankelijkheid van een leverancier contractueel beheersbaar is gemaakt. Die route bestaat kennelijk niet, of in elk geval niet binnen een aanvaardbare termijn.

Het raakt niet alleen Logius

DigiD is geen intern systeem. Het is de digitale sleutel die burgers gebruiken om bij de overheid te komen, maar ook om in te loggen bij hun zorgverzekeraar, hun huisarts of hun ziekenhuis. Steeds meer zorgaanbieders maken hun elektronisch patiëntendossier toegankelijk via DigiD. Dat is handig, maar het betekent ook dat de beveiligingsstatus van DigiD direct doorwerkt naar de zorg.

Deze versturen we 3-4x per jaar.