DigiD wordt niet Amerikaans maar wel wisselen we zorgdata uit mbv VS-bedrijven
Recent speelde een zeer felle discussie zich af over het feit dat het Nederlandse bedrijf Solvinity, dat voor de DigiD-dienst zorgt, overgenomen zou gaan woorden door Kyndryl. Dat is een Amerikaans bedrijf. Na veel discussie, waarin de Chief Privacy Officer bij het ministerie van binnenlandse zaken, Pieter van Oordt een opvallende rol speelde, besloot de staatssecretaris van economische zaken die overname te verbieden. Dit omdat in de VS wetten gelden waarmee de Amerikaanse overheid de toegang tot DigiD zou kunnen blokkeren of in het geheim gegevens kan opvragen. Tegelijkertijd is het zo dat een groot Amerikaans bedrijf het Landelijk Schakelpunt(LSP) in 2005 hielp opzetten en thans nog onderhoudt samen met een tweede Amerikaans bedrijf. Het betreft CSC(nu DXC Technology) en InterSystems. Het LSP zorgt voor de overdracht van zorgdata tussen zorgverleners. En dat terwijl in het LSP kortdurend zorgdata onversleuteld aanwezig zijn. Dat is met VS-bedrijven zeer zorgelijk.
Wat doen die Amerikaanse bedrijven bij het LSP?
DXC Technology is als Amerikaans bedrijf de vaste IT-partner en ontwikkelaar die het LSP al sinds 2005 beheert en vernieuwt in opdracht van VZVZ. [1, 2, 3]. DXC Technology heeft de IT-infrastructuur van het LSP gebouwd en is verantwoordelijk voor het kritische dagelijkse beheer en de doorontwikkeling. [1, 2]. InterSystems is ook een Amerikaans bedrijf. De specifieke rol van InterSystems voor het LSP is opgebouwd uit de volgende pijlers. Ten eerste systeemintegratie. Het integratieplatform fungeert als centrale verkeersleider. Het koppelt de uiteenlopende informatiesystemen van huisartsen, apotheken en ziekenhuizen aan elkaar, ondanks dat deze vaak van verschillende leveranciers afkomstig zijn. Ten tweede standaardisatie en Vertaling. Het platform vertaalt medische data razendsnel naar uniforme standaarden (zoals XML en HL7), zodat de systemen elkaars taal spreken en gegevens begrijpen. Ten derde dataverwerking en schaalbaarheid. Het bedrijf verwerkt enorme hoeveelheden data per maand.
Waarom is het zo zorgelijk?
Pieter van Oordt zei over het DigiD dat indien in Amerikaanse handen de VS-overheid bij gegevens kan die bijv. in MijnOverheid opgeslagen staan. Dat betekent sowieso naam, adres, woonplaats van individuele burgers en inkomensgegevens. Plus wat nog meer met DigiD ontsloten wordt. Ook zou de Amerikaanse overheid het berichtenverkeer dat plaats vindt met DigiD lam kunnen leggen. Bij het LSP gaat het om nog veel gevoeliger informatie, namelijk zorgdata met daarbij NAW-gegevens plus Burgerservicenummer. Ook zou de VS-overheid via die bedrijven het LSP kunnen blokkeren.
Onversleutelde data
De Vereniging van Zorgaanbieders Voor Zorgcommunicatie(VZVZ) beheert het LSP en is er verantwoordelijk voor. Door een paar regels tekst in het businessplan VZVZ 2013-2016 werd het me in 2015 duidelijk dat er ondanks versleutelde communicatie van aanvragende zorgverlener richting LSP en van het LSP richting zorgverlener/databron zorgdata en NAW-gegevens kortdurend binnen het LSP-systeem onversleuteld aanwezig zijn. Het betreft passages over een transformatie/translatie-service waarover VZVZ rept. Daarbij zou men een opgevraagde Professionele Samenvatting van huisartsen omzetten naar een spoedeisende hulp-bericht. Dat kan alleen maar in het LSP-systeem als de data daar onversleuteld aanwezig zijn. VZVZ erkende dat ook tijdens de rechtszaken van de Vereniging Praktijkhoudende Huisartsen tegen VZVZ om het LSP te stoppen. Tegen de rechters zei VZVZ destijds dat de data maar “heel kort” onversleuteld zijn in het LSP-systeem. Heel kort zegt in de computerwereld niets. In milliseconden kan veel gebeuren!!.
Zeer gevoelige zorgdata
Over het LSP gaan vooral zorgdata in de vorm van Professionele Samenvattingen van huisartsdossiers. Daarin staat veel gevoelige informatie over bestaande diagnoses, consulten en visites van huisarts, gebruikte medicatie en een flink deel van de brieven die specialisten na onderzoek over de patiënten naar huisartsen sturen. De bemoeienis van Amerikaanse bedrijven bij het LSP maakt dat via die bedrijven de Amerikaanse overheid inzage kan eisen in die data. VZVZ stelde ooit dat als ze dat ontdekten ze meteen actie zouden ondernemen. Het probleem is echter dat de VS-overheid die inzage via Amerikaanse bedrijven zo inkleedt dat inzage niet te ontdekken valt. En in het meest extreme geval kan de VS-overheid de Amerikaanse bedrijven gelasten het LSP stil te leggen.
Beducht voor teveel Amerikaanse invloed
In de huidige politiek verhoudingen met een onberekenbare en onbetrouwbare president van de VS dient men proactief te handelen. Niet alleen het stoppen van de overname van Solvinity door Kyndryl door onze overheid past daarin. Op 30 mei 2026 liet ook Follow The Money weten dat ze voor het tegengaan van DDOS-aanvallen op hun server de Amerikaanse dienstverlener Cloudflare inwisselden voor een Europees alternatief.
Hoog tijd
Het wordt de hoogste tijd dat men de inzet van Amerikaanse ICT-bedrijven bij vitale infrastructuur in Nederland goed tegen het licht houdt. Het is in mijn optiek onbestaanbaar dat we ons wel druk maken om Amerikaanse bedrijven die actief zijn bij de DigiD-voorziening, maar niet om voorzieningen waar grote hoeveelheden gevoelige medische data heen en weer gaan.
W.J. Jongejan, 3 juni 2026
Plaats een Reactie
Meepraten?Draag gerust bij!