DigiD-overname: wat de Amerikaanse overname betekent voor je gegevens

Wat speelt er rondom DigiD?

De Amerikaanse IT-dienstverlener Kyndryl neemt het Nederlandse bedrijf Solvinity over, dat onder Logius de technische infrastructuur van DigiD host en beheert. Logius is een uitvoeringsorganisatie van de Nederlandse overheid en verantwoordelijk voor digitale diensten zoals DigiD en MijnOverheid. DigiD zelf blijft eigendom van de Nederlandse staat, maar door deze overname kan de technische laag erachter (de hosting) deels onder Amerikaans zeggenschap komen.

De overname werd in november 2025 aangekondigd en valt samen met bestaande afspraken tussen Logius en Solvinity. Op 27 maart 2026 is het contract nog met twee jaar verlengd, waardoor de dienstverlening voorlopig gewoon doorgaat.

De situatie heeft geleid tot Kamervragen in de Tweede Kamer over controle, datatoegang en afhankelijkheid van Amerikaanse wetgeving. Ook is er een kort geding aangespannen om de verlenging van het contract tussen Logius en Solvinity tegen te houden, maar de rechter wees dat verzoek af, waardoor de verlenging gewoon doorgaat.

Daarmee groeit ook de bredere discussie over de rol van Amerikaanse techbedrijven in kritieke online infrastuctuur, waardoor de ‘DigiD Amerikaanse overname’-kwestie steeds meer politieke en maatschappelijke aandacht krijgt.

Komt DigiD in Amerikaanse handen?

Nee. DigiD zelf wordt niet verkocht en blijft volledig eigendom van de Nederlandse staat via Logius. Wat er wél verandert, is dat de IT-dienstverlener Solvinity, die de technische hosting en infrastructuur van DigiD verzorgt, wordt overgenomen door het Amerikaanse Kyndryl. Daardoor komt de beheerlaag onder het systeem in Amerikaanse handen, zonder dat DigiD zelf van eigenaar verandert.

Op de vraag of DigiD in Amerikaanse handen komt, kunnen we dus ‘nee’ zeggen, maar de technische infrastructuur erachter zal wel door een Amerikaans bedrijf worden beheerd.

Welke risico’s brengt de DigiD-overname met zich mee?

Hoewel DigiD zelf eigendom blijft van de Nederlandse staat, zorgen de veranderingen in de hostingstructuur voor een aantal concrete aandachtspunten:

• Amerikaanse wetgeving (zoals de CLOUD Act) kan ervoor zorgen dat Amerikaanse autoriteiten in sommige gevallen toegang kunnen eisen tot data die via een Amerikaanse partij wordt verwerkt, ook als die data buiten de VS is opgeslagen.
• Minder directe Nederlandse controle over kritieke infrastructuur. De technische laag waarop DigiD draait komt in buitenlandse handen, wat vragen oproept over digitale soevereiniteit en controle.
• Beperkte transparantie en politieke invloed. Als een buitenlandse partij een grotere rol krijgt in de hosting, kan dat leiden tot minder directe zichtbaarheid en invloed vanuit Nederlandse overheidsinstanties op operationele beslissingen.
• Er zijn ook vragen over hoe goed data technisch wordt beschermd onder de AVG, bijvoorbeeld via encryptie, en in hoeverre datalekken of identiteitsdiefstal effectief worden voorkomen, en wie toegang heeft tot versleutelde gegevens.

Deze punten haken in op de bredere discussie over digitale afhankelijkheid van buitenlandse techbedrijven, van overheidsdiensten tot persoonlijke platforms zoals social media en andere online tools.

Risico op oplichting en phishing rondom Digid

Cybercriminelen voeren al langer phishing uit onder naam van DigiD, en door de huidige aandacht rondom de Amerikaanse DigiD-overname is de kans groot dat dit soort aanvallen verder toenemen. Criminelen spelen graag in op onzekerheid en actuele discussies.

Wat er nu al gebeurt:

• Phishingmails en sms’jes die van “DigiD” of “de overheid” komen.
• Berichten met dringende waarschuwingen zoals “je account wordt geblokkeerd”.
• Nagemaakte inlogpagina’s om inloggegevens te stelen.

Wat waarschijnlijk vaker zal voorkomen:

• Gerichte phishingberichten die inspelen op de “Amerikaanse DigiD-overname”-discussie.
• Formuleringen zoals: “Bescherm je DigiD na de overname” of “Voorkom buitenlandse toegang tot je account”.
• Extra overtuigende berichten die actuele zorgen over DigiD gebruiken als lokmiddel.

Belangrijk om te weten:

• DigiD vraagt nooit via e-mail of sms om inloggegevens of directe actie via links.
• Je hoeft je account niet te "beveiligen” via een ontvangen bericht.
• Bij twijfel: ga altijd zelf naar de officiële DigiD-website.

Scams en social engineering rondom DigiD is dus geen nieuw fenomeen, maar de verwachting is dat actuele ontwikkelingen het voor criminelen eenvoudiger maken om gebruikers te misleiden.

Wat kun je zelf doen om je gegevens te beschermen?

Je hebt zelf helaas geen invloed op wat er met de hosting achter DigiD gebeurt, noch op de bijbehorende infrastructuur of juridische afspraken. Wat je wél kunt doen, is je eigen account en online gedrag goed beveiligen. Daarmee verklein je vooral het risico op phishing en misbruik van inloggegevens.

Praktische maatregelen:

• Zet extra inlogbeveiliging aan. Gebruik altijd tweefactorauthenticatie in de vorm van de DigiD-app of sms-controle bij het inloggen.
• Gebruik een sterk en uniek wachtwoord. Creëer een sterk wachtwoord, hergebruik het niet en bewaar het veilig in een wachtwoordmanager zoals NordPass.
• Controleer je accountactiviteit via MijnOverheid. In de Berichtenbox van MijnOverheid kun je onder de sectie Geschiedenis zien wanneer je je instellingen hebt aangepast en wanneer je hebt ingelogd op MijnOverheid. Dit geeft inzicht in je accountactiviteit.
• Klik niet op links in e-mails of sms’jes afkomstig van ‘DigiD’. Phishingberichten spelen vaak in op urgentie en actuele ontwikkelingen. Log altijd zelf in via de officiële website.
• Wees voorzichtig met openbare wifi. Gebruik bij voorkeur een beveiligde verbinding, bijvoorbeeld via een VPN zoals NordVPN. Een VPN beveiligt niet alleen je verbinding, maar kan je ook een Nederlands IP-adres geven, waardoor je overheidsdiensten vanuit het buitenland stabiel en veilig kunt gebruiken. (Leestip: Voordelen van een VPN).
• Beperk je digitale voetafdruk online, bijvoorbeeld door het verwijderen van oude gegevens via een dienst zoals Incogni, waarmee je jezelf van het internet kunt verwijderen.

Deze maatregelen helpen vooral om je persoonlijke accounts te beschermen tegen misbruik. Ze verminderen het risico op phishing en datadiefstal, maar staan los van de bredere vraag hoe digitale infrastructuur van overheidsdiensten wordt beheerd.

Zijn er alternatieven voor DigiD?

Nee, er is momenteel geen alternatief voor DigiD om in te loggen bij Nederlandse overheidsdiensten.

DigiD is het officiële inlogsysteem van de overheid en wordt gebruikt voor vrijwel alle digitale diensten, zoals belastingzaken, zorgportalen, gemeenten en andere publieke instellingen. Zonder DigiD kun je deze diensten in de regel niet online gebruiken.

Wat is er dan wél? iDIN

Een alternatief dat vaak wordt genoemd is iDIN, een inlogmiddel van Nederlandse banken. Dit werkt echter anders:

• iDIN wordt gebruikt om je te identificeren bij commerciële organisaties
• Het is bedoeld voor gebruik in de private sector en kan niet worden gebruikt voor toegang tot overheidsdiensten zoals de Belastingdienst of toeslagen

iDIN is daarmee een handige oplossing in de private sector, maar geen vervanging van DigiD.

Kan je ook zonder DigiD met de overheid communiceren?

In theorie wel. Overheidsdiensten horen ook bereikbaar te zijn via:

• telefonische dienstverlening
• fysieke loketten (bijvoorbeeld gemeentehuizen)
• schriftelijke communicatie (brieven)

In de praktijk is dat echter beperkt. Steeds meer diensten zijn digital-first, wat betekent dat belangrijke handelingen vaak alleen of vooral via DigiD online kunnen worden geregeld. Alternatieve manieren om contact op te nemen zijn daardoor in de praktijk niet altijd even snel of volledig beschikbaar, terwijl je zelf wel aan verplichtingen van de overheid moet blijven voldoen (zoals het doen van belastingaangifte of het doorgeven van wijzigingen aan instanties).