Steeds vaker sturen we belangrijke documenten digitaal: van medische gegevens tot juridische stukken. Daarbij vertrouwen we erop dat die informatie veilig blijft en alleen terechtkomt bij de juiste persoon. Een Nederlands bedrijf, Zivver, speelde daar een grote rol in met software die speciaal is gemaakt om zulke gevoelige informatie veilig te versturen. Maar nu Zivver is overgenomen door een Amerikaans/Israëlisch bedrijf, Kiteworks, ontstaan er zorgen: hoe zeker is het dat onze vertrouwelijke gegevens nog echt veilig zijn?
Wat is er aan de hand?
Zivver is een Nederlands bedrijf dat software levert waarmee organisaties zoals ziekenhuizen, overheden en rechtbanken vertrouwelijke documenten versturen.
Zivver is overgenomen door Kiteworks, een bedrijf dat in de VS zit.
De mensen aan de top van Kiteworks hebben banden met Israëlische inlichtingendiensten, sommigen werkten in het verleden bij een elite-eenheid van het Israëlische leger, gespecialiseerd in hacken en afluisteren van communicatie.
Waarom zijn mensen bezorgd?
Er zijn meerdere punten waar onrust over is. Hier de belangrijkste:
- Wettelijke aansprakelijkheid / wie heeft de macht?
Doordat Zivver nu onderdeel is van een buitenlands bedrijf, gelden ook de Amerikaanse wetten. Dat betekent dat de Amerikaanse overheid, in bepaalde omstandigheden, mogelijk toegang kan vragen tot data, zelfs als die in Europa staat.
- Encryptie & toegang tot data
Zivver zegt dat berichten end-to-end versleuteld zijn: alleen afzender en ontvanger kunnen ze lezen. Maar onderzoekers ontdekten dat sommige berichten voordat ze versleuteld worden in leesbare vorm op de servers van Zivver terechtkomen. Dat betekent dat er tóch een kans is dat de overnemende partij toegang kan krijgen.
- Gevoelige informatie
Het gaat om zeer gevoelige documenten: medische dossiers, rechtbankstukken, UWV- en immigratiezaken. Zulke data zijn waardevol voor inlichtingendiensten of kwaadwillenden.
- Geen controle vooraf
Experts zeggen dat de overname vooraf getoetst had moeten worden, omdat het om vertrouwelijke communicatie gaat. Toch is dat niet gebeurd: Zivver werd niet officieel als “vitale infrastructuur” gezien.
Wat weten we niet zeker?
Of Kiteworks daadwerkelijk toegang heeft gehad tot gevoelige data. Daar is geen bewijs voor.
Of alle beloftes van Zivver over versleuteling en “zero access” in de praktijk altijd standhouden.
Hoe vaak data technisch gezien leesbaar op de servers terechtkomt.
Conclusie: waar zit het risico?
Er is een reëel risico dat vertrouwelijke Nederlandse data in handen komt van partijen waar we minder controle over hebben. De combinatie van internationale overname, connecties met inlichtingendiensten en technische mogelijkheden om data vóór encryptie in te zien, vormt een kwetsbaar punt.
Vertrouwen alleen is niet genoeg: er is behoefte aan transparantie, harde garanties en misschien ook strengere wettelijke controle, zodat de privacy van burgers beschermd blijft.
Een alternatief is om bewust te kiezen voor aanbieders die hun wortels en datacenters binnen de EU hebben. Zo blijft de data onder de Europese wetgeving vallen en verklein je de kans dat buitenlandse overheden meekijken. Oplossingen zoals Filecap profileren zich juist op dit punt: dataopslag en beveiliging volledig binnen Europa, zonder dat er een buitenlandse partij aan de knoppen zit.