Identiteit & Authenticatie

Elke keer dat een medewerker op “Inloggen met Google” of “Inloggen met Microsoft” klikt, gebeurt er iets kleins maar significants: een Amerikaans bedrijf leert wanneer, waar en bij welke dienst die persoon zich heeft geauthenticeerd. De identity provider — het systeem dat bevestigt “ja, deze persoon is wie hij beweert te zijn” — zit in het centrum van elke digitale interactie. Het ziet alles.

De DigiD-controverse: soevereiniteit in de praktijk

DigiD is het digitale identiteitssysteem van de Nederlandse overheid. Met 16,5 miljoen geregistreerde gebruikers en meer dan 500 miljoen logins per jaar is het een van de meest gebruikte nationale identiteitssystemen in Europa.

De infrastructuur van DigiD werd beheerd door Solvinity, een Nederlands managed-hostingbedrijf. In 2024 nam Kyndryl — de voormalige IBM-infrastructuurdienstendivisie, nu een onafhankelijk in de VS beursgenoteerd bedrijf — Solvinity over. Van de ene op de andere dag stond het bedrijf dat de identiteitsinfrastructuur van de Nederlandse overheid beheerde onder Amerikaans bedrijfsbeheer.

Het Nederlandse parlement reageerde scherp. Meerdere moties werden aangenomen die de regering opriepen ervoor te zorgen dat DigiD-infrastructuur niet door een niet-Europese entiteit zou worden gecontroleerd. De regering heeft toegezegd het Solvinity/Kyndryl-contract niet te vernieuwen na 2028 en DigiD naar soevereine infrastructuur te migreren.

eIDAS 2.0: Europa’s antwoord

Het kernstuk van eIDAS 2.0 (EU 2024/1183) is de Europese Digitale Identiteitsportemonnee (EUDIW) — een door de overheid uitgegeven digitale portemonnee die elke EU-lidstaat uiterlijk in 2026 aan zijn burgers moet aanbieden.

Keycloak en Authentik: soevereine identiteit voor organisaties

Keycloak is de zwaargewicht. Authentik is het nieuwere alternatief met een modernere, ontwikkelaarsvriendelijke aanpak.

Aanbevelingen per tijdshorizon

Deze maand (lage inspanning, veel inzicht):

1. Audit uw identiteitstoeleveringsketen. Breng niet alleen uw softwareleverancier in kaart, maar ook de hostingaanbieder, de supportcontractant en hun eigendomsstructuren.
2. Weet waar uw identiteitsgegevens zich bevinden.

Dit kwartaal (snelle winst, onmiddellijk beveiligingsvoordeel):

3. Implementeer FIDO2 voor gebruikers met hoge beveiliging. Hardwaresleutels elimineren de meest voorkomende aanvalsvector (phishing). Een YubiKey kost € 50; een inloggegevenslek kost orders van grootte meer.

Dit jaar (significant project, 3–6 maanden migratie):

4. Evalueer Keycloak of Authentik voor interne applicaties.

Vóór 2027 (regelgevingsdeadline):

5. Bereid u voor op eIDAS 2.0. Elke EU-lidstaat moet de Europese Digitale Identiteitsportemonnee aanbieden in 2026.

Bronnen

• Okta FY2025 omzet en marktaandeel (Okta investor relations)
• DigiD-gebruiksstatistieken (Logius, Nederlandse overheid)
• FranceConnect-statistieken (DINUM)
• eIDAS 2.0-verordening (EUR-Lex)
• Keycloak treedt toe tot CNCF (CNCF blog, 2023)
• CLOUD Act volledige tekst (Congress.gov)

Themaoverzicht: Identiteit & Authenticatie