Waarom Yivi een bewezen alternatief is voor DigiD: lessen uit de Solvinity-crisis

De Solvinity-crisis: een wake-up call voor digitale soevereiniteit

Het Nederlandse digitale identiteitslandschap staat op een kritiek moment. De voorgenomen overname van Solvinity door de Amerikaanse IT-gigant Kyndryl heeft een nationaal debat aangewakkerd over digitale soevereiniteit. Solvinity levert sinds 2020 het infrastructuurplatform waarop DigiD draait, samen met MijnOverheid en Digipoort.

Een brede meerderheid in de Tweede Kamer verzet zich tegen de overname, uit vrees dat kritieke Nederlandse authenticatie-infrastructuur onder Amerikaanse controle kan komen. De zorgen zijn niet ongegrond: Amerikaanse wetten zoals de CLOUD Act kunnen Amerikaanse autoriteiten mogelijk toegang geven tot gegevens die door Amerikaanse bedrijven worden verwerkt, ongeacht waar die gegevens fysiek zijn opgeslagen.

Om de zaken nog erger te maken, ontdekte de SEC boekhoudkundige onregelmatigheden bij Kyndryl vlak voor een parlementair debat over de overname, waardoor de CFO en andere financiële bestuurders moesten aftreden. Dit roept serieuze vragen op of zo’n bedrijf wel te vertrouwen is met kritieke nationale infrastructuur.

Wat bijzonder opvallend is, is dat de Nederlandse overheid bijna een jaar geleden al was geïnformeerd dat Solvinity mogelijk zou worden overgenomen. Toen werd gevraagd of de staat het bedrijf wilde kopen, weigerde de overheid met de stelling dat dergelijke overnames geen kerntaak zijn. Deze gemiste kans onderstreept de noodzaak van alternatieve benaderingen voor digitale identiteit.

Yivi: een privacy-first alternatief al in productie

Terwijl het debat over Solvinity voortduurt, is er goed nieuws: een bewezen alternatief bestaat al en wordt in productie gebruikt. Yivi is een privacyvriendelijk digitaal identiteitsplatform ontwikkeld door de stichting Privacy by Design, dat een fundamenteel andere benadering biedt voor digitale authenticatie.

In tegenstelling tot gecentraliseerde systemen zoals DigiD, slaat Yivi persoonlijke gegevens alleen op het eigen apparaat van de gebruiker op. Er is geen centrale database die een doelwit kan worden voor hackers of in verkeerde handen kan vallen door bedrijfsovernames. Gebruikers behouden volledige controle over hun gegevens en kunnen selectief alleen de informatie delen die strikt noodzakelijk is voor elke transactie.

Belangrijkste voordelen van Yivi ten opzichte van gecentraliseerde systemen:

Data-soevereiniteit: Uw gegevens blijven op uw apparaat, niet op servers die aan buitenlandse bedrijven kunnen worden verkocht
Dataminimalisatie: Deel alleen wat nodig is (bewijs bijvoorbeeld dat u ouder bent dan 18 zonder uw geboortedatum te onthullen)
Open source: Volledig transparante en controleerbare code, in tegenstelling tot propriëtaire systemen
Geen single point of failure: Gedecentraliseerde architectuur betekent dat geen enkele overname het hele systeem kan compromitteren
Privacy by design: Vanaf de grond af opgebouwd om de privacy van gebruikers te beschermen

Gemeente Nijmegen: Yivi in productie

Het beste bewijs dat Yivi werkt, is dat het al in productie wordt gebruikt. De Gemeente Nijmegen biedt Yivi aan als inlogoptie naast DigiD en eHerkenning voor hun gemeentelijke dienstenportaal op mijn.nijmegen.nl.

Inlogopties op mijn.nijmegen.nl met DigiD, Yivi en eHerkenning

Nijmegen koos voor Yivi om twee belangrijke doelstellingen uit hun coalitieakkoord 2022-2026 te bereiken: het vergroten van de controle van burgers over persoonsgegevens en het implementeren van dataminimalisatie in gemeentelijke processen.

De gemeente stelt expliciet als doel: “We vragen alleen persoonsgegevens die noodzakelijk zijn voor het vastgestelde doel.” Dit voorkomt onnodig delen van gegevens en beschermt de privacy van inwoners zo goed mogelijk.

Nijmegens ervaring met Yivi gaat jaren terug. De gemeente maakte eerder toegang tot de Basisregistratie Personen (BRP) mogelijk via de app, waardoor Nederlandse burgers hun eigen informatie veilig konden ophalen. De huidige implementatie vertegenwoordigt “een volgende stap in de langere samenwerking tussen de Gemeente Nijmegen en Yivi.”

Waarom dit nu belangrijk is

De Solvinity-situatie moet dienen als een wake-up call. Kritieke digitale infrastructuur zoals identiteitsauthenticatie zou niet afhankelijk moeten zijn van enkele commerciële aanbieders die door buitenlandse entiteiten kunnen worden overgenomen. De oplossing is niet noodzakelijkerwijs dat de overheid alle infrastructuur bezit, maar om gedecentraliseerde, privacybeschermende technologieën te adopteren die deze kwetsbaarheden niet in de eerste plaats creëren.

Yivi laat zien dat dit niet alleen theoretisch is. Het is een werkend systeem, in productie gebruikt door een grote Nederlandse gemeente, dat biedt:

Weerbaarheid: Geen enkele overname kan het hele systeem compromitteren
Soevereiniteit: Gegevens blijven onder Nederlandse en EU-jurisdictie, op de eigen apparaten van burgers
Privacy: Minimale gegevensdeling door ontwerp
Transparantie: Open source code die iedereen kan controleren

Vooruitkijken

Terwijl Nederland zich voorbereidt op de European Digital Identity Wallet (EUDI Wallet) onder eIDAS 2.0, positioneert Yivi zich om deel uit te maken van dat ecosysteem. Yivi ondersteunt de OpenID4VCI en OpenID4VP standaarden en is van plan te integreren met het Nederlandse EDI-stelsel framework.

De huidige crisis rond Solvinity en DigiD laat zien waarom het hebben van alternatieven belangrijk is. Organisaties die hun afhankelijkheid van gecentraliseerde identiteitssystemen willen verminderen, zouden Yivi moeten overwegen. Het gaat er niet om DigiD volledig te vervangen, maar om opties te hebben, weerbaarheid te waarborgen en burgers controle te geven over hun eigen gegevens.

Als Nijmegen het kan, kunnen andere gemeenten en organisaties het ook. De technologie is klaar. De vraag is of we de wil hebben om het te gebruiken.

Geïnteresseerd in het implementeren van Yivi voor uw organisatie? Bezoek onze documentatie of neem contact met ons op voor meer informatie.