Afgelopen week schreven we over de bedenkelijke p.r. van actiegroep The Firewall met de Volkskrant, en de risico’s van DigiD bij de verkoop van Solvinity, zoals onderwerp van twee hoorzittingen in de Tweede Kamer. Het artikel bracht een aantal standpunten, zoals de waarschuwingen van professor cyberveiligheid Eric Verheul en van Bert Hubert en de nuanceringen van Lokke Moerel. Dit artikel is een vervolg, met weer een ratjetoe aan verbonden onderwerpen op hetzelfde terrein:

• Opzeggen van beveiligde maildienst Zivver door de IND
• Opkomst van rentenierend ondernemer Bert Hubert als activist
• Realist Lokke Moerel als wetenschapper en advocaat/adviseur
• Met Kees Verhoeven over de noodzakelijke waarborgen voor soevereiniteit
• Claims van Michiel Steltman en van The Firewall

Zivver eruit

De Immigratie- en Naturalisatiedienst (IND) stopt met Zivver voor het beveiligd uitwisselen van dossiers en mails, vanwege de overname door Kiteworks afgelopen zomer. IND wil niet dat de VS op enige wijze kan toegang kan vorderen tot het berichtenverkeer via Zivver onder Kiteworks, zo bevestigt een woordvoerder van de IND tegenover NRC: 

“Na de overname hebben we een nieuwe risico-inventarisatie gemaakt. De belangrijkste conclusie was dat de geopolitieke situatie zo snel verandert dat we mogelijk niet altijd kunnen vertrouwen op de juridische afspraken die we hebben gemaakt. Daarom stappen we over op een alternatief, zodra we dat hebben.”

NRC  wijst op een ‘onthulling’ door Follow the Money dat Kiteworks met specialisten werkt die Unit8200-medewerkers waren, de geheime dienst van het Israëlische leger IDF. Dat was echter openbare informatie. De Nederlandse overheden en ziekenhuizen die Zivver gebruiken, vonden dat niet erg. Eerder dan Follow the Money plaatste Tweakers vraagtekens bij de overname wegens twijfels aan de veiligheid van het berichtenverkeer van Zivver onder Amerikaanse wetgeving.

Tot de klanten behoren: Amphia Ziekenhuis, Ziekenhuis Gelderse Vallei, Zuyderland, Savant Zorg, Buurtzorg, Pluryn, Levanto, Dimence, Lionarons GGZ. En ook vele onderdelen van Justitie en Veiligheid, tientallen gemeenten, veiligheidsregio’s, UWV, rechtbanken, gevangenissen, Openbaar Ministerie, advocatenkantoren en rechtbanken. Haven van Rotterdam, Rotterdam The Hague Airport.

Zivvers baas Wouter Klinkhamer  beroept zich op dusdanige encryptie van het verkeer, en opslag van data in een ‘private cloud’, dat de uitwisseling absoluut veilig is. Amerikaanse vorderingen kreeg het bedrijf nooit.

Dat is nu juist wat met Solvinity in het geding is: is technische beveiliging onder een Amerikaanse partij veel belangrijker (bijvoorbeeld tegen hacks uit China en Rusland) dan het risico op mogelijke wettelijke vorderingen van Justitie in de VS?

Opvallende loopbaan Bert Hubert

De opkomst van Bert Hubert als spreekbuis van actievoerend Nederland tegen Amerikaanse big tech is opvallend. Hubert (1975) is natuurkundige en expert in open source internetprotocollen. Bert richtte in 2006 samen met Fox-IT maker van bewakingssoftware Fox Replay BV op, dat in 2011 werd overgenomen door het Amerikaanse NetScout.

Replay hield zich bezig met het stiekem volgen van verdachten door politie en inlichtingendiensten, met gedetailleerd en in real-time traceren van internetactiviteiten zoals met e-mail, surfen en chatten; bijvoorbeeld voor het bestrijden van Ddos-aanvallen. Er kwam kritiek op export van Fox Replay naar totalitaire regimes in het Midden-Oosten, na grondig onderzoek door Buro Jansen & Janssen. Niet iets waar je een actievoerder tegen Big Tech (Palantir!) als Hubert mee zou associëren. Hij verzette zich bijvoorbeeld tegen het oprekken van de Inlichtingenwet WIV en vertrok als toezichthouder.

Hubert was een uitstekende IT-ondernemer. Zijn eerder (in 1999) opgerichte bedrijf PowerDNS voor open source internetroutering werd mondiaal succesvol en in 2015 onderdeel van Open Xchange in Duitsland. De verkochte aandelen maakten hem definitief financieel onafhankelijk. Op de balans van zijn AHU Holding – op het woonadres in Nootdorp - stond in 2019 een bedrag van 6 miljoen euro aan eigen vermogen, recent nog 5,5 miljoen.

Hubert verhaalt boeiend over zijn tijd bij PowerDNS. Dit zegt het grote publiek helaas niet veel, wel zijn verband bij de inlichtingendienst AIVD, hoe kort ook. Partijen werden niet gelukkig van elkaar. Hetzelfde gold voor zijn lidmaatschap van de Toetsingscommissie Inzet Bevoegdheden (TIB). Hubert is, ofschoon betrouwbaar, eigenwijs en soms lastig.

Gezien zijn grote technische kennis en ervaring is hij, ondanks dat verleden met Fox Replay, een zwaargewicht als actievoerder. De blogs op BertHub.nl doen ertoe en met Nerdvote oefende hij invloed uit op de Tweede Kamerverkiezingen, mede waardoor GL-PvdA kandidaat Barbara Kathmann met voorkeurstemmen werd gekozen. Zij schaart zich nu aan zijn kant in de Tweede Kamer. Dankzij Huberts actie was het druk bij de hoorzittingen in de Tweede Kamer en worden petities voor DigiD door meer dan 150.000 mensen ondertekend.

Hubert overdrijft graag voor  het maken van krantenkoppen. “Nieuwe inlichtingenwet kan tot Noord-Koreaanse taferelen leiden”, kopte Follow the Money. Boven een interview met de Volkskrant deze week: “Afhankelijk van big tech? Zet die Amerikaanse cloud eens uit en zie wat er dan gebeurt…” Dat is de smeuïge vertaling van het bekende feit dat Nederland voor 99 procent afhankelijk is van big tech, vooral Microsoft, en onbezonnen acties juist zinloos zijn. Zijn “Cloudout-woensdag” is net als “woensdag gehaktdag” fijne marketing, zonder inhoudelijke betekenis.

Lokke Moerel hoogleraar en advocaat

Is Hubert een uitstekend technicus met juridische kennis, Lokke Moerel is een eminent jurist met technische kennis. Moerel is hoogleraar Global ICT Law in Tilburg, lid van de Cyber Security Raad en voorzitter van de raad van toezicht van de Atlantische Commissie, een forum voor debat over trans-Atlantische veiligheid.  We meldden dat Moerel als hoogleraar deelnam aan de hoorzitting in de Tweede Kamer en meldde eerder over dit onderwerp advies te hebben gegeven aan Kyndryl voor de overname van Solvinity. Daar kregen we vragen over. Moerel licht nader toe:

“Kyndryl heeft mij als onafhankelijke expert advies gevraagd over wat de soevereiniteitseisen zijn waar ze aan zouden moeten voldoen om, wat mij betreft, een stempel van goedkeuring te krijgen voor de overname van Solvinity. Ik ben niet hun vaste advocaat, Kyndryl heeft een ander kantoor in dit traject.

Ik heb een overzicht gegeven van de drie soorten soevereiniteit die in het geding zijn: data -, operationele - en jurisdictionele soevereiniteit. En de maatregelen die je kan treffen om deze te borgen. Dit advies was generiek, en niet toegespitst op Kyndryl. Wat ik daarvan denk is geen groot geheim want ik heb min of meer hetzelfde gepubliceerd.”

Heeft u geadviseerd als wetenschapper of als advocaat van MoFo [het Amerikaanse Morrison Foerster met kantoor in Amsterdam]. Is ervoor betaald? Moerel: “Ik geef dit soort adviezen als advocaat en daarvoor wordt betaald. Cliënten willen dat ook, omdat voor advocaten beroepsregels gelden en je ook instaat voor de juistheid van je adviezen.”

Morrison Foerster heeft Big Tech als klant. De namen van Apple, Meta, Amazon, Open AI worden genoemd in Amerikaanse juridische publicaties, vooral in procedures over auteursrecht, ook voor kwesties met databescherming/privacy, het specialisme van Moerel. Ze maakt daar geen geheim van.

Kees Verhoeven en Lokke Moerel

Als hoogleraar is haar kennis voor iedereen beschikbaar, ook de artikelen die ze schrijft zoals recent voor het Financieele Dagblad over soevereiniteit, samen met Kees Verhoeven. Hij zat in de Tweede Kamer voor D66 en opereert nu commercieel met Bureau Digitale Zaken, veelal voor overheden die ook van Big Tech willen loskomen. In de publiciteit stelt hij zich activistisch op, met publicaties op LinkedIn en deelname aan de actie van The Firewall.

Verhoeven weet net als Moerel hoe weerbarstig de praktijk is. Organisaties kiezen voor efficiency en veiligheid van Amerikaans aanbod: SIDN ging met al onze domeinnamen naar de Amazon cloud; Zivver kwam in Amerikaans-Israëlische handen; de Belastingdienst prolongeerde Microsoft 365; en de politie stopt haar data in systemen van het gevreesde Palantir.

De kern van het betoog van Moerel en Verhoeven: “In plaats van vechten met Trump over wetgeving moet Europa investeren in eigen digitale infrastructuur. Maar een eigen industrie opbouwen kost tijd, dus een tweede spoor is nodig.”

Dit spoor behelst Microsoft, Amazon en Google te bewegen om losstaande Europese clouds op te tuigen, die langs de lat van het Europese Cloud Sovereignty Framework worden gelegd. “Al biedt dit raamwerk geen concrete routekaart voor het daadwerkelijk realiseren van digitale soevereiniteit.”

Moerel en Verhoeven vrezen vooral de Amerikaanse sanctiewetgeving met drastische maatregelen van Trump als dat politiek zo uitkomt. De genoemde Cloud Act voor juridische vordering van persoonsgegevens vindt Moerel minder van belang. Want die wordt zelden of nooit aangesproken om Europese data te vorderen voor Amerikaanse opsporing.

‘China en Rusland groter gevaar dan VS’

Moerel meent dat het mogelijk is om los te komen van deze ‘kill switch’ van Trump, met overdracht van licenties aan Europese partners, zoals Microsoft met Bleu in Frankrijk en Delos in Duitsland. Ook Google en Amazon tuigen Europese partnerconstructies op. Nederlands recht biedt volgens Moerel mogelijkheden voor constructies met garanties van Amerikaanse bedrijven aan Europese klanten. Verhoeven voert daarentegen actie om de verkoop van Solvinity te blokkeren. Kyndryl overlegt koortsachtig met de opdrachtgevers, de Nederlandse ministeries of het aan de door Moerel geopperde voorwaarden kan voldoen.

Met Moerel vindt ook veiligheidsexpert Ronald Prins dat het gevaar van lekken van data naar de VS minder is dan via hackers van China en Rusland. Wel benadrukken ze het gevaar van sancties en decreten van regime-Trump.

Bert Hubert vindt dat ze de realiteit verzwijgen, zegt hij tegen Volkskrant: “Worden die problemen opgelost als Amazon een datacenter in Europa neerzet dat wordt beheerd door Europeanen? Nee. De waarheid is dat ze zich moeten houden aan de Amerikaanse wet. Net zoals KPN zich, ook als het gaat over klanten in Amerika, moet houden aan de Nederlandse wet.

Dat zeggen die bedrijven natuurlijk nooit zo direct. Medewerkers storten bewust een heel warrig en lang verhaal over je uit en mensen tuinen daar iedere keer weer in. Als tegengif gebruik ik vaak wat er onlangs gebeurde in de Franse senaat. Een afgevaardigde van Microsoft werd daar onder ede gevraagd: bent u verplicht om gegevens te verstrekken als de Amerikaanse overheid daarom vraagt? Hij kan daar natuurlijk niet gaan staan liegen. Dus hij zegt: ‘Tout à fait’ – absoluut.”

‘Niet in Amerikaanse handen’

Dit wordt tegengesproken door Michiel Steltman, gewezen belangenbehartiger van Nederlandse IT-bedrijven, die zich verzet tegen de actiegroep The Firewall en hun ‘framing  DigiD komt in Amerikaanse handen'. “De werkelijkheid is aanzienlijk genuanceerder. Logius blijft de beheerder van DigiD en houdt toegang tot de door Solvinity verhuurde servers. Zowel Solvinity als de voorgenomen nieuwe eigenaar Kyndryl zijn Nederlandse BV’s, die onder Nederlandse én Europese wetgeving vallen en expliciet NL/EU-rechtskeuzes hanteren.”

Hij verwijst naar een artikel van Kim Loohuis in ICT Magazine De juridische spagaat van cloudopslag. Daarin wordt uitvoerig geschetst wat vorige week in Netkwesties samengevat werd: bij een Amerikaanse vordering van data moet een Europees dochterbedrijf in handen van een Amerikaans concern voldoen aan de Europese AVG en aan de vorderingswet in de VS; een spagaat.

Het is geen juridisch uitgemaakte zaak hoe dat zou aflopen. Dus beide partijen van het spectrum beroepen zich hierop: de actievoerders tegen big tech zeggen dat de verkoop van Solvinity niet mag, want waterdichte garanties van Kyndryl zijn onmogelijk. Immers, NSA en FBI zullen stiekem, dus zonder vordering, toegang proberen te verkrijgen.

Voorstanders van big tech onder Europees afgedwongen soevereiniteit beweren dat een Amerikaanse vordering van persoonsgegevens zal stuiten op Europese wetgeving, zeker als big tech de diensten onderbrengt in een Europese joint-venture. Hoe dan ook zou juridische strijd ontstaan met regime-Trump die  dus niet voetstoots Europees verkeer kan grijpen.

The Firewall als onze redder

Steltman kan zich proberen te verzetten tegen The Firewall, maar zijn p.r.-invloed weegt niet op tegen die van de nieuwe actiegroep van topjournalist Eric Smit, die velen vrezen om zijn mediamacht. Het doel van The Firewall volgens de eerste nieuwsbrief:

“Nu onze democratie zowel van binnenuit als van buitenaf wordt ondermijnd, kun je als journalist niet meer afzijdig blijven, vinden wij. Wie daar onder het mom van ‘neutraliteit’ toch in volhardt, luidt zijn eigen ondergang in en dat is voor ons onaanvaardbaar.”

Zijn oude makkers bij Follow the Money en andere journalisten die niet de barricaden opgaan, krijgen onder uit de zak van Eric Smit. Hij belooft: “diepgravende journalistiek om de gedragingen van Big Tech-bedrijven in kaart te brengen. Wie het journalistieke landschap bekijkt, ziet dat de inspanningen van de media om de kolossale macht van Meta, X, Microsoft, Google, Amazon en TikTok te controleren, te wensen overlaten.”

Knappe p.r. met een verzoek om, donaties, maar het is domweg niet waar. Wired, The Verge, Financial Times, Wall Street Journal, Bloomberg, vele andere media en een serie auteurs van inmiddels een bibliotheek van tientallen boeken hebben genoegzaam het kwaad van Big Tech beschreven. Veelal zijn de bronnen spijtoptanten die eerst goed geld verdiend hebben bij (vooral) Meta en ook Google, Microsoft en Amazon en vervolgens een boekje opendoen om hun ziel te zuiveren.

De vraag is hoe je die macht politiek beteugelt. Bijvoorbeeld door een verbod op sociale media voor jongeren dat, na Australië, in Frankrijk, Spanje, in Nederland en waarschijnlijk nog een serie landen wordt opgetuigd. Dat alles kwam tot stand zonder dat The Firewall actief was.

Partner van Eric Smit is Matthijs Kaaks dieprocedeert voor vastgoedjongens, die klaagden bij de Raad voor de Journalistiek tegen Trouw en journalist Dirk Waterval vanwege een onthullend artikel en ongelijk kregen.

The Firewall schurkt aan tegen De Waag, een Amsterdams subsidiekonijn voor digitale initiatieven die, net als De Digitale Stad van Marleen Stikker, met de beste bedoelingen vanuit publieke waarden opereert, maar buiten het dorp Amsterdam nauwelijks invloed heeft. Een nieuw publiek sociaal medium waar NWO veel geld in stak kwam er (nog) niet. We komen daarop terug.

Dat laat onverlet dat de verkoop van Solvinity aan Kyndryl, zonder vergaande waarborgen op absolute zeggenschap door de Nederlandse overheid, in het huidige tijdsgewricht door velen ongewenst wordt geacht. Daar is geen journalistiek-juridische actiegroep voor nodig, ook al claimt die straks de overwinning zonder iets onthuld of bijgedragen te hebben.

*) Beeld: Lokke Moerel tijdens de hoorzitting in de Tweede Kamer over Solvinity op 27 januari 2026, geflankeerd door Nitesh Bharosa en Brenno  de Winter