(foto: Zivver-chefs Wouter Klinkhamer en Rick Goud)

Samenvatting

Bij de opbouw van ‘Het Internet’ door de wetenschap, met een bijdrage van Nederland, is een evenwicht gevonden tussen openheid en gemak versus veiligheid en privacy. Dus het net is niet 100 procent veilig. Grote bedrijven hebben lagen toegevoegd voor veiliger communicatie, vaak ommuurde tuinen zoals sociale media. (Vergeten: KPN’s nationale internet, Het Net) Of met end-to-end encryptie zoals met Signal en WhatsApp zodat niemand berichten kan onderscheppen; waar echter mensen nog fouten maken met verzending en ‘delen’.

Echter, het open protocol voor e-mail is technisch niet veilig en gebruikers maken evenzeer veel fouten. Voor gevoelige mails, zoals justitieel of medisch, is dat funest. Het Nederlandse Zivver biedt beveiliging van mail tegen zwaktes van machines en mensen. Dat is geen end-to-end encryptie want Zivver moet de inhoud van de berichten en verzending controleren. Dat doet een computer met de krachtigste beveiliging.

Dit was reden voor Follow the Money om de overname van Zivver door het Amerikaanse Kiteworks als een onaanvaardbare toename van onveiligheid te bestempelen. Dat gaat onder invloed van de politieke discussie over ‘soevereiniteit’: onze data op Amerikaanse computers zijn altijd onveilig. Zivver vindt de berichtgeving tendentieus en ongegrond, en dat overname door Kiteworks de beveiliging verbetert.

En passant suggereerde Follow the Money een groot risico voor lekken van gevoelige data naar Israël vanwege managers van Kiteworks die voorheen voor geheime dienst Unit8200 werkten, wat Zivver als ‘discriminatie’ betitelt.

Follow the Money

In juni 2025 werd de overname van Zivver door Kiteworks bekend. Vraagtekens over veiligheid inzake Amerikaanse vorderingen werden direct, maar beknopt gepareerd. In september luidde Follow The Money de noodklok, wat we in een wekelijks journaal overnamen, maar tussen aanhalingstekens: “Overname Zivver brengt vertrouwelijke data naar VS en Israël.”

Inhoudelijk komen we daarop onderstaand uitgebreid terug, in een vraaggesprek ‘s morgens vroeg in Sassenheim op 2 maart 2026, met oprichters Rick Goud en Wouter Klinkhamer. Eerst even die mediastorm. Follow the Money handelt in onthullingen. Daar horen bronnen bij die de hypothese van het kwaad bevestigen.

Eerste expert voor dit artikel was Bert Hubert, een verklaard activist tegen Amerikaanse overnames. Technisch-juridisch deugt de overname volgens hem uiteraard niet. De tweede bron was Hugo Vijver die stelt: “‘Gezien de banden tussen Zivver, Kiteworks en Eenheid 8200 is de kans dat er géén data naar Israël gaan wat mij betreft nul. Denken dat dit niet zo is, is totaal naïef.” Bewijs ontbreekt, de insinuatie is dat dit gezien de (ex)Israëlische directie van ex Unit8200-agenten (ceo Jonathan Yaron en Yaron Galant, Amit Toren en Uri Kedemander) absoluut zo is. 

De derde bron van Follow the Money is Matthijs Koot die inhoudelijk van wanten weet over beveiliging, net als waarschijnlijk de twee ingeschakelde cybersecurity-experts maar die zijn anoniem. Dit resulteerde in de volgende lead van het verhaal:

“Met de overname van een Amsterdams databeveiligingsbedrijf kwam vertrouwelijke communicatie over veel Nederlanders in Amerikaans-Israëlische handen. Een strategische blunder, zeggen experts. De gegevensbeveiliging van het bedrijf blijkt te rammelen en de overnemende partij wordt geleid door voormalige elite-spionnen van het Israëlische leger.”

Follow the Money zette keurig de complete mailwisseling met Zivver online, de meest uitgebreide wederhoor. Maar niet in het verhaal zelf, dus daar komen lezers niet aan toe. Dit werkt als de Joodse grap over geruchten: “Dan zal ik in de synagoge zeggen dat je dochter een hoer is en mag jij van deur tot deur gaan om dat te ontkennen.”

Zivver in de schijnwerper

De Zivver-directie is teleurgesteld in de media, zoals steeds meer mensen. Klinkhamer: “Ze hadden gewoon kunnen vragen: “Jongens, kunnen jullie eens even vertellen hoe het nou echt zit?" Niemand. Niemand. Het enige wat gevraagd is zijn de vragen die gepubliceerd zijn bij het artikel van Follow the Money die gericht waren op hun zogenaamde onthulling: Zivver is niet veilig.”

Deden klanten wel onderzoek?

Goud: “Natuurlijk wel, en die zien de betrekkelijkheid van de aantijgingen wel in. Erg leuk was wel dat we nu diepgaande gesprekken met klanten hadden, soms met directies die je anders nooit zou spreken. Omdat die dit onderwerp te saai vonden, maar nu het naadje van de kous vroegen vanwege de mogelijk negatieve beeldvorming. Als bedrijven en overheden in Nederland dat nu allemaal zouden doen bij al hun applicaties, komen we al een stuk verder.”

De beeldvorming in media ging vooraf. Zo was direct de advocatuur deels kritisch, met als toevoeging dat de Raad voor de Rechtspraak wellicht stopt met Zivver vanwege de onveiligheid. De woordvoerster van de Raad stelt desgevraagd telefonisch echter: “Er vindt een evaluatie plaats van Zivver, maar die is regulier en periodiek, niet vanwege de ontstane commotie in de pers.”

En de advocatuur?

“Die kritische advocaat op LinkedIn werkt bij een kantoor dat de eigen mail in de Microsoft Cloud heeft staan. Dan ben je met kritiek op Zivver de context van de werkelijkheid kwijt. Natuurlijk zijn er vorderingen in de VS bij IT-bedrijven, maar het risico is zo gering ten opzichte van de werkelijke risico’s op andere momenten van data delen. Alleen al alle menselijke fouten. We zien bij klanten tientallen, soms wel honderden datalekken en misverstanden met data-uitwisseling.”

IND wel/niet weg bij Zivver

Echter, FTM zelf publiceerde: Immigratie­dienst IND stopt met Amerikaanse e-maildienst vanwege zorgen om veiligheid. Dat vond direct zijn weg naar vele publicaties zoals naar RTL en naar NRC. De laatste checkte. IND zei: “Daarom stappen we over op een alternatief, zodra we dat hebben.”

RTL meldde en passant dat Zivver het ministerie van Justitie al in juli 2025 als klant verloor voor een aantal diensten, aan het Nederlandse SecuMailer. Geestig is dan weer dat diezelfde Justitiediensten recent maandenlang lek bleken te zijn vanwege een hack (niet Secumailer overigens). Dus Justitie kwam van de drup in de regen.

Gaat IND weg bij Zivver?

Klinkhamer: “Ze zijn absoluut nog klant en zullen dat nog een hele tijd blijven. Follow the Money heeft na dat artikel een trits klanten van ons gebeld, departementen, rechtspraak, UWV, met de vraag: moeten jullie niet stoppen met Zivver als dat onveilig is en de Amerikanen bij de data kunnen? En de IND is daarvan geschrokken en antwoordde een alternatief te overwegen.”

De woordvoerder van IND, desgevraagd: “Pas als er een toereikend alternatief is, stappen we over. Op dit moment is niet te zeggen wanneer dat zal zijn. De opties zijn beperkt.” Dus er is een half besluit om weg te gaan.

Wel een risico voor Zivver: als IND, net als Justitie, voor een Europees alternatief kiest, kunnen duizenden andere klanten dan volgen?

Goud: “Dan zou iedereen overstappen, dat is waar. Maar er is objectief geen beter alternatief voor onze dienstverlening met Zivver. Onder mediadruk worden klanten misschien nerveus. Daar is inhoudelijk geen reden voor. Geen enkel ander bedrijf kan daaraan tippen.”

Maar alle media namen dat vertrek van IND over? “Niemand checkt. Alleen is vanuit een kokervisie met klanten van ons gebeld onder dreiging van publicatie dat ze onveilig mailen met Zivver met zeer gevoelige data. En ze gaan niet weg. Nee, ook de rechtspraak niet, advocaten niet.”

Analyse VNG en Zorg

De informatiebeveiligingsdienst (IBD) van Vereniging Nederlandse Gemeenten (VNG) en Z-Cert (beveiligingsclub van de zorg), hebben gezamenlijk de overname van Zivver door Kiteworks geanalyseerd, met als kernvragen:

Verandert de overname van Zivver door een Amerikaans bedrijf het risicoprofiel van het gebruik van de Zivver-dienst? Maakt het artikel van FTM het nodig om risicoanalyses te herzien?

Het is niet te bepalen of Amerikaans eigendom van Zivver door het Amerikaanse Kiteworks juridisch risico’s vergroot. In de hele keten zijn elders veel grotere risico’s op vergissingen, verlies en inbraak waardoor vertrouwelijke gegevens ‘op straat komen te liggen’. (Neem alleen al het feit dat de VNG officieel het bestaan van dit IBD-oordeel ontkent en wij erover beschikken.) Bovenal maken gemeenten en zorginstellingen gebruik van heel veel Amerikaanse software en diensten, vooral Office 365 van Microsoft.

Z-Cert: “Vanuit de expertise van Z-CERT verandert de overname van Zivver door Kiteworks het risicoprofiel nauwelijks, omdat de technische toegang tot de infrastructuur niet veranderd is. Tot nu toe is alle communicatie van Zivver transparant geweest. We roepen Zivver op transparant te blijven, dus ook als er wel kans is dat Kiteworks toegang gaat krijgen of heeft gehad tot de infrastructuur van Zivver.”

Maar ook een waarschuwing: “We denken dat het onderzoek van Follow the Money het nodig maakt om risicoanalyses te evalueren… Het artikel heeft bij meer mensen tot gedetailleerder inzicht of ander begrip geleid, vooral over de manier en het moment van encryptie.”

Vervolgens komt Z-Cert met een serie vragen die nauwelijks te beantwoorden zijn voor een zorginstelling. Nog geen enkele klant van Zivver is vanwege een nieuwe risicoanalyse gestopt met Zivver. Goud: “Veiligheid is ook niet binair, maar een eindeloze schaal. De uitdaging is om een niveau van veiligheid te kiezen dat past bij het risico. Dat begrijpen onze klanten heel goed, maar is een nuance die niet lekker scoort in een nieuwsartikel.”

De onzekerheden bieden Follow the Money gelegenheid om het artikel een extreme kop en intro mee te geven die het langst blijven hangen bij het publiek. Het doet geen recht aan de expertise van Matthijs Koot en Rick Goud die hieronder tot nuance leidt. Nuance scoort niet. Dat geldt voor het hele debat over soevereiniteit, dat uitgaat van een oplosbaar probleem door Amerikaanse software en diensten subiet te vervangen door Europese. Wat domweg onhaalbaar is op korte termijn. Iedereen zou z’n smartphone (Android/Google en Apple) moeten weggooien. (Wel lekker rustig…) 

Veiligheid: samenvattend

FTM: Met de verkoop van Zivver kwam gevoelige informatie over Nederlandse burgers in handen van Kiteworks.

Zivver: “Kiteworks heeft en wil nooit toegang tot data van klanten. Dat was zo vóór de overname van Zivver en dat blijft zo. Implementatie kan met een on-premise, private cloud. Juist daarom kozen wij als Zivver voor Kiteworks.” [Zivver draait nu nog bij AWS van Amazon.]

FTM: De leiding van Kiteworks telt ex-cyberspecialisten van inlichtingendienst Unit 8200 van het Israëlische leger. Gezien deze expertise wordt hoogstwaarschijnlijk informatie gedeeld met Israël.

Zivver: “Een smakeloze suggestie van ‘buitenlandse inmenging’ 

Onze CEO Jonathan Yaron stelt als reactie op het artikel dat het frame ‘Amerikaans bedrijf’ totaal geen recht doet aan de realiteit. Kiteworks heeft een oorsprong in Singapore en een sterk Europees profiel.”

FTM: Rechtbanken, het UWV, de IND en ziekenhuizen gebruiken Zivver voor het versturen van bijzondere persoonsgegevens, die voor criminelen en inlichtingendiensten extreem waardevol kunnen zijn. Die informatie valt voortaan onder de Amerikaanse wet in plaats van de Nederlandse.

Zivver: “Die documenten blijven ook na de overname versleuteld en afdoende beveiligd. Kiteworks is het best beveiligd tegen spionage, zeker van Rusland en China die grote gevaren vormen.”

FTM: Beveiliging is minder solide dan beweerd, want Zivver kan de berichten van zijn klanten technisch gezien meelezen. Informatie wordt in plaintext gestuurd naar de Zivver-servers. Dus Zivver kan bij Amerikaanse vorderingen bij de berichtinhoud.

Zivver: “Dit is absoluut onjuist” (zie uitleg boven en onder)

Toegang tot berichten

Het principe van Zivver is controle op foutieve verzending van mail. Goud: “De meeste datalekken ontstaan door vergissingen van medewerkers. Juist dat probeert de technologie van Zivver te voorkomen met controle van mail met automatische dataclassificatie en algoritmen. We voldoen aan de hoogste gepubliceerde normen voor informatiebeveiliging voor overheden en zorg.”

Bij de AP worden jaarlijks meer dan 25.000 datalekken gemeld, meest door menselijke fouten. En dat is het topje van de ijsberg. Wat Zivver wil zeggen: klanten kunnen overstappen omdat media de risico’s van Amerikaanse wetgeving benadrukken, maar lopen vervolgens veel grotere risico’s op datalekken.

De kern is immers dat internetverkeer tussen apparaten en gebruikers is beveiligd met TLS of HTTPS (het groene slotje), maar data zelf niet. WhatsApp en Signal bieden wel end-to-end encryptie van de berichten. Maar iedereen moet dezelfde app gebruiken.

E-mail systemen verschillen, van Outlook en Gmail tot Thunderbird, Soverin en Proton. Je kunt e-mail van begin tot eind versleutelen met S-MIME of PGP maar dat vraagt van ontvangers dat ze dit ook gebruiken om ontvangen versleutelde berichten leesbaar te maken. Gmail werkt aan een oplossing, Proton is grotendeels beveiligd. 

Maar het uitgangspunt van Zivver is controle op verzending en inhoud, dus is tekst nooit van begin tot eind versleuteld maar op andere wijze beveiligd. Goud: “Iemand typt in Outlook een bericht, drukt op ‘zenden’, en stuurt dat via versleutelde HTTPS naar onze server. Daar wordt het real-time gecontroleerd op de afzender en ontvanger en de inhoud op afwijkende patronen en een hele set van meest gemaakte menselijke fouten. Als alle seinen op groen staan wordt het verstuurd, volledig versleuteld. Op het moment dat er wel een fout is, zegt het systeem: "Ho, we gaan nog niet versturen.”

Dus is het bericht staat open voor onderschepping, zoals Matthijs Koot voor Follow the Money stelt?

Volgens de Zivver-heren is er sprake van ‘misconceptie’ dat berichtenverkeer louter met end-to-end encryptie veilig is: “Geen van onze klanten wil dit, omdat het praktisch niet toepasbaar is. Voor de datalek preventie of DLP moet een proces uiteraard bij een inhoud van die informatie kunnen, want anders kun je nooit op die risico’s controleren. Maar de berichten worden streaming verwerkt in het geheugen van processoren die op dit moment onfeilbaar worden geacht. Dat is zogeheten confidential computing. Controle vindt plaats met algoritmes, in een fractie van een seconde, volledig geautomatiseerd waar geen mens bij kan.”

Matthijs Koot over Zivver

Matthijs Koot, in wederhoor: “De servers van Zivver ontvangen de berichten in leesbare vorm. Dan bestaat inherent de mogelijkheid (niet te verwarren met waarschijnlijkheid) die berichten te tappen: de berichten komen in leesbare vorm binnen in het RAM-geheugen van de servers die Zivver bij AWS afneemt. In dat geval is de stelling dat niemand behalve de verzender en ontvanger toegang hebben tot de berichten, per definitie onwaar. Dat men zichzelf in de praktijk niet daadwerkelijk toegang verschaft, is een ander verhaal.”

Daarop stelt Rick Goud van Zivver dan weer: “In essentie klopt het wat Matthijs zegt. Maar dat geldt voor alle software- en cloudsystemen die iets met data moeten doen. Op enigerlei wijze komen data tijdelijk in leesbare vorm in het geheugen, zelfs met end-to-end encryptie.

De relevante vraag is daarom niet zozeer of dat technisch mogelijk is, maar hoe dat proces beveiligd is en hoe een leverancier aantoonbaar maakt dat er geen toegang kan plaatsvinden. Wij gaan daarin veel verder met een combinatie van technische en controleerbare waarborgen. En misschien het belangrijkste: zowel Kiteworks als Zivver bestaan volledig bij de gratie van vertrouwen.”

Matthijs Koot vindt dat Zivver nergens mag suggereren dat er sprake is van end-to-end encryptie. De Zivver-directie is het daarmee eens, en zet onderstaand exact uiteen hoe het zit. 

Koot schrijft dat het onderscheppen van leesbare berichten van Zivver “mogelijk is”, maar dat dit niet betekent dat het “waarschijnlijk is”. Mijn vraag: hoe waarschijnlijk acht je onderschepping?”

Dat zegt Matthijs niet te weten, evenmin of de overname door Kiteworks het risico voor Zivver heeft vergroot. Zoals FTM met stelligheid concludeert. Volgens Koot worden Amerikaanse vorderingen immers niet openbaar gemaakt, noch de noodzaak van opsporings- en/of inlichtingendiensten. Ze (moeten) kiezen voor minst inbreukmakende middelen. Diensten - niet enkel de Amerikanen - wegen af of vordering of stiekem tappen nodig is.

Koot: “De weg van de minste weerstand zal de voorkeur hebben. Zo ga je geen complexe technische ingreep zoals hacking inzetten als een routinematige tap op, zeg, Microsoft 365 volstaat.”

Vraag aan Zivver: jullie bieden volgens jullie forum klanten de gelegenheid om alle Zivver-berichten die door de organisatie zijn verzonden en ontvangen automatisch te downloaden voor archivering. Dat kan toch niet als je er niet bij kunt komen?

Klinkhamer: “Dat betekent toegang voor de klant die de sleutels gebruikt om de berichten te ontsleutelen en te downloaden.”

‘Cloud Act geldt ook in Europa’

Is Zivver onder Kiteworks  afdoende beveiligd tegen de vorderingen van Trump conform de Cloud Act en spionagewet Fisa, die blijkens criticasters berichten en metadata kan vorderen of de hele applicatie kan stilleggen?

Zivver benadrukt dat het Nederlandse Cyber Security Centrum al in 2022 vaststelde (bron is verwijderd, recent opnieuw verschenen) dat de nationaliteit van de eigenaar van de informatie of de hosting er niet toe doet. Bij een Duits bedrijf met louter Duitse datacentra oordeelde de Amerikaanse rechter dat zijn Engelstalige website met toegang voor Amerikaanse bezoekers reden genoeg was om data te vorderen.

Ze wijzen ook op de Franse cloudprovider OVHcloud die haar in Europa opgeslagen data moest afgeven aan de Canadese overheid. Klinkhamer: “Dus hoezo soeverein in Europa? Locatie en eigendom zijn irrelevante criteria. De Cloud Act was dus al op ons van toepassing toen we nog Europees eigendom waren omdat we geen Amerikaanse IP-adressen blokkeren voor toegang tot Zivver, en onze software op de Amerikaanse markt verkopen. Dat geldt dus voor alle leveranciers in Nederland.

Het NCSC-rapport stelt terecht dat de enige effectieve maatregel tegen de Cloud Act de complete versleuteling van inhoud is zonder dat de leverancier over de decryptiesleutels beschikt. Zivver kan dus niet onder druk gezet worden om data te leveren, want we beschikken niet over die sleutels. Klanten hebben toegang met sleutels.” (tekst loopt door onder het beeld)

Op weg naar Sassenheim: reiger waant zich veilig, voorbijkomende fietsers hebben geen Amerikaanse wapens bij zich

Man in het Witte Huis

Zivver werkt vanaf het begin in 2015 al in de Amazon Cloud. En eigenlijk nog steeds want de overgang naar de Kiteworks eigen infrastructuur is voor het overgrote deel van de klanten nog niet bereikt. “Ze vragen er niet om. Immers, alleen de klant beschikt over de sleutels om de verzonden en ontvangen data te ontsleutelen. Heel veel overheden hadden, toen wij begonnen nog een beleid dat data niet in de cloud mochten staan. Voor veel daarvan waren wij de eerste cloudoplossing vanwege dat sleutelbezit.”

Maar Amazon en Kiteworks kunnen toch gewoon Cloud Act of Fisa-vorderingen krijgen van de Amerikaanse overheid, of vorderingen van Justitie in Nederland?

“Jazeker, maar daar kunnen we domweg niet aan voldoen. De Kiteworks software draait helemaal lokaal bij de klant en wij kunnen zowel fysiek als cryptografisch niet bij die data. Er is geen enkel toegangspad, behalve voor de klant. Kiteworks heeft een keer van een overheidsinstantie in Amerika een vordering gehad, maar die maakt zelf gebruik van Kiteworks. Dus het antwoord was: "Wij kunnen niet bij die informatie. Als je daaraan twijfelt, check even bij je eigen IT-afdeling."

Maar toch kan er een Fisa-vordering komen en hebben we de NSA nog?

“Kiteworks zou dan gedwongen moeten worden om een tap te plaatsen. Maar Kiteworks heeft geen toegang tot de infrastructuur van Zivver. Die toegang ligt exclusief bij medewerkers van Zivver.”

Dus met verkoop aan Kiteworks is niets nieuws onder de zon, vindt Zivver: “Al onze klanten weten dat ook, en dat moet ook, anders lopen ze massaal weg. Natuurlijk zijn er nieuwe analyses met klanten geweest want die stelden vragen. Kunnen we onze data niet beter weghalen bij Amazon en op een server hier in de kelder zetten? Juridisch is er niks veranderd. Want de Cloud Act is niet opeens meer of minder van toepassing door een andere eigenaar.”

En de angstpsychose dat regime-Trump er bij politieke tegenstand van Europa de stekker eruit trekt?

“Klanten wezen naar die man in het Witte Huis over wie ze zich zorgen maken. Angst is een reëel gegeven, die beweging voor soevereiniteit gaat, denken wij, snel. Klanten vragen ons nu behalve voor e-mail om een gelijkluidende oplossing voor uitwisseling van bestanden en allerlei formulieren met burgers en patiënten.”

Zivver overwoog daartoe drie opties: zelf intensief software blijven ontwikkelen, een bedrijf overnemen dat dit al heeft, of opgaan in een groter bedrijf. Het werd die laatste optie want zelf doen of kopen bleken te moeilijk.

“Kiteworks overtuigde ons met de visie: “Wij willen helemaal niet afhankelijk zijn van de cloud. Wij vertrouwen dat niet." Ze wilden de meest veilige oplossing ooit creëren, die organisaties in eigen huis op eigen hard- en software kunnen installeren; zelfs volledig air-gapped, ofwel zonder internetverbinding.”

Ja maar, zeggen criticasters, mensen van de Israëlische geheime dienst Unit 8200 in de leiding, gevaarlijk!

Goud: “Het is gewoon zuivere discriminatie op basis van nationaliteit door Follow the Money. Het wordt niet erger dan dit. Bij Kiteworks werken ex-Unit 8200 mensen die al vele jaren Amerikaans staatsburger zijn. Elk techbedrijf wil die mensen hebben. We gaan toch ook niet beweren dat mensen die voor de AIVD of NTSC werken data naar de Nederlandse overheid sluizen als ze voor een bedrijf gaan werken?”

Wellicht een stupide verdachtmaking, maar de loyaliteit aan de Joodse staat is groot en de band tussen Israël en VS sterk…

Klinkhamer: “Het is natuurlijk niet zo dat als je in Israël geboren bent je de politiek van Netanyahu steunt. Je denkt toch niet dat die mensen bij Kiteworks op een knop kunnen drukken om beveiligde informatie naar Israël te sturen? Wat is dat voor een waanidee? Bovendien geldt ook voor bij Zivver opgeslagen data dat alleen de klant en de ontvangers deze informatie kunnen ontsleutelen.

Als je zo goed bent in het vinden van de backdoors en de ingangen en dat soort dingen heb je echt die overname van Zivver niet nodig. Volslagen fictie. Het is het perfecte frame van Follow the Money in deze tijd, de combinatie van én Amerikaans eigenaarschap én mensen uit Israël in de top van Kiteworks.”

Goud: “Die mensen zijn gewoon steengoed, met bijzonder veel ervaring. Kiteworks moest meer weten over risico’s met statelijke hackers zoals geheime diensten. Dus zochten de eigenaren van Kiteworks zeven jaar geleden die experts zelf op, met de vraag: “Willen jullie aan boord komen om de meest veilige software ooit te maken?”

Dat platform is een zogenaamde on-premise of private cloud. Wanneer gaat Zivver weg bij Amazon?

Goud: “Klanten die behoefte hebben aan een on-prem oplossing, die past bij hun risicoprofiel, kunnen nu al secure e-mail en andere diensten van Kiteworks afnemen. De Zivver preventie van datalekken voegen we nu stapsgewijs toe met de eerste versie deze zomer.”

Hebben jullie contact gehad met Kindryl over de overname van Solvinity?

“Nee.”

Is jullie overname door BTI van economische zaken getoetst?

Klinkhamer: “We ontdekten dat er wetgeving bestond en toen hebben we een informele zienswijze aangevraagd en kregen die eigenlijk per omgaande post. Die wetten waren niet op ons van toepassing, dus succes ermee.”

In het huidige politieke klimaat zou de overname van Zivver wellicht wel inhoudelijk getoetst zijn?

“Dan hadden we die discussie bij EZ gehad en waren risico’s afgewogen.”

Goud en Klinkhamer hebben niet veel vertrouwen in de huidige afwegingen van Europeanen. Hij vindt het debat over soevereiniteit te veel losgezongen van de essentie van de veiligheid van data en berichtenverkeer. Het gaat uit van nationaliteit en eigenaarschap en niet van brede risico’s. Zivver eist van klanten dat ze hun hele risico op hacken en lekken in ogenschouw nemen.

Goud: “Dat gebeurt zo weinig, want bedrijven en overheden kiezen dan voetstoots voor aanbieders die zeggen veilig te zijn met een willekeurige certificering. En prijzen zomaar een Europese open source oplossing terwijl ik jou 23 risico’s op datalekken kan noemen. Van veel open source en/of Europese software schieten kwaliteit en veiligheid echt tekort.”

Android en iOS

Enige hypocrisie is het debat niet vreemd, vinden de Zivver-mannen. Elk Europees bedrijf of overheid gebruikt onder water softwarecomponenten die Amerikaans zijn, zoals Windows, Office 365, Google, iOS, virusscanners, firewalls, om niet te spreken van iPhones en Android. “Telefoons zitten barstensvol Amerikaanse software. Dus moet je omwille van de soevereiniteit stoppen met smartphones?”

Geen enkele applicatie is 100 procent veilig, zeker niet als mensen aan de knoppen zitten. Zivver kan dat niet volkomen ondervangen?

“Het gaat om de keten bij de klant, daar kunnen zwakheden zitten. Maar onze mail-applicatie niet. Ja, overal zit altijd een klein risico. Stel dat er in onze confidential computing vanuit de processoren van Nvidia meegeluisterd kan worden. Ja, dat is theorie…” 

KADER: Snelle waardestijging Zivver

Zivver werd opgericht in 2015 door Rick Goud als brein. Hij is opgeleid in medische informatica en zijn proefschrift ging over beslissingsondersteunende zorgsystemen. “Ik heb leren programmeren tijdens mijn promotie software ontwikkeld. Toen zag ik de AVG aankomen in 2017, terwijl iedereen e-mail, Dropbox, WeTransfer, WhatsApp etc. gebruikte voor gevoelige communicatie. Beveiliging schoot ernstig tekort. Dataveiligheid bleek een heel complex ecosysteem, waarbij encryptie belangrijk is, maar lang niet alle risico’s verhelpt.

Het gaat ook om controle dat je de juiste informatie met de juiste ontvangers deelt en niemand anders. Dat gaat om beslissingsondersteuning, dus kwam mijn promotie om de hoek kijken: hoe kunnen we artsen, advocaten, rechters en ambtenaren veilig laten mailen, geïntegreerd in hun e-mailproces? Hoe kunnen we hun alert maken om foutieve verzending te voorkomen?”

Bij zijn werkgever, adviesbureau Gupta, kreeg Rick Goud geld uit een investeringsfondsje. Klinkhamer: “We gunden Rick een goede startkans met startkapitaal. En ik mocht meekijken. Toen het kans maakte, vroeg Rick: “Wil jij erbij komen? Maar er was nog niets, kwetsbaar nog. Na negen maanden, toen er een prototype stond, heb ik Gupta verruild voor de startup.”

Wouter Klinkhamer studeerde Bedrijfskunde en Nederlands Recht, met een Master in ICT- en Intellectueel Eigendomsrecht. “Ik ben aanvankelijk vooral hoofdtester van Zivver geweest want ik snap gebruikers.” Bij Kiteworks is hij de baas van heel EMEA geworden, samen met een Zwitserse collega. Ruim de helft van de 550 medewerkers werkt in Europa.

Na de startinvestering door Gupta volgden:

• In 2017 stopten investeerders 3 miljoen euro in Zivver, waarvan 2 miljoen door het Nederlandse henQ;
• In oktober 2018 haalde Zivver 12 miljoen op bij het Britse Dawn, DN Capital en henQ. Zivver opende vestigingen in België, Engeland en Duitsland;
• In oktober 2020 volgde een vierde financiering, van 17 miljoen dollar van de drie eerdere investeerders plus het Belgische SmartFin.

De niet goed gelukte internationalisering was een reden te meer voor een overname door Kiteworks. Volgens het laatst gedeponeerde jaarverslag, over 2024, bedroeg de Zivver-omzet bijna 18 miljoen euro met bijna 5 miljoen nettowinst. Er waren dochterbedrijven in Berlijn, Londen en New York, maar de buitenlandse omzet bedroeg slechts ruwweg 15 procent.

Kiteworks en Zivver hadden vijf jaar geleden al contact over samenwerking en eventueel overname. Begin 2025 werd overname opportuun vanwege gewenste uitbreiding van diensten en betere internationale verkoop. Kiteworks had inmiddels een agressieve overnamestrategie, met overnames in Zwitserland, Duitsland, Roemenië en Engeland.

Klinkhamer: “In due diligence is niets gevonden, uiteraard niet qua veiligheid, maar ook organisatorisch niet.” Jullie kijken er bedenkelijk bij, bij overnames is er altijd een probleem? “Natuurlijk is de vraag hoe je qua brainpower meebeweegt. Ja, dan kan het een zooitje worden. We zijn immers geen ja-knikkers, best eigenwijs.”

Kiteworks heeft heel veel bedrijven overgenomen, een groot risico? “Dat is in een hoog tempo gegaan. Soms gaat het iets te slordig, daar leer je van. Kiteworks heeft recent een afdeling opgericht voor integratie. Wij kregen als eerste met die afdeling te maken en helpen ze nu actief het ‘playbook’ te verbeteren.”

Er is een overnamebedrag gepubliceerd van (minimaal) 100 miljoen dollar, maar daar zeggen de Zivvers niets over. Ze hebben zelf onderhandeld, Kiteworks ook. Daarna kwamen de Zuidas-kantoren voor de controles. Er zijn 5 BV’s, ondermeer voor opties en aandelen van verschillende investeerders en personeel, waarbij Lukas Valkenburg, medeoprichter en verkoopdirecteur, Reinout Bautz en Koen Luijckx zijn betrokken. als bestuurders. Zivver Europe is in 2025 opgericht door Kiteworks

*) Beelden: Peter Olsthoorn