09-11-2025

De hack bij de Franse administratie m.b.t wapenbezit lijkt erg verontrustend maar wacht tot het onderstaande tot u doordringt...

Zou een 'vreemde mogendheid' de Franse wapenbezitters willen kennen voor het geval ze Europa willen aanvallen?
In Nederland hoeven ze waarschijnlijk niet te veel overheidsinstanties te hacken. De informatie die ze willen, ligt toch al op straat.

Bij aanvraag van (verlenging van) je verlof worden je gegevens tussen het OM en de Korpschef hoogstwaarschijnlijk uitgewisseld via Zivver. Dat is een voormalig Amsterdams bedrijf dat e-mails forward onder de productnaam 'Veilig mailen'. Waarom de overheid die (overigens dure) dienst gebruikt, is niet geheel duidelijk. Is het omdat mails via Zivver TLS versleuteld worden? Niet goed nagedacht want dat is wat uw eigen e-mailprogramma al doet (bijvoorbeeld Outlook of Thunderbird). Er is immers geen enkele internetprovider die nog niet-versleutelde mails wil verzenden (die hebben hun poorten voor verzending van niet-versleutelde mails al lang gesloten).

Zivver is eerder dit jaar overgenomen door een Amerikaans bedrijf (Kiteworks) dat onder de US digitale inlichtingenwetgeving valt. De Trump administratie kan dus alle mails inzien. Bovendien zou het topmanagement van Zivver banden hebben met andere (niet-Europese en niet-Amerikaanse) militaire inlichtingendiensten. Maar wat nog meer is: Zivver heeft geen eigen servers en gebruikt dataruimte bij Amazon. Die zeggen wel dat ze met de gegevens niets doen en dat ze de gegevens in Europa opslaan, meer bepaald in Ierland (of all places) maar het zou niet verwonderlijk zijn als iedere mail door de AI software van Amazon gaat en evenmin zou het verwonderlijk zijn als Amazon de gegevens kopieert naar alle werelddelen waar ze datacenters hebben staan; dit laatste om schadeclaims te vermijden bij dataverlies door uitval van hun Ierse servers. Alle Rechtbanken, ministeries en andere overheidsdiensten in Nederland maar ook ziekenhuizen en verzekeraars verzenden dagelijks duizenden of misschien wel miljoenen e-mails via Zivver met daarin zeer persoonlijke gegevens zoals bijvoorbeeld aanvraaggegevens met betrekking tot vergunningen, gegevens en uitspraken uit strafrechtdossiers, echtscheidingsdossiers, gegevens over disputen tussen bedrijven, etcetera maar ook militaire informatie en ga zo maar door.

Volgens mij de grootste datalek die Nederland ooit gekend heeft maar volgens de overheid is er niets mis. Die blijven die dienst gebruiken want 'Omdat wij het veilig moeten doen, moeten we Veilig Mailen gebruiken'. En als zo veel overheidsdiensten dit doen, waarschijnlijk dus ook de Gegevensbeschermingsautoriteit, die nota bene de controle moet uitvoeren over datalekken...

In de Tweede Kamer zijn op 18 september 2025 aan de Minister van Veiligheid en Justitie kamervragen gesteld over Zivver, onder andere: "Vindt u het wenselijk dat een dienst die wordt gebruikt om vertrouwelijke informatie over burgers uit te wisselen valt onder de Amerikaanse CLOUD Act en de Foreign Intelligence Surveillance Act (FISA), die de regering-Trump toegang geeft tot deze data?" maar ook nog een aantal andere interessante vragen. Klik hier om te lezen.

De Minister heeft op 9 oktober 2025 geantwoord dat hij nog wel een keer zal antwoorden. In de kamervragen is sprake van het zoeken naar 'alternatieven voor Zivver' en of er een 'eigen infrastructuur' is om veilig te communiceren. Dat alternatief is er zeker: Outlook of een ander normaal e-mailprogramma want dat verzendt alles altijd en naar iedereen versleuteld. Maar daar heeft de politiek blijkbaar nog niet aan gedacht. Overheidspersoneel noemt een normale (dus gegarandeerd versleutelde) mail die niet naar Amazon gaat maar rechtstreeks naar de geadresseerde, tegenwoordig 'onbeveiligd mailen'. Waar ze dat vandaan hebben, is een raadsel maar misschien is het de 'logische' tegenhanger van de productnaam 'Veilig Mailen'.

Ook interessant is hoe bijvoorbeeld de Rechtbanken over Zivver schrijven: Klik hier.
Alsof de TLS versleuteling door Zivver wordt gedaan (dat doet Outlook waar Zivver bij de gebruiker een account op installeert). Bewijzen dat het bericht bij de juiste ontvanger komt? Zivver stuurt de bevestigingscode naar hetzelfde mailadres als het eerste bericht waarin staat dat er een bericht via Zivver is verzonden. Klinkklare onzin dus. En downloaden van het bericht betekent uiteraard niet dat het weg is uit de servers van Amazon. Wie een .pdf downloadt van een website heeft het bestand immers ook niet verwijderd van die webserver.