Itdaily - Belgische identiteit in de Amerikaanse cloud: is itsme wel soeverein?

Belgische identiteit in de Amerikaanse cloud: is itsme wel soeverein?

itsme

Acht miljoen Belgen gebruiken itsme om in te loggen bij overheidswebsites of bankenapplicaties. Maar wat gebeurt er met je gegevens? Itsme is minder soeverein dan het lijkt.  

De mobiele applicatie itsme zit vandaag diep verankerd in het digitale weefsel van onze maatschappij. Dit jaar bereikte het de kaap van acht miljoen gebruikers in België, en maakt het de overstap naar Nederland. Overheden, banken en telecomoperatoren hebben itsme breed omarmd. 

Itsme is eenvoudig in gebruik en biedt een uniforme ervaring om bij verschillende digitale diensten in te loggen. De meerlagige beveiliging moet ervoor zorgen dat je itsme-account niet zomaar gekraakt kan worden. Je account is gekoppeld aan je telefoon en extra beveiligd met een pincode, en de connectie met diensten waarop je inlogt loopt langs een versleutelde verbinding. Maar wat schuilt er nog achter de app? Veilig staat niet per definitie synoniem met soeverein. 

Wake-upcall uit Nederland 

Dat weet men in Nederland maar al te goed. DigiD, concurrent voor iDIN en nu dus ook voor itsme in Nederland, dreigde eind vorig jaar onrechtstreeks onder Amerikaanse invloed te komen. Voormalig IBM-dochter Kyndryl aasde op Solvinity, het bedrijf dat de infrastructuur voor DigiD beheert en met verschillende overheidsdiensten samenwerkt. Dat zag de Nederlandse overheid, eigenaar van DigiD, niet zitten en na vele debatrondes werd beslist de overname tegen te houden.  

Het hoeft dan ook niet te verbazen dat de overname van iDIN door itsme onder het vergrootglas ligt in Nederland. In België gebruiken we dagelijks itsme zonder ons eigenlijk af te vragen wie of wat achter de applicatie zit. Nu digitale soevereiniteit hoog op de agenda staat in België en Europa, moeten we ons die vragen misschien toch eens stellen.  

Wie is eigenaar van itsme? 

Itsme zag in 2017 het levenslicht als resultaat van een samenwerking tussen de banken- (Belfius, BNP Paribas Fortis, ING en KBC) en de telecomsector (Proximus, Orange, Telenet). De applicatie is officieel ondergebracht bij de vennootschap Belgian Mobile ID. De overheid kocht zich vijf jaar geleden via de Federale Participatie- en Investeringsmaatschappij voor 14,5 miljoen euro in, en kreeg daarmee een aandeel van twintig procent in itsme. 

Belgian Mobile ID streeft zoals ieder geprivatiseerd bedrijf commerciële doelen na. In een reactie aan ITdaily stelt het expliciet dat de aandeelhouders geen toegang hebben tot itsme-data, maar het is onduidelijk in welke mate zij de strategische en technologische koers mee sturen.

Welke data bewaart itsme? 

Als vertrouwde authenticatie-app voor acht miljoen Belgen, beschikt itsme over heel wat gegevens van burgers. Daar doet het bedrijf niet geheimzinnig over: bij het aanmaken van je account moet je je akkoord geven om gegevens als je naam, telefoonnummer en rijksregisternummer te delen. Heb je toen snel op ‘akkoord’ geklikt zonder te weten wat je gedeeld hebt, kan je het privacybeleid van itsme hier raadplegen.  

Koppel je itsme aan je bankaccount, dan worden die identiteitsgegevens ook gedeeld met je bank. Itsme belooft daarbij expliciet dat het niet meer gegevens deelt dan noodzakelijk, en enkel en alleen met je toestemming. Je gegevens worden ook niet gebruikt voor advertenties of om andere commerciële doeleinden te dienen, staat opnieuw letterlijk in de privacyverklaring.  

Itsme mag daar ook niet over liegen. Als Europese aanbieder van elektronische identificatie is het aan verschillende Europese regelgevingen gebonden, zoals eIDAS, PSD2 en de GDPR. Onder die wettelijke richtlijnen mag het je gegevens voor een maximale termijn van tien jaar bewaren.  

Waar staan die gegevens? 

Dit is in het kader van soevereiniteit de vraag van één miljoen. We vroegen het itsme zelf en kregen als antwoord dat de infrastructuur ‘primair op Azure’ draait. Dat is opnieuw geen geheim: wie wat zoekt, vindt technische informatie over een configuratie met Azure B2C, een cloudtool voor identiteitsbeheer in mobiele applicaties, en itsme is ook in de Azure Marketplace te vinden.  

Itsme verklaart dat de keuze voor Microsoft is genomen op basis van een uitgebreide technische en juridische analyse. De ‘holistische visie van Microsoft op beveiliging, vertrouwen en gegevensverwerking binnen de EU’ heeft de doorslag gegeven. Het Belgische bedrijf Codit, een dochteronderneming van Proximus NXT, was de Microsoft-partner van Belgian Mobile ID. Itsme laat in een reactie op dit artikel weten dat die samenwerking in 2023 is beëindigd, en de kennis intussen in-house zit.

Een technische blog van AWS kan de indruk wekken dat itsme ook bij de cloudafdeling van Amazon zit. Die interpretatie maakte ElioVP, een Belgisch bedrijf dat HPC-diensten levert, dat het als een goede reden zag om itsme aan de deur te zetten. Dit weerlegt itsme: de blog bespreekt niet meer dan een integratiemogelijkheid met Amazon Cognito, de authenticatietechnologie van AWS. 

Voor alle duidelijkheid: AWS is geen cloudpartner van itsme. De infrastructuur draait niet in de AWS-cloud, en je itsme-gegevens zitten dus niet bij AWS. Al verandert dat niets aan het gegeven dat itsme met Microsoft voor een niet-Europese cloudprovider heeft gekozen.  

Is dat een probleem?  

Dat hangt ervan af met welke bril je het bekijkt. Voor de doorsnee gebruiker maakt het niet zoveel uit. Microsoft investeert in Europese datacenters en heeft sinds vorig jaar ook een cloudregio in België, al verduidelijkt itsme niet op welke Azure-regio het beroep doet. Ook voor Microsoft geldt de GDPR: het mag je gegevens niet zomaar weghalen uit de Europese Unie. 

Als Amerikaanse entiteit is Microsoft ook gebonden aan Amerikaanse wetgeving. De Amerikaanse Cloud Act positioneert zichzelf boven eender welke lokale of regionale wet. De wetgeving bepaalt dat de Amerikaanse overheid en inlichtingendiensten in het kader van bijvoorbeeld een juridisch onderzoek toegang mogen eisen tot gegevens in datacenters, ook als die niet op Amerikaans grondgebied staan.  

Cloudproviders zoals Microsoft benadrukken dat dit vooral een theoretisch risico is en dat ze over een arsenaal aan technische en juridische middelen beschikken om dergelijke, zeldzame verzoeken te bestrijden. Hierover gingen we recent nog uitgebreid in gesprek met Frank Callewaert van Microsoft Benelux. Maar Microsoft geeft zelf toe dat het puntje bij paaltje geen complete soevereiniteit kan beloven. 

Itsme ziet dat niet zozeer als een toegeving op soevereiniteit. Het verklaart aan onze redactie dat Microsoft niet aan persoonsgegevens kan. “De echte compliance-vraagstukken gaan over architectuur, niet over welke infrastructuur”, zegt het in een statement. Al neemt dat het theoretische risico van de Cloud Act niet honderd procent weg.  

De Cloud and AI Development Act van de Europese Unie vraagt overheden en gevoelige sectoren om alle juridische risico’s te overwegen bij de keuze van een cloudprovider. Hoewel het niet expliciet gesteld wordt, is dit eigenlijk een betoog tegen niet-Europese providers.  

Nieuwe uitdagers 

Lange tijd was er geen volwaardig alternatief voor itsme. De app had een monopolie op de Belgische markt, mede in de hand gewerkt door de overheid. Diezelfde overheid schoof vorig jaar plots zijn eigen MyGov-app naar voren als uitdager voor itsme. Trouwe IT-partner Smals verzorgt aan de achterkant van de applicatie de koppeling met overheidsdiensten en -documenten, maar het beheer en het authenticatieluik vallen volledig onder de verantwoordelijkheid bij de FOD BOSA.

Het verschil met itsme is dat MyGov data lokaal op je telefoon houdt, en niet naar een centrale database beheerd door de overheid en/of partners stuurt. De Belgische overheid is wel een fervent gebruiker van Microsoft-technologie, al is er geen bewezen link tussen Microsoft en de app. Smals liet dan weer pas weten nauwer te gaan samenwerken met Google Cloud. 

In 2026 is er nog een derde uitdager bijgekomen: Smart-ID. De van oorsprong Estse applicatie is na een jarenlange strijd sinds maart officieel beschikbaar in België. Smart-ID mag dan niet Belgisch zijn, het trekt wel expliciet de kaart van soevereiniteit. Het beheert zijn eigen infrastructuur volledig zelf en op Europese bodem en is volledig onafhankelijk van grote cloudproviders. Of die belofte het Belgische publiek kan overtuigen, valt nog af te wachten. 


In een eerdere versie van dit artikel stond dat een Itsme-account gekoppeld is aan telefoonnummer en sim-kaart, wat een brug tussen de applicatie- en netwerklaag mogelijk zou maken. De ambitie om die sim-koppeling te verwezenlijken werd weliswaar uitgesproken, maar Itsme wijst erop dat die niet gerealiseerd werd.