Vitale infrastructuur & data-beveiliging in Nederland: hoe Aangetekend helpt
Recent onderzoek van Follow the Money toont aan dat het ontbreken van certificeringen en een accreditatie van een toezichthouder zorgt voor mogelijke risico’s in data-beveiliging in Nederland.
Dit alles leidt tot de vraag: hoe veilig is onze (vitale) digitale infrastructuur en in hoeverre speelt de Nederlandse overheid daar wel of niet een rol in?
Een wake-up call voor overheid en bedrijfsleven
De recente overname van Zivver, een veilig e-mailen leverancier, door het Amerikaanse Kiteworks heeft de discussie over datasoevereiniteit op scherp gezet.
Diverse media, waaronder de Volkskrant op basis van een onderzoek door Follow the Money, schrijven dat deze overname niet is getoetst door de Nederlandse overheid, omdat de overgenomen partij niet wordt gezien als onderdeel van de vitale digitale infrastructuur.
Toch verwerken veel organisaties via dit platform gevoelige communicatie van rechtbanken, ziekenhuizen en overheden. Dit roept de vraag op: hoe veilig is onze digitale communicatie en in hoeverre speelt de Nederlandse overheid daar wel of niet een rol in?
De zorgen over datasoevereiniteit zijn inmiddels ook politiek zichtbaar geworden. Naar aanleiding van het onderzoek van Follow the Money over de Amerikaanse overname van Zivver door Kiteworks heeft Kamerlid Kathmann (GroenLinks-PvdA) op 18 september 2025 Kamervragen gesteld aan de betrokken ministers en staatssecretaris. De vragen richten zich op de risico’s van Amerikaanse wetgeving (zoals de CLOUD Act en FISA), de continuïteit van overheidsdiensten die Zivver gebruiken en het ontbreken van een status als vitale infrastructuur voor aanbieders van vertrouwelijke communicatie. Deze politieke aandacht onderstreept dat de waarborging van veiligheid, vertrouwelijkheid en Europese autonomie niet vrijblijvend is, maar dringend actie vereist.
Wat Follow the Money onderzocht
Het onderzoek van Follow the Money toont aan dat de risico’s groot zijn: berichten kunnen in sommige gevallen als leesbare tekst op de servers van genoemde beveiligd mailen leverancier terechtkomen.
Daarnaast vallen de gegevens bij Amerikaanse leveranciers nu onder de Cloud Act en dus onder Amerikaanse wetgeving, wat buitenlandse overheden de mogelijkheid geeft om toegang af te dwingen.
Volgens experts is dit een “strategische blunder” die grote gevolgen kan hebben voor de Nederlandse samenleving. Gezien de banden van Kiteworks met voormalige buitenlandse inlichtingendiensten is het risico op ongewenste inmenging extra zorgelijk.
Aangetekend: onderdeel van de vitale digitale infrastructuur
Waar andere beveiligd mailen leveranciers géén onderdeel uitmaken van de digitale vitale infrastructuur, is Aangetekend door de overheid wél erkend als vitaal bedrijf binnen de digitale infrastructuur van Nederland. Dat betekent dat Aangetekend aan de strengste eisen van informatiebeveiliging voldoet conform de eIDAS-Verordening en onderliggende ETSI eisen en periodiek wordt getoetst en gecertificeerd door een geaccrediteerde audit partij waarna zij de status ‘gekwalificeerd’ vertrouwensdienstverlener verkrijgen van de toezichthouder Rijksinspectie Digitale Infrastructuur. Elk bedrijf die deze status heeft verkregen wordt als vitaal bedrijf bestempeld in de vitale digitale infrastructuur van Nederland.
Vitale organisaties, zoals Aangetekend, vallen sinds 2023 onder de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo). Deze wet introduceert een veiligheidstoets voor investeringen, fusies en overnames die een risico kunnen vormen voor de nationale veiligheid. Bureau Toetsing Investeringen (BTI) voert deze toets uit en adviseert de minister van Economische Zaken en Klimaat of er een nationaal veiligheidsrisico ontstaat. Is dat zo, dan kan de minister voorwaarden stellen aan de investering. In het uiterste geval kan de minister de investering verbieden. De overname van Zivver door Kiteworks is niet getoetst door de Nederlandse overheid, omdat de overgenomen partij niet wordt gezien als onderdeel van de vitale digitale infrastructuur. Het is dan de vraag of de lijst van vitale bedrijven moet worden uitgebreid of dat bedrijven hun certificeringen op orde moeten hebben.
Certificeringen
Aangetekend beschikt over internationale certificeringen zoals eIDAS, eIDAS2.0, ISO27001 en ETSI, waarmee wordt voldaan aan Europese Verordeningen en de hoogste standaarden voor informatiebeveiliging.
Accreditaties
Aangetekend wordt aangemerkt als vitale organisatie door het Ministerie van Economische Zaken en Klimaat en staat als vertrouwensdienstverlener onder toezicht van Rijksinspectie Digitale Infrastructuur.
Wet- en regelgeving
Aangetekend en haar vertrouwens-diensten voldoen aan Europese en nationale wet- en regelgeving zoals eIDAS, eIDAS2.0, NIS2, DORA, CER en de AVG waarbij EU-recht voorrang heeft op nationaal recht. Normen en technische afspraken zoals bijvoorbeeld de NTA7516 sluiten de rij van hiërarchie.
Vertrouwd door 1.000+ bedrijven in Nederland & België
137.384 gebruikers
waarderen het gebruiksgemak
84% besparing
in kosten en tijd
70% sneller verzonden
direct vanuit je mailbox of via API
Verschil tussen niet-gekwalificeerd en gekwalificeerd
Wanneer word je als organisatie bestempeld als onderdeel van de vitale digitale infrastructuur van Nederland? Om deze vraag te kunnen beantwoorden is het verschil tussen niet-gekwalificeerd en gekwalificeerd van belang. Het verschil tussen een Trust Service Provider (TSP) en een gekwalificeerde Trust Service Provider (qTSP) volgens de eIDAS 2.0-verordening (de herziene verordening betreffende elektronische identificatie en vertrouwensdiensten binnen de EU) ligt vooral in het niveau van betrouwbaarheid, toezicht en wettelijke erkenning.
TSP
- Certificering: niet verplicht
- EU Trusted List: niet noodzakelijk
- Juridisch bewijsvermoeden: Nee
- Toezicht: mogelijk
- Erkenning in hele EU: niet automatisch
- Risico voor gebruiker: hoger
- Vitale digitale infrastructuur: geen onderdeel
qTSP
- Certificering: verplicht via nationale autoriteit
- EU Trusted List: verplicht
- Juridisch bewijsvermoeden: Ja
- Toezicht: strikt en verplicht
- Erkenning in de hele EU: verplicht
- Risico voor gebruiker: lager
- Vitale digitale infrastructuur: onderdeel
Waarom veilig mailen?
Bescherming van privacy, vertrouwen van klanten en reputatie van organisaties.
Beveiligd e-mailen is essentieel voor het beschermen van gevoelige informatie tegen ongeautoriseerde toegang, verlies en misbruik. Het voorkomt dat gegevens worden onderschept tijdens de verzending, voorkomt dat hackers of kwaadwillende de inhoud manipuleren en helpt bedrijven te voldoen aan wettelijke vereisten. Het is niet alleen van belang voor de bescherming van privacy, maar ook voor het behouden van het vertrouwen van klanten en de reputatie van organisaties. Beveiligde e-mail is een noodzakelijke stap in de richting van een veiliger en betrouwbaarder internetcommunicatiesysteem.
Enkele details Beveiligd Mailen
- Versleuteling tussen mailservers
- Bescherming tegen phising en spoofing zoals SPF, DKIM en DMARC
- AVG en NTA compliant
- Data en verwerking binnen de Europese Unie
- Lees meer over standaarden
Beveiligd Mailen voor vitale organisaties en overheden
De erkenning als bedrijf als onderdeel van de vitale digitale infrastructuur en de rol van Aangetekend als qTSP zijn relevant voor meerdere sectoren en functies.
- Overheden en rechtspraak – rechtbanken, gemeenten, ministeries en de IND: communicatie die de basis vormt van de rechtsstaat moet beschermd zijn.
- Zorginstellingen en verzekeraars – ziekenhuizen, GGZ-instellingen en zorgverzekeraars verwerken medische gegevens die nooit buiten Europees toezicht mogen vallen.
- Financiële sector – banken, kredietverstrekkers en incassobedrijven moeten voldoen aan WKI, WMEBV en DORA.
- Juristen en advocaten – dossiers en vertrouwelijke contracten vragen om rechtsgeldigheid en zekerheid.
- IT- en securitymanagers (CISO’s) – verantwoordelijk voor de naleving van NIS2 en het beschermen van kritieke systemen.
Kies voor data in Nederland met zekerheid
De overname van security bedrijven door Amerikaanse partijen laat zien dat vertrouwen alleen niet genoeg is. Het vraagt om aantoonbare toetsing, accreditatie, toezicht en Europese borging. Met Aangetekend kies je voor:
Erkend als onderdeel van de
vitale digitale infrastructuur
Rijksinspectie Digitale Infrastructuur
Ministerie van Economische Zaken
Data verwerking en opslag
in Nederland
Hoogste certificering als
qTSP eIDAS-verordening
