Onderzoekers van Follow the Money zijn erachter gekomen dat het Amsterdamse databedrijf Zivver, dat voor veel Groningse organisaties privacygevoelige data beheert, is overgenomen door een Amerikaans bedrijf dat nauwe banden heeft met elite-eenheden van het Israëlische leger. Experts luiden de noodklok.
Zivver levert systemen voor het (versleuteld) uitwisselen van informatie via onder andere e-mail, chat en video. De klanten van het bedrijf zijn overheidsinstanties, instellingen en bedrijven in Nederland, België en Luxemburg. In Groningen maken onder andere Wij Groningen, Veilig Thuis, de GGD, Studentenarts, Jeugdbescherming Noord, rechtbank en de gemeente Groningen gebruik van Zivver voor het versturen van beveiligde bestanden.
Banden met Israëlische krijgmacht
Uit het onderzoek van Follow the Money (FtM) blijkt dat de data minder goed beveiligd is dan het bedrijf doet voorkomen. Daarnaast is Zivver recent overgenomen door het Amerikaanse databedrijf Kiteworks. Daarmee komt de gevoelige Nederlandse data in Amerikaanse handen. De vrees is daarnaast dat het Israëlische leger toegang heeft tot de data.
FtM achterhaalde namelijk dat de top van Kiteworks voor een belangrijk deel bestaat uit voormalige spionnen van een elite-eenheid van het Israëlische leger (IDF). De eenheid is gespecialiseerd in het afluisteren en kraken van geheime communicatie.
Amerikaanse wet
De overname door het Amerikaanse bedrijf betekent dat alle data die er wordt verwerkt, toegankelijk is voor de Amerikaanse overheid. Het maakt niet uit of de data is opgeslagen op een Groningse of Amsterdamse server. De Amerikaanse overheid kan volgens de eigen wetgeving altijd en ongevraagd de data van Amerikaanse bedrijven inzien.
Die wet bestaat al een tijdje, maar is prangend geworden sinds Trump aan de macht is gekomen. Dat was voor veel organisaties juist reden om samen te werken met Zivver, omdat de privacygevoelige data zo in Nederlandse handen zou blijven en onder de strenge Europese privacywet viel. Maar dat is veranderd na de overname. Daarnaast blijkt dat het Israëlische leger betrokken is.
De sleutelposities van Kiteworks, het nieuwe moederbedrijf, worden ingenomen door voormalige leden van een elite-eenheid van het Israëlische leger. Die eenheid is bekend van verregaande cyberaanvallen zoals die op Iraanse nucleaire installaties. Daarnaast zou de eenheid het brein zijn achter de explosie van duizenden piepers van vermeende Hezbollah-leden.
Vanwege deze overname, het vallen onder Amerikaanse wetgeving en de nauwe verwevenheid met de Israëlische spionage-eenheid van het IDF zouden alle alarmbellen in Nederland moeten afgaan, zeggen experts tegen FtM.
Een van die experts is Bert Hubert, voormalig toezichthouder op de Nederlandse inlichtingendiensten. Volgens Hubert is het verkrijgen van toegang tot communicatiesystemen onderdeel van een langdurige strategie van Israël.
Hugo Vijver, die 15 jaar bij de Nederlandse inlichtingendienst AIVD werkte, deelt de zorgen van Hubert. „Als je in Nederland vertrekt bij een inlichtingendienst, heb je alleen op persoonlijk vlak nog contact. In Israël is blijvend sprake van een innige samenwerking: er is een draaideur tussen leger, lobby, bedrijfsleven en politiek.”
Daarom gevaarlijk
Daarnaast voert Vijver op dat het voor Israël relevant is om veel te weten over politieke voor- en tegenstanders, maar bijvoorbeeld ook over activisten en critici. „Zodra een inlichtingendienst beschikt over medische, financiële en persoonlijke gegevens kan zij mensen gemakkelijker onder druk zetten om voor haar te spioneren.”
Hubert vult aan: „Het gaat echt niet alleen om weetjes waarmee je mensen kunt afpersen. Juist de gegevens die je helpen om telefoonnummers, adressen of betaalgegevens te koppelen aan een persoon zijn buitengewoon nuttig voor inlichtingendiensten.”
Ernstige blunder
Hubert spreekt daarom van een enorme blunder. „Dat een bedrijf dat zo’n belangrijke rol speelt in de overheidscommunicatie in Amerikaanse handen komt is al erg, maar dat daar ook allerlei Israëlische spionnen zitten is wel heel ernstig.”
Ook dr. Evgeni Moyakine van de RUG uit zijn zorgen. Volgens de hoofddocent, met IT-recht, privacy, private en militaire beveiligingsbedrijven en gegevensbescherming als specialiteit, is het ‘vanuit juridisch perspectief problematisch’.
„In Nederland moeten alle bedrijven voldoen aan de privacywetgeving die is vastgelegd in de AVG”, stelt Moyakine. „Daarnaast heeft de Europese Commissie een aantal jaar geleden een framework opgesteld voor bedrijven die met privacygevoelige data werken, zodat die informatie goed beschermd is. Zivver doet niet mee aan dat framework. Daarom is het na de overname niet meer verstandig om in zee te gaan met Zivver.”
Reactie gemeente, GGD en Veilig Thuis
Een woordvoerder van de gemeente Groningen laat mede namens de GGD en WIJ Groningen weten op dit moment geen directe aanleiding te zien om te stoppen met Zivver. „Maar we kijken kritisch naar wat de overname betekent en wat we hier mogelijk mee moeten. De gemeente heeft hierover afstemming met andere partijen en neemt hierin ook het rijksbeleid mee.”
Studentenarts wilde geen reactie geven. De rechtbank was niet bereikbaar voor commentaar. Jeugdbescherming Noord gaf aan het te druk te hebben met andere zaken in de media om te reageren.
