Onderzoek van Follow the Money over de overname van communicatiesoftware Zivver, zorgde voor ophef bij overheidsorganisaties en cybersecurity experts. Zivver biedt communicatiesoftware en is in de zorg, overheidsinstanties en gemeenten vooral bekend van de toepassing voor beveiligd mailen. Wat betekent dit voor de veiligheid van gevoelige communicatie en hoe betrouwbaar blijft Zivver als deze dienst in Amerikaanse handen komt?
In dit artikel vertellen we u wat er precies speelt met Zivver, wat de risico’s zijn en wat u zou moeten doen.
In het kort:
Zivver is in 2005 in Nederland opgericht en biedt diensten voor versleutelde communicatie zoals e-mail, chat en documenten. Zivver wordt vooral veel gebruikt door overheidsinstanties, ziekenhuizen, rechtbanken en gemeenten.
In juni maakte Zivver bekend dat Kiteworks het bedrijf zou overnemen. Met de overname is Zivver onderdeel geworden van een Amerikaans bedrijf, waaruit het management bestaat uit verschillende personen met een verleden bij de Israëlische elite-inlichtingeneenheid, Unit 8200.
Wat betekent dit?
Onderzoek van Follow the money, samen met externe cybersecurity-experts, laat voorbeelden zien waarin berichten en bijlagen in ‘platte’, leesbare vorm naar de servers van Zivver worden gestuurd, voordat versleuteling plaatsvindt. Dit betekent dat Zivver technisch mogelijk de inhoud kan inzien, ook al beweert Zivver dat dit niet gebeurt.
Doordat het moederbedrijf in de VS zit, vallen de data niet onder Europese wetgeving, maar onder Amerikaanse wetgeving. Door de CLOUD-act betekent dit dat de Amerikaanse overheid data desgewenst kan toe-eigenen, ongeacht op welke locatie de data zijn opgeslagen. Zivver claimt weliswaar dat de beveiliging er dankzij de Amerikanen alleen maar op vooruit gaat. Maar door dergelijke Amerikaanse wetgeving lijkt dit niet het geval.
Zivver stelt dat alle klantdata versleuteld blijven, dat Zivver zelf geen toegang heeft tot de encryptiesleutels en dat data uitsluitend op Europese servers worden opgeslagen.
Wat moet uw organisatie doen?
Om de continuïteit en integriteit van gevoelige communicatie te waarborgen kunt u meerdere acties ondernemen:
- Werk risicoanalyses bij: Welke risico's brengt deze verandering voor uw organisatie met zich mee. Houd hierbij rekening met veranderde wetgeving en internationale regels (Europees en Amerikaans).
- Controleer het contract: Zorg dat verwerkersovereenkomsten en standaardclausules duidelijk bescherming bieden tegen buitenlandse claims.
- Vraag om transparantie: Laat regelmatig auditrapporten aanleveren, zoals ISO 27001, zodat u zeker weet dat Europese regelgeving wordt gevolgd.
- Overweeg alternatieven: Zijn er Europese aanbieders die voldoen aan NEN 7510, ISO 27001 met vergelijkbare functionaliteit én Europese zeggenschap? Daarmee verkleint u risico’s op het gebied van digitale soevereiniteit.
Onderdeel van een trend
De overname van Europese technologiebedrijven naar bedrijven uit het buitenland komt steeds vaker voor. Deze overnames onderstrepen het belang van proactieve governance, het scherp nakijken van contracten en een open blik. Alleen zo behoudt u als organisatie de controle.
Wil u weten wat deze ontwikkeling betekent voor uw organisatie of samen nadenken over een alternatief? Neem contact met ons op voor een vrijblijvend adviesgesprek en ontdek hoe u controle houdt over uw data.