Vertrouwelijke data in het geding na overname Zivver

De overname van het Nederlandse beveiligingsbedrijf Zivver door het Amerikaanse Kiteworks heeft de woede en zorgen doen oplaaien bij cybersecurity‑experts, overheidsorganisaties en privacyvoorvechters. Wat betekent dit voor de veiligheid van zeer gevoelige communicatie, en hoe betrouwbaar blijft de bescherming als zo’n dienst in buitenlandse handen komt?

Bij ALTA‑ICT weten we: vertrouwelijkheid, AVG/NEN/NEN7510‑compliance en bescherming tegen ongewenste inzage zijn geen luxe, maar keiharde vereisten. In dit artikel verkennen we wat er precies speelt met Zivver, wat de risico’s zijn, wat Nederlandse organisaties zouden moeten doen en hoe een strategische aanpak eruitziet.

E-mail deliverability – Voorkom spamproblemen met SPF, DKIM en DMARC

Wat is er aan de hand?

Zivver, opgericht in 2015 in Amsterdam, biedt diensten voor versleutelde communicatie (e‑mail, chat, documenten) die gebruikt worden door overheidsinstellingen, ziekenhuizen, rechtbanken, etc.
Met de overname door Kiteworks is Zivver onderdeel geworden van een Amerikaans bedrijf.
Het management van Kiteworks bestaat uit verschillende personen met een verleden bij de Israëlische elite‑inlichtingeneenheid (Unit 8200).
Volgens Zivver blijft alle data van klanten versleuteld, blijven servers in Europa, en zouden zij zelf geen toegang hebben tot de encryptiesleutels.

Maar:

Follow the Money en externe cybersecurity‑experts onderzochten voorbeelden waarin berichten en bijlagen in ‘platte’, leesbare vorm naar de servers van Zivver worden gestuurd voordat versleuteling plaatsvindt.
Dat betekent dat in die fase Zivver technisch mogelijk de inhoud kan inzien, ook al beweert Zivver dat dit niet gebeurt.
Doordat het moederbedrijf in de VS zit, vallen de data onder Amerikaanse wetgeving. Dat brengt risico’s met zich mee, zeker in een tijd van geopolitieke spanningen.

Risico’s voor Nederlandse organisaties

Juridisch kader verschuift
Omdat Kiteworks domicilie heeft in de Verenigde Staten, kunnen Amerikaanse overheidsinstanties eisen tot toegang of toezicht onder Amerikaanse wetten. Zelfs als data opgeslagen worden in Europa, kan de Amerikaanse wet soms zwaarder wegen.
Onzekerheid over ‘zero‑knowledge’ claims
Zivver beweert dat zij de sleutels tot versleuteling niet beheert, dus dat enkel de klant toegang heeft. Onderzoek wijst echter uit dat in sommige use cases data in leesbare vorm bij Zivver terechtkomt, vóór encryptie. Dat betekent: mogelijk toegang door Zivver zelf, of in theorie derden binnen de organisatie.
Geopolitieke en veiligheidsrisico’s
De IDF‑achtergrond van leiders binnen Kiteworks (voorheen Accellion) roept vragen op over de mogelijken belangen of druk van inlichtingendiensten. In tijden van internationale spanningen zijn zulke verbindingen gevoelig.
Gebrek aan toezicht of toetsing vooraf
Volgens het artikel werd de overname niet getoetst onder de Wet veiligheidstoets investeringen, fusies en overnames (Vifo), aangezien Zivver niet wordt beschouwd als vitale infrastructuur. Daardoor ontbreekt een formele beoordeling van de risico’s bij deze overname.

Wat kunnen Nederlandse organisaties doen?

Als organisatie (overheid, ziekenhuis, advocatuur, vitale sector etc.) kun je de volgende stappen overwegen om je databeveiliging te versterken:

Audit van huidige beveiliging: Laat onafhankelijk onderzoeken hoe de data‑flow verloopt, vooral vóór versleuteling. Is er moment waarop data in leesbare vorm op servers terechtkomt?
Contractuele garanties: Vraag expliciete service level agreements (SLA’s) en contractuele zekerheden over encryptie, beheerssleutels, locatie van servers en wie toegang heeft tot welke data.
Juridische toets: Raadpleeg juridisch advies over hoe Amerikaanse en Europese wet‑ en regelgeving van toepassing zijn op je dienstverlening. Denk aan AVG, Schrems II, CLOUD Act, etc.
Alternatieven overwegen: Zijn er volledig Europese aanbieders die voldoen aan NEN7510, ISO 27001, en die geen buitenlandse ownership met betrokkenheid van inlichtingendiensten hebben?
Regelgeving & beleid: Stimuleer regulering waarin encryptiediensten als vitale infrastructuur worden aangemerkt, zodat overnames en buitenlandse investeringen in zulke sectoren getoetst worden. Denk ook aan transparantievereisten.

Hoe kijkt ALTA‑ICT hiernaar (onze aanpak)

Bij ALTA‑ICT geloven we dat vertrouwen moet worden verdiend, maar gecontroleerd moet worden. Onze werkwijze bevat:

ISO 27001/NEN 7510 gecertificeerd werken om databeheer, encryptie en toegang strikt te regelen.
Technische audits en penetratietesten, inclusief ‘pre‑versleuteling’ scenario’s, om te zien waar eventuele lekken zitten.
Transparante documentatie over wie de sleutels beheert, waar de data staan opgeslagen, wie er toegang tot heeft & onder welke omstandigheden.
Scenariosimulaties en risicomanagement: wat als buitenlandse wetgeving wordt ingeroepen? Hoe beschermen we data dan effectief?
Strategieën om afhankelijkheid van buitenlandse leveranciers te beperken, als veiligheidsrisico’s onaanvaardbaar zijn.

Conclusie

De overname van Zivver door Kiteworks brengt belangrijke vragen aan het licht over vertrouwen, juridisch kader en technische realiteit van gegevensbeveiliging. Voor Nederlandse organisaties geldt: verwittigd zijn is half beschermd zijn. Je moet niet alleen vertrouwen op claims, maar actief controleren, beschermen en indien nodig alternatieven inzetten.

Wil je samen met ALTA‑ICT onderzoeken hoe jouw organisatie staat op dit vlak en welke verbeteringen mogelijk zijn? Neem gerust contact op voor een gratis auditgesprek.

📞 Plan een gratis audit: alta-ict.nl/gratis-consultatie
📧 info@alta-ict.nl