Fox-IT houdt zeggenschap staat af

Cyberveiligheid

De Nederlandse staat heeft anderhalf jaar na de verkoop nog geen zeggenschap over het IT-bedrijf dat staatsgeheimen bewaakt.

Foto Lex van Lieshout/ANP

De overheid heeft de zeggenschap die het anderhalf jaar geleden bij IT-beveiliger Fox-IT eiste, nog altijd niet goed geregeld. De eis om bij verkoop van het bedrijfsonderdeel dat staatsgeheimen beveiligt als eerste de aandelen te kunnen kopen, heeft ze laten vallen. Over een aantal andere belangrijke eisen is nog altijd geen akkoord bereikt, omdat deze volgens het ministerie van Defensie „om meerdere redenen op bezwaren stuitten van Fox-IT en NCC”. Dit blijkt uit antwoorden van het ministerie op vragen van NRC.

De Nederlandse overheid leunt voor de digitale beveiliging van staatsgeheimen sterk op Fox-IT. Dat kwam na een overname eind 2015 vrij onverwacht in Britse handen. De overheid wilde daarop meer zeggenschap bij het onderdeel van het bedrijf dat de staatsgeheimen beveiligt.

Als Fox-IT niet aan deze voorwaarden zou voldoen, zou het dergelijke gevoelige opdrachten niet meer mogen uitvoeren. Nu blijkt dat slechts een deel van de eisen is ingewilligd.

Precies hiervoor waarschuwden onderzoekers van de Nijmeegse Radboud Universiteit dit voorjaar in een rapport over veiligheidsrisico’s van overnames in sectoren als ICT, telecommunicatie en energie. Bij afhankelijkheid van de overheid van één aanbieder „kan een probleem ontstaan voor de nationale veiligheid” omdat het „Nederland in ongewenste mate afhankelijk maakt van buitenlandse partijen”.

Het ministerie van Defensie schreef in mei vorig jaar aan Fox-IT dat het zijn bedrijfsonderdeel Fox Crypto voortaan alleen nog na instemming van het ministerie mocht verkopen, fuseren, of er nieuwe bestuurders benoemen. Dit zou in de bedrijfsstatuten moeten worden vastgelegd.

Dat is nog niet gebeurd vanwege de bezwaren van Fox-IT en de Britse eigenaar NCC Group, zo schrijft het ministerie. Waaruit de bezwaren bestaan, wil een woordvoerder niet zeggen. „We zijn hierover nog met deze partijen in onderhandeling.”

Afzwakking van voorwaarden

De eis van de overheid om bij een toekomstige verkoop van Fox Crypto de aandelen zelf als eerste te kunnen kopen heeft ze losgelaten. Volgens een woordvoerder zou zijn gebleken dat er „doelmatiger middelen beschikbaar zijn om de nationale veiligheidsbelangen zeker te stellen”.

Het ministerie verwijst naar de nieuwe, algemene voorwaarden voor alle bedrijven die gevoelige opdrachten verrichten voor Defensie. Daarin staat een afzwakking van de oorspronkelijke eis: namelijk dat bedrijven de MIVD (Militaire Inlichtingen- en Veiligheidsdienst) „onverwijld” moeten informeren over zaken als verkoop en fusies. Fox-IT is volgens het ministerie bereid deze clausule in de statuten op te nemen.

Bijna twee jaar na de verkoop aan de Britten zijn de onderhandelingen nog gaande. Volgens mede-oprichter van Fox-IT Ronald Prins verlopen deze „constructief en geduldig”. „We willen niet eenzijdig de statuten aanpassen. Voor een private partij is dat een heftige voorwaarde.” De algemene voorwaarden van Defensie voor leveranciers bieden volgens hem al veel waarborgen. „Bovendien is er wetgeving in de maak die extra bescherming biedt.”

Lees ook het Commentaar over Fox-IT: Hoe veilig is Fox-IT zelf?

Fox-IT heeft inmiddels wel alle lopende overheidsopdrachten ondergebracht bij Fox Crypto en het ICT-systeem van dat onderdeel losgekoppeld van de rest van de organisatie.

De langdurige onderhandelingen met Fox-IT zijn exemplarisch voor de worsteling van de overheid met buitenlandse overnames in sectoren die als vitaal voor de Nederlandse infrastructuur zijn aangemerkt. Wat de positie van de overheid in deze onderhandelingen verzwakt, is dat de relatie met Fox-IT, zoals het ministerie erkent, niet „in korte tijd kan worden overgedragen aan een alternatieve aanbieder”.

Naschrift: aan dit artikel zijn in de loop van woensdag 6 september 2017 reacties toegevoegd.