Een voormalig lid van het Department of Government Efficiency (DOGE) bij de Social Security Administration (SSA), John Solly, staat centraal in de beschuldigingen dat hij heeft geprobeerd gevoelige SSA-gegevens – inclusief persoonlijk identificeerbare informatie van het Numerical Identification System (NUMIDENT) en het ‘death master file’ – over te dragen aan zijn nieuwe werkgever, Leidos, een grote overheidscontractant. De claims kwamen eerder dit jaar naar voren in een klokkenluidersklacht, hoewel Solly en Leidos elk wangedrag ontkennen.
De controverse onderstreept de groeiende bezorgdheid over gegevensbeveiliging binnen federale agentschappen en het potentieel voor misbruik van privé-informatie van burgers. De SSA onderhoudt NUMIDENT, een database met uitgebreide details van socialezekerheidsaanvragen, waaronder namen, geboortedata en zelfs raciale identiteit. Het ‘death master file’ bevat gegevens van overleden personen om fraude te voorkomen, maar beide datasets zijn uiterst waardevol voor kwaadwillende actoren als ze worden gecompromitteerd.
De beschuldigingen
Volgens de klacht zou Solly SSA-gegevens op een USB-stick hebben opgeslagen met de bedoeling deze te delen met Leidos, die miljarden aan SSA-contracten heeft veiliggesteld. Naar verluidt vertelde hij zijn collega’s dat hij een presidentieel pardon verwachtte als zijn daden onwettig waren. Solly’s persoonlijke website en LinkedIn-profiel zijn inmiddels offline gehaald.
Zowel Solly, via zijn juridisch adviseur, als Leidos hebben de beschuldigingen heftig ontkend. Leidos voerde een intern onderzoek uit, inclusief digitaal forensisch onderzoek, en beweert dat er geen SSA-gegevens op hun netwerken zijn gevonden. Ze stellen ook dat Solly nooit een opslagapparaat op zijn door het bedrijf uitgegeven laptop heeft gebruikt. De SSA herhaalt deze ontkenningen en beweert dat de beschuldigingen niet waar zijn en dat het bureau zich richt op zijn digitale transformatie.
Het grotere geheel
Dit incident staat niet op zichzelf. Afgelopen augustus diende de Chief Data Officer van de SSA, Chuck Borges, een afzonderlijke klacht in waarin hij DOGE beschuldigde van het uploaden van SSA-gegevens naar een onbeveiligde cloudserver. Borges nam kort daarna ontslag, daarbij verwijzend naar belemmering van zijn taken. Het DOGE-team is beschuldigd van twijfelachtige praktijken, waaronder het verplaatsen van burgerservicenummers van immigranten naar het ‘death master file’ om hun juridische status te beperken.
Deze acties roepen serieuze vragen op over het toezicht en de verantwoordingsplicht binnen DOGE. De snelle expansie van de eenheid binnen de Amerikaanse regering begin 2025 werd kritisch bekeken en sommige contracten werden later stopgezet. De SSA heeft haar digitale infrastructuur gemoderniseerd, waaronder de ontwikkeling van EDEN (Enterprise Data Exchange Network), een API-systeem voor realtime verificatie van burgerservicenummers. EDEN is weliswaar bedoeld voor fraudedetectie, maar kan mogelijk worden gebruikt om SSA-gegevens met andere instanties te delen.
Gegevens delen en toekomstige risico’s
De SSA deelt al gegevens met andere federale entiteiten. William Kirk, de inspecteur-generaal van de Small Business Administration, getuigde in februari over het uitbreiden van overeenkomsten voor het delen van gegevens, onder meer via EDEN van de SSA. De uitbreiding van dergelijke systemen vergroot het risico op inbreuken op en misbruik van gevoelige informatie.
De aantijgingen tegen Solly benadrukken een fundamentele spanning: de noodzaak van het delen van gegevens om fraude te bestrijden versus de noodzaak om de privacy van burgers te beschermen. Zonder strengere controles en onafhankelijk toezicht zullen deze risico’s alleen maar toenemen naarmate meer federale instanties gevoelige databases integreren.
De zaak wordt nog onderzocht, maar het incident onderstreept de kwetsbaarheid van Amerikaanse overheidsgegevens in een tijdperk van snelle technologische expansie.
