De Tweede Kamer maakt zich zorgen over de overname van DigiD‑leverancier Solvinity door het Amerikaanse Kyndryl, maar heeft zelf geen formeel zeggenschapsinstrument om de deal te blokkeren. Afgelopen week liet de commissie Digitale Zaken zich in een technische briefing en een rondetafelgesprek onder leiding van Barbara Kathmann bijpraten over de gevolgen voor DigiD en de digitale soevereiniteit van de overheid.
Solvinity houdt DigiD draaiende – de digitale sleutel waarmee 16,5 miljoen Nederlanders toegang hebben tot de overheid. Ook draait het bedrijf sinds 2020 de infrastructuur voor MijnOverheid, de Berichtenbox en Digipoort. In 2025 verwerkte DigiD 645 miljoen authenticaties, een aantal dat jaarlijks met 10 tot 15 procent groeit. “De continuïteit van de dienst is echt heel belangrijk,” benadrukte Bert Voorbraak, algemeen directeur van Logius, tijdens de technische briefing.
Kamerleden van verschillende partijen, waaronder GroenLinks-PvdA, VVD en D66, riepen de regering op actie te ondernemen. Die bezorgdheid reikt verder dan de Tweede Kamer alleen. Een petitie – ‘Stop de Amerikaanse overname DigiD! – met meer dan 140.000 handtekeningen tegen de overname werd voorafgaand aan het rondetafelgesprek aan Kathmann overhandigd in de grote hal van de Kamer.
Schaal van soevereiniteit
Om te begrijpen wat er op het spel staat, is het Europese Cloud Sovereignty Framework behulpzaam. Dit raamwerk gebruikt SEAL-niveaus om te meten hoeveel zeggenschap Europa heeft over digitale diensten. De schaal loopt van SEAL-0 (geen soevereiniteit) tot SEAL-4 (volledige digitale soevereiniteit onder uitsluitend EU-recht). Solvinity scoorde tot nu toe rond SEAL-3: digitale weerbaarheid onder EU-controle. Na de overname door Kyndryl daalt dat naar SEAL-1: formele juridische soevereiniteit.
De vraag naar controle raakt de kern van digitale soevereiniteit – een discussie die in het huidige geopolitieke klimaat aan urgentie wint. De afhankelijkheid van Amerikaanse Big Tech wordt zichtbaarder, de roep om Europese alternatieven luider. De overname plaatst Solvinity onder Amerikaanse jurisdictie. Dat brengt nieuwe risico’s met zich mee. Lokke Moerel, hoogleraar Global ICT Law aan Tilburg University (die ook een expertopinie over soevereiniteitsmaatregelen aan Kyndryl leverde), benadrukte tijdens de rondetafel dat het grootste risico niet zozeer de Cloud Act is, maar de Amerikaanse sanctiewetgeving. “Het is de bevoegdheid van de VS, en de president zelf, om sancties uit te vaardigen tegen personen, organisaties, landen in het belang van de nationale veiligheid.”
Evelyn Austin, algemeen directeur van Bits of Freedom, maakte het concreet. “Er zijn ondertussen negen medewerkers van het Internationaal Strafhof die vanwege een decreet van president Trump geen Amerikaanse dienstverlening mogen ontvangen. Dat is niet alleen irritant, dat is gewoon levensontwrichtend. En dat zijn nog maar negen mensen. Met DigiD kan het op de schaal van een hele samenleving gebeuren.”
Een onaangename verrassing
Het is een scenario dat voor veel Nederlandse overheden van abstract naar pijnlijk reëel ging toen de overname werd aangekondigd. Zo kwam de aankondiging van de Solvinity-overname voor de gemeente Amsterdam als een koude douche. De gemeente had bij de aanbesteding voor het beheer van de public cloud voor het eerst expliciet digitale autonomie als criterium opgenomen. “Dat was de eerste keer dat we dat deden,” vertelde wethouder Alexander Scholtes tijdens de rondetafel. “En daar kwam Solvinity uit. We dachten: een mooi Nederlands, zelfs Amsterdams bedrijf, dat ons goed kan helpen om digitaal autonomer te worden.”
Kort daarna volgde het nieuws over de voorgenomen overname. “Dat was voor ons ook echt een onaangename verrassing. En die situatie laat ook zien hoe complex digitale autonomie in de praktijk is. Want ook partijen die bijdragen aan meer publieke regie opereren in een internationale markt waarin overnames kunnen plaatsvinden”, zei Scholtes.
Solvinity was al voor 60 procent in handen van het Britse private equity-bedrijf Vitruvium Partners, maar het Europese aanbestedingsrecht verbiedt om daar op te sturen. “Je mag niet sturen op eigenaarschap of eigenaarsstructuren,” legde Scholtes uit. “Dus je kunt kijken naar eisen over kennis om diensten te kunnen ontwikkelen op het vlak van digitale autonomie. Je kunt kijken naar flexibiliteit. Maar mijn punt is eigenlijk dat met de huidige eisen je niet voldoende kunt sturen op digitale autonomie.”
Het is een fundamentele spanning die de casus blootlegt. Van overheden wordt verwacht dat ze digitale autonomie versterken, maar het Europese aanbestedingsrecht verbiedt expliciet om leveranciers te selecteren of uit te sluiten op basis van het land waar het eigendom of de zeggenschap ligt. “Deze situatie is voor individuele gemeenten niet oplosbaar,” stelt Amsterdam in hun position paper. “Zij opereren binnen dwingend Europees en nationaal recht en missen structurele handvatten om publieke waarden aan de voorkant te borgen.”
Symptoom van een groter probleem
De Solvinity-casus staat niet op zichzelf. In een opiniebijdrage in het Financieele Dagblad schetsten Lokke Moerel en Kees Verhoeven deze week een patroon van ontwikkelingen die de Europese kwetsbaarheid zichtbaar maken. De Nederlandse beveiligde e-maildienst Zivver werd overgenomen door het Amerikaans-Israëlische Kiteworks. De Stichting Internet Domeinregistratie Nederland (SIDN), beheerder van het .nl-domein, migreerde haar systeem naar Amazon Web Services. De Belastingdienst maakt de overstap naar Microsoft 365.
Bits of Freedom vat de frustratie samen in hun position paper: “Mensen kijken machteloos toe terwijl de Belastingdienst naar Microsoft migreert, hun gemeente een TikTok-account opent, de politie slimme deurbellen van Amazon promoot, en elke burger die bij de AIVD solliciteert bekend wordt gemaakt aan Google.”
Deze trend vindt plaats in een veranderend geopolitiek klimaat. “De Duitse oppositieleider Friedrich Merz stelde het scherp en zei ‘De Pax Americana is voorbij’”, zei Marijn van Vliet, voorzitter van Stichting Digitale Infrastructuur Nederland (DINL) tijdens de rondetafel. “Europa staat er alleen voor. We moeten aan de slag. 2026 moet het jaar worden waarin Europese digitale autonomie concreet vorm krijgt, ook in Nederland.”
Maaike Okano-Heijmans, senior research fellow bij Instituut Clingendael, plaatste de Solvinity-casus in een Europees perspectief. “Als wij deze overname door een Amerikaanse partij toelaten, dan geven we eigenlijk Hongarije het signaal: willen jullie het straks met de Chinezen doen, die digitale identiteit? Nou, dan kun je daar weinig tegenin brengen.” De grens moet volgens haar helder zijn: Europees of niet-Europees.
Paul Timmers, onderzoeker geopolitiek en technologie aan de KU Leuven, benadrukte dat Europa juist sterk is in digitale identiteit. “We zijn zelfs een wereldleider. We hebben eigenlijk helemaal geen behoefte eraan om iets ergens anders vandaan over te nemen. En waarom zouden wij onze sterkte in de verkoop doen aan de Verenigde Staten?” Hij noemde drie risico’s die verder reiken dan alleen dataveiligheid. Het eerste is democratisch: “Als DigiD in handen komt van een Amerikaans bedrijf dat door de administratie van President Trump onder druk gezet kan worden zonder ultieme mogelijkheid tot verweer, geeft dat het signaal dat de digitale relatie tussen overheid en burger niet gegarandeerd kan worden. Een derde partij, ultiem niet onder onze democratische controle, is de ‘man in the middle’.”
Het tweede risico is economisch. “Europa heeft de ‘world class’ kennis, ervaring en economische capaciteit in digitale identiteit,” stelt Timmers in zijn position paper. Hij verwees naar succesvolle systemen in Estland en België, het Europese eIDAS-kader, en de samenwerking tussen publieke en private sector. “Het is onduidelijk wat we economisch bij de beoogde overname zouden winnen.”
Nitesh Bharosa, hoogleraar GovTech en Innovatie aan de TU Delft, plaatste dit in een breder perspectief. “Als hoogleraar GovTech kreeg ik regelmatig de vraag: hoe veilig is het beheer van DigiD bij een Amerikaans bedrijf? Ik stel dan vaak de wedervraag: hoe veilig is een derde van onze goudvoorraad nog in de VS?” De beoogde overname gaat volgens hem niet alleen om privacyrisico’s, maar ook om het weggeven van kansen voor marktvorming, innovatie en banen in Nederland.
Het derde risico dat Timmers aanhaalt gaat over Nederland’s positie in Europa. Digitale identiteit in de EU is een succes geworden dankzij twee decennia van vertrouwen opbouwen. “Met de beoogde Amerikaanse overname zal Nederland zeer waarschijnlijk als een minder betrouwbare partner gezien worden voor samenwerking in Europa,” aldus Timmers.
Stevig waarborgen of afwijzen
Tijdens het rondetafelgesprek dinsdagavond tekenden zich grofweg drie benaderingen af, elk met een eigen visie op hoe Nederland moet reageren.
De eerste benadering pleit voor stevige waarborgen of afwijzing. Bert Hubert, IT-expert en voorvechter van soevereiniteit, stelde dat de overheid haar eigen functioneren heeft uitbesteed aan commerciële bedrijven zonder de stevige regulering die bijvoorbeeld voor energie- of telecombedrijven geldt. “Dat was toch echt een vergissing.” Hij pleitte ervoor dat kerntaken zoals paspoorten en belastingdiensten door de overheid zelf worden gedaan, bij voorkeur in een staatsbedrijf vergelijkbaar met ProRail of TenneT. “Vroeger hadden wij het Rijkscomputercentrum die dat deed. Dat was een vooruitstrevend initiatief waarmee de Nederlandse overheid voorop liep.” Hubert werkte dit verder uit in zijn position paper.
Brenno de Winter, voorzitter van Stichting LibreKAT, formuleerde het scherp: “De kernvraag is niet of de systemen vandaag veilig werken, maar wie in crisistijd echt de controle heeft.” Hij benadrukte dat de overheid een bewuste keuze moet maken: “Je kunt de risico’s vermijden door meer eigen regie te voeren, mitigeren met allerlei maatregelen of heel expliciet natuurlijk accepteren. Wat niet meer kan, is doen alsof dit louter een technische of contractuele kwestie is.” In het position paper van LibreKAT wordt een reeks openstaande vragen voor de Kamer opgesomd.
Commissievoorzitter Barbara Kathmann zette tijdens de technische briefing even haar voorzitterspet af om als Kamerlid van GroenLinks-PvdA haar politieke standpunt te geven: “De enige echte mitigerende maatregel is dat de verkoop niet doorgaat.”
Okano-Heijmans pleitte voor een drietrapsraket: benoem wat strategische digitale infrastructuur is (en laat cloud daaronder vallen), bescherm dit via uitbreiding van wetten zoals de Vifo-wet en WOZT, en beheer het via staatsdeelnemingen of open-source oplossingen. In haar position paper voor Instituur Clingendael stelt ze: “Idealiter stappen we ook over op toetsing op maatschappelijke opgaves – zoals digitale soevereiniteit – in plaats van op een uitputtende lijst van processen of diensten die snel achterhaald kan raken.”
Beheersbare risico’s
De tweede benadering erkent de risico’s maar ziet ze als beheersbaar. Jelmer Schreuder van NLdigital stelde dat herkomst alleen te simpel is. “De discussie moet gevoerd worden op basis van volwassen risicomanagement, niet op basis van simplificaties als ‘binnenlands is veilig”, aldus het position paper van NLdigital. Schreuder waarschuwde dat de EU dreigt achter te blijven bij de VS en China zonder Europese investeringen, maar benadrukte dat een open economie die internationaal samenwerkt en profiteert van buitenlandse innovatie noodzakelijk blijft.
De Dutch Cloud Community benoemde, bij monde van Ruud Alaerds, drie concrete zorgen – datatoegang, continuïteit en concentratierisico – maar stelde dat deze gemitigeerd kunnen worden met de juiste maatregelen, zoals exit-strategieën en het verdelen van diensten over meerdere leveranciers. Het risicomanagement zou uitgaan van beschikbaarheid, integriteit en vertrouwelijkheid, waarbij per toepassing expliciet gemaakt moet worden wat het belangrijkste is, staat in hun position paper.
Ook Logius sloot zich aan bij deze benadering. De overheidsorganisatie benadrukte dat risico’s nooit helemaal uit te sluiten zijn in complexe IT-ketens met zoveel betrokken partijen, maar dat aanvullende maatregelen de risico’s kunnen beperken. Tijdens de technische briefing werd duidelijk dat er al wekenlang wordt onderhandeld met Solvinity en Kyndryl. Hilly Buyne, programmadirecteur Taskforce Continuïteit ICT Dienstverlening, lichtte toe dat een interdepartementale taskforce de risico’s in kaart brengt en samen met de landsadvocaat in gesprek is over generieke aanvullende maatregelen. Er wordt gewerkt aan eisen zoals dat Solvinity geen derden inschakelt zonder toestemming en dat medewerkers een EU-nationaliteit moeten hebben.
Tegelijkertijd lopen er twee onafhankelijke toetsingsprocessen: de mededingingstoets door de ACM en de veiligheidstoets via de Wet Ongewenste Zeggenschap Telecommunicatie door het Bureau Toetsing Investeringen. Zolang deze toetsen lopen, mag de transactie niet worden uitgevoerd. Logius onderzoekt per dienst welke maatregelen nodig zijn: technische oplossingen zoals extra versleuteling van gegevens in databases, en organisatorische maatregelen zoals het beperken van toegang tot het beheerplatform tot enkele medewerkers waarbij alle acties expliciet worden vastgelegd en gelogd. Voorbraak erkende wel dat “keuzes en contractuele afspraken uit het verleden niet altijd meer passend zijn en misschien wel aan een herziening toe zijn.”
Daarom stelde Logius in 2025 een herijkte visie vast op haar infrastructuur: “Ons grote doel zou zijn om uiteindelijk toe te groeien naar een Nederlandse cloud, een overheidscloud, waardoor we geen gebruik meer hoeven te maken van commerciële partijen.” Daarbij klonk een belangrijke nuance. Wethouder Scholtes van Amsterdam benadrukte expliciet dat het moet gaan om een “overheidscloud, geen rijkscloud.” Zijn oproep: “Maak vaart met die uitvoering van de Nederlandse Digitaliseringsstrategie, inclusief de financiën die daarbij horen. En zet vooral vaart achter de ontwikkeling van een soevereine overheidscloud waar ook gemeenten gebruik van kunnen maken.” Het onderscheid is cruciaal: een rijkscloud zou alleen het Rijk bedienen, terwijl een overheidscloud ook gemeenten en andere overheden moet kunnen ondersteunen. Amsterdam wil bovendien de ruimte om bij inkoop te kunnen eisen dat alleen Nederlandse of Europese partijen kritieke infrastructuur mogen leveren – wat nu nog niet kan binnen Europese aanbestedingsregels.
Noodzakelijk én haalbaar
De derde benadering gelooft dat digitale soevereiniteit niet alleen noodzakelijk, maar ook haalbaar is. Timmers pleitte voor het afwijzen van de overname onder de Vifo-wet en proactief investeren in Europese leveranciers. “Weet wat vervangen moet worden en wanneer. Daar kunnen we gewoon een lijstje voor maken. Werk proactief met Europese leveranciers en ga nu aan de slag met het kompas gericht op die toekomstbestendige digitale autonomie.”
Moerel pleitte voor een tweesporenbeleid. “Het eerste spoor is vol investeren op eigen aanbod van digitale infrastructuur en diensten die wel aan de eisen en regels en de publieke waarde van Europa voldoen.” Deze visie verwoordde ze ook in het eerder genoemde FD-opiniestuk dat ze met Verhoeven schreef. “In plaats van een eenzijdig gevecht met de regering-Trump over de handhaving van onze digitale wetgeving, dient Europa eigen platforms en cloudcapaciteit op te bouwen,” schrijven zij. “Pas als je zelf capaciteit opbouwt, kom je namelijk knelpunten tegen en komt innovatie op gang. Licentievergoedingen betaald aan Amerikaanse bedrijven helpen innovatie daar, en scheppen geen banen, kennis of kunde hier.”
Maar omdat dat tijd kost, is een tweede spoor nodig: het borgen van essentiële soevereiniteitseisen bij het gebruik van niet-Europese diensten. Ze wijzen op concrete juridische instrumenten die het Nederlandse vennootschapsrecht biedt, zoals het structuurregime waarbij een Amerikaanse moeder geen directe zeggenschap meer heeft over de benoeming van bestuurders. Ook kan een speciaal aangestelde commissaris een vetorecht krijgen over besluiten die de soevereiniteit raken.
Van Vliet (DINL) plaatste de Solvinity-casus in een breder perspectief. De uitdaging gaat verder dan alleen cloud, betoogde hij. Hij verwees naar het Draghi-rapport over Europese concurrentiekracht. “Draghi zegt: Europa heeft de boot gemist omdat we die digitale boot hebben gemist. Daar zit het verschil in productiviteit met de EU en de VS. Dus daar moeten we een breder plan op maken van hoe gaan we dat inhalen.” DINL pleit in hun position paper voor een economische en maatschappelijke agenda die de hele stack bestrijkt – van grondstoffen tot chips tot kabels en software en van AI tot cybersecurity.
Hij pleitte voor een combinatie van mededingingsbeleid, innovatiesubsidies en financiering voor Nederlandse bedrijven. “Draghi zegt: voer zo’n nieuw competition tool in, zodat je veel eerder in markten kunt ingrijpen, markten open kunt breken, bijvoorbeeld door open standaarden af te dwingen. Dan creëer je veel meer open markten waar Europese bedrijven op kunnen concurreren.” Ook infrastructuur op andere lagen kwam aan bod. Van Vliet noemde het voorbeeld van zeekabels: “Al ons internetverkeer tussen Caribisch Nederland en Nederland gaat via Miami. Dat was nooit een probleem. Maar gezien de veranderende geopolitieke situatie kun je daar vraagtekens bij stellen. Europa heeft een programma opgetuigd om zelf kabels aan te leggen. Zoiets zou ook voor Nederland een goede optie zijn.”
Jeroen Wouda van de soevereine cloudprovider Uniserver maakte het concreet: “Digitale soevereiniteit is geen ideaalbeeld. Het is een strategische keuze die we vandaag kunnen maken. Digitale autonomie is uitvoerbaar. De kennis, technologie en expertise zijn er. Vandaag, niet morgen.” Hij pleitte voor publiek-private samenwerking waarbij marktwerking zorgt voor efficiëntie en innovatie, maar benadrukte dat Nederland moet voortbouwen op de kracht van de eigen digitale sector.
Crisis is er al
Austin (Bits of Freedom) beklemtoonde de urgentie. Wanneer de Amerikaanse overheid het beheer van DigiD zou kunnen beïnvloeden, zou dat de dienstverlening kunnen staken waardoor burgers “van de ene op de andere dag niet meer kunnen inloggen.” Ze pleitte voor reflectie op de crisis-ernst van digitale afhankelijkheid en riep op tot het stoppen met verdere migratie naar Amerikaanse diensten. Ze haalde het voorbeeld aan van DigiNotar – de Nederlandse certificaatautoriteit die in 2011 gehackt werd, wat leidde tot het faillissement en een nationale veiligheidscrisis. “We moeten een Solvinity-crisis voorkomen met de juiste regie,” stelde ze.
Toen een van de Kamerleden vroeg of ze een glijdende schaal zag als er nu niet met de juiste regie aan de slag wordt gegaan, was haar antwoord stellig. “Ik weet niet of het een glijdende schaal is. Want volgens mij is de crisis er al. Dus in die zin zitten we misschien al ergens onderaan de glijbaan.” Ze wees op de fundamentele vraag die Nederland nog niet heeft beantwoord: welke infrastructuur is zo kritiek dat die als eerst veiliggesteld moet worden? “Er zijn heel veel visiedocumenten geschreven. Maar de simpele vraag: welke infrastructuur is zo kritiek dat die als eerst eigenlijk veiliggesteld moet worden – het antwoord daarop hebben we nog niet. Er is nog geen stappenplan.”
Kyndryl parreert de zorgen
Terwijl experts in het rondetafelgesprek de urgentie benadrukten, kreeg Kyndryl woensdagochtend de gelegenheid om de commissie Digitale Zaken gerust te stellen. Piet Bil, Senior Vice President van het bedrijf, opende met een uitleg over wie Kyndryl is: een vier jaar oude spin-off van IBM die de infrastructuurdiensten-afdeling voortzet. Het bedrijf is actief in 60 landen en heeft in Nederland 475 medewerkers. Anders dan grote cloudproviders richt Kyndryl zich op dienstverlening, niet op producten. “Wij leveren niet zelf de cloud, maar leveren mensen die de cloud voor je inrichten en beheren.”
Bil benadrukte dat Kyndryl ervaring heeft met landen waar digitale soevereiniteit een cruciale prioriteit is. Hij schetste drie veiligheidslagen die risico’s moeten minimaliseren: technisch, organisatorisch en juridisch. “Gegevens blijven in Nederland,” benadrukte Bil. “De diensten zullen in de EU worden blijven uitgevoerd. En de toegang tot de gegevens is alleen mogelijk op EU-grondgebied.” Er zou volgens het bedrijf geen technische mogelijkheid zijn om toegang te krijgen tot klantgegevens van Solvinity of om diensten buiten de EU uit te schakelen.
Op organisatorisch vlak beloofde Bil dat Kyndryl elk overheidsverzoek – ook van de Amerikaanse overheid – doorverwijst naar de eindklant, klanten op de hoogte stelt van elk verzoek en zich verzet tegen onterechte verzoeken. Hij wees op het transparantiereport van Kyndryl: het bedrijf heeft naar eigen zeggen nog nooit een verzoek ontvangen van een buitenlandse overheid voor EU-klantgegevens.
In het openingsstatement dat Kyndryl publiceerde, voegt het bedrijf twee juridische waarborgen toe. Ten eerste zal het een in Europa gevestigde Data Guardian aanstellen met de bevoegdheid om te beslissen over verzoeken om toegang tot klantgegevens. Ten tweede belooft Kyndryl Nederland dat het een uitspraak zal zoeken bij de Nederlandse rechter als het Amerikaanse hoofdkantoor zou proberen toegang af te dwingen of diensten uit te schakelen in strijd met Nederlandse of EU-wetgeving.
Niet alle zorgen werden daarmee weggenomen. Sarah El Boujdaini (D66) bracht de Amerikaanse gag orders ter sprake – de mogelijkheid dat de Amerikaanse regering data kan opvragen zonder dat het bedrijf dit aan klanten mag vertellen. “Dan blijft dat risico toch wel nog steeds staan, ook al heeft u al die mitigerende maatregelen genomen,” constateerde ze. Conal Hickey, Practice Leader Security bij Kyndryl, reageerde dat data niet toegankelijk is vanuit Amerika en verwees naar de operationele maatregelen die sinds 2014 gelden. Door de vertaling verliep het antwoord stroef, waardoor de twijfel niet volledig werd weggenomen.
Rob Bravenboer, Managing Director van Kyndryl Nederland, benadrukte eerder in een statement dat Kyndryl Nederland wordt geleid door een Nederlandse raad van bestuur en een onafhankelijke raad van commissarissen bestaande uit Nederlandse burgers. Deze structuur zou garanties bieden voor lokaal bestuur, gegevensverwerking in Nederland en naleving van Nederlandse en EU-wetgeving.
Bil sloot het gesprek af met de belofte dat de overname Nederland kan helpen “naar een volgend plateau te tillen” op het gebied van digitale soevereiniteit. Die woorden lokten nog een laatste kritische vraag uit. Jantine Zwinkels (CDA) vroeg naar de ruimte voor samenwerking met Nederlandse bedrijven, nu Kyndryl met de overname van Solvinity nóg groter wordt. “We hebben zorg met elkaar. Welke ruimte zien jullie om ook juist de samenwerking te zoeken met andere Nederlandse bedrijven die ook aangeven dat zij alternatieven kunnen aanbieden?”
Bil benadrukte dat Kyndryl geen banden heeft met specifieke cloudproviders en daarom juist graag samenwerkt met lokale partijen. “Wij geloven heel sterk in allianties. We moeten met lokale partijen samenwerken om die markt echt te ontwikkelen. En daar staan we absoluut open voor.” Of die belofte de zorgen wegneemt, moet blijken.
De erfenis van geleidelijke uitbesteding
Wat de Solvinity-casus vooral duidelijk maakt, is dat Nederland lang heeft gewacht met het oppakken van digitale autonomie. De afhankelijkheid van niet-Europese techbedrijven is geleidelijk gegroeid, aanbesteding na aanbesteding, zonder dat er ooit een integraal besluitmoment was waarbij werd afgewogen of dit wenselijk is. “Is de huidige inrichting het resultaat van een expliciete politieke keuze, of het gevolg van geleidelijke uitbesteding zonder integraal besluitmoment?” vraagt Stichting Librekat in een position paper waarin openstaande vraagstukken voor de Kamer worden opgesomd. Ook andere fundamentele vragen blijven onbeantwoord: welke digitale overheidsvoorzieningen kwalificeren als vitaal? Welke mate van verlies aan autonomie is acceptabel bij kernvoorzieningen? Waar ligt de ondergrens van digitale soevereiniteit?
De overname van Solvinity door Kyndryl dwingt Nederland tot een fundamentele keuze. Accepteren we dat onze meest vitale digitale infrastructuur in handen is van een niet-Europese partij, met alle geopolitieke risico’s van dien? Of kiezen we voor echte autonomie, en wat zijn we bereid daarvoor te betalen in termen van geld, tijd en complexiteit?
De discussie is verschoven van de technische achterkamers naar het hart van de politiek. Het antwoord op de vraag wie de regels van het digitale spel bepaalt, zal de toekomst van de Nederlandse digitale samenleving vormgeven. Want zoals Timmers het verwoordde: “Dit is niet alleen voor onszelf, maar ook van belang voor de komende generatie, onze kinderen. Dat is een conditio sine qua non voor soevereiniteit.”
Solvinity is eveneens om een reactie gevraagd, maar het bedrijf had nog niet gereageerd op het moment van publicatie.