Het nieuws zal je niet ontgaan zijn: de mogelijke overname van cloudbedrijf Solvinity door het Amerikaanse Kyndryl raakt direct aan de ruggengraat van de Nederlandse digitale overheid. Solvinity levert de infrastructuur waar DigiD, MijnOverheid en systemen van onder meer het CJIB op draaien. Onze gegevens kunnen daarmee, ondanks verzekeringen vanuit de overheid en Solvinity zelf, zomaar in Amerikaanse handen vallen. Wat leert deze overname van het bedrijf achter DigiD ons over datasoevereiniteit?

Wat gebeurt er precies rond DigiD?

Solvinity is een van oorsprong Nederlands cloud- en securitybedrijf dat voor de overheid een veilige infrastructuur levert. Het bedrijf speelt een sleutelrol bij DigiD, MijnOverheid en andere kritieke diensten. Kyndryl, een Amerikaanse IT‑dienstverlener en afsplitsing van IBM, wil Solvinity overnemen. Die voorgenomen overname zorgt voor stevige discussie in Den Haag: partijen in de Tweede Kamer maken zich zorgen over de privacy van miljoenen Nederlanders en de vraag of cruciale digitale rijksinfrastructuur zo niet ‘feitelijk in buitenlandse handen’ komt.

Er is wel een kleine nuance: DigiD blijft juridisch en inhoudelijk onder regie van de Nederlandse overheid, maar de cloudpartij die de omgeving host en beheert, zou straks rapporteren aan een Amerikaanse moederorganisatie. Precies die verschuiving kan, met name door de Amerikaanse CLOUD Act, zorgen voor problemen.

DigiD, jurisdictie en datasoevereiniteit

De overname betekent dus niet zomaar een verplaatsing van servers. Sterker nog: het zou kunnen dat de servers op Europees grondgebied blijven staan, terwijl ze juridisch wel onder de VS vallen. Het draait dus om jurisdictie: onder welke wetgeving valt de partij die jouw data technisch beheert?

Met een Amerikaanse eigenaar krijgt Solvinity te maken met wetgeving zoals de CLOUD Act. Die verplicht Amerikaanse technologiebedrijven om, onder voorwaarden, data te overhandigen aan Amerikaanse autoriteiten, óók als die data fysiek in Europa staat.

Het Nationaal Cyber Security Centrum benadrukt daarbij twee dingen. Allereerst is Europese data die zich fysiek in Europa bevindt niet automatisch beschermd tegen niet‑Europese wetgeving zoals de CLOUD Act. Tegelijkertijd is de kans dat de Amerikaanse overheid in de praktijk via deze route massaal Europese persoonsgegevens opvraagt ‘weliswaar voorstelbaar, maar (heel) klein’. Maar die kans blijft dus bestaan.

Dat is voor een identiteitsvoorziening als DigiD logischerwijs onacceptabel; heel Nederland logt met de DigiD bij overheidsinstellingen in. Dat zijn gegevens die je 100% beschermd wil hebben. Je kunt het vergelijken met een museum als het Louvre; zou een bestaand gat in de beveiliging dat gebruikt kan worden om kostbare gegevens te bewaren, gewoon open gelaten worden? Hoe bedoel je, slecht voorbeeld?

Afijn, hier komt nog eens bij dat datasoevereiniteit zich snel heeft ontwikkeld tot een volwaardig bedrijfsrisico en talking point. Geopolitieke onzekerheid en veranderende regelgeving hebben datasoevereiniteit tot een strategische factor gemaakt, dat met toenemende urgentie ingevoerd moet worden.

Ook laat deze casus rond DigiD zien wat datasoevereiniteit daadwerkelijk betekent. Niet alleen dat de infrastructuur van jou is, met bijvoorbeeld een eigen datacenter, maar vooral dat data hoe dan ook juridisch van jou moet blijven. Jurisdictie wordt een bewuste keuze – Amerikaanse partijen bieden dataopslag op een veel grotere schaal aan, terwijl Europese aanbieders meer zekerheid in privacy geven. Het blijkt dus dat er in dit geval expliciet vastgesteld moet worden waar de regie blijft; Kyndryl zou in dit geval de kroonjuwelen ‘erven’ van Solvinity.

Wat kunnen IT-professionals hier nu concreet mee?

Je hebt geen invloed op de DigiD‑deal, maar wél op je eigen landschap. Drie praktische acties:

Deze versturen we 3-4x per jaar.