Terwijl burgers steeds meer verplicht worden om met DigiD en MijnOverheid te werken, krijgt een buitenlandse speler mogelijk toegang tot het hart van onze digitale overheid. Een rechter gaf woensdag definitief groen licht voor de verlenging van het overheidscontract met IT-dienstverlener Solvinity. Dat gebeurt op het moment dat Solvinity wordt overgenomen door de Amerikaanse techreus Kyndryl. Voor veel critici is dit reden tot grote zorg: zij vrezen dat Nederlandse persoonsgegevens straks binnen het bereik van Amerikaanse wet- en regelgeving vallen.
Wat er speelt
De overheid digitaliseert in hoog tempo. Brieven van de Belastingdienst of gemeente worden zeldzaam; wie zaken wil regelen, komt vrijwel altijd uit bij DigiD en MijnOverheid. Achter die digitale loketten draaien systemen en servers die door gespecialiseerde IT-partijen worden beheerd. Solvinity is zo’n partij en heeft een sleutelrol in het beheer van cruciale overheidsdiensten.
Door de voorgenomen overname van Solvinity door Kyndryl verandert de context. Kyndryl is een Amerikaanse speler. Critici stellen dat dit gevolgen kan hebben voor de manier waarop gegevens juridisch beschermd zijn, juist omdat Amerikaanse autoriteiten onder bepaalde omstandigheden toegang kunnen vragen tot data van bedrijven die onder hun rechtsmacht vallen.
De rechtszaak en het oordeel
Drie burgers probeerden via de rechter te voorkomen dat het contract met Solvinity zou worden verlengd zolang de overname door Kyndryl boven de markt hing. Zij vreesden dat het beheer van gevoelige gegevens zo feitelijk onder Amerikaanse jurisdictie zou komen te vallen. De rechter wees het verzoek af. Daarmee kan de overheid het bestaande contract met Solvinity verlengen, ook nu de overname in voorbereiding is.
Volgens de eisers wordt hiermee een risico genomen met de privacy van miljoenen Nederlanders. Zij benadrukten dat het niet gaat om losse datasets, maar om de ruggengraat van de digitale overheid. De rechter oordeelde echter dat de aangevoerde bezwaren op dit moment geen reden zijn om de contractverlenging te blokkeren.
Afhankelijkheid van DigiD en MijnOverheid
De zorgen zijn groter omdat vrijwel alles via de digitale weg gaat: belastingaangiftes, toeslagen, boetes, berichten van gemeenten, en in toenemende mate ook zorg- en uitkeringszaken. Wie buiten de digitale kanalen wil blijven, loopt vaak vast. Dat maakt het systeem kwetsbaar als er iets misgaat met de infrastructuur of als gegevens in verkeerde handen komen.
Juist in zo’n situatie wil je zeker weten wie de toegang beheert, waar de data staat, en welke wetgeving van toepassing is. De discussie draait dus niet alleen om techniek, maar ook om zeggenschap en rechtsbescherming.
Vrees voor buitenlandse toegang
Critici waarschuwen dat Amerikaanse wetgeving in sommige gevallen toegang kan eisen tot data van bedrijven die onder Amerikaanse controle staan, zelfs als die data in Europa is opgeslagen. Hierdoor ontstaat volgens hen het risico dat Nederlandse persoonsgegevens binnen bereik komen van buitenlandse autoriteiten. De overheid en betrokken partijen benadrukken doorgaans dat er stevige contractuele en technische waarborgen zijn, maar de kern van de zorg blijft: wat weegt zwaarder als het erop aankomt, Europese privacyregels of Amerikaanse verplichtingen voor een moederbedrijf?
De ‘kill switch’ als schrikbeeld
Tijdens de zitting kwam een scenario ter sprake dat voor veel onrust zorgt. Volgens de advocaat van de eisers zou een buitenlandse partij in theorie de digitale infrastructuur kunnen platleggen, bijvoorbeeld als er een juridisch of geopolitiek conflict ontstaat. Dit wordt ook wel een ‘kill switch’ genoemd: met één ingreep zou de volledige toegang tot systemen als DigiD en MijnOverheid verstoord kunnen raken. Het is een extreem scenario, maar het raakt aan een reële vraag: hoe weerbaar en soeverein is onze digitale staat als een kritieke leverancier onder buitenlandse controle valt?
Signalen vanuit de uitvoering
Binnen de overheid zijn er eerder al zorgen geuit over de gevolgen van de overname. Zo zijn er signalen geweest dat ook privacy- en beveiligingsexperts die betrokken zijn bij de uitvoering vraagtekens plaatsen bij de risico’s. Hun boodschap: juist omdat de afhankelijkheid van digitale diensten zo groot is, moet er extra scherp worden getoetst op continuïteit, jurisdictie en toegang tot data.
Wat zegt de overheid?
De landsadvocaat gaf tijdens de procedure aan dat de overheid nog in gesprek is met Solvinity over aanvullende garanties rond privacy en veiligheid na de overname. Ook werd gewezen op het Bureau Toetsing Investeringen (BTI). Dat bureau onderzoekt of de overname risico’s oplevert voor de nationale veiligheid. Op basis van die toetsing kan een minister besluiten om voorwaarden te stellen of in te grijpen als het publieke belang wordt geschaad.
Voorstanders van de contractverlenging stellen dat je diensten niet zomaar moet stilzetten als er juridische instrumenten bestaan om risico’s te beperken. Zij benadrukken dat de dienstverlening aan burgers moet doorgaan en dat er in contracten en in wetgeving mogelijkheden zijn om privacy en veiligheid te waarborgen.
Kritiek op die aanpak
Tegenstanders noemen die geruststellingen onvoldoende. Zij zien het ‘nog in gesprek zijn’ als mosterd na de maaltijd: eerst verlengen en daarna de details uitwerken voelt voor hen als een omgekeerde volgorde. Ook wordt er getwijfeld aan de effectiviteit van het toezicht, bijvoorbeeld door het BTI, omdat de contractverlenging al rond is en de machtsverhoudingen door de overname veranderen.
De rode draad in de kritiek: als het om de kerninfrastructuur van de staat gaat, moet je niet alleen kijken naar de papieren garanties, maar ook naar de feitelijke controle. Wie heeft toegang tot de systemen? Welke wet geldt bij conflicten? En wie kan ingrijpen als er problemen ontstaan?
Wat staat er op het spel?
De inzet is groot. Aan de ene kant is er de noodzaak om betrouwbare, schaalbare IT-diensten te laten draaien voor miljoenen gebruikers, met strikte beveiliging en 24/7 beschikbaarheid. Grote internationale spelers hebben die capaciteit en expertise vaak paraat. Aan de andere kant staat de wens om digitale soevereiniteit te behouden: zelf bepalen wie toegang heeft, waar data staat en onder welke wet gegevens vallen.
Als het misgaat, raken de gevolgen direct aan burgers: niet kunnen inloggen, geen berichten ontvangen, vertraging bij uitkeringen of toeslagen, en het risico dat persoonsgegevens op straat belanden. Dat verklaart waarom deze discussie zo fel gevoerd wordt, en waarom een rechterlijke uitspraak die de contractverlenging toelaat meteen zoveel losmaakt.
Welke waarborgen zijn nodig?
Experts wijzen op een combinatie van maatregelen om risico’s te verkleinen. Denk aan duidelijke contracten met harde waarborgen over gegevensverwerking en datalocatie, technische scheiding van omgevingen, versleuteling met sleutels die onder Europese controle blijven, onafhankelijke audits en escalatieprocedures die de overheid de eindknop geven bij incidenten. Daarnaast kan streng toezicht op overnames in vitale sectoren voorkomen dat cruciale onderdelen van de staatsinfrastructuur zonder voorwaarden in buitenlandse handen komen.
Transparantie is daarbij belangrijk. Burgers hebben recht om te weten wie hun data beheert, welke regels gelden en welke stappen worden gezet als er iets misgaat. Heldere communicatie over risico’s én over de maatregelen die genomen zijn, versterkt het vertrouwen in de digitale overheid.
Hoe nu verder?
De contractverlenging met Solvinity gaat door, terwijl de overname door Kyndryl in voorbereiding is en nog aan onderzoeken en mogelijke voorwaarden kan worden verbonden. De overheid zegt aanvullende afspraken te willen maken over privacy en beveiliging. Tegelijkertijd blijft de roep om stevige, bindende garanties en een ijzersterke exitstrategie groeien, juist voor het geval de politieke of juridische context verandert.
De komende periode zal duidelijk worden of de betrokken toezichthouders extra voorwaarden opleggen en hoe die in de praktijk uitwerken. Intussen blijft de kernvraag overeind: hoe borg je dat de digitale ruggengraat van de staat beschikbaar, veilig en soeverein blijft, óók als marktverhoudingen en internationale wetgeving verschuiven?
Samenvatting
De rechter heeft de verlenging van het overheidscontract met Solvinity toegestaan, ondanks de aanstaande overname door het Amerikaanse Kyndryl. Voor- en tegenstanders staan lijnrecht tegenover elkaar. De overheid wijst op lopende gesprekken en toezicht via het BTI; critici vrezen dat Nederlandse persoonsgegevens en vitale systemen kwetsbaar worden door buitenlandse jurisdictie en machtsverhoudingen. Wat nu telt, is dat er snel heldere, afdwingbare waarborgen komen over wie de feitelijke controle heeft, welke wet geldt en wie ingrijpt als het misgaat. Alleen zo kan het vertrouwen in DigiD, MijnOverheid en de rest van onze digitale infrastructuur overeind blijven.
