De mogelijke overname van de Nederlandse IT‑dienstverlener Solvinity door de Amerikaanse gigant Kyndryl zorgt voor grote onrust in de politiek en bij toezichthouders. Tijdens een rondetafelgesprek in de Tweede Kamer op 27 januari 2026 waarschuwden experts en belangenorganisaties dat de continuïteit van vitale digitale processen, waaronder DigiD, in gevaar komt door een te grote afhankelijkheid van buitenlandse spelers. De discussie raakt de kern van de Nederlandse digitale soevereiniteit: wie heeft feitelijk de regie over de infrastructuur waar burgers en overheid dagelijks op vertrouwen?
Solvinity speelt een cruciale rol in de Nederlandse digitale infrastructuur als drijvende kracht achter het platform waar DigiD op draait, dat door Logius wordt beheerd en in een Nederlands overheidsdatacenter is gehost. Voor ruim 16,5 miljoen actieve gebruikers is DigiD de primaire toegangspoort tot digitale overheidsdiensten en organisaties met een publieke taak, van Belastingdienst tot zorg. Juist omdat Solvinity het technische platform levert, vrezen experts dat een Amerikaanse eigenaar via extraterritoriale wetgeving, zoals de Cloud Act, kan worden gedwongen om data af te staan of diensten stil te leggen. Bits of Freedom vatte die zorg kernachtig samen met de uitspraak “als Trump het wil, staat Nederland stil”, waarmee de organisatie zowel de kwetsbaarheid van de Nederlandse digitale autonomie als de afhankelijkheid van één identificatiemiddel blootlegt.
Hoewel Logius en Solvinity benadrukken dat DigiD in een Nederlands overheidsdatacenter blijft draaien, data in Nederland blijven en alleen een beperkt aantal geautoriseerde medewerkers toegang heeft, erkennen zij dat de mogelijke overname aanleiding is voor een grondige risicoanalyse. Zowel Logius als Solvinity stellen dat bij onacceptabele risico’s “onmiddellijk passende maatregelen” worden genomen om de veiligheid en betrouwbaarheid van DigiD te waarborgen, maar de kernvraag voor het debat blijft of juridische en technische maatregelen voldoende zijn als de ultieme zeggenschap bij een buitenlandse moeder ligt.
De Autoriteit Persoonsgegevens (AP) heeft in een brandbrief aan de informateur gewaarschuwd dat Nederland voor vitale processen – van identificatie en belastingheffing tot uitkeringen en zorg – te afhankelijk is geworden van een klein aantal buitenlandse aanbieders. Die concentratie, in combinatie met extraterritoriale surveillancewetgeving en toenemende geopolitieke spanningen, creëert een risico dat digitale infrastructuur als politiek drukmiddel kan worden ingezet. De AP wijst daarbij op eerdere voorbeelden waarbij clouddiensten of betalingsvoorzieningen werden geraakt door buitenlandse sancties en maatregelen, met potentieel ontwrichtende effecten als vergelijkbare situaties zich in Nederlandse vitale ketens zouden voordoen.
In de ogen van de toezichthouder gaat het niet alleen om privacy, maar ook om nationale veiligheid en continuïteit van de digitale rechtsstaat. Wanneer een beperkt aantal grote, voornamelijk Amerikaanse aanbieders diep in de vitale infrastructuur is verankerd, wordt de Europese AVG in de praktijk geconfronteerd met concurrerende rechtsordes en veiligheidsbelangen. Daarmee schuift de casus‑Solvinity op van een ‘gewone’ overname naar een testcase voor de vraag hoe ver Nederland en de EU willen gaan in het beschermen van strategische digitale infrastructuur tegen externe druk.
Ook decentrale overheden voelen de gevolgen van deze machtsconcentratie. De gemeente Amsterdam had Solvinity juist geselecteerd op criteria rond digitale autonomie en beveiliging voor het beheer van haar public‑cloudomgeving, en ziet de mogelijke overname nu als een directe bedreiging voor de beoogde publieke regie. In samenwerking met het Rijk onderzoekt Amsterdam welke juridische en contractuele mogelijkheden er zijn om de samenwerking bij te sturen of eventueel te beëindigen als publieke sturing, gegevensbescherming en transparantie over eigendom niet langer voldoende gewaarborgd zijn.
Instituut Clingendael betoogt dat clouddiensten formeel moeten worden aangemerkt als “strategische digitale infrastructuur”, vergelijkbaar met energie- en telecomnetwerken, zodat de overheid via de Wet Vifo (veiligheidstoets op investeringen) meer structurele zeggenschap krijgt over overnames in deze laag van de infrastructuur. In de Kamer wordt ondertussen verkend of de reikwijdte van de Wet Vifo kan worden uitgebreid, en of clouddiensten naast datacenters expliciet onder het screeningsregime moeten vallen om nationale veiligheidsrisico’s beter af te dichten.
De casus‑Solvinity fungeert als katalysator voor een breder debat over structurele oplossingen om Nederlandse digitale onafhankelijkheid te versterken. Een veelgenoemde optie is de ontwikkeling van een Rijkscloud: een overheidscloud in publiek, Nederlands beheer, waarin kernregisters, identificatiemiddelen en andere vitale data draaien zonder dat zij onder buitenlandse rechtsmacht vallen. Dat sluit aan bij Europese initiatieven rond cloudsoevereiniteit en GAIA‑X, maar vergt politieke bereidheid om te investeren in een eigen, minder ‘gemakkelijke’ infrastructuur, en om die ook daadwerkelijk voor vitale toepassingen te gebruiken.
Daarnaast vragen experts om meer ruimte in aanbestedingsregels om bij gevoelige diensten expliciet te kunnen sturen op Europese of nationale digitale soevereiniteit, in plaats van louter op prijs en functionaliteit. Europese aanbestedingskaders sturen nu sterk op non‑discriminatie en markttoegang, wat het lastig maakt om formeel eisen te stellen aan eigendomsstructuur en herkomst van cloudproviders, juist daar waar vitale belangen spelen. Clingendael en organisaties zoals Privacy First bepleiten dat de overheid in strategische digitale dienstverleners een meerderheidsbelang moet kunnen nemen of deze, in uiterste gevallen, volledig in publiek beheer moet brengen als nationale veiligheid en continuïteit op het spel staan. Tegelijkertijd wijst Bits of Freedom op het risico van een “DigiD‑monocultuur” en pleit de organisatie voor meerdere, onderling uitwisselbare identificatiemiddelen en open standaarden, zodat het uitvallen of politiseren van één platform niet het hele land verlamt.
De maatschappelijke weerstand tegen de overname groeit snel en vertaalt zich inmiddels in juridische stappen. Een brede coalitie van maatschappelijke organisaties is naar de rechter gestapt om de overname te blokkeren en dwingt daarmee de overheid om haar zorgplicht expliciet te maken: de digitale infrastructuur waar miljoenen burgers dagelijks op vertrouwen mag niet tot speelbal worden van buitenlandse belangen en surveillancewetgeving. Privacy First benadrukt dat DigiD en vergelijkbare infrastructuur niet in Amerikaanse handen mogen komen, omdat Amerikaanse surveillancewetgeving op gespannen voet staat met de Europese AVG en het fundamentele recht op gegevensbescherming.
In de Tweede Kamer klinken ondertussen steeds luider stemmen dat Nederland het beheer van platforms waarop vitale overheidsdiensten draaien weer meer zelf in de hand moet nemen, en dat de overheid “de regie moet pakken” om te voorkomen dat DigiD via concernstructuren in Amerikaanse invloedssfeer belandt. De uitkomst van dit conflict zal een precedent scheppen voor de manier waarop Nederland de komende jaren omgaat met eigendom, regie en bescherming van zijn vitale digitale infrastructuur – en daarmee met de praktische invulling van digitale soevereiniteit in een wereld waar cloud en data grensoverschrijdend zijn, maar publieke waarden dat niet zouden moeten zijn.
