Dit artikel is een verdieping van eerdere publicaties van de Scherpenisse over de Solvinity-casus en de positie van DigiD. De analyse is mede gebaseerd op de technische briefing van de Tweede Kamer en eerdere bijdragen op iBestuur over eigendom, zeggenschap en digitale infrastructuur (zie rechterzijde van dit artikel).
DigiD en Solvinity: Waarom mitigatie geen vervanging is voor zeggenschap
De technische briefing van de Tweede Kamer over de voorgenomen overname van Solvinity door Kyndryl bevestigt een ongemakkelijke realiteit. DigiD functioneert technisch stabiel, de dienstverlening is geborgd en de beveiligingsmaatregelen zijn uitgebreid. Toch staat de discussie nadrukkelijk niet stil bij techniek, maar bij eigendom, zeggenschap en juridische reikwijdte.
In de briefing onderstrepen BZK en Logius dat DigiD een van de meest kritieke digitale voorzieningen van de Nederlandse overheid is. Met meer dan 16,5 miljoen gebruikers raakt de continuïteit van DigiD direct aan rechtsstatelijk functioneren en maatschappelijk vertrouwen. Dat is geen IT-dossier, maar staatsinfrastructuur.
Tegelijkertijd bevestigt het advies van de landsadvocaat dat een overname door een Amerikaanse moedermaatschappij Solvinity onder de werking kan brengen van Amerikaanse wetgeving zoals de Cloud Act , FISA (702) en Executive Order 12333. Deze wetgeving maakt het in bepaalde omstandigheden mogelijk dat Amerikaanse autoriteiten toegang vorderen tot gegevens waarover een Amerikaanse onderneming beschikt, ook wanneer die gegevens zich bevinden op servers in Europa en worden verwerkt door een Europese dochter.
Cruciaal is de formulering die in de briefing meerdere keren terugkomt: deze risico’s kunnen worden verkleind, maar niet volledig uitgesloten
Om die risico’s te mitigeren wordt een uitgebreid pakket aan generieke maatregelen besproken. Denk aan het beperken van het inschakelen van derden, het werken met eigen personeel, eisen aan EU-nationaliteit van medewerkers en bestuurders, uitvoering van activiteiten binnen de EU, logging van informatieverzoeken, het benoemen van een data guardian en het verplicht informeren van overheidsklanten bij buitenlandse verzoeken.
Die lijst is indrukwekkend. Maar juist de omvang ervan laat zien waar de grens ligt. Al deze maatregelen zijn gericht op het beperken van de gevolgen van een eigendomsoverdracht die al heeft plaatsgevonden of wordt verondersteld. Ze veranderen niets aan de onderliggende machtsverhouding.
Mitigatie risico's
De technische briefing en het advies van de landsadvocaat laten zien hoe ver de overheid gaat om risico’s rond DigiD te mitigeren na de voorgenomen overname van Solvinity. De lijst aan maatregelen is omvangrijk:
- beperkingen op het inschakelen van derden
- eisen aan EU-nationaliteit van personeel en bestuurders
- uitvoering binnen de EU
- logging en verzet tegen informatieverzoeken van buitenlandse autoriteiten.
Juist die opsomming maakt de grens zichtbaar. De maatregelen beperken de gevolgen van eigendomsoverdracht, maar voorkomen die niet. De landsadvocaat erkent expliciet dat risico’s onder wetgeving zoals de Cloud Act en FISA kunnen worden verkleind, maar niet uitgesloten. Daarmee ontbreekt één structurele keuze: publieke zeggenschap over vitale digitale infrastructuur.
Dat werd extra zichtbaar toen Kamerleden doorvroegen over de datacenteromgeving. Waar draait DigiD feitelijk? En van wie is het datacenter? Het antwoord was technisch geruststellend: de systemen staan in Nederland, in dedicated omgevingen, met aanvullende beveiliging. Maar bestuurlijk was het antwoord onthullend. De fysieke locatie van het datacenter en het eigenaarschap van het gebouw bieden geen juridische immuniteit zolang de beheerpartij onder buitenlandse zeggenschap valt.
Fysieke nabijheid geeft comfort, maar geen zeggenschap
Ook werd erkend dat veel van deze IT-ketens zijn ontworpen in een ander geopolitiek tijdsgewricht. Contracten en aanbestedingen zijn juridisch correct, maar niet ontworpen voor een wereld waarin eigendom, geopolitiek en extraterritoriale wetgeving zo expliciet samenkomen.
Opvallend was de expliciete erkenning dat de discussie fundamenteel anders zou zijn geweest als de overnemende partij Nederlands of Europees was geweest. Daarmee werd impliciet bevestigd wat ik eerder betoogde in Solvinity en de illusie van Nederlands eigenaarschap: soevereiniteit faalt hier niet door technologie, maar door ontwerpkeuzes rond eigendom en governance.
De DigiD-casus is daarmee geen incident, maar een patroon. Zolang vitale digitale infrastructuur afhankelijk blijft van private eigendomsstructuren zonder publieke zeggenschap, blijft de overheid aangewezen op mitigatie achteraf. Dat is risicomanagement, geen structurele borging.
Rondetafelgesprek in de Tweede Kamer
Op 27 januari is er een Rondetafelgesprek inzake de consequenties van de (beoogde) overname van Solvinity voor DigiD van 18:30-20:30 te volgen via Debat Direct
Ronald Scherpenisse publiceert regelmatig artikelen op LinkedIn onder de titel 'Collaborating with Sky'.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.