Reflectie op het gesprek van de Tweede Kamer met Kyndryl

De angst voor de “rode knop”

In het huidige klimaat van geopolitieke realpolitik roept de voorgenomen overname van Solvinity door de Amerikaanse tech-reus Kyndryl direct beelden op van een digitale 'rode knop'. Het schrikbeeld is helder: een Amerikaanse president die met één pennenstreek de vitale infrastructuur van Nederland, waaronder DigiD, platlegt. Tijdens de recente hoorzitting (28 januari 2026) in de Tweede Kamer werd dit risico treffend verwoord als het vervangen van de sloten op het huis van de buren; zelfs als je het juridische eigendom behoudt, sta je buiten zodra de ander de sleutel omdraait.

Takeaway 1

De techniek als fysieke barrière of een beperkt frame?

Digitale autonomie begint bij de architectuur. De kern van het verweer van Kyndryl is dat operationele soevereiniteit technisch is ingebakken. De data van Solvinity-klanten blijft fysiek in Nederland en de dienstverlening vindt plaats binnen de EU-grenzen. Cruciaal hierbij is de scheiding tussen het beheer van de infrastructuur en het bezit van de data. De klant, zoals Logius, houdt de encryptiesleutels in handen. Kyndryl beheert de "kast", maar heeft geen toegang tot de inhoud.

Piet Bil, Senior Vice President bij Kyndryl, verwoordde het als volgt: ‘Zoals het momenteel is ontworpen, is er geen technische mogelijkheid om toegang te krijgen tot klantgegevens van Solvinity of om de diensten buiten de EU uit te schakelen.’

Tegelijkertijd is het goed om te benoemen dat Kamerleden een ander risico voor ogen hadden: niet de hacker of criminele actor, maar de politieke bondgenoot die in een crisissituatie druk uitoefent. De reactie van Kyndryl – dat de grotere dreiging van cybercriminaliteit komt – schoof de focus subtiel maar zichtbaar op: van geopolitieke macht naar digitale misdaad. Een begrijpelijke, maar eenzijdige herkadering.

Takeaway 2

De opkomst van de 'Data Guardian'

Om de hiërarchische lijn tussen het hoofdkantoor in de VS en de Nederlandse operatie te doorbreken, voert Kyndryl een organisatorische innovatie door: de aanstelling van een Europese 'Data Guardian'. Deze functionaris – met mandaat voor de gehele EU – toetst dataverzoeken aan de AVG en kan buitenlandse instructies weigeren.

Hoewel dit een belangrijke stap is, blijft de vraag of de juridische positie van zo’n functionaris standhoudt onder een 'gag order' vanuit de VS. Conall Hickey erkende openlijk dat dergelijke bevelen de communicatie richting klanten verbieden – en dus lastig te mitigeren zijn met alleen interne functiestructuur. Juist hier wordt soevereiniteit niet alleen technisch of organisatorisch, maar juridisch getest.

Takeaway 3

De paspoortparadox of een verschuiving in de machtsvraag?

In de discussie over veiligheid schuilt een paradox: blind vertrouwen op nationaliteit kan leiden tot een vals gevoel van veiligheid. Kyndryl benadrukt terecht dat veiligheid niet afhangt van het paspoort, maar van de professionaliteit van je securityorganisatie. Met duizenden experts wereldwijd en 475 medewerkers in Nederland, stelt men dat kennis zwaarder moet wegen dan herkomst.

Maar toen Kamerleden opriepen tot juridische zeggenschap via een 'golden share', schoof het debat merkbaar: ‘Stel dat je alles in Nederlandse handen houdt, maar er zitten nog steeds Amerikaanse chips in?’

Dit is een klassiek voorbeeld van een bewijs uit het ongerijmde: De oorspronkelijke vraag, eigendom en stemrecht, wordt uitvergroot tot een hypothetisch uiterste: volledige technologische onafhankelijkheid, inclusief eigen chips. Zo wordt de oorspronkelijke zorg niet weerlegd, maar vertaald tot iets belachelijks, om die vervolgens eenvoudiger te kunnen afwijzen.

Takeaway 4

De Nederlandse rechter als ultiem schild, maar wie beslist?

Kyndryl stelt dat het bedrijf juridisch verankerd wordt als een structuurvennootschap met een onafhankelijke Raad van Commissarissen in Nederland. Mocht er een bevel komen vanuit de VS, dan zal men zich verzetten en de zaak bij de Nederlandse rechter neerleggen.

Dat is sterk – mits die route ook daadwerkelijk bewandeld kán worden voordat er schade ontstaat. De nadruk op rechtsgang en encryptie is belangrijk, maar Kamerleden vroegen naar directe bestuurlijke ingreepbaarheid: wie kan in realtime het systeem onderbreken, herstarten of de toegang beperken? Het antwoord daarop bleef vaak impliciet: "het bedrijf is Nederlands", terwijl de vraag ging over wie het daadwerkelijk bestuurt.

Takeaway 5

De echte dreiging is niet politiek, maar crimineel; de cybercrime-verschuiving als stromanredenering

Tijdens het gesprek verschoof Kyndryl op een cruciaal moment het risicokader. Waar Kamerleden vroegen naar het scenario waarin een Amerikaanse president onder geopolitieke druk een shutdown van Nederlandse digitale infrastructuur zou eisen, werd dit risico vervangen door een eenvoudigere dreiging: cybercriminaliteit.

Conall Hickey stelde dat ‘de grotere dreigingen zitten in de cybercrimehoek’, denk aan hackers en georganiseerde misdaad.

Hier wordt gebruikgemaakt van een stromanredenering: de oorspronkelijke zorg over staatsmacht van een bondgenoot wordt vervangen door een andere, minder politiek geladen dreiging die eenvoudiger is te beheersen. Door het debat te verleggen van geopolitieke druk naar digitale misdaad, wordt een andere vraag beantwoord dan gesteld is.

Dat is geen misleiding, maar een retorische afleidingsmanoeuvre: het benadrukt een reëel gevaar, maar laat het kernpunt van het soevereiniteitsdebat liggen.

Kyndryl toont hoe goed ze met externe aanvallen omgaan, maar zegt weinig over hoe Nederland zeggenschap behoudt als de druk van binnenuit komt of van bovenaf.

Vertrouwen is een werkwoord, maar waarop precies?

De overname van Solvinity is een lakmoesproef voor hoe volwassen Nederland met digitale autonomie wil omgaan. De combinatie van technische barrières, juridische structuur en een Data Guardian vormt een verdedigingslinie, maar alleen als we helder blijven welke risico’s we mitigeren, en welke we onbedoeld herdefiniëren.

Want als een bondgenoot zegt: ‘Wij zouden zéker niet op de rode knop drukken’, is dat dan genoeg? Of willen we zélf de mogelijkheid houden om de stekker eruit te trekken?