De huidige situatie waarin Logius, DigiD, MijnOverheid en de Gemeente Amsterdam afhankelijk zijn van een leverancier die 'plots' onder Amerikaanse jurisdictie kan vallen is geen incident maar een systeemfout.
Digitale soevereiniteit vraagt om meer dan contracttrucs
De discussie rond de mogelijke overname van Solvinity door het Amerikaanse Kyndryl legt een pijnlijk patroon bloot: Nederland vertrouwt cruciale publieke digitale infrastructuur toe aan private partijen zonder structurele borging van soevereiniteit, governance en continuïteit. Maar het biedt ook een kans om eindelijk volwassen keuzes te maken over publieke digitale infrastructuur.
Hierover schreef ik eerder op iBestuur; wanneer is een Nederlands bedrijf Nederlands? Vandaag een vervolg. Aanleiding was het uitstekende artikel van Rik Sanders van 19 januari 2026 in Computable.nl.
Geen robuust model
De vraag is dus niet alleen: kan het contract worden ontbonden? De echte vraag is: waarom hebben we überhaupt geen robuust model dat dit soort risico’s voorkomt? Contractuele ontsnappingsroutes zijn symptoombestrijding. Het artikel in Computable wijst terecht op de formele mogelijkheden:
- Logius kan de tweede verlengingsoptie laten verlopen
- Amsterdam heeft een wachtkamerpartij
- De landsadvocaat onderzoekt ontbinding
Maar dit zijn allemaal noodgrepen binnen een aanbestedingskader dat nooit ontworpen is voor digitale soevereiniteit. Het is reactief, juridisch, en afhankelijk van toevallige contractdata. Dat is geen strategie dat is crisismanagement. Wanneer een leverancier door een buitenlandse partij wordt overgenomen, zou de overheid niet afhankelijk mogen zijn van “geluk” in de looptijd van een contract.
Soevereiniteit is geen checkbox
Solvinity profileerde zich jarenlang als “onafhankelijke Nederlandse cloudleverancier”. Dat was aantrekkelijk voor overheden die worstelen met de Cloud Act, extraterritoriale jurisdictie en de afhankelijkheid van hyperscalers. Maar onafhankelijkheid is geen statische eigenschap. Zonder structurele governance‑borging kan elke leverancier morgen worden verkocht.
De overheid heeft geen zeggenschap, geen voorkeursrecht, geen golden share, geen vetorecht en geen exit‑architectuur die soevereiniteit garandeert. Daardoor ontstaat nu een scramble om juridische uitwegen te vinden.
De datacentercomponent
Het feit dat DigiD waarschijnlijk draait in een Equinix‑datacenter, een Amerikaans bedrijf dat onder de Cloud Act valt, maakt de situatie nog complexer. Zelfs als Solvinity Nederlands was gebleven, zou de onderliggende housing‑laag al een risico vormen. Dit onderstreept opnieuw: soevereiniteit is een keten, en de keten is zo sterk als de zwakste schakel. De echte oplossing: structurele publieke regie op kritieke digitale infrastructuur. In plaats van ad‑hoc contractmanagement is het tijd voor een structurele herinrichting van de Nederlandse digitale infrastructuur. Er zijn drie mogelijke modellen die wél toekomstbestendig zijn.
Contracten kunnen worden verlengd of beëindigd, soevereiniteit moet worden ontworpen.
Drie toekomstbestendige modellen
1. Publiek-private overname; Een consortium van partijen zoals SURF, publieke instellingen en Nederlandse investeerders neemt Solvinity geheel of gedeeltelijk over. Dit voorkomt Cloud Act-risico’s, borgt expertise en creëert een soevereine nationale cloudpartij.
2. Carve-out van kritieke workloads; Verplaats DigiD, MijnOverheid en Digipoort naar een aparte entiteit met publieke zeggenschap. Dit Sscheidt commerciële en soevereine activiteiten, vergelijkbaar met modellen in andere landen.
3. Federatief cloudmodel met publieke governance; SURF als operator, met transparante en robuuste publieke governance erboven. Dit geeft aansluiting bij Europese ontwikkelingen (zoals Gaia-X), maar pragmatisch en Nederlands ingericht.
Waarom dit nu moet gebeuren
De casus‑Solvinity is geen uitzondering. Het is een voorbode. Zonder structurele maatregelen zullen we dit scenario blijven herhalen:
- leverancier wordt verkocht,
- overheid schrikt,
- Kamer stelt vragen,
- juristen zoeken ontsnappingsroutes,
- en de fundamentele afhankelijkheid blijft bestaan.
Kans
De mogelijke overname van Solvinity door Kyndryl is geen bedreiging, het is een kans. Een kans om eindelijk volwassen keuzes te maken over publieke digitale infrastructuur. Een kans om te stoppen met het outsourcen van soevereiniteit. En een kans om een model te bouwen waarin publieke waarden structureel worden geborgd.
Dit artikel werd ook gepubliceerd op de LinkedIn-pagina van Ronald Scherpenisse.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Goed stuk! Soevereiniteit is geen aan/uit knop. Je zou kunnen stellen dat Nederland op meerdere domeinen soevereiniteit heeft ingeruild voor interdependentie. Dat is soms gekozen (EU-interne markt, euro, verdragen), soms “ingeslopen” (platformeconomie, cloud-afhankelijkheid, toeleveringsketens), maar dan nog betekent soevereiniteit in het digitale tijdperk van geglobaliseerde dataficering van een van de meest Open Economieën ter wereld niet ‘alles zelluf doen, autarkie, een emotie van controle’.
Soevereiniteit anno 2026 is een functie van Data Governance, controle over je data stroom, data kwaliteit, toegang tot grondstoffen en markten, een hoog opleidingsniveau van je bevolking (daar schort het nogal aan, dat afleren, omleren en bijleren) en dan nog ... over welke soevereiniteit hebben we het? Monetair? (munt, rente, lender-of-last-resort), Fiscaal? (begrotingsruimte, belastinggrondslag, uitvoerbaarheid); Juridisch? (verdragen, EU-recht, handhaving); Digitaal? (cloud, leveranciers, standaarden, identity); Data? (datatoegang, dataspace-governance, semantiek, privacy); Energie & grondstoffen? (importafhankelijkheid, prijszetting); Defensie & industrie? (productiecapaciteit, interoperabiliteit, supply chain)
Als je op één laag autonomie verliest, compenseer je dat soms op een andere laag—maar als meerdere lagen tegelijk “lekken”, voelt het als totaal verlies van soevereiniteit, maar voorlopig is juist Nederland ontzettend genetwerkt in de wereld.
Macht zit niet alleen in geld, maar in standaarden. De moderne variant van “wie leent, regeert” is: wie de infrastructuur, standaarden en datastromen bezit, stuurt de beleidsruimte. Dat geldt voor betalingsrails, cloud-platforms, identity providers, appstores, maar óók voor semantiek (wat betekent een gegeven?) en auditability (wie kan aantonen wat waar is?) Dit soort vraagstukken worden opgelost in de Europese data space standaarden, zoals Gaia-X, zoals je toe kunt werken naar een federatief model dat interoperabiliteit en schaalbaarheid ondersteunt. Zo kun je makkelijker kritieke workloads, zoals DigiD, MijnOverheid en Digipoort scheiden naar een aparte entiteit met publieke zeggenschap. Zorg dat de carve-out volledig in publieke handen blijft, met een governance die transparant is en verantwoording aflegt aan de Tweede Kamer.
Met een strak migratieplan kun je wel degelijk afhankelijkheden van commerciële partijen systematisch afbouwen, zonder disruptie van de dienstverlening.
Een federatief model biedt de meest robuuste oplossing op lange termijn, omdat het schaalbaarheid en samenwerking binnen Europa mogelijk maakt zonder nationale belangen te compromitteren. Zoals het artikel al stelt: SURF heeft bewezen expertise en kan dienen als de technische backbone van een federatief model. Dit vereist echter wel een grondige uitbreiding van SURF’s capaciteit en scope. Je kunt de governance zo inrichten dat het aansluit bij Gaia-X en andere Europese initiatieven, maar met behoud van nationale controle over de kritieke componenten. Je zou dan een digitaal regieorgaan in kunnen stellen dat toezicht houdt op compliance, risicomanagement en innovatie binnen het federatieve model. Op basis van nieuwe wetgeving die publieke regie op digitale infrastructuur structureel vastlegt en voortaan voorkomt dat cruciale diensten onder buitenlandse jurisdictie (kunnen) vallen. Zo kunnen standaard exit-architecturen in aanbestedingen worden opgenomen, zodat afhankelijkheden van derden altijd beheersbaar blijven. Door gebruikt te gaan maken van context brokers en verifiable credentials, zou een netwerk ontstaan van verifiable credentials om identiteitsbeheer en interoperabiliteit te waarborgen. Dit kan een nieuwe standaard worden binnen de publieke infrastructuur. Dankzij verifiable credentials (dwars - controles) wordt het dan een stuk moeilijker om een single point of failure in stand te houden.
De overname van Solvinity door Kyndryl is dus een symptoom van een veel groter probleem: het systemisch tekort aan structurele borging van digitale soevereiniteit. Dit is inderdaad geen probleem dat met ad-hoc contractmanagement kan worden opgelost. Mooi moment inderdaad om te stoppen met reactief beleid en te kiezen voor structurele oplossingen.