In 2020 werd de digitale ruggengraat van de Nederlandse overheid voor de middellange termijn vastgelegd via een grote Europese aanbesteding. Logius, de dienst digitale overheid, had daarvoor een aanbesteding in de markt gezet voor de vernieuwing en het beheer van de infrastructuur (GDI - Generieke Digitale Infrastructuur). Dit omvatte onder andere de hosting van DigiD, MijnOverheid en Digipoort.
Solvinity en de illusie van Nederlands eigenaarschap
De voorgenomen overname van Solvinity door het Amerikaanse Kyndryl leidt terecht tot zorgen over digitale autonomie. Minder besproken, maar minstens zo belangrijk, is de vraag: was Solvinity in 2020 bij de gunning van het DigiD-platform eigenlijk nog wel een Nederlands bedrijf?
Op 10 augustus 2020 werden de contracten getekend. Echter, de "Nederlandse" status was een juridische huls: Solvinity was in 2020 statutair Nederlands, maar economisch en strategisch Brits. De claim "Nederlands bedrijf" was feitelijk onvolledig en creëerde een vals gevoel van soevereiniteit bij publiek en politiek.
Gepercipieerd als Nederlands bedrijf
Was "Nederlands eigendom" eigenlijk een eis in de aanbesteding? Ongetwijfeld is in de aanbesteding geëist dat de data in Nederland opgeslagen moest worden, specifiek in de Overheidsdatacenters (ODC's). Ook moest de contractpartij volledig onder Nederlands recht vallen en aanspreekbaar zijn door de Nederlandse rechter. Solvinity voldeed aan beide eisen. Maar er lijkt geen harde eis te zijn geweest dat de Ultimate Beneficial Owner (UBO) Nederlands moest zijn. Dit zou juridisch ook onhoudbaar zijn geweest in een Europese aanbesteding. Hier wringt de schoen: Solvinity werd gepercipieerd als Nederlands, terwijl het eigendom Brits was.
Risico’s
Door de opdracht te gunnen aan een bedrijf in handen van Private Equity (Vitruvian) dat al aan het einde van zijn investeringshorizon zat, accepteerde Logius impliciet het risico van een aanstaande verkoop aan een onbekende derde partij tijdens de looptijd van het contract.
Ook strategisch gezien was het echter een risico: men verbond de Nederlandse digitale infrastructuur voor 8 jaar aan een bedrijf in handen van een investeerder (Vitruvian) uit een land dat zich juist losmaakte van de Europese rechtsorde.
Met de huidige overname door Kyndryl komt Solvinity in de Amerikaanse invloedssfeer. Het risicoprofiel verschuift door de overname van "Europees-achtig" (VK) naar "Extraterritoriaal" (VS). Een buitenlandse mogendheid kan theoretisch een bedrijf dwingen diensten te staken of updates te pushen die de integriteit van het systeem ondermijnen.
Felle politieke reactie
De politiek en de gemeente Amsterdam (die net een contract had getekend) voelen zich overvallen. Staatssecretaris Van Marum heeft aangegeven dat het kabinet de overname onderzoekt, maar erkent dat men ‘niet had verwacht dat een Amerikaanse partij de koper zou worden’. Een opmerkelijke uitspraak, gezien het feit dat Amerikaanse partijen (IBM, Kyndryl, DXC) de grootste spelers in deze markt zijn en de meest logische kopers voor een asset als Solvinity.
Drie lessen voor bestuurders
De casus-Solvinity laat zien hoe kwetsbaar de overheid is als er niet verder wordt gekeken dan de statutaire gegevens van een bedrijf. Bestuurders die soevereiniteit willen waarborgen, moeten hun aanbestedingsbeleid op drie punten aanscherpen:
- Kijk verder dan de B.V.
Eigendom en zeggenschap moeten nadrukkelijk worden meegewogen bij aanbestedingen van vitale infrastructuur. Transparantie over de Ultimate Beneficial Owner (UBO) is cruciaal. - Contracteer op verandering
Overnames zijn onvermijdelijk. Maar contracten moeten voorzien in mechanismen voor het terughalen of herstructureren van controle, inclusief insourcingopties. - Herijk het make-or-buy-besluit
In sommige gevallen is de enige manier om digitale autonomie écht te garanderen, om zelf eigenaar te zijn — via staatsdeelnemingen of publieke instellingen.
Van procedure naar principe
Digitale autonomie is geen technisch vraagstuk, maar een bestuurlijke keuze. Zolang we ons laten misleiden door juridische façades en ons comfort halen uit schijnzekerheden, zullen we steeds opnieuw geconfronteerd worden met buitenlandse overnames van vitale schakels in onze digitale infrastructuur. Hoog tijd dat eigendom een volwaardige plek krijgt aan de aanbestedingstafel.
Dit is een korte weergave van een artikel, lees het uitgebreide artikel op LinkedIn.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Er hangt vaak een Nederlands vlaggetje boven de serverruimte, maar de sleutelbos ligt elders. De voorgenomen overname van Solvinity door Kyndryl maakt dat pijnlijk zichtbaar. We discussiëren nu of onze digitale autonomie in gevaar is, maar de olifant in de kamer is eigenlijk een mammoet (veel ouder) waren we in 2020, bij de gunning van het DigiD‑platform, niet al bezig met een juridisch decorstuk? Statutair Nederlands is niet hetzelfde als "strategisch Nederlands" en bij data KUN je niet eens eigenaarschap hebben, hooguit (een mate van verifieerbare) controle. Europa laat (terecht) geen nationaliteitseisen toe in aanbestedingen. Dus eisen we data-opslag in ODC’s, Nederlands recht en aanspreekbaarheid door de rechter—en concluderen daarna opgelucht:
gelukkig is het nu een “Nederlands bedrijf”. Eigendom, zeggenschap en investerings-horizon verschuiven echter sneller dan contracten. Private‑equity‑logica kent dan ook altijd een exit. Never kid with money en zeker geopolitieke logica kent altijd weer een volgende stap. Zekerheid is een bewegend doel. De ruggengraat van de digitale staat hangt nou eenmaal aan de haken van partijen die morgen weer van eigenaar kunnen wisselen—en soms onder extraterritoriale wetgeving vallen. Zie die werkelijkheid als een broodje bacon, sla en tomaat (BLT): je hebt altijd een businesslaag (bacon), een legal laag (lettuce) en een tomatenlaag (technology) en de essentie van bovenstaand artikel gaat over de impact op het broodje (Sandwich = Society).
Wie dit gevalletje 'oops' dus reduceert tot “had je dat niet kunnen voorzien?” die mist het Systeem. Je kunt niet alleen een procedurele bril opzetten voor een principiële kwestie. Digitale autonomie is géén locatie vraag (staat de server in Nederland?), maar een vraag naar controle over drie lagen: identiteit, governance en portabiliteit.
Precies daar liggen dan ook de oplossingen.
We hebben identifiers nodig die eigendom, rol en mandaat keihard aantoonbaar maken, machine‑leesbaar en real‑time. Het Legal Entity Identifier (LEI, ISO 17442) is daarvoor het DNA van de rechtspersoon; de verifieerbare variant vLEI koppelt die identiteit aan rol‑ en mandaatbewijzen die ook cryptografisch controleerbaar zijn.
Zo kun je niet alleen zien wie je daadwerkelijke contractspartij is, maar ook welke functionaris namens wie, met welke bevoegdheid acteert—en dat ook continu herbevestigen. Als we nog even verder kijken, leven we al in een wereld van agentic AI, waar software NAMENS organisaties handelt. Dus nu verschuift het zwaartepunt van “wie logt in?” helemaal - in real time - naar “wie mag wat namens mij?” Gebruik deze casus dus als schrikmoment om dan ook meteen “agentic‑friendly” te gaan worden als overheid!
Ga werken op basis van verifieerbare delegatietokens, gedocumenteerde API’s, auditeerbare sporen. Identiteit is geen visitekaartje; het is een werkend bewijssysteem!
Het gaat niet om eigenaarschap bij data (kan niet eens juridisch), maar om controle.
Eigenaarschap verandert nu eenmaal. Dat evolueert en dat is geen calamiteit, maar de normaliteit. Daar moet je governance dan wel op ontworpen zijn. Dus zet in op Change‑of‑control‑clausules met harde keuzemomenten. Zorg dat je tijdig kunt heronderhandelen, step‑in uitvoeren of een gecontroleerde exit. Daarbij draait het niet om symboliek, maar om uitvoerbare draaiboeken die gewoon bij Data Governance horen.
Zorg dat de operationele waarheid in escrow komt, zoals IaC‑artefacten (infrastructure as code), CI/CD‑pijplijnen (continuous integration/continuous delivery / deploymemt) , documentatie, sleutelmateriaal en runbooks worden bij aanvang gedeponeerd en periodiek getest op herstelbaarheid. Autonomie zonder portability is nou eenmaal fictie. Als je weet wat je hebt, weet je ook wat je moet doen als je het kwijt dreigt te raken. Governance is een functie van risicobeheersing dus van verantwoordelijkheid. Zet ook in op het verplicht gebruik van verifieerbare credentials (vLEI) in de hele keten: voor leveranciers, sub‑leveranciers en de “despachantes” van de digitale tijd—de agents die straks veel werk van mensen overnemen. Wie of wat niet aantoonbaar is, zou ook niet mee moeten mogen doen op vitale processen.
We moeten stoppen met het verwarren van datacenters met soevereiniteit. Soevereiniteit zit in de mogelijkheid om over te stappen zonder functionele degradatie, op portabiliteit. Dat vraagt discipline. Interoperable‑by‑design aanpak, zoals open standaarden (semantiek, interfaces), dataspace‑principes en non‑repudiation en audit ingebakken in de transactieketen. Law‑as‑Code en Policy‑as‑Code, zodat compliance niet pas achteraf wordt geïnterpreteerd, maar vooraf wordt afgedwongen—door machines en controleerbaar door mensen. Sleutelbeheer onder publieke regie, want wie de sleutels beheerst, beheerst de continuïteit. Het is rationeel om trust‑ankers (certificaten, roots, registries) publiek te borgen, terwijl uitvoering prima marktconform kan blijven.
Dit is allemaal niet theoretisch?” Integendeel. De les is overal dezelfde: het is niet de techniek die ons overvalt, het is onze governance die achterloopt.
Dit maakt het Solvinity‑dossier geen incident, maar een spiegel. We hebben ons veilig gewaand in de schaduw van statuten, terwijl de echte machtspunten heel ergens anders bleken te zitten. In eigendomscycli, in sleutelbeheer en in verifieerbare mandaten. Nu Solvinity de Amerikaanse invloedssfeer in schuift, merken we dat extraterritoriale wetgeving hele concrete locale operationele risico’s meebrengt. De juiste reactie is dan ook geen morele verontwaardiging, maar structurele herinrichting.
Dus verder kijken dan de B.V. Gebruik LEI/vLEI verplicht in aanbestedingen van vitale infrastructuur. Vraag niet alleen “waar staat de server?”, maar “wie kan nu, aantoonbaar, wat beslissen—en wie controleert dat morgen?” Contracteer op verandering door portability en step‑in geen bijlage te maken, maar een keihard geteste routine. Leg exit‑SLA’s vast en bewijs periodiek dat je binnen 90 dagen kunt migreren zonder verlies van integriteit. Herijk de make‑or‑buy. Koop capaciteit, maar bezit de trust‑ankers. Voor de kern—sleutelbeheer, registers, policies—kan een publiek nutsmodel nodig zijn. Autonomie ontstaat daar waar de knoppen daadwerkelijk draaien.
Digitale autonomie is uiteindelijk een keuze voor explicietheid en het vermogen jezelf regels te geven die je ook kunt naleven. In digitale staatsvoering betekent dat: architectuur boven narratief, bewijzen boven beloftes, portabiliteit boven comfort.
Autonomie is geen sentiment. Het is een systeem.