De Solvinity-casus: drie lagen van regie
Om de werkelijke impact te begrijpen, is precisie noodzakelijk. DigiD zelf is nooit 'te koop' geweest; de functionele regie en data-soevereiniteit blijven te allen tijde in handen van overheidsdienst Logius. Solvinity acteert puur als de faciliterende partij voor de onderliggende cloud-infrastructuur en hosting.
DigiD is het zichtbare toegangspunt, maar de discussie rond Solvinity draaide om de onderliggende infrastructuur en regie.
De discussie splitst zich hierdoor op in drie afzonderlijke lagen: de functionele regie (Logius), de operationele infrastructuurregie (de leverancier) en de eigendoms- en jurisdictieregie (de moedermaatschappij).
Wanneer de eigendomsregie verschuift naar een Amerikaanse entiteit, treden extraterritoriale wetten zoals de CLOUD Act, de Foreign Intelligence Surveillance Act (FISA) en Executive Order 12333 in werking. Hoewel analisten en het NCSC nuanceren dat het feitelijke risico op data-interceptie onder de CLOUD Act in de praktijk klein is, vond het kabinet de cumulatie van continuïteitsrisico's en buitenlandse invloed in de leveranciersketen zwaar genoeg om de deal te torpederen.
Hoe complex deze verwevenheid is, bleek bovendien in mei 2026 voor de rechter. Ondanks de politieke onrust werd een contractverlenging met Solvinity tot 2028 juridisch afgedwongen; een acute migratie of heraanbesteding bleek op korte termijn simpelweg onmogelijk zonder de continuïteit van essentiële overheidsapplicaties in gevaar te brengen. Dit toont aan dat operationele lock-in in de praktijk vaak sterker is dan politieke wil.
FAST Enterprises: kennisafhankelijkheid versus Cloud-angst
Vrijwel gelijktijdig hiermee stemde de Tweede Kamer in met de modernisering van het omzetbelastingsysteem door het Amerikaanse FAST Enterprises. Waar critici direct vreesden voor een herhaling van het Solvinity-scenario, is de aard van deze afhankelijkheid wezenlijk anders.
Uit de officiële voortgangsbrieven blijkt dat de soevereiniteitsrisico's hier niet in de cloudinfrastructuur zitten: het GenTax-platform draait volledig on-premises in het datacenter van de Belastingdienst in Apeldoorn. In de productieomgeving vindt géén remote management plaats en Amerikaanse consultants werken op locatie onder een strikt vierogenprincipe. De werkelijke angel zit hier in de functionele en organisatorische afhankelijkheid. De staatssecretaris erkende dat de Belastingdienst op onderdelen nog niet zelfstandig kan optreden bij incidentafhandeling, bugfixes en wettelijk verplichte systeemwijzigingen. De afhankelijkheid verschuift hier dus van data-residency naar strategisch wijzigingsvermogen.
Lessen voor de CIO: van incident naar governance
Digitale afhankelijkheid en ketenrisico’s zijn geen exclusieve overheidsproblemen. Voor IT-beslissers, architecten en CIO's bieden deze twee overheidsdossiers vier harde, direct toepasbare lessen voor de eigen sourcing- en cloudstrategie.
Digitale soevereiniteit vraagt om regie op meerdere lagen: van functionele verantwoordelijkheid en infrastructuur tot jurisdictie, exit-scenario’s en kennisborging.
1. Richt een permanente geopolitieke auditcyclus in op directieniveau
Het louter controleren van de serverlocatie (data residency) volstaat niet meer. Een volwassen IT-governance vereist een expliciete risicoanalyse rond geopolitieke en extraterritoriale leverancierslijnen. Dat dit bittere noodzaak is, onderbouwt het harde cijferwerk van de Algemene Rekenkamer: bij maar liefst twee derde van de belangrijkste publieke clouddiensten binnen de rijksoverheid bleek de verplichte risicoafweging vooraf simpelweg niet te zijn uitgevoerd. Sourcingkeuzes moeten daarom worden weggetrokken uit de pure sfeer van kosten en schaalbaarheid, en verankerd worden als een herhaalbare auditcyclus op directieniveau.
2. Valideer de retransitie: toets exit-scenario's technisch en infrastructureel
Veel organisaties dekken zich contractueel in met een theoretische exit-clausule. De Solvinity-verlenging tot 2028 bewijst echter dat een exit op papier waardeloos is als de technische en organisatorische portabiliteit ontbreekt. Een exit-strategie is pas geloofwaardig wanneer retransitie-scenario's periodiek technisch worden getoetst. Dit vereist het consequent hanteren van open standaarden, cloud-agnostische container-orchestratie en het contractueel vastleggen van data-exportmogelijkheden met minimale frictie, om te voorkomen dat legacy-infrastructuur de continuïteit gijzelt.
3. Cascade-toetsing: evalueer de extraterritoriale reikwijdte van de volledige keten
IT-architectuur is definitief veranderd in een multidisciplinaire governance-discipline. Juridische en compliance-aspecten bepalen de kaders van het technische ontwerp. Organisaties moeten de juridische reikwijdte van hun leveranciersketen in kaart brengen. Dit betekent dat bij het selecteren van sovereign cloud-oplossingen of Europese alternatieven niet alleen naar de directe contractpartij wordt gekeken, maar dat de volledige cascade aan toeleveranciers wordt geëvalueerd op de aanwezigheid van extraterritoriale moedermaatschappijen.
4. Mitigeer marktconsolidatie door actieve kennisborging
Geopolitieke verschuivingen en onverwachte consolidaties in de tech-markt dwingen tot pragmatische scenarioplanning. IT-strategieën mogen niet langer leunen op de aanname van stabiele marktverhoudingen. CIO's moeten specifieke 'what-if'-scenario's uitwerken: wat is het operationele herstelplan als een kritieke Europese nicheleverancier plotseling wordt overgenomen door een Amerikaanse of Aziatische megacorporatie? Hoeveel functionele kennis is er intern geborgd om bij een escalatie het applicatiebeheer, de bugfixes en de incidentafhandeling zelfstandig over te nemen? Dat raakt aan een bredere vraag: hoe afhankelijk zijn organisaties eigenlijk nog van Big Tech?
De nieuwe standaard: strategische controle
De Solvinity-blokkade en de FAST-implementatie tonen aan dat soevereiniteit in 2026 een gelaagd begrip is. De grootste winst zit niet in het krampachtig mijden van buitenlandse technologie, maar in het opeisen van de regie.
Wie zijn IT-architectuur strategisch onafhankelijk wil houden, stuurt niet langer alleen op uptime en kosten, maar op aantoonbare cyberresilience, juridische autonomie en operationele onafhankelijkheid. Uiteindelijk draait het om die ene fundamentele vraag: als de eigendomsstructuur van je belangrijkste leverancier morgen kantelt, zit je dan vast aan de ketting, of heb je de regie zelf in handen?
