De Amerikaanse Solvinity-blokkade van DigiD: grip op de eigendomsregie
De Autoriteit Consument & Markt (ACM) oordeelde eerder dat voor de voorgenomen overname van Solvinity door de Amerikaanse techgroep Kyndryl geen mededingingsvergunning nodig was, omdat er volgens de toezichthouder geen directe concurrentieproblemen ontstaan door de transactie. Het kabinet heeft de overname nu echter definitief geblokkeerd. Solvinity levert onder meer hosting en cloud-infrastructuur voor DigiD, het centrale digitale inlogsysteem van de Nederlandse overheid waar miljoenen burgers maandelijks gebruik van maken. Hierbij moet direct het scherpe onderscheid worden gemaakt tussen de functionele regie (die te allen tijde bij Logius blijft) en de onderliggende eigendoms- en jurisdictieregie die door de overname dreigde te verschuiven.
ACM-woordvoerders benadrukken dat hun toetsing puur op concurrentie is gericht, en dus niet op nationale veiligheid of digitale autonomie. Volgens de onafhankelijke toezichthouder blijven er na overname voldoende alternatieven voor publieke afnemers van IT-diensten. Dit besluit is genomen op dwingend advies van het Bureau Toetsing Investeringen (BTI), dat oordeelde dat de overname onaanvaardbare risico's oplevert voor de nationale veiligheid en de continuïteit van kritieke publieke systemen. Hoe diep deze operationele lock-in zit, bleek overigens in de rechtbank: de rechter stond in mei 2026 een gedwongen contractverlenging met Solvinity tot 2028 toe, simpelweg omdat een acute migratie van vitale overheidsapplicaties op korte termijn technisch onhaalbaar bleek.
Experts wezen er destijds op dat het beheer van de DigiD-infrastructuur door een Amerikaanse firma had kunnen betekenen dat Nederlandse persoonsgegevens onder Amerikaanse wetgeving zouden vallen en mogelijk ingezien konden worden door de Amerikaanse overheid. Aangezien het hier gaat over belastingzaken, zorggegevens en pensioeninformatie, is dit volgens velen niet wenselijk. Hoewel security-analyses nuanceren dat het feitelijke interceptierisico onder de Amerikaanse CLOUD Act of FISA in de praktijk beheersbaar is, woog het cumulatieve risico van buitenlandse zeggenschap binnen de kritieke infrastructuurleveranciersketen voor het kabinet uiteindelijk te zwaar.
Belastingdienst besteedt btw-systeem uit: de kennisafhankelijkheid van FAST
Tegelijkertijd kwam er ook naar buiten dat de Belastingdienst het btw-verwerkingssysteem uitbesteedt aan het Amerikaanse softwarebedrijf FAST Enterprises.
Wat aanvankelijk een contract voor softwarelevering leek, omvat de levering en het beheer van de integrale GenTax-oplossing, waarbij de infrastructuur on-premises in Apeldoorn wordt ondergebracht en er in de productieomgeving geen sprake is van remote management. Critici waarschuwen dat dit kan leiden tot een aanzienlijke afhankelijkheid van buitenlandse technologie en dat het de digitale autonomie van de Nederlandse overheid ondermijnt, zeker wanneer dit zou samenvallen met de inmiddels geblokkeerde overname van Solvinity. De afhankelijkheid verschuift in deze specifieke casus dan ook van data-residency naar strategisch wijzigingsvermogen, aangezien de staatssecretaris erkende dat de Belastingdienst voor bugfixes, incidenten en wettelijke updates op onderdelen nog niet zelfstandig kan opereren zonder de Amerikaanse partij.
GroenLinks-PvdA-Kamerlid Barbara Kathmann noemde het plan in de media zelfs 'onbestaanbaar' en waarschuwde dat Nederland met deze aanpak een financieel kritieke infrastructuur in handen van een buitenlandse partij legt. Tech-analisten hebben geschetst dat de banden tussen het nieuwe btw-systeem en andere belasting- en staatsapplicaties ook raakvlakken hebben, wat de risico's kan vergroten.
Sourcingstrategie: vier lessen voor de CIO
Hoewel de Solvinity-overname definitief is geblokkeerd en het btw-verwerkingssysteem on-premises in Apeldoorn wordt opgetuigd, hoef je als IT-beslisser niet te wachten op politieke besluitvorming om in actie te komen. De onderliggende kwetsbaarheid is immers geen exclusief overheidsprobleem.
1. Herijk je cloud- en sourcingstrategie
Organisaties doen er goed aan hun cloudarchitectuur opnieuw tegen het licht te houden:
- Waar staan kritieke data fysiek opgeslagen?
- Onder welke jurisdictie vallen leveranciers?
Is er sprake van multi-cloud of single-vendor afhankelijkheid
Een expliciete risicoanalyse rond geopolitieke afhankelijkheid hoort inmiddels bij volwassen IT-governance. Dat dit bittere noodzaak is, onderbouwen de harde feiten van de Algemene Rekenkamer: bij maar liefst twee derde van de belangrijkste publieke clouddiensten binnen de overheid bleek de verplichte risicoafweging vooraf simpelweg nooit te zijn uitgevoerd.
2. Voorkom onbedoelde vendor lock-in
Contractuele flexibiliteit en technische portabiliteit worden belangrijker dan ooit. Let op:
- Open standaarden en interoperabiliteit
- Exit-scenario's in contracten
- Data-exportmogelijkheden
Transparantie in beheer en toegang
Zonder exit-strategie is digitale autonomie vooral een papieren ambitie. De Solvinity-verlenging tot 2028 bewijst dat exitbereidheid in de praktijk pas geloofwaardig is wanneer retransitie-scenario's technisch en organisatorisch zijn doorgeëxperimenteerd, iets wat volgens het NCSC nog te vaak een onderbelicht onderdeel is van leveranciersmanagement.
3. Integreer juridische toetsing in IT-besluitvorming
IT-architectuur is niet langer alleen een technische discipline. Juridische en compliance-aspecten spelen een steeds grotere rol. Overweeg daarom:
- Impactanalyse rond buitenlandse wetgeving (zoals de CLOUD Act)
- Data residency-beleid
Europese alternatieven of sovereign cloud-oplossingen
Samenwerking tussen IT, legal en risk management wordt structureel noodzakelijk. Dit betekent dat bij de toetsing van leveranciers de volledige cascade aan toeleveranciers moet worden geëvalueerd om de juridische reikwijdte van buitenlandse moedermaatschappijen scherp te krijgen.
4. Denk in scenario's, niet in aannames
De afgelopen jaren hebben laten zien dat geopolitieke stabiliteit geen vanzelfsprekendheid is. Scenario-planning hoort daarom thuis in strategische IT-planning:
- Wat gebeurt er bij sancties?
- Wat als toegang tot bepaalde infrastructuur wordt beperkt?
Hoe snel kan migratie plaatsvinden?
Digitale infrastructuur is inmiddels net zo strategisch als energie of telecom. CIO's moeten concrete 'what-if'-scenario's uitwerken: wat is het operationele herstelplan als een kritieke Europese nicheleverancier plotseling wordt overgenomen door een buitenlandse megacorporatie?
Conclusie: Grip op DigiD-hoster houden eist strategische controle
De geblokkeerde overname van DigiD-hoster Solvinity en de uitbesteding van het btw-systeem illustreren hoe IT-beslissingen steeds vaker politieke en geopolitieke implicaties hebben.
Voor IT-professionals en CIO's betekent dit dat sourcingkeuzes niet langer uitsluitend draaien om kosten, prestaties en schaalbaarheid. Strategische controle, juridische autonomie en exit-mogelijkheden worden minstens zo belangrijk.
