Wat DigiD ons leert over datasoevereiniteit
Het nieuws zal je niet ontgaan zijn: de mogelijke overname van cloudbedrijf Solvinity door het Amerikaanse Kyndryl raakt direct aan de ruggengraat van de Nederlandse digitale overheid. Solvinity levert de infrastructuur waar DigiD, MijnOverheid en systemen van onder meer het CJIB op draaien. Onze gegevens kunnen daarmee, ondanks verzekeringen vanuit de overheid en Solvinity zelf, zomaar in Amerikaanse handen vallen. Wat leert deze overname van het bedrijf achter DigiD ons over datasoevereiniteit?
Alle foto's: Designed by gstudioimagen / Freepik
Wat gebeurt er precies rond DigiD?
Solvinity is een van oorsprong Nederlands cloud- en securitybedrijf dat voor de overheid een veilige infrastructuur levert. Het bedrijf speelt een sleutelrol bij DigiD, MijnOverheid en andere kritieke diensten. Kyndryl, een Amerikaanse IT‑dienstverlener en afsplitsing van IBM, wil Solvinity overnemen. Die voorgenomen overname zorgt voor stevige discussie in Den Haag: partijen in de Tweede Kamer maken zich zorgen over de privacy van miljoenen Nederlanders en de vraag of cruciale digitale rijksinfrastructuur zo niet 'feitelijk in buitenlandse handen' komt.
Er is wel een kleine nuance: DigiD blijft juridisch en inhoudelijk onder regie van de Nederlandse overheid, maar de cloudpartij die de omgeving host en beheert, zou straks rapporteren aan een Amerikaanse moederorganisatie. Precies die verschuiving kan, met name door de Amerikaanse CLOUD Act, zorgen voor problemen.
DigiD, jurisdictie en datasoevereiniteit
De overname betekent dus niet zomaar een verplaatsing van servers. Sterker nog: het zou kunnen dat de servers op Europees grondgebied blijven staan, terwijl ze juridisch wel onder de VS vallen. Het draait dus om jurisdictie: onder welke wetgeving valt de partij die jouw data technisch beheert?
Met een Amerikaanse eigenaar krijgt Solvinity te maken met wetgeving zoals de CLOUD Act. Die verplicht Amerikaanse technologiebedrijven om, onder voorwaarden, data te overhandigen aan Amerikaanse autoriteiten, óók als die data fysiek in Europa staat.
Het Nationaal Cyber Security Centrum benadrukt daarbij twee dingen. Allereerst is Europese data die zich fysiek in Europa bevindt niet automatisch beschermd tegen niet‑Europese wetgeving zoals de CLOUD Act. Tegelijkertijd is de kans dat de Amerikaanse overheid in de praktijk via deze route massaal Europese persoonsgegevens opvraagt 'weliswaar voorstelbaar, maar (heel) klein'. Maar die kans blijft dus bestaan.
Dat is voor een identiteitsvoorziening als DigiD logischerwijs onacceptabel; heel Nederland logt met de DigiD bij overheidsinstellingen in. Dat zijn gegevens die je 100% beschermd wil hebben. Je kunt het vergelijken met een museum als het Louvre; zou een bestaand gat in de beveiliging dat gebruikt kan worden om kostbare gegevens te bewaren, gewoon open gelaten worden? Hoe bedoel je, slecht voorbeeld?
Afijn, hier komt nog eens bij dat datasoevereiniteit zich snel heeft ontwikkeld tot een volwaardig bedrijfsrisico en talking point. Geopolitieke onzekerheid en veranderende regelgeving hebben datasoevereiniteit tot een strategische factor gemaakt, dat met toenemende urgentie ingevoerd moet worden.
Ook laat deze casus rond DigiD zien wat datasoevereiniteit daadwerkelijk betekent. Niet alleen dat de infrastructuur van jou is, met bijvoorbeeld een eigen datacenter, maar vooral dat data hoe dan ook juridisch van jou moet blijven. Jurisdictie wordt een bewuste keuze - Amerikaanse partijen bieden dataopslag op een veel grotere schaal aan, terwijl Europese aanbieders meer zekerheid in privacy geven. Het blijkt dus dat er in dit geval expliciet vastgesteld moet worden waar de regie blijft; Kyndryl zou in dit geval de kroonjuwelen 'erven' van Solvinity.
Wat kunnen IT-professionals hier nu concreet mee?
Je hebt geen invloed op de DigiD‑deal, maar wél op je eigen landschap. Drie praktische acties:
1. Maak jurisdictie onderdeel van je leveranciers- en cloudstrategie
Leg per kritieke dienst vast: wie is de uiteindelijke eigenaar, in welk land zit de moederorganisatie en welke wetgeving speelt mogelijk mee (zoals de CLOUD Act)? Koppel dat aan dataclassificatie: welke data mag onder welke jurisdictie vallen – en welke absoluut niet. Dat sluit goed aan op bestaande NIS2- en Cyberbeveiligingswet‑trajecten waar leveranciersrisico expliciet onderdeel van is.
2. Bouw exit en change‑of‑control in je contracten in
Neem in elke overeenkomst met een cloud- of managed service provider clausules op waarmee je bij een overname door een 'ongewenste' partij mag heronderhandelen of opzeggen. Combineer dat met een realistisch exitplan: hoe krijg je data, configuraties en logging tijdig en bruikbaar terug als je moet migreren?
3.Ontwerp voor multi‑cloud en datasoevereiniteit, niet erna
Voorkom dat één buitenlandse partij je complete identiteits-, log-, of kernapplicatielandschap in handen heeft. Werk met hybride of multi‑cloud als uitgangspunt, met open standaarden en portabiliteit by design. Datasoevereiniteit en security zijn inmiddels belangrijkste drijfveren voor hybride en multi‑cloud‑investeringen, zeker in publieke en gereguleerde sectoren.
Van incident naar ontwerpprincipe
De mogelijke overname van Solvinity door Kyndryl is geen exotische uitzondering, maar een voorbeeld van iets wat elke organisatie kan overkomen: een betrouwbare, lokale partner wordt ineens onderdeel van een internationaal concern met andere belangen en andere wetgeving.
Als IT‑professional kun je dit moment benutten om datasoevereiniteit tot ontwerpprincipe te maken: niet pas nadenken over jurisdictie als de politiek schrikt, maar vooraf bepalen welke data en diensten echt “eigen” moeten blijven. Richt daar je architectuur, contracten en governance op in.
Lees meer
