De loopjongens van big tech misleiden de Kamer over DigiD

donderdag, 29 januari 2026 (14:08) - Follow the Money

In dit artikel:

Vier managers van de Nederlandse tak van het Amerikaanse Kyndryl verschenen recent in de Tweede Kamer om de omstreden overname van Solvinity te verdedigen. Solvinity levert onder meer het DigiD-platform en meer dan honderd cruciale systemen voor ministeries, de rechtspraak en het Openbaar Ministerie. De Kyndryl-vertegenwoordigers benadrukten dat Solvinity een Nederlands bedrijf blijft dat onder Nederlands recht valt, dat het moederbedrijf geen directe inmenging heeft, dat er geen technische mogelijkheid is om klantgegevens te benaderen en dat zij bij overheidsverzoeken de klant zouden doorverwijzen, informeren en waar mogelijk tegenwerken.

De auteur van het stuk betoogt dat die geruststellingen weinig waard zijn. IT-expert Bert Hubert stelde eerder op basis van aanbestedingsstukken dat Solvinity technisch toegang kan hebben tot al het internetverkeer van Justitie; demissionair staatssecretaris Eddie van Marum bevestigde later na overleg met Logius dat Solvinity technisch toegang tot DigiD kan hebben. Daarmee staan vitale gegevens en communicatie op het spel.

Juridisch en praktisch bestaan er volgens de auteur bovendien serieuze risico’s: Amerikaanse wetten zoals de Cloud Act en de Foreign Intelligence Surveillance Act hebben extraterritoriale reikwijdte, waardoor Amerikaanse inlichtingenverzoeken ook voor data op Nederlandse servers kunnen gelden. Zulke bevelen gaan vaak gepaard met gag orders, waardoor bedrijven geen toestemming hebben om klanten te informeren — daardoor zijn claims dat Kyndryl klanten altijd zal waarschuwen weinig betrouwbaar. Ook de bewering dat de moeder geen directe invloed heeft, ontkracht de bedrijfspraktijk en statuten: aandeelhouders in een BV kunnen directies schorsen of ontslaan, en Kyndryl heeft omvangrijke belangen in de VS, onder meer leveranties aan het Amerikaanse ministerie van Defensie, wat druk kan geven om te voldoen aan Amerikaanse bevelen.

De kernkritiek is dat vitale overheidsdiensten zijn uitbesteed aan commerciële partijen zonder voldoende wettelijke waarborgen of toezicht. Waar in andere sectoren (energie, zorgverzekeraars) strikte regels zijn ingesteld toen taken naar de markt gingen, ontbreken die nu bij IT-inkoop. De auteur noemt die keuze naïef en pleit voor een fundamenteel andere aanpak van het inkopen en beveiligen van kritieke overheidssystemen.