Kan Amerika straks bij mijn gegevens? Vijf vragen en antwoorden over de DigiD-overname

In dit artikel:

Gisteravond zaten drie zalen in de Tweede Kamer vol voor een rondetafel over de voorgenomen overname van Solvinity, het IT-bedrijf dat de servers van DigiD beheert. DigiD wordt ontwikkeld door Logius en wordt dagelijks door vrijwel alle Nederlanders gebruikt: 16,6 miljoen accounts en vorig jaar 645 miljoen aanmeldingen. In november werd bekend dat het Amerikaanse Kyndryl (ongeveer 73.000 werknemers) Solvinity mogelijk wil overnemen, waarna experts en Kamerleden hun zorgen luidkeels uitten.

De discussie draait vooral om twee kernrisico’s: door Amerikaanse wetgeving kunnen Amerikaanse autoriteiten toegang proberen te krijgen tot diensten van in Amerikaanse handen zijnde bedrijven, ook als data in Europa staat; en een buitenlandse eigenaar zou theoretisch de dienstverlening kunnen stilleggen, waardoor burgers niet meer kunnen inloggen bij cruciale overheidsdiensten. Belangrijk nuancepunt is dat Solvinity zelf geen directe toegang heeft tot de inhoud van DigiD‑data — het bedrijf verzorgt de infrastructuur, niet de gegevens zelf — maar het beheren van die infrastructuur geeft wél invloed op beschikbaarheid.

De overname is nog niet afgerond en wordt onderzocht door toezichthouders, onder meer het Bureau Toetsing Investeringen, dat kan adviseren om de transactie te blokkeren als er veiligheidsrisico’s zijn. Zo’n verbod kan echter tot diplomatieke of economische spanningen leiden, zoals bij eerdere gevallen bleek. Bovendien ligt een overstap naar een andere leverancier juridisch en praktisch gevoelig: het contract tussen Logius en Solvinity loopt tot augustus 2028.

Als alternatief pleiten experts voor het opbouwen van meer Europese of Nederlandse clouddiensten om afhankelijkheid van grote Amerikaanse spelers te verminderen. De lopende politieke en toezichthoudende stappen bepalen of die suggesties en bezwaren uiteindelijk de doorslag geven bij de beslissing over Solvinity.