Niet alleen DigiD: ook geheime info rechtspraak en Justitie in geding bij overname IT-bedrijf

In dit artikel:

De aangekondigde overname van het Nederlandse IT-bedrijf Solvinity door het Amerikaanse Kyndryl heeft in Den Haag onrust veroorzaakt omdat Solvinity cruciale ICT-diensten levert aan de Nederlandse overheid en de justitieketen. De Autoriteit Consument & Markt maakte op 18 november bekend dat Kyndryl toestemming vraagt voor de transactie. Critici vrezen dat gevoelige overheidsdata — waaronder verbindingen en verkeer van het ministerie van Justitie en Veiligheid (JenV), het Openbaar Ministerie en de rechtspraak — daarmee binnen bereik van Amerikaanse wetgeving en inlichtingendiensten kunnen komen.

Solvinity beheert onder meer DigiD-diensten en de sinds 2022 samenhangende dienstverlening Jubit3 (Justitie Beveiligde Internet Toegang). Het bedrijf verzorgt beveiligde verbindingen tussen interne en externe systemen, monitort e-mailverkeer van ministeries, fungeert als schakel tussen justitiële organisaties (bijvoorbeeld via Bestandenpostbus) en onderhoudt koppelingen met Amerikaanse cloudleveranciers als Microsoft, Google en Amazon. Daarnaast host Solvinity zelf data op eigen servers. Daardoor rijst de vraag welke informatie lokaal staat, welke via Amerikaanse clouds loopt en hoe gevoelig die bestanden zijn — sommige kunnen tot staatsgeheimen behoren en mogen volgens regels niet in de cloud staan.

De zorg is tweeledig: enerzijds de juridische reikwijdte van Amerikaanse wetten (zoals de wetgeving die Amerikaanse bedrijven kan verplichten data af te staan, ook als die buiten de VS is opgeslagen), en anderzijds het strategische risico dat een buitenlandse eigenaar dienstverlening kan beperken of stoppen als politieke druk of veiligheids belangen meebrengen. Experts wijzen erop dat Solvinity technisch gezien toegang heeft tot veel intern justitieverkeer, inclusief e-mails en metadata; die controle over netwerkverkeer maakt het bedrijf tot een “spin in het web” binnen de digitale infrastructuur van de rechtspraak en JenV.

Politiek en bestuurlijk bestaat verdeeldheid en onduidelijkheid. Demissionair minister Frank Rijkaart noemde de overname zorgwekkend en kondigde nader onderzoek aan; staatssecretaris Eddie van Marum liet weten dat het kabinet zich beraden wil. De Raad voor de rechtspraak reageerde terughoudend en verwees naar het ministerie, terwijl JenV en het ministerie van Economische Zaken en Klimaat (EZK) grotendeels zwijgen of zeggen geen tijd te hebben gehad om inhoudelijk te antwoorden. Of Kyndryl verplicht was de transactie te melden bij het Bureau Toetsing Investeringen (BTI) onder de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo) is onduidelijk; EZK wil hierover niets zeggen maar Kyndryl bevestigt een melding te hebben gedaan. Eerdere voorbeelden — zoals de overname van Zivver door het Amerikaanse Kiteworks — illustreren dat meldings- en toetsingsprocedures niet altijd effectief of transparant blijken.

Belangrijke open punten blijven: welke specifieke categorieën gegevens staan op Solvinity-servers versus Amerikaanse clouds, in hoeverre kan de nieuwe eigenaar direct toegang tot systemen krijgen, en welke waarborgen bestaan er tegen uitlevering op grond van buitenlandse wetten. Voorstanders van digitale soevereiniteit waarschuwen dat zulke transacties de weerbaarheid van vitale overheidsdiensten kunnen ondermijnen en dat transparantie over risico’s en classificatie van data essentieel is voor het vertrouwen in de rechtsstaat.

Kortom: de voorgenomen overname werpt fundamentele vragen op over wie controle heeft over vitale ICT-infrastructuur van de Nederlandse justitieketen, hoe gevoelige informatie beschermd wordt en of bestaande wet- en toezichtsinstrumenten toereikend zijn om nationale belangen en privacy te waarborgen.