De Nederlandse overheid heeft de overname van IT-dienstverlener Solvinity door het Amerikaanse Kyndryl definitief verboden. Volgens de staatssecretaris van Economische Zaken en Klimaat is de transactie te risicovol voor de nationale veiligheid en het publieke belang. Daarmee is een belangrijke partij uit de keten rond DigiD voorlopig buiten de deur gehouden.
Maar de kernvraag die nu resteert is minstens zo complex: wie gaat de digitale infrastructuur van de overheid in de toekomst beheren?
Waarom de overheid ingreep
Het besluit om de overname te blokkeren volgt op een advies van het Bureau Toetsing Investeringen (BTI), dat concludeerde dat de deal risico’s kan opleveren voor vitale digitale infrastructuur. Solvinity speelt een belangrijke rol in de hosting en cloudomgeving van systemen zoals DigiD en andere overheidsdiensten. Juist die positie maakt het bedrijf gevoelig in een tijd waarin digitale autonomie en geopolitieke afhankelijkheid hoog op de agenda staan.
De overheid vreest onder meer dat buitenlandse wetgeving, zoals Amerikaanse inlichtingen- en datawetgeving, in theorie invloed kan hebben op toegang tot systemen of gegevens. Hoewel dat risico niet betekent dat misbruik daadwerkelijk plaatsvindt, is de aanwezigheid ervan voldoende geweest om de overname te blokkeren.
Wat gebeurt er nu met Solvinity?
Met het verbod is de overname door Kyndryl van tafel, maar dat betekent niet dat de situatie stabiel blijft. Solvinity blijft voorlopig bestaan in zijn huidige eigendomsstructuur, maar dat is geen eindstation. In de praktijk zijn er meerdere scenario’s mogelijk: een nieuwe koper, een aangepaste overnameconstructie of een strategische herpositionering van het bedrijf.
Een nieuwe overname door een andere partij is juridisch gezien gewoon mogelijk, zolang die binnen de Nederlandse en Europese toetsingskaders valt. Daarbij zal opnieuw worden gekeken naar zeggenschap, nationaliteit, en vooral naar risico’s voor de nationale veiligheid. Dat maakt het speelveld niet alleen politiek gevoelig, maar ook beperkt in de praktijk: niet elke geïnteresseerde partij zal door de toetsing heen komen.
Logius en de vraag naar eigen regie
Een alternatief dat steeds vaker terugkeert in het debat is de vraag of de overheid het beheer van DigiD niet zelf moet uitvoeren. In theorie kan dat: Logius, de uitvoeringsorganisatie die DigiD beheert, zou ook de onderliggende infrastructuur zelf kunnen bouwen en exploiteren.
Maar in de praktijk is dat een grote stap. Het gaat niet alleen om software, maar om complexe 24/7-infrastructuur met hoge eisen aan beveiliging, redundantie, schaalbaarheid en continuïteit. Dat vraagt om specialistische kennis en grote, permanente technische teams die concurreren met de private markt.
Daar komt bij dat het huidige systeem historisch is gegroeid in een model waarin de overheid veel IT heeft uitbesteed. Kennis, infrastructuur en capaciteit zitten daardoor deels bij marktpartijen en niet volledig binnen de overheid zelf.
De voordelen van volledig in eigen beheer
Volledig in eigen beheer zou de overheid meer directe controle geven over kritieke infrastructuur. Gevoelige data en systemen blijven dan binnen de staatsorganisatie, zonder afhankelijkheid van externe leveranciers of buitenlandse eigendomsstructuren.
Ook kan de overheid dan zelf bepalen waar systemen draaien, welke technologie wordt gebruikt en hoe beveiliging wordt ingericht. In tijden van geopolitieke spanning wordt dat vaak gezien als een belangrijke stap richting digitale soevereiniteit.
Daarnaast vermindert het de afhankelijkheid van commerciële partijen, waardoor ook het risico op plotselinge contractbeëindiging, faillissementen of overnames afneemt.
De keerzijde: kosten, capaciteit en kwetsbaarheid
Tegenover die voordelen staan forse nadelen. Het opbouwen van een volledig interne IT-infrastructuur zou miljoenen tot miljarden euro’s aan investeringen vergen, plus een structurele uitbreiding van technisch personeel.
De overheid zou moeten concurreren met de private sector om schaars IT-talent, terwijl de continuïteit van systemen als DigiD geen ruimte laat voor kinderziektes of opstartproblemen. Elke storing of beveiligingsincident komt bovendien direct volledig bij de overheid zelf te liggen.
Ook innovatie kan trager verlopen, omdat publieke organisaties doorgaans minder flexibel zijn in het snel adopteren van nieuwe technologieën dan gespecialiseerde marktpartijen.
Nieuwe aanbesteding: terug naar de markt
Een derde optie is een nieuwe aanbesteding voor de infrastructuur rond DigiD en aanverwante systemen. Daarbij wordt het werk opnieuw in de markt gezet, maar met aangescherpte eisen rond veiligheid, datalocatie en eigendomsstructuur.
Dat is juridisch vaak de meest realistische route binnen Europese regels, omdat overheden private partijen niet zomaar mogen uitsluiten. Wel kan de overheid via aanbestedingsvoorwaarden strenge kaders stellen, bijvoorbeeld over waar data wordt opgeslagen en wie toegang heeft tot systemen.
Het nadeel is dat de structurele afhankelijkheid van externe partijen blijft bestaan, ook al wordt die strenger gereguleerd.
Politiek spanningsveld zonder eenvoudige uitkomst
De blokkade van de overname van Solvinity maakt duidelijk dat digitale infrastructuur inmiddels als een strategisch onderdeel van de staat wordt gezien. Tegelijk laat de situatie zien hoe lastig het is om daar volledig controle over te krijgen zonder de bestaande marktstructuur fundamenteel te veranderen.
Of de toekomst ligt bij heraanbesteding, een nationale IT-structuur of een hybride model, is daarmee niet alleen een technische vraag, maar vooral een politieke keuze met langdurige gevolgen voor de digitale overheid in Nederland.
