Er is opnieuw onrust ontstaan over de beveiliging van persoonlijke gegevens van Nederlandse burgers. Aanleiding is een mogelijke overname van het Nederlandse IT-bedrijf Solvinity door het Amerikaanse Kyndryl. Die overname roept fundamentele vragen op over privacy, digitale autonomie en de veiligheid van overheidsdata.
Wat is er aan de hand?
De online omgeving MijnOverheid is voor veel Nederlanders een vertrouwde plek. Hier kun je onder meer je persoonsgegevens bekijken, berichten van de overheid ontvangen en inzicht krijgen in zaken zoals inkomen, adresgegevens en officiële registraties. Hoewel deze omgeving wordt beheerd door de overheidsorganisatie Logius, draait een deel van de technische infrastructuur op systemen van Solvinity. Dat is op zichzelf niet ongebruikelijk: overheden werken vaker samen met externe IT-partijen.
De situatie verandert echter wanneer zo’n partij mogelijk in buitenlandse handen komt.
Waarom is dit een probleem?
Als Solvinity wordt overgenomen door Kyndryl, valt (een deel van) de infrastructuur onder Amerikaanse wetgeving. En dat is precies waar de zorgen vandaan komen.
Onder Amerikaanse wetten, zoals de Cloud Act, kan de overheid in bepaalde gevallen bedrijven verplichten om data te overhandigen — ook als die data buiten de Verenigde Staten is opgeslagen. Dat zou betekenen dat gegevens van Nederlandse burgers in theorie opgevraagd kunnen worden, zonder dat daar in Nederland direct zicht op is. Daarnaast bestaan er zorgen over de beschikbaarheid van digitale overheidsdiensten. In het uiterste geval zou externe invloed zelfs gevolgen kunnen hebben voor systemen zoals DigiD, die essentieel zijn voor toegang tot overheidsdiensten.
Politieke en bestuurlijke discussie
De mogelijke overname wordt momenteel onderzocht door het Bureau Toetsing Investeringen, dat beoordeelt of buitenlandse investeringen risico’s vormen voor nationale veiligheid. Binnen de politiek wordt serieus gekeken naar alternatieven. Zo ligt er een voorstel om het contract met Solvinity — dat loopt tot 2028 — niet te verlengen als het bedrijf daadwerkelijk in Amerikaanse handen komt. Daarmee zou de overheid meer grip houden op kritieke infrastructuur.
Tegelijkertijd klinkt ook de roep om structureel anders naar dit soort afhankelijkheden te kijken.
Breder perspectief: digitale autonomie
Deze situatie raakt aan een groter thema dat ook binnen HCC steeds vaker aandacht krijgt: digitale autonomie. In hoeverre wil en kan Nederland (of Europa) afhankelijk zijn van buitenlandse technologiebedrijven voor essentiële digitale diensten? Het gaat daarbij niet alleen om privacy, maar ook om controle, continuïteit en vertrouwen. Zeker als het gaat om systemen die vrijwel alle burgers gebruiken, is dat geen theoretische discussie meer.
Wat betekent dit voor HCC-leden?
Voor HCC-leden is dit een goed moment om stil te staan bij een aantal zaken:
- Bewustzijn van data: welke gegevens deelt u met (overheids)systemen en waar worden die verwerkt?
- Digitale afhankelijkheid: hoe afhankelijk zijn we van grote (buitenlandse) IT-partijen?
- Beveiliging en privacy: vertrouw niet blind op systemen, maar blijf kritisch en alert.
Hoewel er op dit moment geen directe aanwijzingen zijn dat gegevens daadwerkelijk zijn ingezien of misbruikt, laat deze situatie zien hoe complex en kwetsbaar digitale infrastructuren kunnen zijn.
Tot slot
De komende periode zal duidelijk worden of de overname doorgaat en onder welke voorwaarden. Wat de uitkomst ook wordt, één ding is helder: de discussie over digitale soevereiniteit en privacy is relevanter dan ooit.
HCC blijft deze ontwikkelingen volgen en zal leden blijven informeren over wat dit betekent in de praktijk.
