Redactie PONT

28 januari 2026

Digitale veiligheid

Digitalisering

Solvinity speelt een cruciale rol in de Nederlandse digitale infrastructuur als drijvende kracht achter het platform waar DigiD op draait, dat door Logius wordt beheerd en in een Nederlands overheidsdatacenter is gehost. Voor ruim 16,5 miljoen actieve gebruikers is DigiD de primaire toegangspoort tot digitale overheidsdiensten en organisaties met een publieke taak, van Belastingdienst tot zorg. Juist omdat Solvinity het technische platform levert, vrezen experts dat een Amerikaanse eigenaar via extraterritoriale wetgeving, zoals de Cloud Act, kan worden gedwongen om data af te staan of diensten stil te leggen. Bits of Freedom vatte die zorg kernachtig samen met de uitspraak “als Trump het wil, staat Nederland stil”, waarmee de organisatie zowel de kwetsbaarheid van de Nederlandse digitale autonomie als de afhankelijkheid van één identificatiemiddel blootlegt.

Hoewel Logius en Solvinity benadrukken dat DigiD in een Nederlands overheidsdatacenter blijft draaien, data in Nederland blijven en alleen een beperkt aantal geautoriseerde medewerkers toegang heeft, erkennen zij dat de mogelijke overname aanleiding is voor een grondige risicoanalyse. Zowel Logius als Solvinity stellen dat bij onacceptabele risico’s “onmiddellijk passende maatregelen” worden genomen om de veiligheid en betrouwbaarheid van DigiD te waarborgen, maar de kernvraag voor het debat blijft of juridische en technische maatregelen voldoende zijn als de ultieme zeggenschap bij een buitenlandse moeder ligt.

Autoriteit Persoonsgegevens luidt de noodklok

De Autoriteit Persoonsgegevens (AP) heeft in een brandbrief aan de informateur gewaarschuwd dat Nederland voor vitale processen – van identificatie en belastingheffing tot uitkeringen en zorg – te afhankelijk is geworden van een klein aantal buitenlandse aanbieders. Die concentratie, in combinatie met extraterritoriale surveillancewetgeving en toenemende geopolitieke spanningen, creëert een risico dat digitale infrastructuur als politiek drukmiddel kan worden ingezet. De AP wijst daarbij op eerdere voorbeelden waarbij clouddiensten of betalingsvoorzieningen werden geraakt door buitenlandse sancties en maatregelen, met potentieel ontwrichtende effecten als vergelijkbare situaties zich in Nederlandse vitale ketens zouden voordoen.

In de ogen van de toezichthouder gaat het niet alleen om privacy, maar ook om nationale veiligheid en continuïteit van de digitale rechtsstaat. Wanneer een beperkt aantal grote, voornamelijk Amerikaanse aanbieders diep in de vitale infrastructuur is verankerd, wordt de Europese AVG in de praktijk geconfronteerd met concurrerende rechtsordes en veiligheidsbelangen. Daarmee schuift de casus‑Solvinity op van een ‘gewone’ overname naar een testcase voor de vraag hoe ver Nederland en de EU willen gaan in het beschermen van strategische digitale infrastructuur tegen externe druk.

Gemeenten zoeken naar regie

Ook decentrale overheden voelen de gevolgen van deze machtsconcentratie. De gemeente Amsterdam had Solvinity juist geselecteerd op criteria rond digitale autonomie en beveiliging voor het beheer van haar public‑cloudomgeving, en ziet de mogelijke overname nu als een directe bedreiging voor de beoogde publieke regie. In samenwerking met het Rijk onderzoekt Amsterdam welke juridische en contractuele mogelijkheden er zijn om de samenwerking bij te sturen of eventueel te beëindigen als publieke sturing, gegevensbescherming en transparantie over eigendom niet langer voldoende gewaarborgd zijn.

Instituut Clingendael betoogt dat clouddiensten formeel moeten worden aangemerkt als “strategische digitale infrastructuur”, vergelijkbaar met energie- en telecomnetwerken, zodat de overheid via de Wet Vifo (veiligheidstoets op investeringen) meer structurele zeggenschap krijgt over overnames in deze laag van de infrastructuur. In de Kamer wordt ondertussen verkend of de reikwijdte van de Wet Vifo kan worden uitgebreid, en of clouddiensten naast datacenters expliciet onder het screeningsregime moeten vallen om nationale veiligheidsrisico’s beter af te dichten.

Brede roep om fundamentele oplossingen

De casus‑Solvinity fungeert als katalysator voor een breder debat over structurele oplossingen om Nederlandse digitale onafhankelijkheid te versterken. Een veelgenoemde optie is de ontwikkeling van een Rijkscloud: een overheidscloud in publiek, Nederlands beheer, waarin kernregisters, identificatiemiddelen en andere vitale data draaien zonder dat zij onder buitenlandse rechtsmacht vallen. Dat sluit aan bij Europese initiatieven rond cloudsoevereiniteit en GAIA‑X, maar vergt politieke bereidheid om te investeren in een eigen, minder ‘gemakkelijke’ infrastructuur, en om die ook daadwerkelijk voor vitale toepassingen te gebruiken.

Daarnaast vragen experts om meer ruimte in aanbestedingsregels om bij gevoelige diensten expliciet te kunnen sturen op Europese of nationale digitale soevereiniteit, in plaats van louter op prijs en functionaliteit. Europese aanbestedingskaders sturen nu sterk op non‑discriminatie en markttoegang, wat het lastig maakt om formeel eisen te stellen aan eigendomsstructuur en herkomst van cloudproviders, juist daar waar vitale belangen spelen. Clingendael en organisaties zoals Privacy First bepleiten dat de overheid in strategische digitale dienstverleners een meerderheidsbelang moet kunnen nemen of deze, in uiterste gevallen, volledig in publiek beheer moet brengen als nationale veiligheid en continuïteit op het spel staan. Tegelijkertijd wijst Bits of Freedom op het risico van een “DigiD‑monocultuur” en pleit de organisatie voor meerdere, onderling uitwisselbare identificatiemiddelen en open standaarden, zodat het uitvallen of politiseren van één platform niet het hele land verlamt.

Toenemende juridische en maatschappelijke druk

De maatschappelijke weerstand tegen de overname groeit snel en vertaalt zich inmiddels in juridische stappen. Een brede coalitie van maatschappelijke organisaties is naar de rechter gestapt om de overname te blokkeren en dwingt daarmee de overheid om haar zorgplicht expliciet te maken: de digitale infrastructuur waar miljoenen burgers dagelijks op vertrouwen mag niet tot speelbal worden van buitenlandse belangen en surveillancewetgeving. Privacy First benadrukt dat DigiD en vergelijkbare infrastructuur niet in Amerikaanse handen mogen komen, omdat Amerikaanse surveillancewetgeving op gespannen voet staat met de Europese AVG en het fundamentele recht op gegevensbescherming.

In de Tweede Kamer klinken ondertussen steeds luider stemmen dat Nederland het beheer van platforms waarop vitale overheidsdiensten draaien weer meer zelf in de hand moet nemen, en dat de overheid “de regie moet pakken” om te voorkomen dat DigiD via concernstructuren in Amerikaanse invloedssfeer belandt. De uitkomst van dit conflict zal een precedent scheppen voor de manier waarop Nederland de komende jaren omgaat met eigendom, regie en bescherming van zijn vitale digitale infrastructuur – en daarmee met de praktische invulling van digitale soevereiniteit in een wereld waar cloud en data grensoverschrijdend zijn, maar publieke waarden dat niet zouden moeten zijn.

Gerelateerd nieuws

Cyberwet werkt in de rechtszaal, maar niet in de opsporing

De Wet Computercriminaliteit III (Wet CCIII), die op 1 maart 2019 in werking trad, heeft de mogelijkheden voor de opsporing en vervolging van digitale criminaliteit aanzienlijk verbreed. Uit een omvangrijke evaluatie van het WODC (wetenschappelijk Onderzoek- en Datacentrum) blijkt dat de nieuwe strafbaarstellingen en bevoegdheden in de praktijk veelvuldig worden benut, maar dat beperkte opsporingscapaciteit en internationale componenten de volledige potentie van de wet remmen.

AP: uitvoering anti-witwaswet alleen verantwoord bij aantoonbare effectiviteit en privacybescherming

De Autoriteit Persoonsgegevens (AP) plaatst kritische kanttekeningen bij een wetsvoorstel voor de Nederlandse uitvoering van nieuwe Europese anti-witwaswetregels. Het gaat om een wetsvoorstel om nieuwe Europese regels tegen witwassen en terrorismefinanciering in te voeren in Nederland. Hoewel de wetgeving veel kansen biedt om de bestrijding van financiële criminaliteit te verbeteren, leiden de nieuwe regels ook tot het verzamelen en delen van meer gevoelige persoonsgegevens en tot vergaande uitbreiding van bevoegdheden. Daarom pleit de AP voor een verplichte evaluatie en voldoende waarborgen.

Grondrechten als de 'Rode Draad' bij AI Act

De Europese AI-verordening, die vanaf augustus 2026 grotendeels van kracht wordt, markeert een historisch keerpunt in de regulering van technologie. In een nieuw rapport waarschuwt het College voor de Rechten van de Mens dat de bescherming van grondrechten geen 'invuloefening' is, maar een fundamentele verschuiving vraagt van zowel bedrijven als toezichthouders.

Datacenters zijn energiecentrales voor informatie

Elektriciteit is een unieke energiedrager: energie wordt verplaatst door elektronen. De ontdekking ervan was een evolutionair proces, maar met de ontdekking van elektromagnetische inductie door Michael Faraday werden de fundamentele natuurwetten zichtbaar en toepasbaar. Een energiedrager is geen brandstof; hij transporteert slechts energie. Die energie kan worden opgewekt met uiteenlopende brandstoffen: gas, kernenergie, zonne-energie of waterkracht. Uiteindelijk hebben al deze bronnen één historische oorsprong: de zon. Zonder de oerknal en onze zon zouden er geen aarde, geen wind of regen, geen fossiele brandstoffen en zelfs geen uranium bestaan.
Meer nieuws