Een groep die door wordt aangeduid als “prominenten” voert actie tegen de overname van Solvinity door Kyndryl. Eric Smit, die de onderzoeksjournalistiek van Follow the Money verliet om actiejournalistiek te gaan plegen met The Firewall, deelde een brief van Economische Zaken aangaande onderzoek naar de overname. Dat leidde tot foutieve berichtgeving in de Volkskrant van vrijdag 30 januari 2025:

Dat The Firewall inzage krijgt staat immers niet in de brief van het Bureau Toetsing Investeringen. De Volkskrant kreeg de brief, publiceerde een artikel waarvan de kop en inhoud onjuist waren. De woordvoerder van het ministerie, desgevraagd: “Wel goed om te weten dat de publicatie in Volkskrant niet juist is: er is door EZ geen inzage toegezegd.”

Er is immers geen inzage beloofd aan The Firewall. Eric Smit neemt de verantwoordelijkheid voor het geknoei op zich:

Dit verraadt ook de macht van Eric Smit c.s. die van de Volkskrant geen kritische benadering hoeven te verwachten. Volkskrant-columnist Alexander Schimmelpenninck is één van de actievoerende journalisten. Online verscheen een krakkemikkige formulering van hetzelfde artikel:

Met een late, en wederom deels onjuiste rechtzetting: “Correctie 30/1: In een eerdere versie van dit artikel stond dat een groep tech-experts inzage heeft gekregen in het toetsingsproces rondom de overname van Solvinity. Dat klopt niet: zij hebben informatie gekregen over de status van het onderzoek; inzage in de aanstaande toetsing is juist wat zij nu eisen.”

Nee, het is geen “groep tech-experts” en niet “groep critici, voornamelijk tech-experts”: Van de ondertekenende personen Esther van Egerschot, Maxim Februari, Felienne Hermans, Bert Hubert, Joris Luyendijk, Caroline Nevejan, Reijer Passchier, Jelle Postma, Sander Schimmelpenninck, Eric Smit, Karin Spaink, Marleen Stikker en Kees Verhoeven zijn er twee ‘tech-experts’: Felienne Hermans en Bert Hubert. Zij hebben veel ervaring met IT in de praktijk en met beleid, Karin Spaink, Esther van Egerschot en Marleen Stikker hebben dat gedeeltelijk.

Nee, The Firewall eisen niet “nu” inzage maar deed dat al in de eerste  brief, per ongeluk op onjuiste gronden.  Volkskrant laat zich voor het p.r.-karretje van Eric Smit spannen. Het laatste woord in het artikel is voor hem: “Kyndryl is kansloos, als je het mij vraagt. De hele samenleving zet z’n hakken in het zand.”

De “hele samenleving” is p.r., en bovendien niet bewerkstelligd door The Firewall. Zo neemt The Firewall een voorschot op ‘de grote overwinning’ in deze zaak, met gemakzucht van de Volkskrant. Het zijn anderen die met verzet wel gewicht in de schaal leggen.

Verwarring over wetgeving

Ondanks het “succes” waarvan The Firewall spreekt, blijkt er nog een onjuiste veronderstelling in het spel in haar eerste brief: Kyndryl heeft de voorgenomen overname niet gemeld op grond van Wet Vifo, maar onder de Wet ongewenste zeggenschap telecommunicatie. Ik kom daar hieronder op terug.

The Firewall: “Dat heeft gevolgen voor de procedure die wij hebben ingezet: we zullen het verzoek tot een voorlopige voorziening intrekken. Dat hebben we immers gedaan op grond van art. 11 van de Wet Vifo.” Tot zover het zogenaamde “succes” van de actie. Formeel maakt dit niet zo veel uit: de actiegroep eist nu inzage in het onderzoek inzake die andere wet, met een tweede brief aan EZ van 29 januari 2026.

Ik vroeg aan EZ: kan de overname alsnog getoetst worden aan de wet Vifo? Het antwoord geeft geen uitsluitsel: “We doen nooit uitspraken over of bedrijven onder de reikwijdte van de wet Vifo, WOZT en/of Energiewet vallen… of een transactie wel of niet meldingsplichtig is en of een (beoogde) overname wel of niet getoetst moet worden onder de wet Vifo, WOZT en/of Energiewet.”

Die brief van BTI aan The Firewall is bovendien een week lang onder de pet gehouden, tot na de hoorzitting in de Tweede Kamer, ondanks dat The Firewall pleit voor optimale openbaarheid. Voor ondertekenaars van de brief van The Firewall kwam dit antwoord van BTI afgelopen dagen ook als een verrassing. Dat zegt actievoerder Bert Hubert: “Ik vond het verrassend, ook de inhoud.”

Parlement is actief

Half december 2025 kwamen er antwoorden op eerder gestelde Kamervragen van Barbara Kathmann (GroenLinks-PvdA), maar ook op Kamervragen van FvD en van SGP. Op Netkwesties stond een opinie-artikel. Marloes de Koning van NRC pleegt geen actiejournalistiek, maar liet de andere kant aan het woord: een vraaggesprek met Daniëlle Schuur, bestuurder van Solvinity, en Rob Bravenboer, directeur van Kyndryl Nederland.

Bravenboer is ook lid van de nationale Cyber Security Raad (CSR), net als hoogleraar Lokke Moerel die zorgen uit over de overname van Solvinity. Al in 2022, nog vóór de tweede termijn-Trump, dringt ze aan op soevereiniteit met onder meer clouddiensten en schreef mee aan een advies in 2021, en een wetenschappelijke analyse in 2020.

Echter, ze beseft tegelijkertijd dat de Nederlandse economie verstrengeld is met Amerikaanse leveranciers,k vooral Microsoft, met afhankelijkheid van twee kanten waar regime-Trump niet één-twee-drie kan inbreken. China en Rusland zijn met cyberveiligheid veel grotere bedreigingen en het is een illusie te menen dat de navelstreng met de VS kan worden doorgeknipt: “Het is heel duidelijk dat we het bij een aanval van Rusland nog geen dag uithouden zonder Amerika.” 

De CSR droeg bij aan de komst van een Nederlandse Digitaliseringsstrategie (NDS), onder leiding van notabene een staatssecretaris van de PVV (Zsolt Szabo, overgelopen van de VVD). Maar er is heel veel werk aan de winkel. De Rekenkamer stelde al vast hoe onbezonnen de Nederlandse overheden de cloud in gingen.

Ook Stichting Librekat is ter zake kundig en niet opportunistisch met actievoeren.  Voorzitter Brenno de Winter: “Qua soevereiniteit is Solvinity niet het grootste probleem, want Nederland is over een veel groter front van Amerikaanse leveranciers afhankelijk. Maar de politiek en overheid kunnen dit vrij eenvoudig oplossen. We stellen geen eisen maar doen voorstellen. Logius kan DigiD onder de hoede van de Nederlandse overheid hosten.”

Bert Hubert: hype met DigiD 

Een flink deel van de prominenten die actievoeren met The Firewall wordt, anders dan Brenno de Winter, niet gehinderd door kennis van zaken, maar de angst voor de mediamacht van Maxim Februari (NRC) Joris Luyendijk en Alexander Schimmelpenninck (Volkskrant) en Eric Smit legt gewicht in de schaal bij het beïnvloeden van de democratische besluitvorming.

Actievoerder Bert Hubert heeft de IT-kennis wel. Dat geldt ook voor Ronald Prins, die niet meedoet aan de actie. Hubert en Prins deden toetsing vooraf van operaties van inlichtingendiensten. Zij kennen de risico’s van Amerikaanse spionage, maar dan nog zijn die niet eenvoudig hard te maken.

Ik vraag het aan Bert Hubert, betrokken als IT-expert en actievoerder tegen overname. Hij mocht een zinnige opvatting debiteren in het Kameroverleg, die een historische inslag had: oude ‘tech-experts’ kennen nog het Rijks Computer Centrum, dat ooit in private handen kwam van PinkRoccade, later Getronics dat daarop onderdeel van KPN werd.

Wat zou een reden voor de VS kunnen zijn om in te breken in DigiD of mijnOverheid?

“Amerikanen luisteren de wereld extreem grootschalig af. Dat kun je onder andere afleiden aan het enorme gebouw van de National Security Agency. Ik denk niet dat al die mensen duimen zitten te draaien. Ze vinden het belangrijk om de hele wereld af te luisteren.”

Dat de NSA een groot gebouw heeft vind ik niet zo’n steekhoudend antwoord…

“Met de signal intelligence - waarover weinig wordt geschreven - wordt in de VS absurd veel afgeluisterd. Stel, op een dag zeg je: ‘We zijn een vent kwijt die we interessant vinden. Dan vraag je aan je computer: "Heb je ooit gehoord van die verzetsstrijder uit land X die naar Nederland vlucht." Dan doorzoekt het systeem alles wat hij heeft en antwoordt: "Ja hoor, die heeft een DigiD account in Nederland." Dat zijn typisch dingen waar inlichtingendiensten geïnteresseerd in zijn. Als ze dan alle DigiD logins voorbij zien komen, dan hebben ze uiteindelijk alle namen van alle nieuwe Nederlanders.”

In theorie kan alles, en daarover wordt veel gespeculeerd. Iedere Nederlander kan een wapen kopen om een minister om te leggen, maar ik kom de premier nog gewoon tegen met zijn vriendin bij zijn rondje door de duinen bij Wassenaar. Wat is in de praktijk plausibel? Snowden leerde ons veel over de NSA maar onder de streep raakte dat ons nauwelijks.

“Concreet is de dreiging dat iemand aan een bureau in een ander land meekijkt met het inloggen met DigiD bij de Belastingdienst, gemeente, zorginstelling. En ja, jij kunt zeggen dat het je niet interesseert dat ze jouw tandartsrekening inzien. Maar als ik met mijn DigiD ben ingelogd bij een psychiatrische zorgketen in Den Haag, dan wil je dat liever niet algemeen bekend hebben, ook niet in een buitenland.”

Maar waarom zou regime-Trump dat willen weten en de Cloud Act of Fisa aanspreken met mogelijk een hoop heibel tot gevolg?

“Een concreet voorbeeld. De gemeente Utrecht heeft op een gegeven moment een burgerpetitie gehouden voor steun aan Gaza. Ze wilden enkel toegang bieden tot burgers uit Utrecht dus moest je je paspoortgegevens opsturen en die werden opgeslagen. Dus ontstond er een database met Gaza-supporters, op een server van een Amerikaanse dienstverlener. Daar kwam protest tegen van mensen die zeiden: "Dat gaan we niet doen, want daar komen we Amerika nooit meer in."

Ik ben zelf twee keer uit de rij gehaald bij Customs in de VS, simpelweg omdat ik als journalist destijds veel in Oost-Europa kwam. Vervelend, maar ook begrijpelijk…

“Ik ken een heleboel mensen met zo’n ervaring en dat zijn hele vervelende dingen. En een vriend van mij heeft daar enorm last van gehad, want een ander reisde met zijn gestolen paspoort en die is daardoor op een watchlist gekomen.”

DigiD op een server in de VS lijkt me niet zo risicovol. Dat Justis, dienst van het ministerie van Justitie, ook bij Solvinity zit, lijkt me problematischer. Of niet?

“Dat vind ik ook. Maar de reden om te begrijpen dat mensen zo focussen op DigiD is omdat bijna iedereen één keer per maand wel een interactie met DigiD heeft. Heel veel mensen hebben ook een keer meegemaakt dat hun DigiD het niet deed, wat heel frustrerend kan zijn want ze kunnen geen paspoort aanvragen of zich aanmelden bij een ziekenhuis. En dan horen ze: "Ja, maar we gaan de DigiD ook aan Amerikanen geven.”

Dus veel emotie, weinig ratio. En u roept al die mensen op om naar de hoorzitting te komen…

“Daar zijn mensen wel op gespitst. Daarom is het denk ik zo'n hype op dit moment. Want het is niet zo abstract van “het schijnt dat de belastingdienst iets naar Amerika gaat sturen”.

Het woord ‘hype’ hanteert u en ik zie als medestander van jullie actie Alexander Schimmelpenninck die inhoudelijk verre van deskundig is, zoals u wel, maar wel gewicht in de schaal legt. Is dat reëel?

“Dat was, denk ik, een heel principieel ding, maar ik kan niet in zijn ziel kijken waarom hij meedoet. Maar ik weet dus wel dat DigiD voor mensen een heel persoonlijke ervaring is.”

 Maar Justis, wat zijn daarvoor de risico's?

“Heel groot, want Solvinity doet alle berichtenverkeer van de justitieketen en je wilt echt niet dat Amerika daarin gaat meekijken. En daar kan ook onderzoek bij zitten naar Amerikaanse spionage en/of bedrijfsspionage of naar een verdachte die Amerika maar wat graag zou oppakken en zelf berechten. Dat is natuurlijk niet verteerbaar.”

Dat contract met DigiD moet in november 2026 worden verlengd, dan zet Logius Solvinity toch buiten de deur?

“Nederland is vaak een kruidenier en zegt: "We gaan dat contract uitzitten. We blijven bij de situatie die we niet goed vinden, want we hebben al betaald."

Eric Verheul en Ronald Prins

In de aflevering van 1 januari 2026 van de podcast ‘Cyberhelden’ spraken Ronald Prins en collega’s Jelle van Haaster (Militaire Academie) en Marco Kuipers over de overname van Solvinity onder de titel “To DigiD or not to DigiD”. Het inloggen met een gestolen DigiD is het grootste gevaar. Neemt dat gevaar toe als Solvinity wordt overgenomen door het Amerikaanse Kyndryl?

Ja, menen de experts, maar baseren zich daarvoor vooral op Eric Verheul, hoogleraar cybersecurity (Nijmegen en Amsterdam), die in een LinkedIn-post de Amerikaanse hack van de telefoon van Angela Merkels en de aanval op Belgacom door de NSA in herinnering brengt, en de bouw van Stuxnet-virus om aan te geven dat onderschatting niet op zijn plaats is. In kritiek op een NRC-artikel over DigiD schreef hij: “Wat mij opvalt is dat alleen risico’s rond ‘sabotage’ (uitval) en ‘meegluren’ worden genoemd; een cruciaal risico blijft onbesproken: het risico dat Amerikaanse inlichtingendiensten DigiD manipuleren om mee in te kunnen loggen namens ‘persons of interest’ bij andere publieke diensten, zoals MijnOverheid, Belastingdienst, UWV en de zorg.

Je hoeft alleen maar zelf even in te loggen op MijnOverheid om te zien hoe waardevol deze informatie kan zijn voor inlichtingendiensten. Denk aan Nederlandse bestuurders, ministers, politici of personen die daarbij toegang kunnen verschaffen, zoals persoonlijke assistenten of ICT-sleutelfiguren. Conceptueel is zo’n manipulatie eenvoudig.”

Het trio cyberhelden vraagt zich af of het onderbrengen van de hosting door Solvinity bij de het datacenter van het Amerikaanse Equinix in Amsterdam nu al een risico vormt vanwege mogelijk van toepassing zijnde Amerikaanse wetgeving: “Dus waar daar precies de grens zit weet ik ook niet precies en hoe je een Rijksdatacentrum definieert.” Hoe het met onderhoud van de hard- en software is geregeld weten ze niet.

Maar wel kan de database met alle gelogde IP-adressen van DigiD van waarde zijn voor de VS: “De Amerikanen doen best veel aan bulk interceptie. Die zien alle Nederlandse IP-adressen voorbij komen en kunnen nagaan wat voor soort websites onze minister-president naartoe gaat…En dan heb je met DigiD mogelijk toegang tot medische gegevens, één van de meest gevoelige soorten data.” Bovendien kunnen zakelijke belangen, bijvoorbeeld persoonsgegevens van ASML-directieleden, lekken naar een geheime dienst van de VS.”

De harde feiten

In november 2025 maakt Solvinity de overname bekend door Kyndryl Nederland BV, onderdeel van Kyndryl Holdings Inc., het in 2021 van IBM afgescheiden cloudplatform. Dat werkt samen met clouddiensten van Amazon, Google en Microsoft en heeft een jaaromzet van 15 miljard dollar.

Kyndryl Nederland is behoorlijk groot in Nederland met 270 miljoen euro omzet over 2024, met 6 miljoen winst, behaald met 450 werknemers. Daarboven hangen nog financiële Holdings, wellicht om belastingtechnische redenen: Kyndryl 1 BV met een kleine 2 miljard omzet en Kyndryl 2 BV met 700 miljoen euro omzet.

Een groot deel van de bedrijvigheid van Kyndryl komt van de financiële sector. ABN Amro is een grote klant. Gezien de angsten om de overname van Solvinity waar regime-Trump onder de Cloud Act en FISA data kan vorderen, zouden de klanten van ABN Amro risico lopen op het vorderen van hun transactie-data?

De ethisch opererende actievoerders tegen de overname van Solvinity bankieren wellicht bij ASN en Triodos. Triodos maakt gebruik van de cloud van Microsoft Azure. De woordvoerder van ASN stelt in antwoord op  vragen:

ASN Bank hanteert een hybride cloud-strategie waarbij gebruik wordt gemaakt van zowel de eigen datacenters als ook AWS en Microsoft Azure. We maken gebruik van de public cloud van AWS voor applicatie hosting. De aankondiging van AWS Sovereign Cloud uit 2023 was voor ons reden om in gesprek te gaan met AWS om te onderzoeken hoe deze service ons hierbij kan helpen en welke onderdelen ervan voor ons nuttig zouden kunnen zijn. Daarnaast kijken we naar verschillende (Europese) alternatieven.”

AWS en Microsoft Azure vallen zowel onder Amerikaanse als Europese wetgeving. “Het feit dat data fysiek binnen de EU wordt opgeslagen, voorkomt niet dat de Amerikaanse Cloud Act toegang kan afdwingen, terwijl de GDPR een dergelijke doorgifte in principe verbiedt. Wij zijn ons bewust van de risico’s die dit met zich meebrengt en passen daarom verplichte technische en procedurele maatregelen toe om de impact van eventuele verzoeken tot gegevensverstrekking te minimaliseren met opslag van klantdata in eigen datacenters en door encryptie toe te passen in de public cloud.”

Kortom: ook de banksector maakt volop gebruik van clouddiensten van Amerikaanse tech aanbieders. Afgezien van zorg bij De Nederlandsche Bank kraait daar geen haan naar. De VS kunnen in principe heel veel bankdata vorderen. Daar kraait geen haan naar.

En Brenno de Winter vult aan dat zelfs Defensie met applicaties van het programma Grensverleggende IT (GrIT) draait bij het Amerikaanse Kyndryl dat Solvinity wil overnemen. Het is een programma voor de lange termijn van notabene 1,3 miljard euro. Het wordt met een ‘Private Cloud’veilig genoeg geacht.

Hoorzittingen van afgelopen week

Dinsdag 27 januari 2025 vond de hoorzitting van de commissie Digitale Zaken van de Tweede Kamer plaats. De titel van de volle agenda: “Rondetafelgesprek inzake de consequenties van de (beoogde) overname van Solvinity voor DigiD”, eenzijdig over DigiD en niet over Justitie en Veiligheid en andere ministeries die applicaties onderbrengen bij Solvinity.

In een uitstekend verslag van deze Tweede Kamerzitting van Kim Loohuis bij ICT Magazine stelt Lokke Moerel, hoogleraar Global ICT Law aan Universiteit Tilburg (die ook een juridische expert-opinie over soevereiniteit aan Kyndryl leverde), dat niet de Cloud Act maar de Amerikaanse sanctiewetgeving risico oplevert: de VS en haar president kunnen sancties uitvaardigen tegen personen, organisaties en landen in het belang van de nationale veiligheid.”? Hoe groot het risico is dat regime-Trump Nederland de oorlog verklaart, werd niet bediscussieerd.

Genoemde Stichting Librekat, een verbond van Nederlandse platforms met zorgen over IT-uitoefening, beschrijft voor de Tweede Kamer helder hoe het risico toeneemt bij overname van Solvinity en wat er eventueel aan te doen is. 

Inbreng was er ook van de traditionele belangenbehartigers van de ICT-sector met nuanceringen aangaande veiligheid die meer op de internationale markt zijn gestoeld, zoals verwoord in de bijdragen van Dutch Cloud Community en van NL Digital: met juiste maatregelen minimaliseer je het risico. Logius, beheerder van DigiD en mijnOverheid, sluit zich daarbij aan, en probeert in onderhandelingen met Solvinity tot zodanige garanties te komen dat ze door de toets van BTI komen. 

Staatssecretaris Eddie van Marum (BBB) van Binnenlandse Zaken en Koninkrijksrelaties zei in december 2025 in antwoord op Kamervragen van Chris Stoffer (SGP) dat het risico op misbruik door de VS in theorie is toegenomen en dat de destijds met Solvinity gemaakte “afspraken nader moeten worden ingevuld, om te voorkomen dat de vertrouwelijkheid en veiligheid van die gegevens in het geding kan komen”.

In een gesprek van Kyndryl met de Commissie Digitale Zaken in de Tweede Kamer van een dag later, woensdag 28 januari 2026, zei directeur Piet Bil dat Kyndryl nog nooit een verzoek van een buitenlandse overheid heeft ontvangen voor EU-klantgegevens. Stel dat Kyndryl in de VS gegevens van een klant van Solvinity zou opeisen, dan zou Kyndryl Nederland volgens Bil naar de Nederlandse rechter stappen.

Wetgeving destijds met Kees Verhoeven

Dat is logisch gezien de onverenigbaarheid van de eisen van de Cloud Act in de VS en de AVG in Europa. Er is een ingewikkelde constructie via de Mutual Legal Assistance Treaty (MLAT) voor justitiële vorderingen, die Europa en de VS tekenden na de aanval op de Twin Towers. Probleem is ook dat vorderingen niet transparant zijn.

Clingendael leverde aan het Kameroverleg over Solvinity een politieke bijdrage gestoeld op zorgen over soevereiniteit. Er wordt verwezen naar Wet Ongewenste Zeggenschap Telecommunicatie. Deze is wel boeiend om even te lezen, ze behelst “bedreiging van het publiek belang”. De ongewenste overnamepoging van KPN door América Móvil in 2013, toen in handen van de Mexicaanse miljardair Carlos Slim, was een van de aanleidingen voor de wet.

Uit de Memorie van Toelichting destijds: “Voorts kan zeggenschap van een partij die handelt op basis van geopolitieke motieven een risico vormen voor de vertrouwelijkheid van communicatie. De zeggenschap over de infrastructuur en de dienstverlening kan worden misbruikt om kennis te nemen van de inhoud van de communicatie. Waar dit vertrouwelijke informatie van de Staat betreft raakt dit de nationale veiligheid.”

Nu is Kyndryl niet een partij die zelf dit risico met zich meebrengt, maar de alom uitgesproken vrees voor vordering van persoonsgegevens, terecht of niet, raakt hier wel aan. In verslag van Tweede Kamer-overleg sprak de VVD de vrees uit dat maatschappelijke druk een rationeel besluit in de weg zou staan. Dat kan nu spelen.

D66 vroeg (bij monde van Kees Verhoeven, nu een actievoerder tegen overname door Solvinity) destijds waarom enkel EZ een oordeel kon vellen en verbod op overname opleggen en “niet Autoriteit Consument en Markt, het Agentschap Telecom, de Nationaal Coördinator Terrorisme en Veiligheid, een onafhankelijke toetsingscommissie of de Minister van Justitie die verantwoordelijk is voor de nationale veiligheid”.

Wat doet Solvinity?

Solvinity beheert vooral infrastructuur voor vitale rijks- en gemeentelijke diensten (hosting/platform), niet de applicaties zelf:

DigiD: platform (servers, opslag, security) waarop de DigiD-applicatie van Logius draait, gehost in een dubbel beveiligd Overheidsdatacentrum in Nederland.
 MijnOverheid: infrastructuur voor de portaalomgeving voor burgers, inclusief de achterliggende platformdiensten.
 Berichtenbox voor burgers: onderliggende infrastructuur voor de digitale postbus van de overheid.
 Digipoort: platform voor het elektronische berichtenverkeer tussen overheid en organisaties (o.a. aangiftes, rapportages).
 Communicatiediensten ministerie van Justitie en Veiligheid: specifieke diensten van JenV draaien op servers die door Solvinity worden beheerd.
 Overige overheids- en (semi)publieke klanten: bredere set aan beveiligde cloud- en infrastructuurdiensten aan meerdere overheidsorganisaties en organisaties met publieke taak, waaronder gemeenten.

In al deze gevallen geldt dat de overheid eigenaar en functioneel beheerder van de applicatie blijft; Solvinity levert en beheert het onderliggende platform in opdracht van o.a. Logius (BZK). Volgens Logius “blijft DigiD Nederlands.

Volgens IT-expert Ronald Scherpenisse was bij de Europese aanbesteding van GDI-infrastructuur (2020) via een Europese aanbesteding van de infrastructuur voor o.a. DigiD, MijnOverheid en Digipoort al geen sprake meer van Solvinity als Nederlands bedrijf. Want de meerderheid van aandelen berustte al bij een Britse investeerder, Vitruvian Partners, die na de overname in 2014 aanstuurde op een ‘exit’ op de vrije markt, met grote kans op een Amerikaanse overname voor de middellange termijn vastgelegd.

“Een investeerder blijft zelden langer dan 10 jaar zitten. De aanbesteding werd dus gegund aan een partij die feitelijk in de etalage stond.” Scherpenisse noemt Host Finco en Host Bidco als beheermaatschappijen. De eerste staat in de KvK voor een omzet van 70 miljoen met 3 miljoen verlies (2023).

Host Bidco-verslagen zijn niet beschikbaar, wel van Solvinity: omzet 70 miljoen euro, verlies 10 miljoen (2023). Als aandeelhouder staat ICT Business Development van Management van Van den Belt Management  in Noordwijk genoemd. Dat is van oud-CEO van Solvinity Frank van den Belt

Formeel neemt het risico op Amerikaanse vordering van data flink toe, in de praktijk niet of nauwelijks volgens volgens Kyndryl Nederland. Echter, gemeten naar het Europese Cloud Sovereignty Framework gaat Solvinity van 3 naar 1, op en schaal die loopt van 4 tot 0 (van volledige naar geen enkele soevereiniteit.

Conclusie: pennywise

Experts in cyberveiligheid zien potentiële problemen die kunnen ontstaan door de verkoop van Solvinity aan Kyndryl. De bezwaren zijn vooralsnog technisch-theoretisch van aard. Er is weinig politieke grond voor een grootscheeps risico. Ofschoon de Amerikaanse spionagehonger niet  onderschat mag worden, gezien bijvoorbeeld de huidige discussie over de wet Fisa in het Amerikaanse parlement

Mede onder invloed van het optreden van immigratiedienst ICE in de VS, die werkt met grote hoeveelheden data van Palantir en waarschijnlijk wordt ondersteund door de inlichtingendienst NSA, neemt de angst toe. Echter, een eventuele Amerikaanse vordering van gegevens stuit op Europese wetgeving.

De nadruk op risico’s voor DigiD verhullen de gevoeliger applicaties die de overheid heeft ondergebracht bij Solvinity, vooral van het ministerie van Justitie. Die kunnen beter onder Europese jurisdictie blijven, ofschoon de vraag is of in Europa het soevereine IT-aanbod dezelfde kwaliteit en garanties tegen cybercriminaliteit kan bieden zoals Kyndryl en Solvinity terecht opperen.

In de toets op de overname die BTI van Economische Zaken zal uitvoeren gaat het om nauwgezette concrete technische en juridische maatregelen om lekken van data naar de VS te voorkomen. Maar de actie- en politieke druk zijn factoren die op de achtergrond zwaar wegen, zeker voor een nieuw kabinet met D66. Kees Verhoeven is één van de actievoerders

Tot zover de nuancering van een hype gecreëerd door actiejournalisten en versterkt door de Volkskrant. Dat staat tegenover serieuze, onderbouwde bezwaren en goede verslaggeving elders, zoals in NRC.

Blijft de vraag: hoe zat het dan met de Amerikaanse overname van de gevoelige berichtendienst Zivver in 2025? En die vele duizenden andere toepassingen op Amerikaanse servers?