Ik ben niet tegen de verkoop van Solvinity, maar zou DigID daar wel met gezwinde spoed weghalen, dan een tweede partij parallel ernaast inschakelen. Sowieso iets om over na te denken en uit te werken: een "hot standby dual vendor strategie" voor dit soort existentiële diensten. Dus technisch/organisatorische redundantie naast juridisch/rechtstatelijke waarborgen. Natuurwetten zijn immers sterker dan de menselijke...

De reden is dat ik, op basis van jarenlange ervaring, met zekerheid kan voorspellen dat áls er opdrachten vanuit de VS overheid richting VS leveranciers komen, ze die zullen opvolgen. Misschien met wat diplomatiek en juridisch tijdrekken op de achtergrond maar dat is het dan wel. De VS is simpelweg machtiger en relevanter voor Amerikaanse leveranciers en hun directies. Óf een dergelijke opdracht ooit komt is giswerk. Met Trump (en opvolgers) is dat waarschijnlijker dan ooit tevoren.

Een alternatief op hot standby hebben is dan geen luxe. Overigens zou ik het inschakelen van een andere partij beperken tot tenminste één volledig Nederlandse partij die niet verkocht kan worden. Zoals KPN. Dus ook vrij van potentiële Franse, Duitse en andere druk. Want vergis je niet in de loyaliteiten en machtswellust in die landen. Dat de Europese Unie als vredesproject overleeft, is immers niet 100 procent zeker...

Voor werkelijk existentiële digitale zaken is autonomie niet voldoende, digitale autarkie moet daar de norm zijn.

De discussie over de mogelijke verkoop van Solvinity aan het Amerikaanse Kyndryl laat zien hoe snel het debat over digitale soevereiniteit omslaat in digitale angst. Natuurlijk moet de overheid uiterst scherp zijn wanneer vitale infrastructuur, justitiedata en systemen als DigiD in het geding zijn. Maar dat betekent nog niet dat elke overname door een Amerikaanse partij per definitie onaanvaardbaar is.

De angst voor onze traditionele partners is sterk aangezet en dat zet onze economie en maatschappij onder veel te grote druk. In een verbonden wereld is het verstandiger om te zorgen voor sterke relaties én voor goede waarborgen binnen die relaties. Soevereiniteit betekent immers dat je voorwaarden kunt stellen, toezicht kunt organiseren en een exit kunt afdwingen als dat nodig is. Het betekent niet dat je alles zelf moet bezitten of nationaal moet organiseren.

Juist hier loopt het debat vaak vast. Er is een groot verschil tussen soevereiniteit en autarkie. Soms krijg ik de indruk dat angstaanjagers vooral dat laatste voor ogen hebben: een Nederland dat zich zo veel mogelijk losmaakt van buitenlandse (lees Amerikaanse) afhankelijkheid. Dat is een utopie. We leven in een economie waarin rollen internationaal verdeeld zijn en schaal mede een kwaliteitsnorm is geworden.

De vraag zou daarom niet moeten zijn: Amerikaans of niet? De vraag is: levert blokkeren, overstappen of opsplitsen aantoonbaar de beste uitkomst op in kwaliteit en kosten? Alleen dan is ingrijpen verstandig. Niet uit reflex, maar uit nuchtere afweging.”

Natuurlijk dient DigID authenticatie hier in Nederland te worden afgehandeld. Maar dit is niet het punt. Waar het om gaat is de decennia lange verwijdering van ‘public spaces’ achtige civil society initiatieven en de hardcore ICT-taken van de overheid zelf. Die laatsten zijn al heel lang door externe consultants ingeschaald als ’te complex’ om zelf af te handelen. Alleen grote Amerikaanse spelers kunnen omgaan met data van miljoenen burgers, zo is het verhaal.

Het recente Odido privacydrama helpt niet echt om dit beeld te weerleggen. Wat gebroken dient te worden is de macht van de IT-consultancy klasse. We moeten de uitgeklede overheidsdiensten opnieuw optuigen met een nieuwe generatie die gelooft in publieke IT-infrastructuur waar ook vitale diensten kunnen worden ondergebracht.

Hoofdlijn

Een absoluut verbod op de verkoop ligt niet voor de hand, maar een onvoorwaardelijke goedkeuring evenmin. De meest verdedigbare positie is het toestaan onder strikte en afdwingbare voorwaarden. Dat past bij een open digitale economie en een innovatieve bestuurscultuur, zonder de risico's voor nationale veiligheid te bagatelliseren. Juist voor dit soort situaties bestaat de Nederlandse investeringstoets: economische openheid combineren met bescherming van vitale digitale infrastructuur.

Risico's in perspectief

De risico's rond Amerikaanse datavorderingen en toegang door veiligheidsdiensten zijn reëel, maar vaak abstracter dan het debat suggereert. Tegelijk blijft het principiële punt overeind: een Amerikaans moederbedrijf valt binnen een Amerikaanse rechtsorde. Daarnaast speelt een tweede risico, namelijk geopolitieke druk of politieke escalatie die kan leiden tot dienstverlening die onder druk komt te staan. De kans daarop is mogelijk beperkt, maar de impact bij vitale overheidsdiensten is groot genoeg om duidelijke mitigatie-eisen te stellen.

Voorwaarden voor een verantwoorde verkoop

Een verkoop kan verdedigbaar zijn als de meest gevoelige overheidstoepassingen – zoals ketens rond DigiD of justitie – ofwel geheel buiten de transactie blijven of in een strikt afgescheiden Nederlandse entiteit worden geplaatst. Dat vraagt om Nederlandse sleutelcontrole, auditrechten, dataportabiliteit, duidelijke exit- of step-in-mechanismen voor de Staat en écht lokale hosting bij een puur Nederlandse cloudprovider. 

De randvoorwaarde is dus het behoud van de digitale autonomie van de Nederlandse overheid. Maar het gaat in het discours mijns inziens te weinig over de kans die de overname biedt. Deze zit in de schaal en daarmee in de investeringskracht en innovatiecapaciteit van een grotere internationale speler, waar men de vruchten van kan plukken. 

De logische lijn is dus: niet ideologisch blokkeren, maar conditioneel toestaan met harde waarborgen voor digitale soevereiniteit.

Brexit in 2016 maakte een einde aan nagenoeg alle voordelen die Londen als (back-up) IT- hub had voor Nederlandse en andere EU-organisaties. Lang niet iedereen had een draaiboek paraat voor dit scenario. Waar zijn nu de draaiboeken voor soevereiniteit tegenover de VS?

Mocht Kyndryl Solvinity mogen overnemen van EZ, mag je hopen dat onze overheid koortsachtig aan een scenario heeft gewerkt om de mogelijk nadelige gevolgen te pareren. Zulks is me niet gebleken uit de vele bijeenkomsten van de Tweede Kamer over deze voorgenomen transactie. Het kan natuurlijk zijn dat ik me vergis en dat zonder publiek en camera’s de Kamerleden informatie ontvangen over de noodplannen.

Mochten die plannen er niet zijn of de uitvoering daarvan langer duren, dan is dat voor mij een valide reden om te pleiten om de verkoop op grond van nationale belangen op te schorten.