Het besluit daartoe is op 27 maart intern genomen. Het is drie weken voor de Kamer verborgen gehouden, terwijl die actief debatteerde. De ambtenaar die intern waarschuwde dat dit een onacceptabel risico is, is naar eigen zeggen inmiddels ontslagen.
Het verhaal waarvan de overheid ons wil overtuigen gaat over continuïteit: een snelle migratie naar een andere leverancier zou DigiD in gevaar brengen. Dat klopt, maar het is een antwoord op een vraag die niemand stelt. De vraag luidt wel of het contract verlengd moet worden terwijl de veiligheidssituatie nog onduidelijk is. Dat zijn twee volledig verschillende kwesties, die stelselmatig worden samengevoegd.
DigiD gaat niet offline als de overname wordt geblokkeerd
Dat verdient alle aandacht op zich, omdat het tegendeel actief wordt gesuggereerd. Als het Bureau Toetsing Investeringen (BTI) de overname van Solvinity door Kyndryl zou verbieden, verandert er operationeel niets: Solvinity blijft draaien onder zijn huidige eigenaar, het DigiD-contract loopt door, en 17 miljoen gebruikers merken niets. De continuïteitsdreiging is reëel bij een directe migratie naar een andere leverancier, maar niet bij het blokkeren van een overname. De overheid presenteert daarmee een technisch bezwaar tegen een verkeerde maatregel als bezwaar tegen de juiste.
Want wat er werkelijk op het spel staat, is geen uitval van DigiD. Het is de jurisdictie.
Wie zijn de partijen
Solvinity is in 2015 ontstaan uit de fusie van ASP4all en Bitbrains, twee Nederlandse managed hosting-bedrijven. Het positioneerde zich als soevereine, onafhankelijke Nederlandse cloudleverancier. Die positionering was formeel correct maar materieel al jaren onvolledig: in 2014 had het Britse private-equityfonds Vitruvian Partners een strategische investering gedaan. Solvinity was op het moment dat het in 2020 het DigiD-contract won statutair Nederlands, maar economisch Brits. De aanbesteding stelde geen eis aan de nationaliteit van de uiteindelijke eigenaar, en dat had ook niet gekund: uitsluiting of selectie op grond van de herkomst van het kapitaal is in strijd met het Europese vrij verkeer. Of Logius in 2020 actief heeft geverifieerd wie de UBO was, is niet publiek bekend. Wat vaststaat is dat Solvinity zich als Nederlands presenteerde, dat de economische eigendom al sinds 2014 Brits was, en dat de aanbesteding daar geen consequentie aan verbond. Logius accepteerde daarmee impliciet het risico dat de eigendom zou wijzigen tijdens de looptijd.
De Britse eigendom bracht vragen mee, maar geen vergelijkbaar jurisdictierisico. Het Verenigd Koninkrijk beschikt niet over extraterritoriale wetgeving die een buitenlandse dochtermaatschappij kan verplichten data of systeemtoegang te verstrekken op grond van het enkele feit dat de moeder Brits is. De CLOUD Act, FISA en Executive Order 12333 bestaan niet in een Brits equivalent met vergelijkbare reikwijdte. Het risicoprofiel verschoof bij de aankondiging van de Kyndryl-overname dan ook van een eigendomsrisico — wie is er morgen de eigenaar — naar een jurisdictierisico: welke overheid heeft er morgen toegang. Dat zijn categorisch verschillende problemen.
In november 2025 materialiseerde dat risico zich. Kyndryl Nederland B.V. kondigde aan Solvinity te willen overnemen voor minimaal honderd miljoen euro. Een bod van een Nederlandse private partij zou er ook zijn geweest, maar dat lag een paar miljoen te laag. Het verschil tussen Nederlandse eigendom en Amerikaanse eigendom was, in dit geval, een handvol miljoenen euro.
Kyndryl Nederland B.V. bestaat pas sinds 15 januari 2021, opgericht als onderdeel van de afsplitsing van IBM's managed infrastructure-divisie. Op 4 november 2021 ging het moederbedrijf, Kyndryl Holdings Inc., zelfstandig op de beurs van New York. Kyndryl Nederland is ingeschreven bij de KvK onder nummer 81589689, gevestigd aan het Mercuriusplein in Hoofddorp. Uit openbare KvK-gegevens blijkt dat er meerdere Kyndryl-entiteiten in Nederland actief zijn of zijn geweest, aangeduid als Kyndryl Nederland 1, 2 en 4 BV. De precieze functieverdeling tussen deze entiteiten en welke daarvan als contractspartij bij een eventuele Solvinity-overname optreedt, is niet publiek verifieerbaar zonder uittreksel en verdient eventueel nader onderzoek.
Kyndryl presenteert zijn Nederlandse BV als waarborg. De bestuursstructuur is tweeledig: een managing director van Nederlandse nationaliteit en een externe Raad van Commissarissen bestaande uit Nederlandse niet-Kyndryl-medewerkers. Bij de Kamercommissie in januari 2026 verklaarden vertegenwoordigers dat Kyndryl Nederland zich altijd zal verzetten tegen overheidsverzoeken, klanten altijd zal informeren en bij conflicten met het moederbedrijf naar de Nederlandse rechter zal stappen. Dat klinkt robuust. Maar het is bijna volledig irrelevant voor de juridische structuur die eronder ligt.
Het is niet alleen een oordeel over de geloofwaardigheid van Kyndryl als bedrijf. Het is een vennootschapsrechtelijke vaststelling. Artikel 2:239 lid 4 van het Burgerlijk Wetboek bepaalt dat het bestuur van een BV instructies van de aandeelhouder niet hoeft op te volgen als die in strijd zijn met het belang van de vennootschap of met wettelijke verplichtingen. Een instructie die dwingt tot overtreding van de AVG of van Europees recht is per definitie zo'n instructie. Artikel 2:9 BW legt daar bovenop een zelfstandige verplichting: elke bestuurder moet zijn taak behoorlijk vervullen, en het uitvoeren van een illegale instructie levert een ernstig persoonlijk verwijt op. In theorie heeft het bestuur van Kyndryl Nederland dus een juridisch verdedigbare weigeringsgrond.
In de praktijk is dat een papieren waarborg. De aandeelhouder, in dit geval het Amerikaanse moederbedrijf, kan het bestuur van de BV ontslaan. Een bestuurder die weigert, kan worden vervangen door een bestuurder die dat niet doet. De weigeringsgrond van artikel 2:239 lid 4 beschermt de vennootschap op papier, maar niet de bestuurder in functie. En een dochteronderneming die haar moeder voor de Nederlandse rechter sleept op last van een geheim Amerikaans veiligheidsbevel beschrijft een scenario waarvoor geen precedent bestaat en waarvan de praktische werking hoogst onzeker is. De instructiebevoegdheid van de aandeelhouder is begrensd door de wet, maar die begrenzing veronderstelt dat het bestuur bereid en in staat is haar in te roepen. Bij een volledige dochter van een beursgenoteerde Amerikaanse vennootschap is die veronderstelling niet realistisch.
Tegelijkertijd met die Kamerpresentatie bleek intern dat het moederbedrijf in ernstige problemen verkeerde. Op 9 februari 2026 maakte Kyndryl Holdings bekend dat het zijn kwartaalrapport niet tijdig kon indienen en materiële tekortkomingen in zijn interne controlesystemen verwachtte. De koers daalde 55 procent in één dag. De CFO en de General Counsel namen per direct ontslag. De SEC startte een onderzoek. Meerdere securities class action-procedures volgden (groepsclaims wegens effectenfraude), met een Class Period die teruggaat tot augustus 2024, dus ruim vóór deze zelfverzekerde Kamerpresentatie.
Waarom de BV-structuur niet beschermt
De kern van Kyndryls betoog is dat een Nederlandse BV onder Nederlands recht valt, en dat dit voldoende bescherming biedt. Dat is formeel correct, maar het antwoord op de verkeerde vraag.
De vraag is niet welk recht van toepassing is op de BV als vennootschapsrechtelijke entiteit. De vraag is welke overheid toegang kan afdwingen tot de gegevens die de BV beheert, of tot de systemen die zij beheert. Dat zijn totaal verschillende rechtsvragen.
De CLOUD Act, die het Amerikaanse Congres in 2018 aannam, bepaalt dat een Amerikaanse rechtbank een in de VS gevestigde onderneming kan bevelen elektronische gegevens te verstrekken die zij beheert of bezit, ongeacht waar die gegevens fysiek zijn opgeslagen. De redenering is functioneel: jurisdictie volgt de entiteit die controle uitoefent, niet de locatie van de data. Kyndryl Holdings Inc. is een beursgenoteerde Amerikaanse vennootschap. Als zij corporate control uitoefent over Kyndryl Nederland, kan een federale rechtbank haar bevelen gegevens te verstrekken die Kyndryl Nederland beheert namens de Nederlandse Staat.
Artikel 48 van de Algemene Verordening Gegevensbescherming (AVG) verbiedt overdracht van persoonsgegevens aan buitenlandse autoriteiten zonder een rechtsbasis die door de AVG wordt erkend. Een CLOUD Act-bevel creëert geen AVG-conforme grondslag. Dat betekent dat Kyndryl Nederland, als het een dergelijk bevel ontvangt en nakomt, tegelijkertijd handelt in strijd met de AVG en met Europees recht. Het bedrijf wordt op dat moment geplaatst voor een directe botsing tussen twee juridische stelsels, waarbij naleving van het ene automatisch overtreding van het andere inhoudt. Die onoplosbare spanning is niet een toekomstig risico. Het is de huidige juridische constellatie. De AVG biedt op papier bescherming. In de praktijk biedt zij geen handhavingsmechanisme dat een Amerikaans nationaal veiligheidsbevel kan stoppen.
FISA Section 702 gaat verder. Dat is geen strafrechtelijk instrument maar een inlichtingenbevoegdheid. De Foreign Intelligence Surveillance Court verleent jaarlijkse programma-brede machtigingen op grond waarvan de NSA communicatie van niet-Amerikaanse personen kan verzamelen via elektronische dienstverleners. De verstrekking is geheim. Het bestaan van een bevel is geheim. De geheimhoudingsplicht strekt zich uit over het feit dat er een bevel is. Dit betekent dat Kyndryls toezegging om klanten altijd te informeren juridisch niet is na te komen als het om een FISA-bevel gaat. Niet omdat Kyndryl die toezegging niet serieus neemt, maar omdat de wet dat letterlijk verbiedt.
Naast de CLOUD Act en FISA bestaat Executive Order 12333, uitgevaardigd in 1981 en sindsdien meerdere malen uitgebreid. Het is het minst zichtbare maar potentieel meest verreikende instrument: een presidentieel uitvoeringsbesluit dat de Amerikaanse inlichtingendiensten een breed mandaat geeft voor buitenlandse inlichtingenverzameling, grotendeels buiten de rechterlijke toetsing die de CLOUD Act en FISA nog kennen. Het HvJEU noemde EO 12333 expliciet in Schrems II als derde pijler van het Amerikaanse surveillance-stelsel die EU-burgers onvoldoende beschermt. Anders dan een CLOUD Act-bevel of een FISA-machtiging laat EO 12333 geen spoor na dat voor een rechter of een betrokkene zichtbaar is.
"Non, je ne peux pas le garantir." — Anton Carniaux, juridisch directeur Microsoft France, onder ede voor de onderzoekscommissie van de Franse Senaat, juni 2025
In juni 2025 verscheen voor een onderzoekscommissie van de Franse Senaat de juridisch directeur van Microsoft France, Anton Carniaux, om getuigenis af te leggen over precies dit onderwerp. Gevraagd of hij kon garanderen dat data van Franse burgers nooit zonder expliciete Franse toestemming zou worden overgedragen aan Amerikaanse autoriteiten, antwoordde hij onder ede: "Non, je ne peux pas le garantir." Nee, dat kan ik niet garanderen. Microsoft zei in Frankrijk wat Kyndryl in Den Haag niet zei.
Microsoft opereert in Europa al jaren onder het vergrootglas van toezichthouders, parlementen en privacy-rechtszaken. Die institutionele druk maakt openheid rationeel: de consequenties van gevonden onwaarachtigheid zijn voor Microsoft groter dan de aanbestedingswaarde van één contract. Kyndryl heeft dat institutionele geheugen niet, en heeft bovendien een direct commercieel belang bij het wegnemen van zorgen in Den Haag. De juridische structuur die beide bindt, is identiek. De CLOUD Act geldt voor Kyndryl op exact dezelfde grond als voor Microsoft: corporate control door een in de VS gevestigde vennootschap.
Degenen die menen dat dit theoretisch is, kunnen kijken naar wat er in de praktijk gebeurt met entiteiten die onder Amerikaanse sancties vallen. Rechter Beti Hohler van het Internationaal Strafhof zag haar Apple ID, Amazon, Airbnb en PayPal-accounts van de ene op de andere dag worden geblokkeerd nadat de VS haar op een sanctielijst plaatste, dezelfde lijst die wordt gebruikt voor terroristenorganisaties. De Franse rechter Nicolas Gouyou, die had deelgenomen aan het uitvaardigen van een arrestatiebevel voor de Israëlische premier Netanyahu, kon geen gebruik meer maken van zijn bankpas, Airbnb, Expedia of Booking.com. Microsoft kapte de e-mailtoegang van de hoofdaanklager van het Internationaal Strafhof af, naar eigen zeggen uit angst voor boetes.
DigiD is geen Airbnb-account. Maar de ICC-voorbeelden laten zien hoe snel Amerikaanse jurisdictie in de praktijk werkt: niet via een rechtszaak, niet via diplomatiek overleg, maar van de ene dag op de andere, via de infrastructuur die iedereen gebruikt. Rechters van een internationaal tribunaal konden geen hotelkamer boeken. DigiD is de digitale identiteit van iedere individuele Nederlander: gekoppeld aan hun burgerservicenummer, hun adres, hun inkomen, hun medische toegang, hun schulden. Er is geen alternatief. Je kunt van Airbnb afstappen. Van DigiD niet. Als de infrastructuur daarachter in handen komt van een entiteit die onder dezelfde juridische structuur valt, is de vraag wat er gebeurt als Nederland iets doet dat de VS niet bevalt, geen academische meer.
Soevereiniteit is dan geen staatkundige abstractie meer, maar een persoonlijke kwestie.
Het toetsingsgat: een leemte tussen twee wetten
Zou de Nederlandse wetgever dit niet moeten tegenhouden? In theorie ja. In de praktijk is er een probleem dat zelden precies wordt benoemd.
De Wet veiligheidstoets investeringen, fusies en overnames, de Wet Vifo, is op 1 juni 2023 in werking getreden als vangnet voor buitenlandse overnames in vitale sectoren. Artikel 7 van de wet bevat een limitatieve opsomming: warmtetransport, kernenergie, luchtvervoer, het havengebied, het bankwezen, infrastructuur voor de financiële markt, winbare energie en gasopslag. Digitale overheidsinfrastructuur staat er niet op.
Dat is geen vergissing in de gebruikelijke zin. De wet is gebouwd op de Aanpak Vitaal van de NCTV, die vitale sectoren definieert op basis van fysieke processen waarvan directe uitval maatschappelijke ontwrichting veroorzaakt. Digitale overheidsdiensten werden in die logica als overheidstaak beschouwd, niet als private marktfunctie. Het probleem is dat die logica is geconstrueerd op een wereld die niet meer bestaat. De digitale identiteitsinfrastructuur van de overheid is volledig uitbesteed aan private partijen, en de wet houdt daar geen rekening mee.
De wet biedt één ontsnappingsroute: bij algemene maatregel van bestuur (AMvB) kunnen nieuwe categorieën vitale aanbieders worden aangewezen. Die mogelijkheid is er bewust ingezet als veiligheidsklep voor precies dit soort situaties. Een evaluatierapport van SEO Economisch Onderzoek, gereed in oktober 2025 en bij het ministerie van Economische Zaken bekend vóór de Solvinity-aankondiging, had het toetsingsgat al gesignaleerd. De AMvB-route had kunnen worden bewandeld. Zij werkt niet met terugwerkende kracht: een voltooide overname kan zij niet terugdraaien. Maar zij had de toetsingsgrondslag kunnen creëren voordat de overname een feit werd. Het raam stond open, maar de mogelijkheid is niet gebruikt.
Wat Logius overkwam bij de aanbesteding van 2020, overkwam Amsterdam in 2025. De gemeente sloot in september van dat jaar een cloud-contract met Solvinity voor een contractwaarde van veertien miljoen euro, oplopend tot vijftig miljoen over tien jaar. Het doorslaggevende criterium was digitale soevereiniteit: Amsterdam koos bewust voor een Nederlandse leverancier als alternatief voor de Microsoft-omgeving van KPN. Wethouder Alexander Scholtes prees de keuze nog publiekelijk tijdens een raadsvergadering. Solvinity wist op dat moment al maanden dat het op het punt stond te worden overgenomen. Amsterdam werd één dag voor de officiële aankondiging geïnformeerd. Ambtenaren voelden zich, op zijn zachtst gezegd, beduveld. Het soevereiniteitsargument waarmee Solvinity de aanbesteding won, was op het moment van gunning al gecompromitteerd. Het contract was gesloten maar de soevereiniteitsbelofte al gebroken voor de inkt droog was.
De casus Amsterdam illustreert ook een structureel probleem dat verder gaat dan deze ene overname. Het Europese aanbestedingsrecht biedt geen ruimte om leveranciers te selecteren of uit te sluiten op basis van het land waar het uiteindelijke eigendom of zeggenschap ligt. Het gelijkheidsbeginsel en het vrij verkeer van kapitaal maken een dergelijke eis juridisch onhoudbaar. Overheden kunnen sturen op randvoorwaarden zoals locatie van kantoren, toepasselijk recht en dataopslag, maar niet op wie de uiteindelijke eigenaar is. Dat betekent dat het probleem zich kan herhalen zolang er geen wettelijke grondslag bestaat om eigendomswijzigingen van leveranciers van kritieke infrastructuur te toetsen.
Solvinity en Kyndryl hebben de overname gemeld bij het Bureau Toetsing Investeringen, maar niet op grond van de Wet Vifo, op grond van de Telecommunicatiewet, hoofdstuk 14a (ingevoerd met de Wet ongewenste zeggenschap telecommunicatie; WOZT). Die wet is geschreven voor het Huawei-scenario: buitenlandse ondernemingen die meekijken in telecommunicatienetwerken. Of Solvinity, een managed cloud-dienstverlener die infrastructuur beheert waarop overheidssoftware draait, daar juridisch onder valt, weet het BTI zelf nog niet. Het onderzoekt of de WOZT hier überhaupt van toepassing is.
Daarmee is er een reëel juridisch scenario waarin Solvinity onder geen van beide wetten valt. De Wet Vifo geldt niet, want Solvinity staat niet op de limitatieve lijst. De WOZT is misschien niet van toepassing, want Solvinity is geen telecombedrijf. Tussen beide wetten bestaat een gat waar een bedrijf doorheen valt dat de digitale identiteit van 17 miljoen Nederlanders beheert.
De vraag of een rechter dit gat kan dichten via functionele interpretatie is niet zonder precedent. De Nederlandse rechtsgeschiedenis kent een lange lijn van arresten waarin begrippen functioneel werden geïnterpreteerd op het moment dat de wet de werkelijkheid niet meer bijhield, van elektriciteit in 1921 tot virtuele goederen in 2012, van grondrechten in de digitale ruimte tot de bescherming van EU-burgers tegen buitenlandse surveillance in Schrems II. Steeds was de kern dezelfde: de formele categorie doet er minder toe dan het feitelijke effect. Of een rechter die stap zet in een bestuurlijk geding over de reikwijdte van een limitatieve wet, is onzeker. Maar een rechter die dat weigert, laat een gat bestaan dat de wetgever had kunnen dichten, had moeten dichten, maar dat heeft nagelaten.
Hoe het zover is gekomen
In maart 2025 informeerde Solvinity de directeur van Logius, Bert Voorbraak, vertrouwelijk over de zoektocht naar een koper. Voorbraak vroeg het embargo gedeeltelijk op te heffen. In april werd een directeur bij het ministerie van Justitie en Veiligheid geïnformeerd. In mei volgde een beperkte kring binnen het ministerie van Binnenlandse Zaken.
Tegelijkertijd peilde Solvinity of de overheid interesse had in aankoop. Het antwoord was nee, of is er nooit gekomen. Dat antwoord is in ieder geval nooit aan een bewindspersoon voorgelegd en nooit als kabinetsvraagstuk behandeld. De onderbouwing die staatssecretaris Van Marum achteraf gaf: publiek eigenaarschap van bedrijven is geen kerntaak van de overheid en eigenaarschap is in principe een marktaangelegenheid.
Maar dat is een beginsel, geen besluit. Een holle frase in dit verband. Het is de reflexmatige toepassing van marktdenken op een situatie die om een politieke afweging vroeg. Het beginsel is niet onjuist in het algemeen. Maar het is onvoldoende als antwoord op de specifieke vraag: moet de overheid ingrijpen als de private leverancier van haar meest kritieke digitale infrastructuur op het punt staat in Amerikaanse handen over te gaan? Die vraag is nooit gesteld.
Het kabinet-Schoof viel op 3 juni 2025. De kwestie had de politieke top nooit bereikt. Het demissionaire kabinet mocht per conventie geen grote besluiten meer nemen. Op 4 november 2025 werd de overname publiek. Een demissionair kabinet moest reageren op een crisis die zijn voorganger niet had herkend. Op 23 februari 2026 trad het kabinet-Jetten aan en erfde de situatie.
In november 2025 voerde Logius intern een veiligheidsanalyse uit. De conclusie: het platform is gezien de huidige architectuur niet zodanig dicht te zetten dat de leverancier niet meer bij de data en persoonsgegevens zou kunnen komen. Aanvullende maatregelen lossen dat niet op. Die analyse is nooit volledig met de Tweede Kamer gedeeld.
Pieter van Oordt, de Centrale Privacy Officer van Logius, heeft deze bevindingen intern herhaaldelijk aangekaart. Hij escaleerde tot het hoogste ambtelijke niveau maar kreeg geen gehoor. Hij is niet toegelaten tot de staatssecretaris. Op 16 april 2026 trad hij naar buiten in de Volkskrant en stelde dat de interne analyse aantoont dat mitigerende maatregelen structureel ontoereikend zijn. Van Oordt presenteerde een alternatief: onderhandel met Kyndryl over uitstel van de overname, gebruik die tijd om het DigiD-contract te migreren naar een Nederlandse partij die dat ook blijft. De kosten van een schadevergoeding aan Kyndryl wegen niet op tegen het risico.
Dat plan mocht hij niet aan de staatssecretaris presenteren. De Logius-leiding verhinderde dat en Van Oordt werd met bijzonder verlof gestuurd. Op 26 april vernam hij via dagblad Trouw dat hij ontslagen was, nadat het ministerie van BZK de krant zou hebben gevraagd zijn artikel aan te passen. Trouw plaatste een correctienoot.
De ironie is niet subtiel. Bert Voorbraak had bij zijn aantreden als directeur van Logius in februari 2024 verklaard dat openheid en transparantie cruciaal zijn voor het vertrouwen in de overheid. In het Logius-persbericht van 21 januari 2026, midden in de Solvinity-kwestie, beloofde Logius transparant te communiceren over keuzes, risico's en ontwikkelingen. De functionaris die dat intern probeerde waar te maken, is ontslagen via de krant.
Van Oordt heeft aangifte gedaan tegen Voorbraak voor het onjuist voorlichten van het kabinet. Hij stelt dat Voorbraak al in maart 2025 wist van de verkoopplannen en de teksten schreef achter de Kamerbrieven waarmee de Kamer, de staatssecretaris en het kabinet onvolledig zijn geïnformeerd. Van Oordt heeft een rechtszaak aangespannen. NRC heeft de beschuldigingen van het ministerie tegen Van Oordt tegengesproken.
De staatssecretaris bevestigt dat er aangifte is gedaan wegens schending van de geheimhoudingsplicht, gericht tegen Van Oordt. Of die aangifte betrekking heeft op het lekken van gerubriceerde stukken of op het naar buiten treden zelf is niet duidelijk. Wat wel duidelijk is: de man die intern waarschuwde dat de overheid een onacceptabel risico neemt, is ontslagen. En het besluit om het contract te verlengen stond al drie weken eerder vast.
Het besluit dat de Kamer niet kende
Op 27 maart 2026 besloot het ministerie van BZK intern dat Logius het contract met Solvinity mag verlengen met twee jaar. Op 21 april nam een ruime Kamermeerderheid, vrijwel unaniem, een motie aan om van die verlenging af te zien zolang de veiligheidssituatie onduidelijk is. Op 25 april informeerde staatssecretaris Van der Burg de Kamer, vlak voor het mei-reces, dat het besluit al drie weken daarvoor was genomen en de ondertekening begin mei plaatsvindt.
De Kamer had drie weken gedebatteerd over een besluit dat al was genomen. De deadline om dat besluit nog te keren, 6 mei, valt na het begin van het reces. Het kabinet zegt pas na het reces te reageren op de Kamervragen die op 29 april zijn ingediend. Dan is 6 mei al verstreken.
Dat is geen procedurefout. Het is een patroon. De kwestie is intern gesmoord voordat ze de politieke top bereikte, de interne veiligheidsanalyse is niet volledig gedeeld, de klokkenluider is ontslagen, en het cruciale besluit is genomen en verzwegen op een moment dat de Kamer actief debatteerde. Of dat alles samenhangt of los van elkaar moet worden gezien, is wellicht aan de rechter en uiteindelijk aan de politiek om te beoordelen.
Wat er rechtens nog mogelijk is
Er zijn zes dagen tot de deadline. Het kabinet heeft de kwestie van meet af aan langs drie sporen geleid: investeringstoetsing door het BTI, een integrale risicoweging door de Taskforce Economische Veiligheid onder voorzitterschap van de NCTV, en onderhandelingen met Solvinity en Kyndryl over mitigerende maatregelen in de klantrelatie. Van die drie sporen is er nog maar één over.
De Taskforce is een ambtelijk adviesorgaan zonder beslissingsbevoegdheid. Haar weging is ondersteunend aan het kabinet, niet bindend. Spoor drie, de mitigerende maatregelen, heeft geen juridisch houdbare uitkomst opgeleverd: de Landsadvocaat heeft een door Van Oordt voorgestelde juridische constructie verworpen, en de interne veiligheidsanalyse concludeert dat technische maatregelen de toegang van de leverancier tot de data structureel niet kunnen uitsluiten. De ACM heeft de overname goedgekeurd op mededingingsgronden. Het BTI-onderzoek loopt nog, maar heeft nog geen besluit opgeleverd. De contractverlenging is intern besloten maar nog niet ondertekend.
De enige route die nog realistisch is binnen de tijdslimiet, is een kortgeding bij de rechtbank Rotterdam, waarnaar het lopende beroep van Privacy First is doorverwezen en die bekend staat om een kritische blik op het openbaar bestuur. Een rechter in kortgeding kan de ondertekening schorsen als aannemelijk is dat de Staat onrechtmatig handelt. De grondslagen zijn meervoudig: het niet tijdig informeren van de Kamer over het besluit van 27 maart, het achterhouden van de interne veiligheidsanalyse, het ontslaan van de functionaris die intern waarschuwde, en het ontbreken van een toetsingsbesluit op nationale veiligheid terwijl de CLOUD Act, FISA en Executive Order 12333 structureel van toepassing zijn op de overnemende partij.
De kans van slagen is onzeker. Maar de vraag of er een eisende partij is die dit vandaag of morgen aanhangig maakt, is urgenter.
Slot
Het verhaal dat de overheid vertelt is het verhaal van continuïteit. DigiD moet beschikbaar blijven. Migratie kost tijd. De toezichthouders doen hun werk. Kyndryl is betrouwbaar.
Elk van die stellingen is op zichzelf verdedigbaar. Samen vormen ze een scherm dat de werkelijke kwestie aan het zicht onttrekt.
De werkelijke kwestie is dat de toegang van 17 miljoen individuele Nederlanders tot overheidsdiensten afhankelijk wordt gemaakt van infrastructuur die, als de overname doorgaat, beheerd wordt door een entiteit onder Amerikaanse jurisdictie. Dat de data fysiek in Nederland staat, verandert daar niets aan. De CLOUD Act gaat niet over waar data staat. Hij gaat over wie de baas is. Microsoft heeft dat in Frankrijk gezegd. Kyndryl heeft het in Den Haag niet gezegd.
Die jurisdictionele verschuiving is stil. Ze veroorzaakt geen uitval en is niet zichtbaar op het moment dat ze plaatsvindt. Onder FISA en Executive Order 12333 hoeft ze ook daarna niet zichtbaar te worden: er is geen kennisgeving, geen spoor, geen moment waarop een betrokkene kan vaststellen dat er iets is gevorderd. De verschuiving is alleen merkbaar als iemand er bewust voor kiest haar zichtbaar te maken. Dat is tot nu toe niet gebeurd maar de bevoegdheid bestaat, en bevoegdheden die bestaan, worden gebruikt.
De Nederlandse rechtsgeschiedenis kent een lange lijn van arresten waarin begrippen functioneel werden geïnterpreteerd op het moment dat de wet de werkelijkheid niet meer bijhield, van elektriciteit in 1921 tot virtuele goederen in 2012, van grondrechten in de digitale ruimte tot de bescherming van EU-burgers tegen buitenlandse surveillance in Schrems II. Steeds was de kern dezelfde: de formele categorie doet er minder toe dan het feitelijke effect. Die jurisprudentiële lijn loopt rechtstreeks naar de vraag die nu voorligt. Of een rechter die stap zet in een bestuurlijk geding over de reikwijdte van een limitatieve wet, is onzeker. Maar de vraag is gesteld. En de feiten liggen op tafel.
Het eigenlijke gat zit niet in de wet. Het zit in het beleid dat er aan voorafging. En in het nalaten om dat beleid tijdig te toetsen aan de werkelijkheid die het had moeten beschermen.
Overweging
De discussie over de overname van Solvinity door Kyndryl is gevoerd als een politiek debat. Dat is begrijpelijk, maar het verdoezelt iets. Onder de politieke oppervlakte liggen juridische vragen die niet verdwijnen als het debat verstomt.
De eerste is een vraag over de continuïteit van de Staat. In het Nederlandse en Europese staatsrecht geldt als vaststaand beginsel dat de Staat als rechtspersoon doorloopt ongeacht de samenstelling van het kabinet. Grondrechtelijke beschermingsverplichtingen rusten op de Staat, niet op een zittend kabinet. Dat een ambtelijke dienst in het voorjaar van 2025 heeft besloten niet te escaleren, dat een kabinetswissel de continuïteit van dat besluit heeft geborgd zonder politieke toetsing, en dat het nieuwe kabinet de erfenis heeft aanvaard zonder het besluit opnieuw te wegen, vormt samen geen rechtvaardiging. Het is een beschrijving van hoe een structurele beschermingsplicht onbeheerd is gebleven. Het EHRM heeft in een reeks arresten over artikel 8 EVRM bepaald dat de overheid actief moet ingrijpen om grondrechtelijke risico's te voorkomen, ook als die risico's geleidelijk ontstaan en geen directe aanleiding vormen voor ingrijpen. Een jurisdictionele verschuiving die stil plaatsvindt is precies zo'n risico. Kabinetten wisselen. De beschermingsplicht niet.
De tweede vraag betreft de richting van het recht. De Cyberbeveiligingswet, de Nederlandse implementatie van de Europese NIS2-richtlijn, erkent cloudproviders die kritieke overheidsdiensten ondersteunen als essentiële entiteiten die bijzondere bescherming verdienen. Die erkenning bestaat. De overheid heeft het antwoord al gegeven op de vraag of een bedrijf als Solvinity essentieel is voor de nationale digitale infrastructuur. Ze heeft alleen nog niet de consequentie getrokken die dat antwoord vereist. De Cbw regelt geen overnames en biedt geen toetsingsgrondslag voor eigendomswijzigingen. Maar de materiële spanning is er: als de wetgever erkent dat dit type entiteit essentieel is, is het juridisch steeds moeilijker houdbaar om tegelijkertijd te stellen dat een overname van zo'n entiteit door een buitenlandse partij buiten elk toetsingskader valt. Die spanning is geen formele tegenstrijdigheid. Het is het type materiële inconsistentie waarmee rechters leemten dichten, en waarmee wetgevers worden gedwongen te kiezen.
De derde vraag is de meest fundamentele. Het gat in de wet is gedicht noch door de wetgever, noch door het bestuur, noch door de rechter. Het raam om dat alsnog te doen binnen deze casus is op 6 mei gesloten. Maar de vraag die de casus heeft opgeworpen, sluit niet op die datum. Ze luidt: wie bewaakt de bewakers van de digitale identiteit van de burger? Het antwoord dat de overheid tot nu toe heeft gegeven is onvolledig. Het recht heeft daar nog niets definitiefs over gezegd.
Dat is geen geruststellende conclusie. Het is een uitnodiging aan de rechter, de wetgever, en uiteindelijk de burger om te bepalen waar de grens ligt tussen markt en soevereiniteit, en wie daarover het laatste woord heeft.
Dit artikel is gebaseerd op openbare bronnen, Kamerstukken, rechterlijke uitspraken en parlementaire verslagen. De feitelijke beweringen van Van Oordt en Voorbraak zijn op dit moment onderwerp van juridische procedures en zijn als zodanig gepresenteerd. De analyse is op persoonlijke titel.