Wat is er gebeurd?

Toen bekend werd dat Solvinity, het bedrijf dat DigiD host, zou worden overgenomen door Kyndryl, een Amerikaanse onderneming, reageerde de Tweede Kamer snel en in de volle breedte. Er kwamen moties, academici spraken van een bedreiging voor digitale soevereiniteit, en de toenmalige staatssecretaris Van Marum herriep eerdere uitspraken nadat hij had moeten toegeven dat persoonsgegevens in theorie bij Amerikaanse autoriteiten terecht konden komen. Pieter van Oordt, chief privacy officer van Logius, de overheidsorganisatie die DigiD beheert, luidde de klok toen hij onthulde dat de volledige interne risicoanalyse nooit met de Kamer was gedeeld.

Een interne veiligheidsanalyse van Logius, gedeeld met het ministerie van BZK op 24 november 2025, concludeerde dat het platform technisch niet zodanig dicht te zetten is dat de leverancier, Solvinity/Kyndryl dus, geen toegang meer heeft tot data en persoonsgegevens, en dat aanvullende mitigerende maatregelen dat niet veranderen. Dit meest kritische deel van de analyse ontbrak in de samenvatting die de Kamer ontving.

Het debat was serieus. De kritiek was terecht. Maar het bleef een Nederlands debat over een Nederlandse dienst voor Nederlandse burgers. Dat is precies het probleem.

De overname is overigens nog niet definitief. De ACM heeft de concentratietoets afgerond en ziet geen concurrentiebezwaren. De nationale veiligheidstoets door het Bureau Toetsing Investeringen (BTI) loopt echter nog. De overname kan pas doorgaan nadat het BTI zijn oordeel heeft uitgebracht. Dat oordeel is er op het moment van schrijven niet.

Opmerkelijk is dat de melding niet is gedaan onder de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo), maar onder de Wet ongewenste zeggenschap telecommunicatie. Dat onderscheid heeft een directe consequentie: de verplichting om de Europese Commissie en andere lidstaten te informeren — op grond van artikel 6(1) van de Europese FDI-screeningsverordening — is aan de Wet Vifo gekoppeld, niet aan de Telecomwet. Of de Commissie en betrokken lidstaten zijn geïnformeerd over deze specifieke overname, en op welke grondslag, is daarmee een open vraag die publiek niet is beantwoord.

DigiD binnen de Europese infrastructuur

DigiD is meer dan een inlogmiddel voor de Nederlandse overheid. Onder eIDAS, de Europese verordening die regelt dat burgers hun nationale digitale identiteit kunnen gebruiken in andere EU-lidstaten, heeft Nederland DigiD officieel aangemeld bij de Europese Commissie als erkend inlogmiddel. Dat betekent dat andere lidstaten DigiD moeten accepteren voor toegang tot hun eigen overheidsdiensten. En omgekeerd.

Met DigiD kan een Nederlander inloggen bij de Oostenrijkse Belastingdienst of zijn pensioen inzien bij een Belgisch pensioenfonds. En een Belg kan met het inlogmiddel Itsme inloggen bij de Nederlandse Sociale Verzekeringsbank of de Belastingdienst. Dat is de belofte van eIDAS: grenzen vervagen voor digitale overheidsdienstverlening.

Om dat mogelijk te maken, draait Nederland een zogenaamde eIDAS-node: een verplichte technische koppeling die authenticatieverzoeken vertaalt tussen het Nederlandse systeem en het Europese netwerk. Die node is de schakel tussen DigiD en de rest van Europa, en hij werkt in beide richtingen. Zonder die node is DigiD geen Europese dienst. Met die node is DigiD infrastructuur voor het hele continent, en die infrastructuur draait op systemen die Kyndryl beheert.

De route van een authenticatie Om te begrijpen wat dat betekent, is het nuttig te volgen wat er technisch gebeurt als een Belgische burger inlogt op een Nederlandse overheidsdienst. Denk daarbij aan de Belastingdienst, SVB, UWV en CJIB.

De Belgische burger opent de Nederlandse dienst en kiest voor authenticatie via eIDAS (1). De Belgische eIDAS-node stuurt een beveiligd authenticatieverzoek naar de Nederlandse eIDAS-node (2). Die node ontvangt het verzoek, controleert de geldigheid en vertaalt het naar een inlogverzoek voor DigiD (3). De Belgische burger logt in bij DigiD (4). DigiD bevestigt de identiteit aan de Nederlandse eIDAS-node (5), die het resultaat terugvertaalt naar het Europese formaat en doorstuurt naar de Belgische node (6), die de burger vervolgens toegang geeft.

Stap twee tot en met vijf van die keten passeren systemen die Kyndryl beheert.

Hetzelfde geldt voor de omgekeerde richting. Als een Nederlander met DigiD inlogt bij de Oostenrijkse Belastingdienst, passeert het verzoek eveneens de Nederlandse eIDAS-node op weg naar het Oostenrijkse systeem en op de terugweg. De node is in beide richtingen de Nederlandse poort voor Europees authenticatieverkeer.

Bij elke authenticatie die door die systemen loopt, ontstaat metadata. Geen inhoud, geen documenten, geen berichten, maar wel: een pseudoniem-identifier gekoppeld aan de persoon, het tijdstip van de authenticatie, het gevraagde betrouwbaarheidsniveau, de identiteit van de ontvangende dienst en het IP-adres van waaruit de authenticatie plaatsvond. Dat lijkt bescheiden, maar dat is het niet.

Wat de CLOUD Act hier betekent

De CLOUD Act, in 2018 door het Amerikaanse Congres aangenomen, bepaalt dat Amerikaanse autoriteiten data kunnen opvragen bij Amerikaanse bedrijven, ongeacht waar die data zich fysiek bevindt en ongeacht de nationaliteit van de betrokken persoon. Jurisdictie volgt de rechtspersoon, niet de serverlocatie. Kyndryl is een Amerikaanse rechtspersoon, en het feit dat een server in Nederland staat, verandert daar niets aan.

De CLOUD Act is slechts één instrument. Naast civielrechtelijke databevelen bestaan National Security Letters, administratieve bevelen van de FBI die geen rechterlijke goedkeuring vereisen en waarmee communicatie-metadata kan worden opgevraagd, en FISA Court orders, die surveillance op buitenlandse personen buiten de VS autoriseren zonder dat daarvoor individuele rechterlijke toetsing per doelwit nodig is. Al deze instrumenten kunnen worden gericht aan Kyndryl.

Wat deze instrumenten gemeen hebben: ze gaan vergezeld van een verplicht “gag-order”. Kyndryl mag niemand informeren, niet de Nederlandse overheid, niet de betrokken lidstaat, niet de burger wiens authenticatiedata is opgevraagd en niet de Europese Commissie.

Dat dit geen theoretische zorg is, bleek in juni 2025, toen Microsofts eigen Franse dochteronderneming onder ede voor de Franse Senaat verklaarde dat zij gegevenssoevereiniteit niet kan garanderen tegenover Amerikaanse autoriteiten, zelfs niet voor data die in Frankrijk is opgeslagen onder een Frans-gemarkeerd soeverein cloud-aanbod. Microsoft had eerder dezelfde beloften gedaan die Kyndryl nu doet, maar kwam daar op terug. Het verschil tussen deze belofte en de juridische werkelijkheid is groot.

Wat men kan doen met authenticatie-metadata Op dit punt is de gebruikelijke reactie: maar het gaat toch alleen om metadata, niet om de inhoud van wat iemand doet? Die redenering klopt niet meer.

Dat weten inlichtingendiensten al jaren, en de wetenschap heeft het inmiddels breed bevestigd. NSA-directeur Michael Hayden zei het in 2014 onomwonden: 'We kill people based on metadata.' De analytische waarde van verkeerspatronen is voor inlichtingendiensten geen bijproduct, maar hét product.

Authenticatie-metadata onthult gedrag. Niet wat iemand deed, maar dat iemand iets deed, wanneer, hoe vaak, in welke context en in combinatie met welke andere diensten. Een rechter die in een specifieke periode herhaaldelijk authenticeert bij een bepaalde overheidsdienst levert een patroon op dat inlichtingstechnisch betekenisvol is, zonder dat er ook maar één document is ingezien. Een journalist wiens authenticatiepatroon afwijkt van het gemiddelde op een moment dat een gevoelig dossier speelt, is identificeerbaar. Een politicus wiens activiteit buiten kantooruren oploopt in aanloop naar een beslissend stemmoment, valt op.

Op groepsniveau is de analytische waarde groter. Bulkanalyse van authenticatiepatronen over een populatie onthult gedragspatronen die niemand bewust heeft vrijgegeven en die via geen enkel ander kanaal zichtbaar zijn: wie authenticeert wanneer, voor welke diensten, vanuit welke regio's, op welk betrouwbaarheidsniveau. Dat is sociaal en politiek inzicht op schaal.

Het gebruik van dergelijke analyses is soms zichtbaar, soms niet. Gerichte surveillance laat vroeg of laat sporen na. Bulkanalyse voor inlichtingendoeleinden niet. De betrokkene weet niet dat er gekeken is, laat staan wat er is geconcludeerd. Dat is precies de reden waarom het argument dat er "toch niets te verbergen valt" hier niet volstaat: de vraag is niet of iemand iets verbergt, maar of een derde partij zonder toestemming, zonder kennisgeving en zonder rechtsmiddel een analytisch portret kan samenstellen van het gedrag van EU-burgers op schaal.

Betreffende opslag: de eIDAS-specificatie schrijft geen persistente logging voor van authenticatietransacties, maar elke productieopstelling van software op deze schaal genereert operationele logs. Dat is geen keuze, het is een technische noodzaak voor beschikbaarheid, foutafhandeling en beveiligingsmonitoring. Wat Logius en Kyndryl precies bewaren, hoe lang en onder welk beleid is niet publiek. Dat is op zichzelf al een probleem, en een WOO-verzoek bij Logius zou hier meer duidelijkheid moeten kunnen verschaffen.

Het debat mistte een aspect en het BTI dekt dat niet Het Nederlandse debat was inhoudelijk serieus en leidde tot een bijna kamerbrede motie. Van Oordt bracht intern naar buiten wat de ambtelijke top niet aan de staatssecretaris wilde voorleggen. Staatssecretaris Van Marum schreef de Kamer dat het onderzoek van de landsadvocaat uitwijst dat Solvinity na overname door Kyndryl 'binnen het bereik valt van bepaalde Amerikaanse wetgeving met extraterritoriale werking'. Die wetgeving omvat onder meer de CLOUD Act, FISA en Executive Order 12333, volgens een artikel in iBestuur.

Het BTI toetst nu of de nationale veiligheid in het geding is en bereidt het besluit voor, maar de bevoegdheid om de overname te verbieden of onder voorwaarden toe te staan ligt bij de minister van Economische Zaken. Die beslissing is gebonden aan de wettelijke criteria van de Telecomwet: een verbod vereist dat de minister motiveert waarom de overname het publiek belang bedreigt. Mitigerende maatregelen zijn het voornaamste alternatief voor een verbod maar, zoals de landsadvocaat bevestigde, kunnen die de CLOUD Act-blootstelling verkleinen, niet uitsluiten.

Maar het BTI-mandaat is nationaal. De Wet veiligheidstoets investeringen, fusies en overnames richt zich op risico's voor de Nederlandse nationale veiligheid. De vraag of andere EU-lidstaten belang hebben bij de uitkomst van deze toetsing, of hun burgers via de Nederlandse eIDAS-node worden geraakt, en of de Europese Commissie als toezichthouder op “notified eID-schemes” betrokken had moeten zijn, valt buiten dat mandaat.

Door het hele debat heen ging het over Nederlandse burgers, de Nederlandse overheid als opdrachtgever en de Nederlandse publieke dienstverlening. Dat is begrijpelijk. Maar de eIDAS-dimensie is in dat debat niet één keer in verband gebracht: niet in de Kamer, niet in de academische commentaren en niet in de media. Welke andere EU-lidstaten burgers hebben wier authenticaties door de Nederlandse eIDAS-node lopen, en of die lidstaten überhaupt weten wat er speelt zijn kwesties waar geen vragen over zijn gesteld.

De keuze voor de Telecomwet als juridische route heeft daarmee een effect dat buiten de Nederlandse grenzen reikt: noch de Telecomwet noch de Wet Vifo vraagt wat de overname betekent voor EU-burgers die via de Nederlandse eIDAS-node authenticeren. Die vraag valt buiten elk huidig toetsingskader.

Voldoet DigiD nog aan de eIDAS-beveiligingseisen? eIDAS verplicht lidstaten die een “notified eID-scheme” aanbieden tot naleving van substantiële beveiligingseisen. Die eisen zijn er niet voor niets: het hele systeem van wederzijdse erkenning rust op de aanname dat elk “notified scheme” voldoende beveiligd is om door andere lidstaten te worden vertrouwd.

Als de data die door de Nederlandse eIDAS-node wordt verwerkt juridisch afdwingbaar opvraagbaar is door een derde staat, zonder kennisgeving aan de Nederlandse overheid, de betrokken lidstaten of de betrokken burgers, voldoet dat scheme dan nog aan die beveiligingseisen?

Het antwoord is juridisch open. De eIDAS-verordening en de bijbehorende uitvoeringsbesluiten gaan niet expliciet in op de jurisdictie van infrastructuurbeheerders. Dat was in 2014, toen eIDAS werd aangenomen, een minder urgent vraagstuk dan het nu is. Maar de belofte van eIDAS is niet uitsluitend een technische belofte. Het is ook een juridische en politieke belofte van vertrouwen tussen lidstaten. Als die belofte een gat bevat ter grootte van de CLOUD Act, is dat een probleem van Europese omvang.

Weet de EU dit? De Europese Commissie werkt aan het Tech Sovereignty Package, inclusief de Cloud and AI Development Act. Er is brede politieke beweging richting minder afhankelijkheid van Amerikaanse cloudinfrastructuur voor gevoelige overheidssystemen.

De vraag verdient een preciezer antwoord dan simpelweg: nee. De Europese FDI-screeningsverordening verplicht lidstaten om de Commissie en andere lidstaten te informeren over bepaalde investeringstoetsingen. Maar die verplichting is gekoppeld aan meldingen onder de Wet Vifo. Omdat Solvinity en Kyndryl de melding hebben gedaan onder de Wet ongewenste zeggenschap telecommunicatie, is onduidelijk of de Europese notificatieplicht überhaupt is getriggerd. Als dat niet het geval is, weet de Commissie van deze transactie alleen wat zij via andere kanalen heeft opgepikt. Wat zij in elk geval niet heeft ontvangen, ongeacht de notificatie, is een analyse van wat de overname betekent voor de integriteit van de Nederlandse eIDAS-node als Europese authenticatie-infrastructuur.

Maar de Solvinity/Kyndryl-casus en de eIDAS-implicaties ervan zijn in geen enkel Europees debat bij naam genoemd, niet in het Europees Parlement, niet door de Commissie en niet door de relevante toezichtsorganen. De twee commissies die dit dossier zouden moeten behandelen, LIBE voor burgerlijke vrijheden en toezicht en ITRE voor industrie en technologie, hebben er voor zover bekend geen aandacht aan besteed.

Dat is opmerkelijk. De Commissie heeft een verantwoordelijkheid voor het toezicht op notified eID-schemes. Die verantwoordelijkheid omvat, of zou moeten omvatten, de vraag of de jurisdictie van een infrastructuurbeheerder een risico vormt voor de integriteit van het scheme. Die toetsing lijkt niet te hebben plaatsgevonden.

Dit stuk eindigt niet met een oordeel. Het eindigt met een reeks vragen die beantwoord moeten worden, door de Nederlandse overheid, door de Europese Commissie en door het Europees Parlement.

De uiteindelijke slotsom is dat de integriteit van het Europese systeem van wederzijds vertrouwen (eIDAS) een gat bevat ter grootte van de CLOUD Act. Zolang de jurisdictie van infrastructuurbeheerders een blinde vlek blijft in de toetsingskaders, staat de belofte van een soeverein Europees digitaal netwerk op het spel