Afbeelding

Wat is er gebeurd?

Op 22 april 2026 nam de Tweede Kamer — met een meerderheid van GroenLinks-PvdA, SP en andere partijen — een motie aan die het kabinet dringend opriep het DigiD-contract bij Solvinity weg te halen zodra de overname door het Amerikaanse Kyndryl doorgaat. Drie dagen later, op 25 april, informeerde staatssecretaris Eric van der Burg (BZK) de Kamer dat dit niet zou gebeuren. Het contract wordt twee jaar verlengd. Pas in 2028 komt er een nieuwe aanbesteding.

DigiD is de digitale identiteitsinfrastructuur van Nederland. Via dit systeem regelen 14 tot 18 miljoen burgers hun belastingaangifte, zorgpolis, uitkering, pensioen en studiefinanciering. Logius — het agentschap van het ministerie van BZK — beheert DigiD operationeel. De feitelijke cloudhosting en dataopslag waren jarenlang in handen van Solvinity, oorspronkelijk een Nederlands bedrijf. Solvinity is inmiddels al deels Brits. De volgende stap — overname door het Amerikaanse Kyndryl — zou de data van alle Nederlanders juridisch onder de Amerikaanse CLOUD Act brengen.

De CLOUD Act (Clarifying Lawful Overseas Use of Data, 2018) verplicht Amerikaanse bedrijven om op verzoek van de Amerikaanse overheid data te verstrekken, ongeacht waar die data fysiek is opgeslagen. Voor DigiD-data — burgerservicenummers, fiscale informatie, zorggegevens — betekent dit dat een buitenlandse mogendheid juridisch aanspraak kan maken op informatie over iedere ingezetene van Nederland.

Wat het diagram laat zien.

Logius publiceert op haar eigen site een architectuurdiagram van DigiD. Dat diagram toont twee flows: (A) DigiD aanvragen en (B) Inloggen met DigiD. Centraal in beide flows staat één oranje blok: "Infrastructuur platform beheerd door Solvinity." Zowel de aanvraagflow als de inlogflow — elk bestaande uit drie stappen — passeren dit platform. Elke aanvraag, elke identiteitscontrole, elke inlogsessie gaat er doorheen.

Diezelfde Logius-pagina stelt: "Solvinity levert het platform waar DigiD op draait... Dit maakt Solvinity een leverancier van DigiD, niet eigenaar." En: "Solvinity ontvangt het IP-adres en e-mailadressen van mensen met een DigiD-account."

Een platform dat elke aanvraag en elke inlogsessie van 14 miljoen burgers verwerkt is geen randverschijnsel. Het is de ruggengraat. De bagatelliserende tekst en het diagram vertellen een ander verhaal.

Intern bij Solvinity: onrust en advocaten.

Volgens berichtgeving in Trouw werd de CPO van Solvinity ontslagen. Er lekten interne documenten naar het ministerie van BZK. Strafrechtadvocaten zijn ingeschakeld. De details zijn nog schaars — maar de timing en de aard van de signalen passen in een patroon van een organisatie onder druk, juist op het moment dat haar toekomst als DigiD-ruggengraat ter discussie staat.

Waarom dit ertoe doet

Dit is niet alleen een technisch inkoopvraagstuk. Het is een democratisch probleem, een privacyprobleem en een soevereiniteitsprobleem tegelijk.

De democratische doorbreking. Een meerderheid van de Tweede Kamer heeft expliciet gevraagd het contract niet te verlengen. De staatssecretaris heeft dit genegeerd. Dit is parlementair gezien problematisch: de uitvoerende macht passeert de controlerende functie van de Kamer in een zaak die raakt aan de digitale grondrechten van alle burgers.

Vijf jaar zonder volwaardige DPIA — en Logius erkent het zelf.

Gastexpert Mick Beer, onafhankelijk privacyonderzoeker, publiceerde op 17 april 2026 bevindingen die een structureel ander beeld schetsen van hoe Logius met privacywetgeving omgaat.

In het eigen document "Gegevensverwerkingen DigiD" stelt Logius letterlijk: "Na invoering van de AVG, in 2018, is er niet direct een nieuwe DPIA uitgevoerd, omdat de eerder uitgevoerde PIA's voldoende inzicht gaven." Die PIA's dateerden uit 2017 — gemaakt vóór de AVG, onder de Wet bescherming persoonsgegevens. AVG art. 35 verplicht een volwaardige privacy-impactanalyse voor verwerkingen met hoog risico. DigiD verwerkt de digitale identiteit van de gehele Nederlandse bevolking. Het risicoprofiel is buiten kijf.

Een DPIA-achtig document is weliswaar opgenomen in het AVG-register rijksoverheid — maar dit verwijst vrijwel zeker naar dezelfde pre-AVG documentatie. De nuance: Logius kan formeel claimen "er was een assessment". Materieel was het geen AVG-conforme DPIA. Beer's conclusie — vijf jaar zonder volwaardige AVG-DPIA — is correct. Pas in 2023 kondigde Logius een nieuwe DPIA aan. Per april 2026 is die niet publiek beschikbaar.

Tracking zonder toestemming.

Beer documenteerde bovendien dat digid.nl Matomo trackingcookies plaatst (pkid, levensduur 13 maanden) bij het eerste bezoek — vóór enige interactie of toestemming. Er is geen cookiebanner, geen opt-in. De tracking volgt de gebruiker door de volledige journey: homepage → inlogpagina → MFA → MijnDigiD-dashboard. Dit is direct in strijd met Telecommunicatiewet art. 11.7a, die opt-in vereist voor niet-functionele cookies.

De CLOUD Act-blootstelling. Zodra Kyndryl eigenaar wordt van Solvinity, valt alle data die Solvinity beheert potentieel onder de Amerikaanse CLOUD Act. Er zijn geen contractuele clausules of GDPR-bepalingen die een formeel Amerikaans rechtelijk verzoek volledig blokkeren. Het kabinet heeft geen juridische redenering gepubliceerd waarom dit risico acceptabel is.

Het signaaleffect. De keuze om de Kamer te passeren én het contract te verlengen stuurt een duidelijk signaal naar de markt: er zijn geen consequenties voor het niet-voldoen aan soevereiniteitseisen. Dat verzwakt elk toekomstig aanbestedingsbeleid.

Beleidscontext

Vier juridische en beleidsmatige kaders bepalen de context.

AVG art. 35 en de ontbrekende DPIA. De AVG verplicht verwerkingsverantwoordelijken tot een data protection impact assessment bij verwerkingen met hoog risico. Logius had deze verplichting na mei 2018 direct moeten naleven. In plaats daarvan opereerde het systeem vijf jaar op pre-AVG documentatie. De toezichthouder — de Autoriteit Persoonsgegevens — heeft tot op heden geen handhavingsactie gepubliceerd. Dat is een open vraag voor de AP.

Telecommunicatiewet art. 11.7a. Dit artikel verbiedt het plaatsen van niet-functionele cookies zonder voorafgaande toestemming. Trackingcookies met een levensduur van 13 maanden, geplaatst vóór enige interactie, vallen hieronder. De DDTC (Digital Trust Center) en ACM zijn de handhavende instanties. De bevinding van Beer is concreet genoeg voor een klacht.

NIS2-richtlijn (Network and Information Security Directive 2). Per oktober 2024 verplicht NIS2 aanbieders van essentiële diensten tot aantoonbaar risicomanagement van hun leveranciersketen. DigiD kwalificeert onmiskenbaar als essentiële dienst. Het structureel uitbesteden van DigiD-hosting aan een entiteit met CLOUD Act-blootstelling verdient een expliciete NIS2-risicobeoordeling — die het kabinet niet publiek heeft gemaakt.

EU digitale autonomie-agenda. De Europese Commissie heeft in haar Digital Decade-strategie (2030) en de European Chips Act expliciete doelen voor digitale soevereiniteit geformuleerd. GAIA-X — het Europese cloudproject — is deels een reactie op precies dit soort afhankelijkheden. Nederland is formeel mede-initiatiefnemer van GAIA-X. Het verlengen van een contract dat potentieel CLOUD Act-blootstelling creëert, staat haaks op de positie die Nederland in Brussel inneemt.

Wat kunt u morgen doen?

  • 1Audit uw eigen CLOUD Act-blootstelling binnen 30 dagen. Inventariseer welke bedrijfsprocessen en klantdata lopen via Amerikaanse cloudproviders of dochtermaatschappijen van Amerikaanse bedrijven. Stel uw juridisch team de vraag: zijn er contractuele waarborgen die een CLOUD Act-verzoek blokkeren? Zo niet, breng dit als risico op de agenda van de Raad van Bestuur. De DigiD-casus maakt duidelijk dat zelfs de overheid dit risico jarenlang heeft onderschat.
  • 2Audit uw cookiebeleid en DPIA-status. De bevindingen van Mick Beer bij DigiD zijn niet uniek. Veel organisaties die publieke digitale diensten aanbieden hebben dezelfde structurele gebreken: cookies zonder opt-in, PIA's die niet zijn geactualiseerd na de AVG (2018), en DPIA's die formeel geregistreerd zijn maar materieel verouderd. Laat uw DPO een gap-analyse uitvoeren: zijn uw DPIA's AVG-conform? Worden er tracking-cookies geplaatst vóór toestemming? Dit zijn geen hypothetische risico's — het zijn de exacte issues waarop toezichthouders handhaven.
  • 3Volg de aanbesteding 2028 actief als kans of als risico. Het kabinet heeft aangekondigd dat per 2028 een nieuwe aanbesteding komt voor DigiD-hosting. Voor IT-dienstverleners en juridische adviseurs is dit een concrete marktkans. Voor organisaties die afhankelijk zijn van DigiD-integraties — zorgverzekeraars, pensioenfondsen, gemeenten — begin nu de gesprekken met Logius over wat continuïteit en eventuele migratie betekent voor uw systemen. Twee jaar gaat snel wanneer het om kritieke authenticatie-infrastructuur gaat.