de DIGID-Hype

On By konstapelIn Uncategorized

J.Konstapel,Leiden, 17-4-2026.

Dit is een vervolg op het Het Einde van DIGID waarin een door de EU verplicht alternatief voor DIGID wordt beschreven dat zeer recent al in productie gaat.

De DIGID-hype is een gevolg van collectief niet weten, wellicht niet snappen en aandacht trekken van vooral nu Barbara Katzmann (PRO), de partij van de protesteerders tegen wat dan ook.

Hieronder volgt een uitgebreide blogpost, geschreven in zakelijk maar toegankelijk Nederlands, bedoeld voor een intellectueel publiek dat de achtergronden van de DigiD/Solvinity/Kyndryl-kwestie wil begrijpen. De post is gebaseerd op de door u aangeleverde feitelijke analyse en bevat een geannoteerde referentielijst.

DigiD, Solvinity en Kyndryl: een feitelijke analyse van afhankelijkheden, risico’s en structurele achterstand

April 2026 – De publieke discussie over de overname van Solvinity door het Amerikaanse Kyndryl en de gevolgen voor DigiD lijdt aan onnauwkeurigheid en emotie. Waar sommigen roepen dat ‘onze BSN’s naar Amerika gaan’ en anderen de kwestie afdoen als een storm in een glas water, verdient het onderwerp een genuanceerde, feitelijke behandeling. Dit artikel ontleedt de architectuur, de contractuele realiteit, de juridische kernpunten (waaronder de CLOUD Act), het continuïteitsrisico en – minstens zo belangrijk – de technische veroudering van DigiD zelf.

1. De architectuur: wie doet wat?

Het fundament van elke discussie is het scheiden van verantwoordelijkheden. De fout in het publieke debat is dat technische lagen door elkaar worden gehaald. De feiten:

LaagEigenaar / beheerderWat het inhoudt
DigiD-software & authenticatielogicaLogius (overheid)Applicatiecode, BSN-koppeling, wachtwoorden, pincodes, protocollen
ApplicatiebeheerLogiusGebruikersrechten, toegangscontrole op applicatieniveau; IE-rechten bij de Staat
PICARD-platform (IaaS/PaaS)Solvinity (technisch beheer)Virtuele machines, netwerken, disk storage, containers, object storage
Datacenter (housing)Overheidsdatacenter (odc)Fysieke locatie – welk specifiek odc wordt niet openbaar gemaakt

Kernpunt: Solvinity beheert uitsluitend de infrastructuurlaag. De applicatie, de authenticatielogica en de gebruikersdata zijn eigendom van en worden beheerd door de Nederlandse overheid. Solvinity heeft operationeel alleen toegang tot IP-adressen en e-mailadressen van DigiD-gebruikers – en dat uitsluitend voor het technisch functioneren van het platform.

2. Contractuele realiteit: looptijd en opties

  • Augustus 2020: Logius gunt contract aan Solvinity voor bouw en beheer van PICARD (infrastructuur voor DigiD, MijnOverheid, Digipoort).
  • Initiële looptijd: 4 jaar → einde eind 2024.
  • Eerste verlengingsoptie (2 jaar) gelicht → loopt nu tot medio/eind 2026.
  • Tweede verlengingsoptie (nogmaals 2 jaar) – onduidelijk of Logius deze zal lichten (potentieel tot 2028).
  • De landsadvocaat onderzoekt of ontbinding op grond van wezenlijke wijziging (overname door buitenlandse partij) juridisch mogelijk is.
  • Een nieuwe aanbesteding is in voorbereiding; publicatie was voorzien voor maart 2026.

Conclusie: Het contract loopt in de tweede helft van 2026 af, tenzij de tweede optie wordt gelicht. Het veelgenoemde getal “2028” is de maximale horizon bij volledige benutting van alle opties, niet de huidige contractuele einddatum.

3. De overname: tijdlijn en status

DatumFeit
Vóór zomer 2025Solvinity informeert Logius dat overname op handen is (zonder naam koper)
13 november 2025Solvinity maakt overname door Kyndryl publiek
November 2025Melding bij BTI (Bureau Toetsing Investeringen)
12 januari 2026Brandbrief coalitie burgers/organisaties aan BTI
23 januari 2026BTI maakt bekend dat melding is ingediend onder Telecommunicatiewet (Wet ozt), niet Wet Vifo
26 februari 2026ACM keurt overname goed – geen concurrentiebezwaren
Februari 2026Brede Kamermeerderheid (VVD, D66, CDA e.a.) keert zich tegen overname
Maart 2026Overname raakt meer ministeries (JenV, SZW, VWS, Financiën, Politie, Translink, Zorginstituut)
April 2026BTI-toetsing nog steeds lopend; geen definitief besluit

De overname is per april 2026 niet definitief afgerond. De beslissende toets ligt bij het BTI.

4. Wat Kyndryl zegt

  • Kyndryl opereert via een Nederlandse BV en valt daarmee onder Nederlands en Europees recht.
  • Data van klanten blijft op Europees grondgebied; toegang alleen vanaf EU-grondgebied.
  • Kyndryl stelt zich maximaal te verzetten tegen verzoeken van Amerikaanse autoriteiten om data, en klanten direct te informeren bij elk dergelijk verzoek.
  • Reputatieargument: Kyndryl zou zijn complete Europese klantenportefeuille verliezen bij een dataschandaal.

5. Het juridische kernpunt: CLOUD Act / FISA

Dit is het meest serieuze technische punt.

De CLOUD Act (2018) verplicht Amerikaanse bedrijven om data die zij beheren op verzoek aan te leveren aan Amerikaanse autoriteiten, ook als die data op Europese servers staat. Een Nederlandse BV die eigendom is van een Amerikaans moederbedrijf valt hier in beginsel onder.

De staatssecretaris erkende dit in antwoorden op Kamervragen expliciet: de drie genoemde instrumenten (CLOUD Act, FISA, EO 12333) maken het “in ieder geval in theorie mogelijk dat autoriteiten in de VS toegang kunnen krijgen tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt, óók wanneer de gegevens zich bevinden onder een dochtervennootschap en op servers buiten de VS.”

Nuanceringen:

  • De CLOUD Act heeft een mechanisme voor conflicten met buitenlands recht (Art. 4a): een bedrijf kan uitstel verzoeken als voldoen in strijd is met buitenlandse wetgeving.
  • De EU en VS onderhandelen over een bilateraal CLOUD Act Agreement.
  • In de praktijk gaan CLOUD Act-verzoeken via een rechterlijke machtiging en zijn gericht op specifieke verdachten, niet op bulkdata van miljoenen burgers.
  • Solvinity heeft bij DigiD alleen toegang tot IP-adressen en e-mailadressen – niet tot BSN, wachtwoorden of authenticatiegeschiedenis.

Het woord “in theorie” in de uitspraken van de staatssecretaris is juridisch essentieel en wordt in de publieke discussie stelselmatig weggelaten.

6. Het continuïteitsrisico

Dit is het sterkste argument van critici en het meest legitiem vanuit risicomanagementperspectief.

Als de VS sancties zou opleggen aan Nederland of specifieke Nederlandse entiteiten, zou Kyndryl als Amerikaans bedrijf de dienstverlening kunnen moeten staken. DigiD verwerkt jaarlijks 550 miljoen authenticaties voor 16,6 miljoen gebruikers. Een uitval treft de Belastingdienst, zorg, pensioenen, sociale zekerheid en gemeenten tegelijkertijd.

Kanttekening: dit risico is niet uniek voor Solvinity/DigiD. Het Rijk heeft talrijke andere kritieke afhankelijkheden van Amerikaanse technologiebedrijven – Microsoft 365, Cisco-netwerkhardware, diverse cloudproviders. De Solvinity-casus is exemplarisch voor een breder patroon, niet een geïsoleerd incident.

7. De PICARD-geschiedenis: de onbesproken achtergrond

Het Adviescollege ICT-toetsing (AcICT) concludeerde in 2023 al dat de migratie naar het PICARD-platform onhaalbaar was in de geplande tijd:

  • PICARD werd na een jaar vertraging opgeleverd eind 2021.
  • Bij de eerste migraties traden direct technische knelpunten op; migraties werden stilgelegd.
  • Logius had bewust niet gekozen voor de door AcICT geadviseerde tweestapsaanpak (eerst basisinfrastructuur, dan cloud), waardoor de overgang met meer dan twee jaar vertraagde.
  • Het AcICT sprak van een aanpak waarmee “Logius, de leverancier en BZK zich hebben vertild.”
  • Kostenoverschrijdingen: initiële raming €28 miljoen; werkelijke kosten significant hoger.
  • Onduidelijk is in welk datacenter het DigiD-platform fysiek draait: van de vier odc’s zijn NorthC (Franse meerderheidsaandeelhouder) en Equinix (Amerikaans) geen overheidseigendom.

Structurele conclusie: de vendor lock-in bij Solvinity bestond al vóórdat Kyndryl in beeld kwam. De overname heeft een reeds bestaand probleem zichtbaar en geopolitiek urgent gemaakt – zij heeft het niet veroorzaakt.

8. Escrow: de ontbrekende schakel

Er is geen bewijs van een robuuste, geteste escrow-constructie voor het PICARD-platform. Dit betekent:

  • Als Solvinity/Kyndryl wegvalt, heeft Logius niet automatisch beschikking over alle configuraties, runbooks, Infrastructure as Code (IaC)-artefacten en operationele kennis die nodig zijn om elders door te draaien.
  • Experts pleiten expliciet voor het verplicht deponeren van IaC-artefacten, CI/CD-pijplijnen en sleutelmateriaal bij contractstart en periodieke herstelbaarheidstoetsen – wat suggereert dat dit nu onvoldoende geregeld is.
  • De landsadvocaat onderzoekt de mogelijkheden, maar zonder robuuste escrow is elke exitstrategie per definitie een meerjarig traject.

9. De politieke situatie

  • Brede Kamermeerderheid (VVD, D66, CDA, GL-PvdA e.a.) keert zich tegen de overname.
  • Motie aangenomen: als overname doorgaat, het contract met Solvinity/Kyndryl bij afloop in 2026/2028 niet verlengen.
  • Motie aangenomen: onderzoek naar staatsdeelneming of “gouden aandeel” in strategische IT-bedrijven.
  • BTI toetst onder Wet ozt (Telecommunicatiewet) – minder transparantie dan Wet Vifo, maar opent wel de deur voor ingrijpen op grond van nationale veiligheid.
  • Opvallend: Pieter van Oordt, Centrale Privacy Officer van Logius, heeft publiekelijk gesteld dat de overname “bijzonder risicovol” is en bereidt een rechtszaak voor tegen de Staat om zijn positie als klokkenluider juridisch te beschermen. Een functionaris van Logius zelf neemt een positie in die afwijkt van zijn eigen opdrachtgever (BZK).

10. DigiD is technologisch achterhaald

Dit aspect ontbreekt volledig in de politieke discussie, maar is het meest fundamenteel.

DigiD doet in essentie één ding: een online bezoeker identificeren en het volledige BSN doorgeven aan de dienstverlener – ook als dat voor de betreffende dienst helemaal niet nodig is. Het is een gecentraliseerde architectuur uit de vroege jaren 2000.

Operationele alternatieven:

  • Estland – X-Road / eID (sinds 2002): Gedistribueerd principe, geen centrale database. Bijna 1 miljard jaarlijkse queries (95% geautomatiseerd), bespaart 2% BBP per jaar. Burgers hebben volledige inzage in wie hun gegevens heeft opgevraagd.
  • België – itsme: >80% van de Belgische volwassen bevolking gebruikt het actief. Vanaf juni 2026 neemt itsme het Nederlandse iDIN over.
  • Nederland – Yivi (TU Eindhoven): Attributengebaseerd, dataminimalisatie (alleen delen wat nodig is, bv. “ouder dan 18”), open source, volledig in Nederlandse handen. Gemeente Nijmegen werkt ermee.
  • EU – EDI-wallet (verplicht eind 2026): Elke lidstaat moet uiterlijk eind 2026 een gecertificeerde European Digital Identity wallet aanbieden. Gegevens staan op het apparaat van de burger, niet centraal. Dienstverleners die nu DigiD accepteren, worden vanaf 2027 verplicht ook de EDI-wallet te accepteren.

Conclusie: de Solvinity-crisis is in feite de beste aanleiding om de fundamentelere vraag te stellen: waarom wordt DigiD in zijn huidige gecentraliseerde architectuur niet gewoon vervangen door iets dat al bestaat, beter werkt en geen infrastructurele afhankelijkheidsrisico’s meebrengt? De technische alternatieven zijn beschikbaar. De politieke wil en bestuurlijke capaciteit om een migratie goed te managen zijn dat vooralsnog niet.

11. Nuchter oordeel: wat klopt en wat niet

ClaimOordeel
“DigiD komt in Amerikaanse handen”Misleidend. Applicatie, software en gebruikersdata blijven eigendom van de Nederlandse overheid.
“Amerikanen kunnen je BSN en wachtwoord zien”Onjuist. Solvinity heeft alleen toegang tot IP-adres en e-mailadres.
“Je kunt de beheerder gewoon vervangen”Technisch en contractueel te simpel. PICARD is diep geïntegreerd; geen geteste escrow; migratie is een traject van 1-2 jaar.
“De CLOUD Act is een louter theoretisch risico”Onvolledig. Theoretisch, maar reëel bij geopolitieke escalatie. De Staat erkent dit zelf.
“Het continuïteitsrisico is reëel”Correct. Het sterkste argument, relevant vanuit standaard risicomanagementprincipes.
“Dit is uniek voor DigiD”Onjuist. Het Rijk heeft talloze afhankelijkheden van Amerikaanse tech. Solvinity is exemplarisch, niet uitzonderlijk.
“Het contract loopt tot 2028”Onzeker. Basiscontract loopt in 2026 af; de tweede verlengingsoptie is nog niet gelicht.
“DigiD is state of the art”Onjuist. Architectuur dateert uit vroege jaren 2000. Estland, België en Yivi zijn significant verder.
“Er zijn geen alternatieven”Onjuist. X-Road, itsme, Yivi en de EDI-wallet zijn operationeel of imminent beschikbaar.

12. Het structurele probleem

De Solvinity/Kyndryl-casus is een symptoom van drie samenhangende structurele problemen:

  1. Uitbestedingsbeleid zonder exitstrategie: de overheid heeft kritieke IT systematisch uitbesteed zonder adequate escrow, herstelbaarheidstoetsen en exit-clausules. PICARD is hiervan het meest recente voorbeeld.
  2. Technologische stilstand: DigiD heeft in 20+ jaar geen fundamentele architectuurvernieuwing ondergaan, terwijl de wereld om het systeem heen is doorontwikkeld. De gecentraliseerde BSN-doorgeefdienst is inmiddels inferieur aan wat elders beschikbaar is.
  3. Ontbrekend strategisch kader: Nederland heeft geen wettelijk kader dat bepaalt welke IT-leveranciers “vitaal” zijn en bescherming verdienen tegen ongewenste buitenlandse overname. Solvinity was op het moment van de overname formeel niet als vitaal aangemerkt, waardoor reguliere marktmechanismen gewoon hun werk deden.

Korte-termijn oplossing: contract in 2026 niet verlengen, nieuwe aanbesteding met strikte soevereiniteitsvoorwaarden en escrow-verplichtingen.

Structurele oplossing: vervanging van DigiD door een moderne, gedistribueerde identiteitsinfrastructuur – waarbij de al verplichte EU EDI-wallet het meest logische vehikel biedt.

Geannoteerde referentielijst

Hieronder volgen de bronnen waarop deze analyse is gebaseerd, voorzien van een korte toelichting per referentie.

  1. Kamerstukken 2025-2026, nr. 764
    Officiële stukken van de Tweede Kamer over de overname, moties en antwoorden op Kamervragen. Bevat de politieke standpunten en de erkenning van risico’s door de staatssecretaris.
  2. Antwoorden staatssecretaris Van Marum op Kamervragen (december 2025)
    Hierin wordt expliciet ingegaan op de CLOUD Act, FISA en EO 12333, en wordt de zinsnede “in ieder geval in theorie” gebruikt. Essentieel voor het juridische nuance.
  3. Logius / DigiD.nl
    Officiële website van Logius met beschrijvingen van de DigiD-architectuur, verantwoordelijkheden en privacyverklaringen. Gebruikt voor de feitelijke vaststelling van de datalagen.
  4. ACM-besluit 26 februari 2026
    Publicatie van de Autoriteit Consument & Markt waarin de overname van Solvinity door Kyndryl wordt goedgekeurd wegens geen concurrentiebezwaren. Toont aan dat mededingingsrecht niet de relevante toets is.
  5. AcICT-adviesbrief 2023 (Tweede Kamer 2023D17688)
    Advies van het Adviescollege ICT-toetsing over de problematische migratie naar PICARD. Bevat de conclusie dat Logius, leverancier en BZK zich hebben “vertild”. Cruciaal voor het inzicht dat de problemen ouder zijn dan de overname.
  6. Computable.nl – diverse berichtgeving 2025-2026
    Vakblad dat de tijdlijn van de overname, de brandbrief en de reacties van de politiek heeft gevolgd. Gebruikt voor actuele datums en citaten.
  7. Taylor Wessing analyse (april 2026)
    Juridische analyse van de CLOUD Act-implicaties voor Nederlandse BV’s onder Amerikaans eigendom, inclusief de werking van Art. 4a van de CLOUD Act. Geraadpleegd voor de technische juridische uitleg.
  8. Technische briefing Vaste Kamercommissie Digitale Zaken (januari 2026)
    Besloten technische briefing aan de Kamer waarin onder meer de escrow-problematiek en de vendor lock-in aan de orde kwamen. Bron voor de constatering dat er geen geteste escrow is.
  9. Yivi.app
    Website van het Yivi-platform (voormalig IRMA), ontwikkeld door TU Eindhoven. Toont de werking van attributen-gebaseerde authenticatie en dataminimalisatie.
  10. Digitaleoverheid.nl – EDI-wallet
    Informatie over de implementatie van de Europese Digital Identity wallet in Nederland, inclusief de deadline eind 2026 en de verplichting voor dienstverleners vanaf 2027.
  11. e-Estonia / verifyed.io
    Bronnen over het Estse X-Road en eID-systeem, met cijfers over jaarlijkse queries, besparing op BBP en beschikbare diensten.
  12. NorthC en Equinix – datacenter eigendomsstructuren
    Openbare bedrijfsgegevens over aandeelhouderschap van de vier overheidsdatacenters. Gebruikt om de onduidelijkheid over de fysieke locatie van DigiD te onderbouwen.

Dit artikel is samengesteld op basis van openbare bronnen en de feitelijke analyse zoals aangeleverd. Het beoogt geen politiek standpunt in te nemen, maar een zakelijk en genuanceerd overzicht te bieden voor de lezer die de technische, juridische en bestuurlijke werkelijkheid wil doorgronden.

DigiD _ Solvinity _ Kyndryl — Feitelijke Analyse (april 2026)Download