Regie verloren, les geleerd

Het is een ingrijpend besluit, want de overheid grijpt hiermee rechtstreeks in de markt in. Nu het stof is neergedaald, is het goed om met een nuchtere blik terug te kijken. Niet om met de vinger te wijzen, maar om de juiste lessen te trekken.

Solvinity beheert DigiD en MijnOverheid, de digitale toegangspoort waarmee miljoenen Nederlanders bij hun belastingzaken, toeslagen en andere overheidsgegevens komen. Dat is geen gewone dienst, maar vitale infrastructuur. Juist daarom verdient deze casus een zorgvuldige evaluatie.

Een exit die er niet was

De eerste les is de meest fundamentele. Op het moment dat de overname speelde, bleek het niet mogelijk om binnen een redelijke termijn van Solvinity weg te migreren. Dat is geen detail, maar de kern van een continuïteitsprobleem. Als je voor een kritieke dienst afhankelijk bent van één leverancier, en je kunt die dienst niet binnen afzienbare tijd elders voortzetten, dan heb je geen werkelijke regie meer over je eigen infrastructuur.

Een basisregel in de informatiebeveiliging, terug te vinden in standaarden zoals ISO 27001, is dat je bij het uitbesteden van een kritieke dienst een geteste en werkende exit-strategie hebt. Mocht de leverancier omvallen of worden overgenomen, dan moet je elders verder kunnen. Rondom het debat werd pijnlijk duidelijk dat dit voor DigiD onvoldoende was geregeld.

Er bleek geen robuuste, geteste escrow-constructie te zijn voor de specifieke open-source stack waarop DigiD draait (in de stukken aangeduid als het PICARD-platform). Dat betekende dat Logius, de overheidsinstantie achter DigiD, bij een acute crisis niet direct kon beschikken over alle configuraties, runbooks en Infrastructure as Code-bestanden die nodig zijn om de systemen snel in een eigen datacenter of bij een andere partij in de lucht te brengen. Men moest op dat moment pas gaan inventariseren hoe die basisoverdracht technisch überhaupt vormgegeven zou moeten worden.

Daar komt bij dat het ook ontbrak aan kennis aan de kant van de overheid. Wie de techniek en de afhankelijkheden niet zelf doorgrondt, kan ook niet sturen. Het is veelzeggend dat dit geen nieuw inzicht is. De commissie Elias concludeerde in 2014 al dat de overheid onvoldoende grip en kennis had op haar eigen ICT-projecten. Ruim tien jaar later komt diezelfde conclusie terug. Er is in de tussentijd dus onvoldoende gedaan om die afhankelijkheid beheersbaar te maken.

Het zicht op de keten ontbrak

De tweede les sluit hier direct op aan: het centrale zicht op de toeleveringsketen ontbrak. De overheid ontdekte pas laat in het proces dat een vitale component van de nationale identiteitsinfrastructuur, via een commerciële tussenpartij, zo direct geraakt kon worden door buitenlandse wetgeving, zoals de Amerikaanse CLOUD Act.

Dat de overheid pas na de aankondiging van de overname een speciale taskforce moest optuigen om de risico's en contracten van de verschillende overheidsdiensten in kaart te brengen, zegt genoeg. De basisregistratie van kritieke IT-afhankelijkheden was simpelweg niet op orde. Men was de regie over de samenhang van de IT-architectuur kwijtgeraakt, waardoor basale risicoanalyses pas achteraf moesten worden opgesteld, onder grote politieke en maatschappelijke druk.

De overheid mag dingen samen organiseren

Hieronder ligt een principiëler punt, dat in het debat onvoldoende op de radar stond. De overheid bestaat juist bij de gratie van het vermogen om dingen gezamenlijk te organiseren voor de samenleving, en om daar voldoende regie op te voeren. Een digitale toegangspoort als DigiD is bij uitstek zo'n collectieve voorziening. Het idee dat de continuïteit en de zeggenschap daarover volledig van een commerciële markt afhankelijk mogen zijn, verdient een fundamentele heroverweging. Niet uit wantrouwen tegen die markt, maar omdat een publieke kerntaak een publieke vorm van regie vraagt.

Het Kamerdebat van 11 februari 2026 laat zien dat dit besef wel leefde, maar nog niet was vertaald in beleid. Kamerleden spraken er hun zorg uit dat cruciale digitale systemen in buitenlandse handen zouden komen. Het beeld dat Nederland aan een "bigtechinfuus" hangt viel, en er werd hardop nagedacht over manieren om de zeggenschap te beschermen, bijvoorbeeld via een constructie waarmee de belangrijke delen van een bedrijf in Nederlandse handen blijven. Ook klonk de oproep om digitale autonomie tot uitgangspunt te maken voor alle organisaties met een publieke taak. Tekenend is dat het kabinet het op dat moment te vroeg vond om over maatregelen na te denken, eerst moest het onderzoek af, en dat de uitwerking van een structurele visie aan een volgend kabinet werd gelaten. Daarmee bleef de regie precies daar liggen waar zij niet hoort: vooruitgeschoven in plaats van gevoerd.

De relaties zijn verhard

Dat de internationale context hierin een rol speelt, werd treffend verwoord door toenmalig minister Vincent Karremans (Economische Zaken). Tijdens de 42e vergadering van de Tweede Kamer op 11 februari 2026 zei hij:

"Het is uiteindelijk wel op te lossen door die wederzijdse afhankelijkheid, die balans in de economische relatie te creëren. Daar hebben we gewoon een aantal belangrijke stappen in te zetten. Nogmaals, de interne markt gaat niet alleen over het vergroten van welvaart of het behouden van de welvaart die we hebben, maar ook over geopolitiek en onze geopolitieke situatie. Want economie is en wordt de komende jaren nog veel meer geopolitiek."

Wat hieruit spreekt, is dat wederzijdse afhankelijkheid wordt gezien als de uitweg in een verhardende verhouding. Met andere woorden: de balans in de economische relatie is zodanig scheef geraakt dat het creëren van wederzijdse afhankelijkheid de manier wordt om er nog enige stabiliteit in te brengen. Dat is een eerlijke en verstandige analyse, maar tegelijk een veeg teken. Het laat zien hoe geopolitiek inmiddels doorwerkt tot in het beheer van onze meest alledaagse overheidsdiensten.

De kwetsbaarheid van de koper

Die geopolitieke werkelijkheid maakt de keuze van de beoogde koper extra relevant. Kyndryl, in 2021 afgesplitst van IBM, kende kort voor het verbod een uiterst woelige periode. Op 9 februari 2026 daalde de koers in één dag met ongeveer 55 procent, van 23,49 naar 10,59 dollar, waarmee zo'n 3 miljard dollar beurswaarde verdampte. De aanleiding was een opeenstapeling van problemen: een uitgestelde kwartaalrapportage, een onderzoek van de Amerikaanse toezichthouder SEC naar het cashmanagement, aangekondigde tekortkomingen in de interne beheersing en het per direct vertrek van de financieel directeur en de juridisch directeur. Inmiddels loopt er een collectieve aandeelhoudersclaim wegens vermeende effectenfraude. Ter vergelijking: de koers stond een jaar eerder nog rond de 44 dollar.

Het bedrijf is bovendien actief in gevoelige sectoren, waaronder bij Defensie. Dat zou op zichzelf geen probleem hoeven te zijn: Kyndryl is gevestigd in een bevriend NAVO-land. Het probleem zit in de combinatie. Het gaat om een land dat openlijk twijfel zaait over de vraag of het zijn bondgenoten zal blijven steunen, en dat een dominante positie ten opzichte van de EU nastreeft. In die context is het juist de Amerikaanse wetgeving, die buitenlandse autoriteiten in bepaalde gevallen toegang tot gegevens of zelfs het uitschakelen van systemen mogelijk maakt, die ons kwetsbaar maakt als het misgaat. Een beheerder die zelf onder grote financiële en bestuurlijke druk staat, vergroot dat risico alleen maar.

De les voor de toekomst

Het verbod was, alles afwegend, een verdedigbaar besluit. Maar het is vooral een symptoom. De echte les is dat het zover nooit had mogen komen, en dat we niet moeten wachten op de volgende casus om in actie te komen. Drie dingen verdienen prioriteit.

Ten eerste: een geteste, werkende exit-strategie voor elke kritieke dienst, met escrow-afspraken die in de praktijk zijn beproefd en niet alleen op papier bestaan. Een exit die je nooit hebt geoefend, is geen exit.

Ten tweede: een actueel en centraal overzicht van de kritieke IT-afhankelijkheden van de overheid, inclusief de tussenpartijen in de keten en de buitenlandse wetgeving waaraan zij onderworpen zijn. Regie begint bij zicht.

Ten derde: een principiële keuze over wat de overheid zelf in de hand wil houden. Voor voorzieningen die het hart van onze digitale identiteit raken, hoort de zeggenschap publiek te zijn geborgd. Dat vraagt om investeren in eigen kennis, want zonder kennis is er geen regie.

De Solvinity-zaak is goed afgelopen omdat er op het laatste moment is ingegrepen. De volgende keer hebben we die luxe misschien niet. Laten we deze casus daarom niet zien als een incident dat is opgelost, maar als een uitnodiging om de basis eindelijk op orde te brengen.