De afgelopen twee weken voerden experts, belanghebbenden, ambtenaren en Kamerleden diverse gesprekken over de digitale soevereiniteit van Nederland. De aanleiding: de overname van Solvinity door het Amerikaanse techbedrijf Kyndryl.
Solvinity is een IT-dienstverlener die cruciale IT-infrastructuur van de overheid beheert, waaronder DigiD en diverse systemen van het ministerie van Justitie en Veiligheid. Recent werd bekend dat Solvinity wordt overgenomen door Kyndryl.
Dat Amerikaanse techbedrijf begon vier jaar geleden als spin-off van IBM en helpt bij het ontwerpen, bouwen en onderhouden van belangrijke IT-infrastructuur, zoals ‘cloud op maat’.
Het Bureau Toetsing Investeringen (BTI) onderzoekt momenteel de overname en kijkt of er risico’s zijn voor de nationale veiligheid. Als die er inderdaad zijn, kan de overname mogelijk worden tegengehouden.
Kan Trump DigiD platleggen?
Experts en Kamerleden uiten intussen hun zorgen. Zij vinden dat de overheid iets moet doen tegen de overname.
Zij vrezen dat de Verenigde Staten straks bij gevoelige data van Nederlandse burgers en bedrijven kunnen of dat Trump met één druk op de knop DigiD kan platleggen. In een technische briefing, rondetafelgesprek en gesprek met Kyndryl werden die zorgen de afgelopen weken geuit.
In de Tweede Kamer probeerde Kyndryl de zorgen over de overname van Solvinity weg te nemen. Zo stelt het bedrijf dat alle data van klanten op Europese bodem blijven en dat toegang tot die gegevens alleen mogelijk is vanaf Europees grondgebied; vanuit de Verenigde Staten kan niemand erbij.
Hoewel Kyndryl een Amerikaans bedrijf is, valt de Nederlandse vestiging onder een Nederlandse bv.
Daarmee valt het bedrijf onder Nederlands en Europees recht en dat zal ook zo blijven, benadrukten afgevaardigden van het bedrijf diverse keren.
Pieter Bil, senior vicepresident van Kyndryl, zei dat het bedrijf zich ‘maximaal zal verzetten’ als de Amerikaanse overheid verzoekt om klantgegevens.
Ook zal de klant meteen op de hoogte worden gesteld en zal Kyndryl open communiceren over zo’n verzoek. Het bedrijf benadrukte dat het nog nooit zo’n verzoek heeft gekregen.
Kamerleden zien data delen met Amerikanen niet zitten
Toch vrezen Kamerleden dat dat niet voldoende is. Zo zou de Verenigde Staten kunnen eisen om data in te zien, zonder dat deze klanten vooraf worden geïnformeerd.
Bovendien beloofde Microsoft eerder ook dat het geen bevelen van de Amerikaanse overheid zou opvolgen; toch blokkeerde Microsoft niet veel later het mailaccount van de hoofdaanklager van het Internationaal Strafhof in Den Haag.
Dat was het gevolg van Amerikaanse sancties, na de uitvaardiging van arrestatiebevelen tegen onder anderen de Israëlische premier Benjamin Netanyahu.
Kyndryl benadrukte dat het de reputatie van het bedrijf beschadigt als ze de data van klanten niet kan beschermen tegen veiligheidsdreigingen of dreiging op staatsniveau.
Digitale soevereiniteit
Niet alleen in de Solvinity-casus moet de overheid in actie komen, vinden experts, ook moet er meer worden gedaan aan de digitale soevereiniteit. Zodat Nederland minder afhankelijk wordt van Amerikaanse techbedrijven.
Diverse experts bepleitten dat de overheid moet overwegen om via staatsdeelnemingen strategische of vitale bedrijven te beschermen.
Zodat een bedrijf niet opeens in handen van een niet-Europese speler kan vallen.
Daarvoor is het wel belangrijk om eerst te benoemen welke bedrijven strategisch of vitaal zijn. Een cloudbedrijf als Solvinity is bijvoorbeeld nog niet als zodanig aangemerkt.
Een nationale cloud
Technologie-expert Bert Hubert vindt dat de overheid zelf meer technologische zaken zou moeten regelen. Hij pleit onder meer voor een Rijkscloudbedrijf. Al vragen Kamerleden zich wel af of de overheid daar wel toe in staat is, gezien eerdere ICT-problemen.
Toch hoeft dat volgens Hubert geen probleem te zijn. De overheid hoeft niet hetzelfde te doen als een ‘hyperscaler’ als Microsoft en kan klein beginnen.
De overheid zou volgens Hubert een lijst kunnen maken met essentiële overheidsdiensten en die naar zich toe kunnen trekken.
De andere optie is om het aan de markt over te laten, maar die dan wel ‘plat te reguleren’, aldus Hubert. ‘Dat is voor niemand leuk. Bovendien is het daarmee nog steeds niet mogelijk een bedrijf te onttrekken aan Amerikaanse sanctiewetgeving.’
Niet bij voorbaat verdacht
Niet elk bedrijf met een Amerikaanse link moet bij voorbaat verdacht zijn, zei Jelmer Schreuder, voorzitter van NLdigital, belangenorganisatie voor techbedrijven.
Dat zou de hele sector raken: geen enkele IT-dienstverlener kan een oplossing bouwen zonder internationale componenten.
Volgens Schreuder moet de discussie daarom gebeuren op basis van risicomanagement in plaats van herkomst.
De grote vraag is volgens hem ook of de Verenigde Staten data überhaupt kunnen krijgen als het land daarom verzoekt.
Omdat zo’n juridisch verzoek praktisch onuitvoerbaar kan zijn. ‘Statelijke actoren gebruiken zelden ingewikkelde juridische constructies om iets te achterhalen, dat creëert bewijs.’
Meer Europese spelers
De experts zijn het erover eens dat er meer Europese IT-spelers moeten komen. Ook daarvoor geldt dat het niet nodig is om net zo groot te worden als de Amerikaanse techgiganten.
Verschillende Europese bedrijven zouden verschillende diensten kunnen ontwikkelen. Overheden kunnen dan contracten afsluiten bij meerdere spelers. Daarnaast zouden bedrijfsleven en de publieke sector beter en innovatiever kunnen samenwerken.
Wethouder Alexander Scholtes (D66) van de gemeente Amsterdam erkent dat het voor overheden ook wel erg makkelijk was om alles in één keer bij een grote partij te kunnen regelen. Daar is te makkelijk over gedacht en dat moet voortaan anders.
Europees investeringsklimaat
Om meer eigen Europese IT-bedrijven te krijgen, is een goed investeringsklimaat nodig. Europese bedrijven moeten makkelijker financiering kunnen ophalen en sneller kunnen opschalen.
Uiteindelijk moeten Nederland en Europa op IT-gebied eigen capaciteit opbouwen. Maar zo lang er nog niet genoeg Europese spelers zijn, is het belangrijk om te onderzoeken of er op een veilige manier kan worden samengewerkt met Amerikaanse techbedrijven, aldus Lokke Moerel, hoogleraar Global ICT in Tilburg.
Bijvoorbeeld door soevereiniteitseisen te stellen en de Europese activiteiten in een Europese vennootschap onder te brengen. En door Europese bestuurders en een Europese raad van commissarissen aan te stellen.
Iedereen is het er wel over eens: Nederland moet hard gaan werken aan de digitale soevereiniteit en belangrijke IT-infrastructuur niet overlaten aan de Verenigde Staten.