Het Nederlandse bedrijf Solvinity, dat clouddiensten levert voor onder meer DigiD, staat op het punt te worden overgenomen door het Amerikaanse techbedrijf Kyndryl. Wat kan Nederland (technisch gesproken) doen als dat doorgaat?

De Nederlandse overheid gaat de gevolgen onderzoeken van een eventuele overname van het Nederlandse bedrijf Solvinity door het Amerikaanse techbedrijf Kyndryl. Solvinity levert clouddiensten aan Logius, het ICT-bedrijf van de Nederlandse overheid dat onder meer DigiD en MijnOverheid regelt. Ook beheert Solvinity de dataopslag voor het Centraal Justitieel Incassobureau, dat u wellicht kent omdat ze verkeerboetes innen.

Als de overname doorgaat, komt Solvinity onder Amerikaanse overheidscontrole te staan. De Amerikaanse regering heeft dan het recht om het bedrijf te dwingen de dienstverlening te staken - zoals al eens bij Microsoft gebeurde, of om de gegevens in te zien als dat in het strategische belang is van het land. Overigens is Solvinity ook nu al grotendeels in buitenlandse handen: in 2014 kocht de Britse investeerder Vitruvian 60 procent van de aandelen.

Onderzoek

Logius beseft dat de overname vragen oproept bij burgers, bedrijven en overheden, en is direct na de bevestiging van de voorgenomen overname een uitgebreid onderzoek gestart naar de mogelijke impact op dienstverlening, beveiliging en privacy. ‘Als de impactanalyse een onacceptabel risico laat zien, worden onmiddellijk passende maatregelen genomen. De veiligheid en betrouwbaarheid van de gegevens van Nederlandse burgers zijn niet onderhandelbaar,’ zegt algemeen directeur Bert Voorbraak op de website van het bedrijf.

Aan welke maatregelen kunnen we dan denken? Kan Logius – of het kabinet – bijvoorbeeld besluiten de diensten van Solvinity over te hevelen naar een ander bedrijf?

Niet onvervangbaar

Ja, in principe kan dat, zegt Bert Hubert, softwareontwikkelaar, ondernemer en voormalig toezichthouder op de inlichtingendiensten. Nederland heeft meerdere bedrijven die vergelijkbaar zijn met Solvinity, zoals Intermax, Uniserver en Schuberg Philis.

‘Solvinity levert geen onvervangbare diensten die nergens anders exact zo te krijgen zijn – zoals een cloudcomputing bedrijf als Amazon Web Services dat bijvoorbeeld wel doet. Amazon is in zekere zin te vergelijken met een Nespresso-apparaat, dat met cupjes werkt die alleen bij Nespresso zelf te koop zijn. In die vergelijking levert Solvinity de koffiebonen. Die zijn ook elders te halen.’

Dat neemt niet weg dat een verhuizing van het systeem een enorme uitdaging zal zijn, want Solvinity heeft voor Logius een zeer specifieke digitale omgeving gebouwd. Naar een ander bedrijf gaan kost veel tijd en levert opstartproblemen op. Bovendien zouden de data op de servers van Solvinity deugdelijk moeten worden vernietigd.

Hubert: ‘Er zijn wisselende verhalen over hoe spannend de gegevens zijn die Solvinity voor DigiD beheert, maar de ervaring wijst uit dat er bij dit soort systemen vaak relevante data aanwezig zijn, op z’n minst in logfiles en tijdelijke bestanden.’

Solvinity zelf zegt dat de samenwerking met Kyndryl juist meer mogelijkheden biedt om te blijven vernieuwen in IT-beheer, security en automatisering, en dat er geen impact zal zijn op de dienstverlening aan klanten. 

Versleuteld

Het platform waar DigiD op draait wordt weliswaar geleverd door Solvinity, maar draait in een Nederlands overheidsdatacentrum, benadrukt Logius in een vandaag gepubliceerde reactie. DigiD verzorgt de veilige toegang tot verschillende overheidsorganisaties, en verstrekt daarbij alleen het burgerservicenummer BSN. Dat BSN wordt door het systeem gebruikt in een vorm die dusdanig is versleuteld dat het niet kan worden ingezien door Solvinity – of straks dus Kyndryl.

Dat zou de zorgen over privacy kunnen wegnemen, maar de kwetsbaarheid voor de grillen van de Amerikaanse overheid blijft staan. 

Aandeelhouders

Reijer Passchier, die aan de Open Universiteit en de Universiteit van Leiden het verband onderzoekt tussen digitalisering en de democratische rechtsstaat, waarschuwt dat een eventuele overstap naar een andere IT-dienstverlener een gedegen vooronderzoek vergt. ‘Daarbij moet de overheid niet alleen kijken naar de dienstverlener zelf, maar vooral naar de aandeelhouders. Zijn dat puur op rendement gerichte beleggers of kijken zij naar de lange termijn van het bedrijf?’ In het eerste geval blijft een eventuele verkoop aan een Amerikaanse investeerder of big tech-bedrijf een risico, zegt Passchier. Hij waarschuwde hiervoor al eerder.

Passchier pleit er daarom voor een partij te kiezen die is ingebed in de maatschappij, bijvoorbeeld via een steward-ownership: een constructie waarbij de controle en het financiële belang van elkaar zijn gescheiden. ‘Dan kijken aandeelhouders ook naar de maatschappelijke missie van het bedrijf.’ 

Staatsbedrijf

Hubert is voorstander van een Nederlands staatsbedrijf voor dit soort cruciale clouddiensten, vergelijkbaar met bedrijven als TenneT (voor het elektriciteitsnet), Schiphol of het Havenbedrijf Rotterdam. Dat zijn gewone bedrijven, maar geheel in overheidshanden. 

Hubert: ‘Een overheid is een datafabriek. Dat is de kern van haar werk – denk maar aan de belastingdienst. En de kern van je werk uitbesteden, is alsof je een pizzarestaurant runt dat de pizza’s bestelt bij thuisbezorgd.nl. Dat is raar.’ 

Hij hoopt dat dit incident het besef doet groeien dat de overheid zaken als DigiD dicht bij huis moet halen, en niet langer moet overlaten aan de markt. 

Hubert: ‘Ik kan me veel voorstellen bij een Rijks-ICT-bedrijf. Misschien moet Nederland Solvinity kopen en het daartoe omdopen?’ 

Openingsbeeld: Depositphotos