| Ingediend | 19 november 2025 |
|---|---|
| Beantwoord | 19 december 2025 (na 30 dagen) |
| Indiener | Chris Stoffer (SGP) |
| Beantwoord door | van Marum |
| Onderwerpen | bestuur economie ict openbare orde en veiligheid organisatie en beleid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2025Z20087.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-764.html |
Ja, ik ben bekend met dit bericht.
Ik heb begrip voor de zorgen van de Tweede Kamer over de voorgenomen overname van het bedrijf Solvinity door een Amerikaans bedrijf. Solvinity is betrokken bij belangrijke diensten van de overheid zoals bijvoorbeeld DigiD.
Het is belangrijk dat de veiligheid van vertrouwelijke gegevens van en de dienstverlening aan burgers niet in het gedrang komen door deze overname. Daarom wordt momenteel, naast de onderzoeken van de wettelijke toezichthouders, onder mijn regie onderzoek gedaan naar de operationele, juridische en contractuele gevolgen van de voorgenomen overname. Als het onderzoek naar de gevolgen van de beoogde overname een onacceptabel risico laat zien, worden passende maatregelen genomen. De veiligheid en bescherming van essentiële gegevens van Nederlandse burgers staan voorop.
Het waarborgen van onze digitale autonomie is een belangrijke ambitie van het kabinet, zoals ook is beschreven in de Agenda Digitale Open Strategische Autonomie2. Voor onze digitale autonomie is het van belang dat we een sterkere Nederlandse (en Europese) techsector opbouwen. Voor een klein handelsland als Nederland zijn een open economie en toegang tot internationale kapitaalmarkten hiervoor essentieel. Dat zorgt ervoor dat Nederlandse bedrijven internationaal innovatief en concurrerend kunnen zijn. Tegelijkertijd betekent dit dat bedrijven overgenomen kunnen worden door buitenlandse partijen. Waar investeringen in Nederlandse marktpartijen impact hebben op onze nationale veiligheid, hebben we instrumenten tot onze beschikking om die impact te toetsen en – indien noodzakelijk – ons hiertegen te beschermen, zoals de Wet veiligheidstoets investeringen, fusies en overnames (Wet Vifo) en de Wet ongewenste zeggenschap telecommunicatie (WOZT).
Nee, ik ben niet betrokken geweest bij overnamebesprekingen. Voor de zomer van 2025 heeft Solvinity bij Logius aangegeven dat een overname op handen was zonder details van de overnamekandidaat te delen. Onder regie van BZK wordt op dit moment het totale risicobeeld bij overheidsorganisaties geïnventariseerd.
Ten tijde van het afsluiten van de contracten zijn met Solvinity afspraken gemaakt over de vertrouwelijkheid en veiligheid van de bij deze onderneming ondergebrachte gegevens. Een overname van Solvinity door een partij in de VS betekent dat die afspraken nader moeten worden ingevuld, om te voorkomen dat de vertrouwelijkheid en veiligheid van die gegevens in het geding kan komen.
De wettelijke Amerikaanse instrumenten maken het, in ieder geval in theorie, mogelijk dat autoriteiten in de VS onder de in deze wetgeving genoemde voorwaarden toegang kunnen krijgen tot de gegevens waarover een onderneming in de VS beschikt, óók wanneer de gegevens zich bevinden onder een dochtervennootschap en op servers buiten de VS. Als Solvinity wordt overgenomen door een onderneming in de VS brengt dit Solvinity onder de reikwijdte van deze wetgeving. Het gevolg daarvan kan, in ieder geval in theorie, zijn dat autoriteiten in de VS in voorkomend geval toegang krijgen tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt.
De overeenkomsten tussen de Staat en Solvinity bieden aanknopingspunten om ten minste van Solvinity te verlangen dat er technische en organisatorische maatregelen worden getroffen om te waarborgen dat de gegevens waartoe zij toegang heeft op een wijze worden verwerkt die voldoet aan de in de EU geldende regels, zoals die uit de Algemene verordening gegevensbescherming. Welke maatregelen dat zullen zijn vormt onderwerp van de gesprekken tussen de Staat en Solvinity.
Voorzieningen zoals DigiD, MijnOverheid en Digipoort zijn specifieke applicaties ontwikkeld door en voor Logius. De applicaties DigiD en MijnOverheid draaien op het door Solvinity beheerde ICT-infrastructuurplatform «PICARD». Op dit platform kunnen de gebruikersrechten en het beheer per laag (infrastructuur, applicatie, netwerk) verschillen en/of door verschillende partijen worden uitgevoerd.
Het uitgangspunt is dat de Staat der Nederlanden eigenaarsrechten van de software en data van voorzieningen als DigiD, MijnOverheid en Digipoort bezit. Leveranciers hebben, afhankelijk van de dienstverlening, gebruikersrechten om toegang te krijgen om hun beheertaken te kunnen uitvoeren. Er zijn twee vormen van beheer te onderscheiden: technisch beheer en applicatiebeheer. Het technische beheer (o.a. infrastructuur, servers) van het «PICARD» ICT-platform is uitbesteed aan Solvinity.
Het applicatiebeheer dat zich richt op de werking van de applicatie zelf wordt uitgevoerd door eigen Logius medewerkers, eventueel aangevuld met inhuur of uitbesteed. Dit verschilt per voorziening. Beide vormen van beheer zijn uitvoerende taken en staan los van eigendomsrechten t.a.v. software en data.
Het in Nederlandse handen houden van alle bedrijven is op zichzelf geen doel van het kabinet. Nederland hanteert een stelsel van investeringstoetsingen gericht op het mitigeren van risico’s voor de nationale veiligheid. Mocht de beoogde overname onder het bereik van de investeringstoetsing vallen zal het reguliere, zorgvuldige proces daartoe gevolgd worden.
De nieuwe Rijksbrede Strategie IT-sourcing, onderdeel van de Nederlandse Digitaliseringsstrategie (NDS), geeft aandacht aan het verkrijgen van een sterkere regie op digitale autonomie, soevereiniteit en veiligheid. Voor situaties waarin leveranciers worden overgenomen door buitenlandse partijen wordt een handreiking ontwikkeld om de afnemers te helpen met het in kaart brengen van de mogelijke risico’s die daarmee gepaard gaan en de mogelijkheden tot mitigatie.
Het kabinet erkent de zorgen over de afhankelijkheid van buitenlandse cloudaanbieders. De Rijksoverheid streeft dan ook naar het tot stand komen van een «soevereine overheidscloud» voor kritieke overheidsdienstverlening. Binnen de Nederlandse Digitaliseringsstrategie (NDS) wordt verkend hoe een soevereine overheidscloud eruit kan zien; dit geldt als belangrijke prioriteit. Tevens recent de Visie Digitale Autonomie vastgesteld. Naast het onderstrepen van het belang van digitale autonomie, worden ook de strategische bouwstenen benoemd die nodig zijn om te komen tot een digitale overheid die grip heeft op autonomie, zeggenschap heeft over haar data (soevereiniteit) en cyberveilig en weerbaar is. Deze casus onderstreept het belang van de NDS.
In het Rijksbreed cloudbeleid is een risicoanalyse verplicht. Hierin moeten ook de risico’s van mogelijke buitenlandse inmenging op de dienstverlening op het gebied van vertrouwelijkheid en beschikbaarheid worden meegewogen. Waar nodig moeten die risico’s worden gemitigeerd, dan wel moet een andere leverancier worden gezocht. Deze risico’s gelden niet voor elke overheidsdienst waardoor een risico-gebaseerde aanpak het gehanteerde mechanisme is.
Het Forum Standaardisatie voert periodiek onderzoeken3 uit naar de toepassing van open standaarden, de naleving van de «pas toe of leg uit»-lijst en de informatiebeveiliging bij overheidsorganisaties, waarmee zij inzicht geeft in de interoperabiliteit en digitale weerbaarheid van de Nederlandse overheid om daarmee vendor lock-in te voorkomen en kwetsbaarheden in kaart te brengen.
Daarnaast wordt in de eerste helft van 2026, vanuit het NDS Programma, een verkenning uitgevoerd naar realisatie van een overheidsbrede soevereine cloudvoorziening. Deze cloudvoorziening is een belangrijke prioriteit van het NDS programma. Ik zal de uitkomsten van deze verkenning met uw Kamer delen.
Op 19 november heeft het lid Stoffer van de SGP vragen gesteld over de verkoop van het cloudbedrijf van DigiD en MijnOverheid en de dreiging voor onze digitale autonomie (kenmerk 2025Z20087). Hierbij informeer ik u dat de beantwoording van deze vragen meer tijd vergt. De reden voor het uitstel is dat ik meer tijd nodig heb om de antwoorden zorgvuldig af te kunnen stemmen met de betrokken departementen. Ik streef ernaar uw Kamer zo snel als mogelijk te informeren.