Als je leverancier niet stopt, verandert hij gewoon van eigenaar – en dat kan nóg spannender zijn.
Solvinity is overgenomen door het Amerikaanse Kyndryl. Geen klein bier: een Nederlandse cloudpartij die jarenlang vertrouwd werd door banken, verzekeraars en andere financieel gevoelige organisaties, schuift ineens onder een Amerikaanse juridische paraplu. In mijn eerdere artikel ‘Als Azure stopt…’ liet ik al zien hoe afhankelijk we zijn van de grillen van grote leveranciers. Dit is dezelfde les, maar dan in een net pak: de cloud stopt niet, hij verandert van eigenaar.
Wat er precies gebeurt
Solvinity stond bekend als een Nederlandse, streng beveiligde managed cloudleverancier. Kyndryl – een Amerikaanse infra-gigant – neemt het bedrijf volledig over. Geen financiële details gedeeld, wat nooit een geruststellend signaal is voor partijen die met risicobeheersing en compliance werken.
Korte zijlijn: waarom de overheid zich zorgen maakt
De overheid maakt zich druk over datasoevereiniteit, Amerikaanse wetgeving en controle over kritieke infrastructuur. Terecht, maar voor de financiële sector is dit minstens zo relevant – alleen zonder mediastorm om op mee te liften.
Waarom de financiële sector nu moet opletten
1. De compliance-ketting kraakt
Bij banken, verzekeraars en PSP’s is één ding heilig: de keten moet aantoonbaar onder controle zijn. Elke eigendomswijziging betekent herbeoordeling. Overname = nieuw risico. Punt.
2. Amerikaanse jurisdictie is een rode vlag
Hoewel data fysiek in Nederland kan blijven, valt het bedrijf nu onder Amerikaanse wetgeving. Voor toezichthouders zoals DNB, ECB en AFM is dit geen administratief detail, maar een audit-trigger van formaat.
3. Outsourcing Guidelines (DNB) eisen actie
Een overname is een significant event volgens de DNB-richtlijnen. Dat betekent dat instellingen hun volledige risicobeoordeling opnieuw moeten uitvoeren:
- Risicoanalyse
- Data-classificatie
- Exit-strategie
- Ketenoverzicht
- Continuïteitsplan
4. Contractuele risico’s duiken op
Veel contracten zijn slecht voorbereid op eigendomsoverdracht. Denk aan wijzigingen in sub-processors, SLA’s, security-aanpak, datalocatie of prijsstructuren.
5. Vendor lock-in wordt geopolitiek
Lock-in was ooit technisch of financieel. Nu komt er een nieuwe laag bij: juridische en geopolitieke lock-in. De vraag is niet of het mag, maar of je het kunt verantwoorden.
De link met ‘Als Azure stopt…’
In dat artikel ging het om discontinuïteit. Hier gaat het om transitie. Maar de impact op jouw organisatie kan nét zo groot zijn. Een leverancier die verandert, kan net zoveel risico veroorzaken als een leverancier die stopt.
Wat financiële instellingen nu moeten doen
1. Herbeoordeling van leveranciersrisico
- Welke data draait bij Solvinity?
- Welke processen zijn afhankelijk?
- Wat betekent Amerikaanse jurisdictie voor jouw datatypes?
- Wat zijn de neveneffecten in de keten?
2. Contract review
- Change-of-control
- Sub-processors
- Datalocatie-afspraken
- Auditrechten
- Exit-condities
3. Technische en organisatorische maatregelen
- Encryptie met eigen sleutels
- Strikte segmentatie
- Onafhankelijke logging
- Duidelijke datalocatie-eisen
- Nood- en migratieplaybooks
4. Wegloopvermogen creëren
Elke serieuze financiële instelling moet een plan B hebben. Geen “misschien ooit”, maar klaarstaan. Anders ben je gegijzeld door strategieën waar je geen controle over hebt.
Conclusie
De overname van Solvinity is geen rommelige voetnoot; het is een verschuiving die impact heeft op de hele financiële keten. Wie voorbereid is, voorkomt auditstress en paniekmigraties. Wie het negeert, krijgt het vroeg of laat op zijn bord.
Als Azure niet stopt, koopt iemand anders je cloud wel op. Tijd voor een exit-plan.