De overname van Solvinity door Kyndryl ligt nog vers op tafel. Precies daarom schuurt het gesprek in de Tweede Kamer, zoals AG Connect beschrijft. Niet omdat er niets is geregeld. Wel omdat het fundament onder veel zekerheden wankelt zodra staatsmacht een rol pakt.
In het Kamerdebat herhaalt Kyndryl een vertrouwd script: contracten, procedures, technische maatregelen, organisatorische scheidingen. En als sluitstuk: vertrouwen. Dat klinkt netjes. Het voelt ook logisch. Tot het schuurt met wetgeving die buiten landsgrenzen werkt.
Contract versus staatsmacht
Het probleem zit niet in de intentie van Kyndryl Nederland. Het probleem zit in de juridische keten richting het moederbedrijf. Wetgeving zoals de Amerikaanse CLOUD Act werkt extraterritoriaal. Een overheid kan een bedrijf verplichten om medewerking te verlenen, ook wanneer data in Europa staat en ook wanneer contracten iets anders beweren. Dochtermaatschappijen vormen daarbij geen harde muur. Ze vormen een onderdeel van dezelfde juridische werkelijkheid.
Dit punt raakt breder dan de Verenigde Staten. Elk land buiten de EU kan vergelijkbare wetgeving optuigen. Vandaag heet zo’n wet CLOUD Act. Morgen krijgt zo’n wet een andere naam. De kern blijft gelijk: nationale belangen krijgen voorrang, met een juridisch instrument om druk af te dwingen.
Een precedent dat we liever wegstoppen
Deze spanning bleef eerder al niet theoretisch. Microsoft blokkeerde in het verleden mailaccounts van medewerkers van het Internationaal Strafhof na politieke druk. Geen mooi verhaal. Wel een helder signaal: contracten en goede bedoelingen bieden geen dekking zodra wetgeving en geopolitiek elkaar vinden.
Dat moment had bij veel organisaties een harde reset moeten veroorzaken. Niet bij juristen alleen. Juist bij architecten, securityspecialisten en bestuurders. De les was simpel: een commerciële belofte verliest van een afdwingbaar bevel.
De illusie van vertrouwen
In het AG Connect-artikel valt één passage extra op. Kyndryl benadrukt meerdere keren vertrouwen. De redenering: data beschermen vormt kerntaak, reputatie en marktpositie staan op het spel, dus het bedrijf zal zorgvuldig handelen.
Die redenering blijft hangen in marketinglogica. Vertrouwen is een sociaal contract. Wetgeving is afdwingbaar. In een conflictsituatie bepaalt wetgeving de speelruimte. Reputatie biedt geen juridische ontsnapping. Een leverancier kiest dan niet tussen “goed” en “slecht”. Een leverancier kiest tussen “meewerken” en “sancties”.
DigiD is zichtbaar, de echte zorg ligt vooruit
DigiD trekt aandacht omdat iedereen het kent. De kwetsbaarheid zit breder. Digitale identiteitswallets, nieuwe Europese identiteitsdiensten en centrale infrastructuur voor overheid, zorg en financiën schuiven op naar de kern van de samenleving. Hoe centraler de dienst, hoe groter de impact bij ingrijpen van buitenaf. Wie kritieke voorzieningen belegt bij leveranciers met een moederbedrijf buiten de EU, accepteert impliciet een externe juridische hefboom.
De enige richting die overeind blijft
Dit probleem laat zich niet dichttimmeren met contracten, audits en governance. Zolang kritieke diensten geleverd worden door partijen met een niet-EU moederbedrijf, blijft een juridische afhankelijkheid bestaan. Er blijft altijd een scenario waarin een staat druk kan zetten via wetgeving.
Wie dit serieus neemt, komt uit op drie keuzes:
- Investeer samen met bedrijfsleven in EU-alternatieven voor kritieke digitale diensten.
- Hanteer extreem strenge eisen voor diensten zoals DigiD, identiteitswallets en kerninfrastructuur.
- Borg structureel dat leveranciers van kritieke diensten later niet in handen kunnen komen van partijen van buiten de EU.
Slot
Dit onderwerp is geen randvoorwaarde en geen juridisch detail. Dit is architectuur op geopolitiek niveau. Vertrouwen is geen mitigerende maatregel. Contracten vormen geen schild tegen staatsmacht. Digitale soevereiniteit vraagt keuzes die pijn doen.
De druk moet omhoog. Nu.