De Nederlandse overheid heeft een uitzonderlijke stap gezet door de overname van IT-dienstverlener Solvinity door het Amerikaanse Kyndryl te verbieden. Volgens staatssecretaris Willemijn Aerdts brengt de transactie risico’s mee voor het publieke belang, omdat Solvinity betrokken is bij onderdelen van de digitale infrastructuur rondom DigiD.

Dat een overname daadwerkelijk wordt verboden op basis van nationale veiligheids- en infrastructuurbelangen gebeurt zelden. Juist daarom is deze zaak juridisch en (geo)politiek interessant. De beslissing laat zien dat discussies over cloud, Amerikaanse techbedrijven en data-soevereiniteit inmiddels veel verder gaan dan alleen AVG-compliance.

Waarom deze zaak gevoelig ligt

De kern van de zorgen zijn de afhankelijkheid van Amerikaanse technologiepartijen, mogelijke invloed van Amerikaanse wetgeving en toegang door Amerikaanse overheden tot gevoelige gegevens van Nederlandse burgers.

De Nederlandse overheid benadrukt dat de toets door toezichthouder Bureau Toetsing Investeringen (BIT) “landenneutraal” is. Echter op de achtergrond speelt duidelijk een bredere geopolitieke discussie mee. Hoe afhankelijk wil Europa zijn van Amerikaanse technologiebedrijven voor kritieke infrastructuur?

Bij systemen zoals DigiD gaat het niet alleen om cybersecurity, maar ook om:

  • beschikbaarheid

  • bestuurlijke autonomie

  • nationale veiligheid

  • controle over digitale infrastructuur

Amerikaanse cloudproviders: waarom blijft dit juridisch gevoelig?

Velen denken nog steeds “De datacenters staan in Europa, dus er is geen probleem”.

Zo eenvoudig ligt het niet.

Wanneer een organisatie gebruikmaakt van een Amerikaanse cloudprovider — zoals Microsoft, AWS of Google — kan Amerikaanse wetgeving onder omstandigheden van invloed zijn, ook als de data fysiek in een Europees datacenter staat opgeslagen.

Dat komt onder meer door de Amerikaanse CLOUD Act (Clarifying Lawful Overseas Use of Data Act).

Deze wet kan Amerikaanse autoriteiten in bepaalde gevallen bevoegdheden geven om gegevens op te vragen bij Amerikaanse ondernemingen waarover die ondernemingen “custody or control” hebben.

Dat betekent niet dat Amerikaanse autoriteiten vrij toegang hebben tot alle Europese data, maar wel dat er een juridisch spanningsveld ontstaat tussen Amerikaanse bevoegdheden en Europese privacy- en soevereiniteitsregels.

Het is dus niet zo dat “Amerika altijd kan meekijken”.

Amerikaanse opsporingsdiensten hebben doorgaans:

  • wettelijke procedures;

  • specifieke bevoegdheden;

  • in de praktijk technische en juridische drempels.

Daarnaast zijn veel gegevens versleuteld, kunnen er contractuele waarborgen bestaan en verzetten providers zich soms tegen brede verzoeken.

Waarom overheden kritischer worden

De Solvinity/Kyndryl-casus laat zien dat de discussie verschuift van privacy naar strategische autonomie.

Waar eerdere discussies vooral draaiden om de AVG, persoonsgegevens en internationale doorgifte, gaat het nu steeds vaker over:

  • digitale soevereiniteit

  • geopolitieke afhankelijkheid

  • operationele continuïteit

  • nationale controle over kritieke systemen

Voor vitale infrastructuur geldt steeds vaker de vraag: wat gebeurt er als geopolitieke verhoudingen veranderen?

Dat verklaart waarom overheden kritischer kijken naar waar de data wordt opgeslagen en naar de eigendomsstructuren van IT-dienstverleners.

Wat betekent dit voor organisaties?

Veel organisaties zullen zich opnieuw moeten afvragen:

  • welke data zij waar opslaan;

  • welke leveranciers toegang hebben;

  • en welke juridische regimes van toepassing zijn.

Daarbij speelt niet alleen privacy een rol, maar ook contractuele afhankelijkheid, continuïteitsrisico’s, vendor lock-in en governance.

De kernvraag: juridisch risico of strategisch risico?

De discussie over Amerikaanse cloudproviders gaat inmiddels niet meer alleen over of het juridisch gezien mag, maar over of we deze afhankelijkheid strategisch gezien nog wel willen. De blokkade van de Solvinity-overname laat zien dat overheden digitale infrastructuur steeds nadrukkelijker beschouwen als onderdeel van nationale veiligheid en geopolitieke autonomie. Dat betekent waarschijnlijk ook dat toezicht op buitenlandse investeringen verder zal toenemen, kritieke IT-infrastructuur strenger wordt beoordeeld en organisaties bewuster moeten nadenken over hun digitale afhankelijkheden.

Conclusie

De blokkade van de overname van Solvinity door Kyndryl is meer dan alleen een incident rond DigiD. Het is een signaal dat data, cloud-infrastructuur en digitale dienstverlening inmiddels onderdeel zijn geworden van een bredere discussie over geopolitiek, autonomie en controle.

Voor organisaties betekent dit dat de keuze voor een clouddienst niet langer puur technisch of financieel is. Het ontwikkelt zich steeds meer tot een juridisch, strategisch en governancevraagstuk.

Heeft u een vraag rondom cloudkeuzes? Of heeft u een ander vraagstuk op het gebied van ICT-recht?

Neem vandaag nog vrijblijvend contact op en bespreek uw situatie.
Klik op onderstaande button en wij nemen contact met u op of bel ons direct op telefoonnummer 010-2290646.

Neem contact op