De overname van it-dienstverlener Solvinity door Kyndryl kan wel degelijk leiden tot het weglekken van persoonsgegevens en andere kritieke overheidsinformatie naar Amerikaanse partijen. Solvinity, dat het platform voor DigiD levert, valt dan onder de reikwijdte van Amerikaanse wetgeving die autoriteiten in de VS toegang biedt tot de gegevens die door Solvinity in opdracht van de Staat worden verwerkt.
Dit blijkt uit antwoorden van staatssecretaris Eddie van Marum (BBB, verantwoordelijk voor digitalisering) op Kamervragen van Barbara Kathmann (GroenLinks-PvdA). Daarmee herroept hij uitspraken die eind november zijn gedaan bij WNL op zondag. Van Marum zei toen dat DigiD ‘Nederlands blijft’ en dat Solvinity ‘geen toegang heeft’ tot DigiD. Dat werd later tegengesproken door experts en onderzoeksjournalisten zoals die van Follow the Money.
De omstreden overname door het Amerikaanse Kyndryl betekent een potentieel lek, geeft Van Marum toe. ‘In ieder geval in theorie,’ probeert hij het gevaar in de Kamerbrief te bagatelliseren. Maar bagatelliseren wordt moeilijk, nu de Tweede Kamer zich volop op deze kwestie heeft gestort. D66 en CDA willen eind januari een hele serie overleggen, ook met Solvinity, Kyndryl en Logius, om op dit punt de onderste steen boven water te krijgen. Ook Van Marum zal zich moeten verantwoorden.
Amerikaanse Cloud Act
Volgens hem maakt de mogelijke overname van Solvinity door Kyndryl geen verschil met betrekking tot het risico dat data mogelijk worden opgevraagd door Amerikaanse autoriteiten. Want voor enkele departementen levert Solvinity toegang tot de genoemde platform-as-a-service (paas)-diensten op Microsoft Azure. Bij gebruik van dit soort clouddiensten bestaat er vrijwel altijd een risico dat een beroep wordt gedaan op wetgeving zoals de Amerikaanse Cloud Act, aldus de staatssecretaris.
Zelfs wanneer data zich buiten de VS bevinden, kunnen Amerikaanse autoriteiten toegang eisen, zolang ze onder beheer staan van een Amerikaans bedrijf zoals Kyndryl. Dat raakt direct aan de digitale autonomie van Nederland. Ook de veiligheid van persoonsgegevens van miljoenen burgers is in het geding.
Geen pogingen
Verder blijkt dat Solvinity al in maart van dit jaar de directeur van Logius heeft ingeseind dat het bedrijf naar een nieuwe eigenaar zocht. Twee maanden later mocht hij deze informatie delen met het ministerie van BZK. In november werd bekend dat het om het Amerikaanse Kyndryl ging. Kamerleden zullen willen weten waarom het ministerie al die tijd geen pogingen ondernam om Solvinity in Europese handen te houden.
De landsadvocaat onderzoekt of in de lopende contracten met Solvinity een ontbindende voorwaarde opgenomen in het geval het bedrijf wordt overgenomen door een bedrijf dat onder niet-Europese surveillancewetgeving valt. Op dit moment worden verschillende contracten beoordeeld.
De landsadvocaat bekijkt ook of er andere mogelijkheden zijn om de contracten met Solvinity te ontbinden, als inderdaad blijkt dat door de Amerikaanse overname de vertrouwelijkheid en veiligheid van kritieke overheidsinformatie in het geding komt. De Algemene Rijksvoorwaarden bij it-overeenkomsten 2022 biedt mogelijkheden als er sprake is van een ingrijpende wijziging in de zeggenschap, bijvoorbeeld bij een overname.
