De gemeente Amsterdam kiest nadrukkelijk voor meer onafhankelijkheid van grote technologiebedrijven. In het it‑landschap wil de hoofdstad zelf de regie houden over data, privacy en beveiliging. Dit blijkt uit de vernieuwde Sourcing- en cloudstrategie 2026–2030.
Digitale autonomie komt centraal te staan in de gemeente Amsterdam. Bij de aanbesteding voor het beheer van de public cloud is digitale autonomie voor het eerst als criterium opgenomen.
De gemeente dacht vorig jaar september goed te zitten met een gunning aan Solvinity, dat zich tijdens de aanbestedingen profileerde als soevereine Nederlandse leverancier.
Overname Solvinity
Het was een bittere pil voor de hoofdstad toen het Amerikaanse Kyndryl eind vorig jaar plotseling aankondigde Solvinity te zullen overnemen. De Solvinity‑casus dwingt Amsterdam tot een strenger cloud- en sourcingbeleid. Maar het is nog de vraag of de gemeente van het eerder gesloten contract met Solvinity kan afkomen.
Landelijk zijn er zorgen omdat Solvinity het platform beheert waarop DigiD draait. Als het Nederlandse bedrijf een Amerikaanse eigenaar krijgt, is de kans reëel dat inlichtingendiensten uit dat land toegang eisen tot het DigiD-systeem.
Ze zouden dan persoonlijke data van burgers in handen kunnen krijgen; een vooruitzicht dat de Tweede Kamer verafschuwt. Vandaag geeft de gemeente Amsterdam tijdens een parlementaire hoorzitting zijn mening over de omstreden transactie. In een position paper laat de gemeente weten de nieuwe situatie te onderzoeken en eventuele vervolgstappen te nemen.
Indien de overname daadwerkelijk plaatsvindt, biedt het contract expliciet ruimte om opnieuw te beoordelen of de samenwerking aanvaardbaar is. Wanneer dat niet het geval blijkt, kunnen daar bestuurlijke en juridische consequenties aan worden verbonden. Te denken valt aan het maken van aanvullende afspraken of (in het uiterste geval) beëindiging van de samenwerking. Maar de gemeente wil daar nog niet op vooruitlopen.
Amsterdam is zich ervan bewust dat eigendomsverhoudingen kunnen wijzigen gedurende de looptijd van een contract. Dit vraagt om nog scherpere voorwaarden in contracten, doorlopende bestuurlijke toetsing en versterking van het handelingsperspectief van overheden.
Aanbestedingen
Deze lessen neemt Amsterdam mee in lopende en toekomstige aanbestedingen, waarbij eisen rondom digitale autonomie, zeggenschap en exit scenario’s verder worden aangescherpt en de positie van de overheid bij overnames wordt versterkt. De gemeente gaat anders aankijken tegen de ‘sourcing’, de inkoop en ontwikkeling van digitale oplossingen. Dit zal leiden tot een meer op risico gebaseerde aanpak en eventueel aanvullende maatregelen.
De casus Solvinity laat scherp zien dat overheden momenteel onvoldoende juridische ruimte hebben om strategische en geopolitieke risico’s vooraf te betrekken in aanbestedingen. Op dit moment is het bij aanbestedingen alleen mogelijk om te sturen op digitale autonomie via randvoorwaarden, zoals de locatie van kantoren, voertaal van medewerkers en het land van jurisdictie.
Het is echter binnen het Europese aanbestedingsrecht expliciet niet toegestaan leveranciers te selecteren of uit te sluiten op basis van het land waar het uiteindelijke eigendom of zeggenschap ligt. Belangrijk is dat er voor opdrachtgevers meer ruimte komt om te manoeuvreren. Hard nodig is de ontwikkeling van een overheidscloud. Daarnaast moet de wetgeving overheden bij aanbestedingen in staat stellen explicieter te sturen op autonomie. Ook moeten de regels het makkelijker maken voor gemeenten om publieke, door de overheid gemaakte digitale diensten te gebruiken.
Maar hoe ga je er als bedrijf achter komen dat jouw VPS leverancier plotseling is overgenomen door een Amerikaans bedrijf en plotseling onder de CLOUD-Act valt? Je kan toch niet verwachten dat bedrijven dit continu gaan checken? Ook kunnen bedrijven heimelijk verkocht worden zonder dat dit gemeld wordt aan autoriteiten. Ook kan het eigenaarschap indirect zijn, via een ander bedrijf.
Europa moet wetgeving invoeren die het voor bedrijven (zowel Europese als Amerikaanse) illegaal maakt om heimelijk informatie van Europese burgers op te vragen. Ook mogen Amerikaanse bedrijven geen CLOUD-Act opdrachten meer uitvoeren van data opgeslagen op Europese servers. Op straffe van verbanning van de Europese markt.