Kamerleden bezorgd: bedrijf achter DigiD komt mogelijk in Amerikaanse handen
De Tweede Kamer maakt zich zorgen over de overname van een Nederlands techbedrijf door Amerikanen of Chinezen. De verkoop van Solvinity geeft de VS de macht om het dataverkeer van de Nederlandse overheid plat te leggen, zeggen experts.
GroenLinks-PvdA-Kamerlid en digitaliseringsexpert Barbara Kathmann heeft daarover Kamervragen gesteld aan demissionair minister van Economische Zaken Vincent Karremans en staatssecretaris Eddie van Marum van Binnenlandse Zaken. Ook SGP-fractievoorzitter Chris Stoffer stelde de kwestie deze week aan de orde bij Van Marum.
Beide parlementariërs zijn gealarmeerd door de aangekondigde overname van het Nederlandse techbedrijf Solvinity door een veel grotere Amerikaanse branchegenoot. Solvinity verleent namelijk cruciale digitale diensten aan de Nederlandse overheid, die – als de overname doorgaat – onder Amerikaanse overheidscontrole komen te staan.
Solvinity levert onder andere de digitale infrastructuur voor Logius, het ICT-bedrijf van de Nederlandse overheid. Logius is het bedrijf achter DigiD, het beveiligde portaal dat Nederlanders gebruiken voor onder meer hun belastingaangifte en communicatie met andere overheidsorganisaties.
Hoogste bieder
Ook MijnOverheid (de digitale postbus van het rijk) en Digipoort, de ICT-centrale die al het berichtenverkeer van de Rijksoverheid afhandelt, vallen onder Logius. Solvinity levert ook dataopslag en de ICT-infrastructuur voor het Centraal Justitieel Incassobureau, dat verkeersboetes en strafrechtelijke boetes int.
Het bedrijf heeft dus toegang tot extreem gevoelige gegevens van de Nederlandse overheid en burgers. Solvinity werd opgericht door Nederlandse ICT’ers en is in Nederland gevestigd, maar de oprichters verkochten 60 procent van hun aandelen in 2014 al aan het Britse private-equitybedrijf Vitruvian.
Het verdienmodel van private-equity-investeerders is overal ter wereld hetzelfde: ze kopen bedrijven met veel groeipotentie op, om die na circa vijf jaar weer met flinke winst door te verkopen aan de hoogste bieder. Die hoogste bieder is in dit geval het Amerikaanse Kyndryl, een afsplitsing van IBM.
Amerikaanse eigenaar, Amerikaanse wet
Het probleem is dat de Amerikaanse regering Amerikaanse bedrijven kan dwingen hun dienstverlening aan buitenlandse klanten te staken, als de VS om wat voor reden dan ook sancties opleggen aan andere landen of niet-Amerikaanse bedrijven. Ook geeft Amerikaanse wetgeving de Verenigde Staten het recht de Nederlandse data die Solvinity beheert toe te eigenen, als dat in het strategische belang van het land is.
Nota bene Solvinity zelf luidde in mei (samen met andere Nederlandse techbedrijven) de noodklok in een rapport aan kabinet en Tweede Kamer. Dat stelt impliciet dat Europa de Amerikanen niet meer blind kan vertrouwen sinds het aantreden van president Donald Trump.
Mededingingsautoriteit ACM moet de overname nog goedkeuren, maar nu wordt Solvinity dus misschien ook Amerikaans. Amsterdam voelt zich belazerd en onderzoekt of het nog onder het contract uit kan.
Solvinity is niet de eerste casus waarbij gevoelige Nederlandse data bij buitenlandse bedrijven terechtkomen. Eerder dit jaar werd het Nederlandse Zivver overgenomen door het Amerikaanse Kiteworks, dat geleid wordt door voormalige cybersecurity-experts van het Israëlische leger. Follow the Money schreef in september dat de kans daardoor groot is dat niet alleen de Amerikaanse, maar ook de Israëlische overheid toegang heeft tot de Nederlandse data van Zivver.
Zivver levert een beveiligd mailsysteem voor uiterst kwetsbare persoonsgegevens. Onder andere het Openbaar Ministerie, Nederlandse ziekenhuizen, zorgverzekeraars, de IND en het UWV zijn klant.