De Tweede Kamer maakt zich zorgen over de overname van een Nederlands techbedrijf door Amerikanen of Chinezen. De verkoop van Solvinity geeft de VS de macht om het dataverkeer van de Nederlandse overheid plat te leggen, zeggen experts.
GroenLinks-PvdA-Kamerlid en digitaliseringsexpert Barbara Kathmann heeft daarover Kamervragen gesteld aan demissionair minister van Economische Zaken Vincent Karremans en staatssecretaris Eddie van Marum van Binnenlandse Zaken. Ook SGP-fractievoorzitter Chris Stoffer stelde de kwestie deze week aan de orde bij Van Marum.
Beide parlementariërs zijn gealarmeerd door de aangekondigde overname van het Nederlandse techbedrijf Solvinity door een veel grotere Amerikaanse branchegenoot. Solvinity verleent namelijk cruciale digitale diensten aan de Nederlandse overheid, die – als de overname doorgaat – onder Amerikaanse overheidscontrole komen te staan.
Solvinity levert onder andere de digitale infrastructuur voor Logius, het ICT-bedrijf van de Nederlandse overheid. Logius is het bedrijf achter DigiD, het beveiligde portaal dat Nederlanders gebruiken voor onder meer hun belastingaangifte en communicatie met andere overheidsorganisaties.
Ook MijnOverheid (de digitale postbus van het rijk) en Digipoort, de ICT-centrale die al het berichtenverkeer van de Rijksoverheid afhandelt, vallen onder Logius. Solvinity levert ook dataopslag en de ICT-infrastructuur voor het Centraal Justitieel Incassobureau, dat verkeersboetes en strafrechtelijke boetes int.
Het bedrijf heeft dus toegang tot extreem gevoelige gegevens van de Nederlandse overheid en burgers. Solvinity werd opgericht door Nederlandse ICT’ers en is in Nederland gevestigd, maar de oprichters verkochten 60 procent van hun aandelen in 2014 al aan het Britse private-equitybedrijf Vitruvian.
Het verdienmodel van private-equity-investeerders is overal ter wereld hetzelfde: ze kopen bedrijven met veel groeipotentie op, om die na circa vijf jaar weer met flinke winst door te verkopen aan de hoogste bieder. Die hoogste bieder is in dit geval het Amerikaanse Kyndryl, een afsplitsing van IBM.
Het probleem is dat de Amerikaanse regering Amerikaanse bedrijven kan dwingen hun dienstverlening aan buitenlandse klanten te staken, als de VS om wat voor reden dan ook sancties opleggen aan andere landen of niet-Amerikaanse bedrijven. Ook geeft Amerikaanse wetgeving de Verenigde Staten het recht de Nederlandse data die Solvinity beheert toe te eigenen, als dat in het strategische belang van het land is.
‘Het is honderd procent zeker dat de Amerikaanse overheid die bevoegdheid krijgt, als deze overname doorgaat’, stelt ICT-deskundige Bert Hubert. Het ministerie van Justitie en Veiligheid schakelde namelijk in 2022 het Amerikaanse advocatenkantoor Greenberg Traurig in om daar duidelijkheid over te krijgen.
Greenberg Traurig antwoordde dat het niet uitmaakt of de bewuste data in Europese datacenters worden bewaard (wat het geval is met de DigiD- en andere Solvinity-gegevens). Als een Amerikaans bedrijf de eigenaar is, geldt de Amerikaanse wet, en die geeft de Amerikaanse overheid dus in bepaalde situaties het recht die gegevens op te vragen. Ook de Amerikaanse inlichtingendiensten kunnen ze dan inzien.
Een andere Amerikaanse wet geeft de VS de bevoegdheid om bij wijze van sanctie cruciale infrastructuur van buitenlandse mogendheden en buitenlandse bedrijven uit te schakelen. Deze zomer heeft een medewerker van Microsoft dit tijdens een verhoor in de Franse senaat nog bevestigd. De Amerikaanse overheid zou Kyndryl in theorie opdracht kunnen geven Logius uit te schakelen om de Nederlandse regering onder druk te zetten.
Nota bene Solvinity zelf luidde in mei (samen met andere Nederlandse techbedrijven) de noodklok in een rapport aan kabinet en Tweede Kamer. Dat stelt impliciet dat Europa de Amerikanen niet meer blind kan vertrouwen sinds het aantreden van president Donald Trump.
‘De inzet van digitale afhankelijkheid als geopolitiek drukmiddel is nu een reële dreiging’, schrijven de opstellers. ‘De risico’s zijn verstrekkend, bijvoorbeeld wanneer essentiële platformen van de overheid onbeschikbaar worden, of als daarmee kan worden gedreigd.’
De gemeente Amsterdam tekende drie weken voordat Kyndryl de overname bekendmaakte een vierjarig contract met Solvinity. Amsterdam dacht dat een Nederlands bedrijf een veiligere keus was dan de huidige ICT-partner: het Amerikaanse Microsoft.
Mededingingsautoriteit ACM moet de overname nog goedkeuren, maar nu wordt Solvinity dus misschien ook Amerikaans. Amsterdam voelt zich belazerd en onderzoekt of het nog onder het contract uit kan.
Solvinity is niet de eerste casus waarbij gevoelige Nederlandse data bij buitenlandse bedrijven terechtkomen. Eerder dit jaar werd het Nederlandse Zivver overgenomen door het Amerikaanse Kiteworks, dat geleid wordt door voormalige cybersecurity-experts van het Israëlische leger. Follow the Money schreef in september dat de kans daardoor groot is dat niet alleen de Amerikaanse, maar ook de Israëlische overheid toegang heeft tot de Nederlandse data van Zivver.
Zivver levert een beveiligd mailsysteem voor uiterst kwetsbare persoonsgegevens. Onder andere het Openbaar Ministerie, Nederlandse ziekenhuizen, zorgverzekeraars, de IND en het UWV zijn klant.
Geselecteerd door de redactie
Source: Volkskrant