Na de rel rondom de overname van DigiD-beheerder Solvinity door het Amerikaanse Kyndryl staat elke deal tussen IT-leveranciers en de publieke sector op losse schroeven. Omdat een overname door een buitenlandse partij niet uit te sluiten is, kiezen gemeenten, ministeries, overheidsdiensten en rechtbanken voor een clausule om snel afscheid te kunnen nemen. Toch is ook zo’n clausule enkel een garantie van vertrek, niet van een veilig soeverein alternatief.
Bij de Immigratie- en Naturalisatiedienst (IND) zal de saga rondom Solvinity bekend zijn voorgekomen. Sinds juni 2025 is de beveiligde berichtendienst Zivver namelijk in handen van het Amerikaanse Kiteworks. Net als aanvankelijk gold voor de Kyndryl-deal voor Solvinity, deed de overname geen stof opwaaien. Volgens Follow the Money kon data vanuit het oorspronkelijk Nederlandse Zivver echter in handen komen van Israëlische intelligentiediensten, waardoor de gegevens minder veilig zouden zijn dan klanten werd verteld.
Soevereiniteitsgolf
Kyndryl en Kiteworks hebben met hun respectievelijke overnames van Nederlandse IT-spelers geen wet gebroken. Tevens staat het overheidsorganisaties vrij om van diensten als Zivver en het beheer van DigiD door Solvinity af te stappen. Het NRC meldt dat het ministerie van Justitie en Veiligheid bijvoorbeeld in een nieuwe aanbestedingsronde Zivver verliet voor het Lelystadse SecuMailer, dat daarnaast SSC-ICT bedient. SSC-ICT regelt de IT-infrastructuur voor negen ministeries en 58.000 ambtenaren. Zivver is dus al op grote schaal vervangen door een soeverein alternatief uit Flevoland.
Desalniettemin kan ook SecuMailer in Amerikaanse handen belanden of gekocht worden door een bedrijf uit een ander land. Er zijn genoeg alternatieven te bedenken van Nederlandse komaf, maar het gaat hierbij om slechts één applicatie voor een kritieke taak. De uitwisseling van gevoelige data is één van de gemeenschappelijke acties binnen de publieke sector, maar alles van HR-tooling tot security bevat gegevens die idealiter binnen de Nederlandse landsgrenzen moeten blijven.
Eén ding is duidelijk: daar waar eerder de soevereiniteitsdiscussie beperkt bleef tot het beschermen van data, is de sprong naar de applicaties die deze data verwerken en het beheer van die applicaties gemaakt. Als een inktvlek verspreidt zo de drang naar Europese (of zelfs Nederlandse) IT-alternatieven.
De grens
We vragen andermaal ons af waar die soevereiniteitsdrang ophoudt. We willen er niet per definitie van uitgaan dat een oplossing als SecuMailer onveiliger is dan Zivver, of dat de angsten ongegrond zijn rondom partijen die door buitenlandse bedrijven worden gekocht. Waar wetgeving uit het buitenland kan leiden tot het verlies van kritieke data, moet voorzorg genomen worden. Tegenover het NRC stelt CEO en mede-eigenaar van SecuMailer Yvonne Hoogendoorn dat de “echte garantie” voor klanten bestaat uit een clausule om te mogen vertrekken bij een overname van de IT-dienstverlener. Dat betekent niet dat er een alternatief klaarstaat of dat de migratie pijnloos is.
Volledig autonoom IT-beheer is niet meer haalbaar. Al helemaal ondenkbaar is de gedachte dat elke applicatie door een eigen overheids-ICT wordt opgetuigd. Maar de afhankelijkheid van derden moet worden ingeschat op basis van verschillende gradaties. De eerste eis moet zijn dat er überhaupt een exitstrategie bestaat, ook voor op de korte termijn. Ten tweede komt de publieke sector geregeld achteraf pas tot de ontdekking dat de continuïteit afhankelijk is geworden van derden.
Er zal een stap gezet moeten worden die de pijnlijke realiteit van de soevereiniteitsdrang blootlegt. Dat is namelijk dat er niet altijd een SecuMailer of Solvinity-alternatief beschikbaar is voor het bouwen van een app of het beheren van een omgeving. In het eerste geval is de reden hiervoor simpel: er zijn veel te veel oplossingen die niet zijn na te bootsen of te overtreffen met eigen middelen, dus zal er een afhankelijkheid zijn van deze aanbieders. Indien er een Europees alternatief is of een uit Nederland, is inmiddels duidelijk dat dit slechts tijdelijke geruststelling oplevert. Elk IT-bedrijf kan immers worden overgenomen.
Qua beheer is de stap naar soevereiniteit eenvoudiger, maar daar stuiten ook die beheerders op een moderne realiteit. Applicaties die zij draaien, zijn niet plotseling gevrijwaard van buitenlandse inmenging. Ergens in de keten zit nog steeds een zwakke plek, soms latent, soms actief. De sprong naar soevereine IT-oplossingen komt tegenwoordig niet zomaar te laat of te gehaast, hoewel dat tijdsaspect zeker de aandacht waard is. Eerder gaat de soevereiniteitsdiscussie uit van een mogelijkheid tot deze soevereiniteit, als een soort eindstation dat met veel overstappen te bereiken is. We betwijfelen dat ten zeerste.