Het kabinet verbood op 26 mei de overname van Solvinity door Kyndryl. Staatssecretaris Van der Burg van Binnenlandse Zaken en Koninkrijksrelaties informeert de Kamer over aanvullende versleuteling voor DigiD en MijnOverheid en de keuze voor een aanbesteding via de Aanbestedingswet Defensie en Veiligheid, die meer mogelijkheden biedt om risicovolle partijen uit te sluiten.
Na het kabinetsbesluit van 26 mei om de overname van Solvinity door Kyndryl te verbieden, informeerde Van der Burg de Tweede Kamer over aanvullende technische maatregelen voor het Logius-platform. Ook maakt hij duidelijk hoe de opvolgende aanbesteding wordt vormgegeven. De overname riep beveiligingsvragen op die onveranderd actueel blijven, ook na het verbod.
De CISO van Logius voerde eind 2025 een kwetsbaarhedenscan uit op het platform. Vier maatregelen zijn als prioriteit aangemerkt: aanvullende versleuteling van persoonsgegevens in databases, in logging en vóór opslag bij de leverancier, plus back-ups bij een ander overheidsdatacenter voor continuïteit en herstelbaarheid.
DigiD en MijnOverheid krijgen extra versleuteling
DigiD en MijnOverheid zijn de twee voorzieningen waarvoor de maatregelen daadwerkelijk worden doorgevoerd. DigiD voerde drie van de vier maatregelen al eerder door. Extra database-encryptie wordt nu voorbereid en ingepland. MijnOverheid voert alle vier de maatregelen uit. Voor de overige Logius-voorzieningen worden de stappen meegenomen in het reguliere doorontwikkelproces, maar niet direct uitgevoerd.
Naast de versleuteling wordt de monitoring van het Solvinity-platform aangescherpt. Logius breidt het aantal detectieregels uit en brengt de monitoring onder bij het eigen Security Operations Center (SOC). Die werkzaamheden vinden in de komende maanden plaats.
Aanbesteding via ADV om buitenlandse risico’s uit te sluiten
Het huidige contract met Solvinity is op 6 mei 2026 verlengd en loopt uiterlijk tot augustus 2028. Logius staat onder druk rondom de toekomst van het platform. De opvolgende aanbesteding wordt voorbereid via de Aanbestedingswet Defensie en Veiligheid (ADV). Die wet biedt meer mogelijkheden dan een reguliere Europese aanbesteding om partijen uit te sluiten afkomstig uit landen met wetgeving die het mogelijk maakt data van Nederlandse burgers op te vragen, een directe verwijzing naar wetgeving zoals de Amerikaanse CLOUD Act. Advies hiervoor is ingewonnen bij de Landsadvocaat.
De ADV-procedure maakt gunning pas openbaar na toewijzing. De kwetsbaarhedenscan leidde in april 2026 tot een vertrouwelijke briefing aan de Tweede Kamer. Experts reageerden positief op het kabinetsbesluit, maar plaatsten vraagtekens bij de afhandeling. Van der Burg benadrukt in zijn brief dat risico’s in een complexe IT-keten nooit volledig kunnen worden weggenomen, maar dat de genomen stappen de geïdentificeerde risico’s minimaliseren.