Mark JansenHet Amerikaanse bedrijf Kyndryl heeft DigiD-beheerder Solvinity overgenomen — en daarmee liggen de persoonlijke gegevens van vrijwel alle Nederlanders mogelijk binnen bereik van de Amerikaanse overheid. Het parlement eist actie vóór 6 mei 2026, wanneer het kabinet een beslissing moet nemen over de toekomst van het DigiD-contract.
Wat is er precies gebeurd?
Solvinity, het Nederlandse IT-bedrijf dat de technische infrastructuur van DigiD beheert, is in februari 2026 overgenomen door het Amerikaanse Kyndryl. De Nederlandse Autoriteit Consument & Markt (ACM) keurde de overname op 26 februari 2026 goed vanuit concurrentieperspectief. Maar vanuit veiligheidsoogpunt is de situatie allesbehalve afgerond.
DigiD is het digitale identiteitssysteem waarmee miljoenen Nederlanders dagelijks inloggen bij de Belastingdienst, gemeenten, zorgverzekeraars, pensioenuitvoerders en de SVB. Solvinity verzorgt de technische werking van dit systeem, terwijl Logius — een onderdeel van het ministerie van Binnenlandse Zaken — de verantwoordelijkheid draagt.
Door de overname door Kyndryl geldt nu de Amerikaanse Cloud Act. Die wet verplicht Amerikaanse bedrijven hun data te overhandigen aan de Amerikaanse autoriteiten, ook wanneer de servers fysiek in Nederland staan. De privacyadviseur van de overheid waarschuwde al eerder: "Een Amerikaanse overname brengt de persoonsgegevens van vrijwel alle Nederlanders binnen bereik van de Amerikaanse overheid."
Parlement eist ingrijpen vóór 6 mei 2026
De Tweede Kamer heeft inmiddels een motie aangenomen die het kabinet opdraagt te voorkomen dat DigiD in Amerikaanse handen blijft. Alleen de partij JA21 stemde tegen. De druk is groot: het kabinet moet uiterlijk 6 mei 2026 beslissen of het het DigiD-contract met Solvinity/Kyndryl verlengt tot 2028, of dat het contract niet verlengd wordt.
Een Nederlandse investeerder heeft eerder geprobeerd Solvinity over te nemen om het bedrijf in Nederlandse handen te houden, maar werd nipt overboden door Kyndryl. Het Bureau Toetsing Investeringen (BTI) — de Nederlandse investeringsscreeningsinstantie — beoordeelt momenteel nog de veiligheidsaspecten van de overname.
Ondertussen lijdt DigiD al onder toenemende cyberdruk. Op 23 maart 2026 lag het systeem circa twee uur plat door een DDoS-aanval, waardoor gebruikers geen sms-authenticatiecodes konden ontvangen. Het was de tweede dergelijke aanval in vier maanden. Op 7 april 2026 meldden honderden gebruikers opnieuw storingen.
Wat betekent dit voor u als burger?
Als DigiD in Amerikaanse handen blijft, betekent dat in de praktijk het volgende:
- Uw inloggegevens en authenticatiehistorie kunnen worden opgevraagd door Amerikaanse autoriteiten, ook zonder uw medeweten.
- Diensten die u gebruikt via DigiD — denk aan de Belastingdienst, uw zorgverzekeraar, de SVB en uw gemeente — vallen daarmee indirect onder de reikwijdte van de Cloud Act.
- Bij toekomstige storingen heeft u tijdelijk geen toegang tot essentiële overheidsdiensten. Dit kan problemen geven bij het aanvragen van toeslagen, het indienen van belastingaangifte of het wijzigen van persoonsgegevens.
Logius benadrukt dat de servers zelf in Nederlandse overheidsdata-centra staan en dat er geen data is gelekt. Maar juristen wijzen erop dat de Cloud Act de fysieke locatie van de servers irrelevant maakt: het gaat om de nationaliteit van het bedrijf dat de toegang beheert.
Wat kunt u zelf doen?
Als burger heeft u weinig directe invloed op het overheidscontract. Toch zijn er stappen die u kunt zetten om uw digitale veiligheid te versterken:
Gebruik sterke authenticatie. Schakel waar mogelijk over op de DigiD-app met vingerafdruk of gezichtsherkenning in plaats van sms-codes. Sms-authenticatie is kwetsbaarder voor onderschepping en minder veilig bij DDoS-aanvallen op het sms-systeem.
Controleer uw inloggeschiedenis. Via mijn.overheid.nl kunt u zien wanneer en via welke diensten uw DigiD is gebruikt. Meld verdachte activiteiten direct.
Beperk onnodige digitale sporen. Gebruik DigiD alleen voor de diensten waar het echt voor nodig is. Elk systeem dat u via DigiD benadert, wordt onderdeel van uw digitale profiel.
Raadpleeg een IT-beveiligingsexpert. Bent u ondernemer of verwerkt u gevoelige gegevens via systemen die aan DigiD gekoppeld zijn? Dan verdient het aanbeveling om een IT-specialist te raadplegen over de risico's van de Cloud Act voor uw bedrijfsvoering. Platforms zoals Expert Zoom verbinden u met gecertificeerde IT-beveiligingsadviseurs die u concreet kunnen helpen.
Wat volgt er?
De beslissing van het kabinet op 6 mei 2026 is cruciaal. Kiest het voor verlenging van het contract, dan blijft DigiD voorlopig in Amerikaanse handen en neemt de juridische druk toe. Kiest het voor beëindiging, dan moet een nieuwe beheerder worden gevonden — wat maanden tot jaren kan duren en de continuïteit van DigiD tijdelijk in gevaar brengt.
Experts uit de IT-sector benadrukken dat Nederland al langer achterloopt op het gebied van digitale soevereiniteit. De Solvinity-zaak maakt dat pijnlijk zichtbaar. Wie meer wil weten over de gevolgen voor de eigen digitale beveiliging of bedrijfsvoering, kan via Expert Zoom een gesprek aanvragen met een gecertificeerde IT-beveiligingsspecialist.
Let op: Dit artikel bevat informatie van algemene aard. Voor advies dat toegespitst is op uw persoonlijke of bedrijfssituatie, raadpleeg een gekwalificeerde IT-beveiligingsexpert.
De situatie rondom DigiD en digitale soevereiniteit staat inmiddels ook op de agenda van de Europese Unie. Verschillende lidstaten kampen met vergelijkbare uitdagingen: essentiële digitale infrastructuur die in handen is van niet-Europese bedrijven. De uitkomst in Nederland kan een precedent scheppen voor de rest van Europa.
De voortgang van het BTI-onderzoek en het kabinetsbesluit zijn te volgen via logius.nl — de officiële beheerder van DigiD.
