033 200 30 83
Solvinity en DigiD: afhankelijkheid, zeggenschap en gegevensbescherming
De aangekondigde overname van cloudbedrijf Solvinity heeft geleid tot hernieuwde aandacht voor de afhankelijkheid van vitale digitale overheidsdiensten van externe cloudleveranciers. Die aandacht richt zich met name op DigiD, dat voor (delen van) zijn technische infrastructuur gebruikmaakt van door Solvinity geleverde clouddiensten. Omdat DigiD een kernvoorziening is binnen de digitale overheid, roept deze afhankelijkheid vragen op over zeggenschap, continuïteit en de borging van gegevensbescherming. Daarbij is relevant dat ook andere centrale voorzieningen, zoals MijnOverheid, binnen dezelfde digitale infrastructuur functioneren.
Solvinity als infrastructuurpartner van DigiD
Solvinity levert clouddiensten aan verschillende overheidsorganisaties en speelt een rol in de infrastructuur waarop DigiD draait. DigiD blijft volledig onder verantwoordelijkheid van de overheid, terwijl de technische uitvoering deels is uitbesteed. Hierdoor is een vitale overheidsvoorziening in belangrijke mate afhankelijk van de governance, continuïteit en betrouwbaarheid van een commerciële leverancier.
In antwoorden op Kamervragen heeft de staatssecretaris benadrukt dat het op korte termijn onderbrengen van gevoelige overheidsprojecten bij andere partijen niet eenvoudig is. Dit vereist aanzienlijke juridische, technische en financiële trajecten en is vanwege de complexiteit en afhankelijkheid van de huidige infrastructuur op korte termijn niet haalbaar.
Eigendomswijziging en juridische context
De voorgenomen eigendomswijziging bij Solvinity maakt deze afhankelijkheid extra relevant. De kernvraag is daarbij niet of persoonsgegevens automatisch toegankelijk worden voor buitenlandse partijen, maar welke gevolgen een wijziging in eigendom en zeggenschap kan hebben voor de juridische en bestuurlijke controle over gegevensverwerkingen.
In dit verband wordt gewezen op buitenlandse wetgeving die ondernemingen kan verplichten medewerking te verlenen aan gegevensverzoeken van buitenlandse autoriteiten. Dit betekent niet dat dergelijke toegang zonder meer plaatsvindt, maar het onderstreept het belang van inzicht in de juridische context waarbinnen een leverancier opereert. In het geval van een Amerikaanse eigenaar wordt daarbij veelal verwezen naar wetgeving zoals de U.S. CLOUD Act, die onder omstandigheden verplichtingen kan opleggen die op gespannen voet kunnen staan met het Europese gegevensbeschermingskader.
Deze ontwikkeling laat zien dat risico’s bij uitbesteding aan cloudleveranciers niet uitsluitend samenhangen met contractuele of technische maatregelen, maar ook met bredere vragen over governance en zeggenschap.
Gevolgen voor gegevensbescherming
De situatie rond Solvinity maakt duidelijk dat gegevensbescherming bij vitale digitale overheidsdiensten niet alleen wordt bepaald door operationele compliance‑maatregelen, maar ook door keuzes op het niveau van eigendom, zeggenschap en afhankelijkheid. Wanneer structurele verwerkingen plaatsvinden binnen een infrastructuur die onder invloed kan komen te staan van buitenlandse wetgeving, kan dit gevolgen hebben voor de beoordeling van risico’s voor de rechten en vrijheden van betrokkenen.