Als cloud kritieke infrastructuur wordt: waarom de blokkade van Solvinity door Kyndryl ertoe doet

Cloud was vroeger vooral een technische keuze. Kies een provider, verplaats workloads, maak de serverruimte stiller en geniet van minder mysterieuze knipperende lampjes in een kast die niemand meer wilde onderhouden.

Die versie van cloud is voorbij.

Vandaag is cloudinfrastructuur niet alleen de plek waar applicaties draaien. Het is waar burgers zich identificeren, waar de overheid diensten levert, waar zorgsystemen gegevens uitwisselen, waar financiële platformen opereren, en waar nationale veerkracht stilletjes leunt op een keten van leveranciers waar de meeste mensen pas van horen als er iets misgaat.

Daarom is de beslissing van de Nederlandse overheid om de verkoop van Solvinity aan het Amerikaanse IT-dienstverleningsbedrijf Kyndryl te blokkeren zo relevant. Dit was niet zomaar weer een overname in de markt voor managed services. Het werd een symbool in het Nederlandse debat over digitale soevereiniteit, kritieke infrastructuur en afhankelijkheid van buitenlandse technologieleveranciers.

Kort gezegd: het ging niet om wie “een paar servers” beheert. Het ging om wie de infrastructuur beheerst waar diensten op draaien waar Nederlandse burgers op vertrouwen.

Wat is er gebeurd?

Solvinity is een Nederlandse cloud- en managed-servicesprovider met een rol in het hosten van infrastructuur die is verbonden met overheidsdiensten, waaronder systemen die aan DigiD zijn gekoppeld. DigiD is het digitale identiteitssysteem dat miljoenen Nederlanders gebruiken om toegang te krijgen tot portals van de overheid en publieke diensten. Daarmee verschuift het gesprek meteen van reguliere IT-inkoop naar het terrein van nationale veiligheid.

Kyndryl, een Amerikaans IT-dienstverleningsbedrijf, wilde Solvinity overnemen. De deal had al politieke aandacht gekregen, omdat het eigenaarschap van een strategisch belangrijke Nederlandse leverancier onder Amerikaanse controle zou komen te staan. Na beoordeling door de Nederlandse autoriteiten voor investeringsscreening blokkeerde de overheid de overname vanwege het algemeen belang.

Het belangrijkste punt: de zorg ging niet primair om concurrentie. Mededingingsautoriteiten kijken vooral naar marktwerking, prijzen en keuze voor klanten. In deze zaak ging het om iets anders: veiligheid, afhankelijkheid, jurisdictie en controle.

Of, minder diplomatiek gezegd: wie mag dicht bij de digitale sleutels van het land zitten?

Waarom DigiD het gesprek verandert

DigiD is niet zomaar een inlogsysteem. Het is een van de digitale voordeuren van de Nederlandse overheid. Burgers gebruiken het voor belastingen, zorggerelateerde diensten, uitkeringen, pensioenen, gemeentelijke zaken en andere publieke platformen. Als de infrastructuur achter zo'n dienst uitvalt, wordt gecompromitteerd of onder ongewenste externe druk gezet, is de impact niet beperkt tot de operatie van één bedrijf.

Het wordt een publiek probleem.

Daarom verdient infrastructuur rond digitale identiteit een ander niveau van toetsing. Een normale cloudworkload kun je vaak verplaatsen, isoleren, herontwerpen of vervangen. Een nationale identiteitslaag is gevoeliger. Die raakt vertrouwen, continuïteit, privacy en legitimiteit van de overheid.

Als mensen geen toegang hebben tot essentiële diensten, wijzen ze niet naar een architectuurdiagram. Ze wijzen naar de overheid. Terecht of niet: niemand wil horen dat “de dependency chain ingewikkeld was” terwijl hij zorg, belastingen of uitkeringen probeert te regelen.

Het soevereiniteitsvraagstuk

Het debat over Solvinity en Kyndryl maakt deel uit van een veel grotere vraag: hoeveel controle moeten Europese landen houden over kritieke digitale infrastructuur?

Digitale soevereiniteit betekent niet dat u alle buitenlandse leveranciers afwijst. Dat is onrealistisch, duur en in veel gevallen technisch onzin. Moderne IT leunt op wereldwijde ecosystemen. De vraag is niet óf u buitenlandse technologie mag gebruiken. De vraag is of kritieke diensten beheersbaar, controleerbaar, juridisch beschermd en veerkrachtig blijven wanneer geopolitieke druk toeneemt.

Daar werd Amerikaans eigenaarschap politiek gevoelig. Wetgevers en belangenorganisaties maakten zich zorgen dat een Amerikaans beheerder van gevoelige Nederlandse overheidsinfrastructuur bloot kan staan aan Amerikaanse juridische kaders, inlichtingenvragen, sanctiedruk of strategische geopolitieke belangen.

Dat betekent niet dat Kyndryl iets verkeerd deed. Het betekent dat het risicobeeld verandert zodra eigenaarschap verandert. Jurisdictie telt. Juridische exposure telt. Operationele controle telt.

Cloud zweeft niet boven de politiek. Cloud leeft in datacenters, contracten, wetten, eigendomsstructuren, supportmodellen en escalatiepaden. Heel concreet. Iets minder vaag dan het woord “cloud” doet vermoeden.

Waarom dit een cybersecurity-onderwerp is

Op het eerste gezicht lijkt dit vooral een politiek of juridisch verhaal. Het is minstens zozeer een cybersecurity-verhaal.

Cybersecurity gaat niet alleen over firewalls, malware, phishing en endpoint-agents die op het slechtst denkbare moment om updates vragen. Het gaat over het beschermen van vertrouwelijkheid, integriteit, beschikbaarheid en controle. Een leverancier die kritieke infrastructuur host, wordt onderdeel van de security boundary. Verandert het eigenaarschap, dan verandert het risicoprofiel.

Hetzelfde technische systeem kan gevoeliger worden doordat de governance eromheen verandert. Wie heeft toegang tot de omgeving? Wie behandelt incidenten? Wie beheert supporttooling? Waar staan logs? Welke jurisdicties gelden? Kunnen beheerders buiten het land worden verplicht om een buitenlandse autoriteit te helpen? Wat gebeurt er bij een geopolitiek conflict? Wie kan de dienst onderbreken?

Dat zijn geen paranoïde vragen. Het zijn governance-vragen. En voor kritieke nationale infrastructuur is governance security.

De bredere les voor ondernemers

Deze casus is niet alleen relevant voor de overheid. Ondernemers doen er goed aan om te kijken, want hetzelfde patroon speelt op kleinere schaal.

Veel organisaties hebben kritieke processen verplaatst naar cloudplatformen, SaaS, managed-servicecontracten, identity providers, backupplatformen en uitbesteed security-tooling. Dat is normaal. Het kan slim zijn. Het kan ook afhankelijkheden creëren die pas duidelijk worden bij een audit, incident, overname, storing of toezichtsvraag.

De Solvinity-zaak herinnert eraan dat “uitbesteed” niet hetzelfde is als “risico overgedragen.” Als een leverancier iets essentieels voor uw bedrijf beheert, tellen eigenaarschap, jurisdictie, veerkracht en het toegangsmodel.

Een praktische leveranciersreview gaat verder dan uptime en prijs. Stel vragen over waar data staat, wie toegang heeft, hoe support wordt geleverd, welke wetten gelden, hoe incidenten worden afgehandeld, of onderaannemers betrokken zijn, wat er gebeurt bij een eigenaarswissel, en hoe makkelijk u de dienst kunt vervangen of migreren.

Niet glamoureus. Wel nuttig. Het slimme soort saai.

Soevereiniteit is niet anti-cloud

Een denkfout in dit debat is soevereiniteit zien als terug naar vroeger. Dat hoeft niet. Soevereiniteit is niet het tegenovergestelde van cloud. Het is een voorwaarde om cloud verantwoord in te zetten in gevoelige omgevingen.

De juiste vraag is niet “cloud of geen cloud?” De juiste vraag is: “welke workloads hebben strengere controle nodig, en wat vraagt die controle concreet?”

Sommige workloads passen prima op standaard public cloud. Andere vragen om strengere dataresidentie, lokale operatie, door de klant beheerde encryptiesleutels, geïsoleerde supportmodellen, contractuele waarborgen of sovereign cloud-platforms. Het antwoord hangt af van de data, de dienst, de sector en de impact van uitval.

Een volwassen cloudstrategie behandelt niet elke workload hetzelfde. U classificeert risico en past het juiste controlevel toe.

Wat organisaties nu kunnen doen

De Solvinity-beslissing zou organisaties moeten aanzetten hun eigen afhankelijkheidsketens te bekijken. Begin met welke leveranciers kritieke processen ondersteunen. Breng in kaart waar data staat, wie beheerdersrechten heeft, welke jurisdicties gelden, en of het bedrijf door kan als die leverancier uitvalt, wordt gecompromitteerd, wordt verkocht of juridisch onder druk komt te staan.

Let extra op identiteitssystemen, backupplatformen, managed cloud-omgevingen, security monitoring, betaalsystemen, klantportalen en operationele platformen. Dat zijn vaak de systemen die het bedrijf stilletjes bij elkaar houden.

Dit betekent niet dat u morgen elke leverancier moet vervangen. Dat wordt duur chaos met een inkoopstempel. Het betekent wel dat u het risico begrijpt en bewuste keuzes maakt in plaats van op geruststellende aannames te vertrouwen.