NLdigital waarschuwt Kamer: beoordeel cloudrisico's zonder simplificaties

In dit artikel:

NLdigital, de branchevereniging van de digitale sector in Nederland, pleit voor een genuanceerde, risico‑gestuurde benadering van digitale autonomie in reactie op Kamerzorg over de voorgenomen overname van Solvinity door het Amerikaanse Kyndryl en wat dat voor DigiD betekent. Omdat Kyndryl lid is van NLdigital kan de vereniging niet inhoudelijk op dat specifieke dossier ingaan, maar leverde wel een schriftelijke bijdrage aan een rondetafel in de Tweede Kamer met aanbevelingen en kanttekeningen. Solvinity levert het platform waar DigiD op draait; dat platform wordt door Logius beheerd in een overheidsdatacentrum en het contract hiervoor loopt dit jaar af.

NLdigital waarschuwt tegen simplistische tegenstellingen zoals “buitenland is risicovol, binnenland veilig” en stelt dat risico’s per toepassing beoordeeld moeten worden. Centraal staan controleverlies en de impact op beschikbaarheid, integriteit en vertrouwelijkheid. De herkomst van een leverancier is geen betrouwbare maatstaf; relevanter zijn jurisdictie en toepasselijk recht. Meer controle vraagt investeringen in kennis, beveiliging en schaal — zonder middelen kan maximale soevereiniteit de veiligheid juist ondermijnen.

Praktische adviezen zijn: doorrekenen van vier scenario’s (juridisch, cybersecurity, leveranciersonderbreking en geopolitieke/handelssancties), streng technisch verifiëren, verantwoordelijkheid bij afnemers vergroten (dataclassificatie, toegangs- en sleutelbeheer), diversificatie afwegen tegen complexiteit, en vanaf het begin exit‑strategieën, interoperabiliteit en bindende contractuele garanties inregelen. Conclusie: niet alles hoeft “soeverein” te zijn, maar keuzes moeten per toepassing beredeneerd en aantoonbaar veilig zijn.