Blog

Vijf lessen uit de bijna-overname van DigiD

De bijna-overname van DigiD door een Amerikaanse partij was een van de duidelijkste lessen in digitale soevereiniteit die de publieke sector in jaren kreeg. Een vitaal systeem waarmee miljoenen mensen inloggen, kwam via een toeleverancier plots in beeld voor buitenlandse zeggenschap. De overname werd geblokkeerd, maar de les blijft. In dit artikel destilleren we vijf concrete lessen die elke overheidsorganisatie kan meenemen.

In het kort
  • Soevereiniteit zit in de keten, niet alleen in het systeem.
  • "Servers in Nederland" is geen garantie — jurisdictie telt (CLOUD Act).
  • Ken de eigenaar achter je leverancier, en volg overnames.
  • Regel zeggenschap en een exit vooraf, niet in allerijl achteraf.
  • Een vangnet is geen strategie: bouw soevereiniteit vooraf in.

Kort: wat er speelde

DigiD is de digitale sleutel waarmee ruim 18 miljoen Nederlanders inloggen bij de overheid, de zorg en hun pensioenfonds. De techniek eronder draait niet bij de overheid zelf, maar bij toeleverancier Solvinity. Toen bekend werd dat Solvinity zou worden overgenomen door het Amerikaanse Kyndryl, ontstond brede onrust — met een petitie van bijna 200.000 handtekeningen als signaal.

Het kabinet greep in en blokkeerde de overname via de investeringstoets; Logius benadrukte dat "DigiD Nederlands is en blijft" en zette in op een nieuwe aanbesteding onder een strenger regime. Goed nieuws. Maar dat het zó ver kon komen, is precies wat de moeite van het bestuderen waard maakt. Hieronder de vijf lessen.

Les 1: Soevereiniteit zit in de keten, niet alleen in het systeem

Het venijnige punt: DigiD zelf bleef in Nederlandse handen, maar de leverancier bijna niet. Een systeem kan formeel volledig nationaal zijn, terwijl de partij die het bouwt, host of beheert onder buitenlandse controle komt. Digitale soevereiniteit is zo sterk als de zwakste schakel in je toeleveringsketen.

De les is om niet alleen naar je eigen systemen te kijken, maar naar de hele keten eronder. Wie levert, wie host, wie beheert — en wie is daar eigenaar van?

Les 2: "Servers in Nederland" is geen garantie

Een veelgehoorde geruststelling is dat de data toch in Nederland of de EU staat. Maar de locatie van een server zegt weinig over de jurisdictie. Een bedrijf met een Amerikaans moederbedrijf valt onder Amerikaanse wetgeving zoals de CLOUD Act, ook als de gegevens fysiek hier staan.

De les is om bij elke leverancier niet te vragen "waar staat mijn data", maar "onder welk recht valt de partij die erbij kan". Dat is een wezenlijk andere, en veel belangrijkere, vraag.

Les 3: Ken de eigenaar achter je leverancier

Veel organisaties weten wel wie hun leverancier is, maar niet wie díé leverancier bezit — of wie hem morgen kan overnemen. Juist die eigendomsstructuur bepaalt onder welke belangen en welke wetgeving je kritieke systeem uiteindelijk valt.

De les is om eigendom en zeggenschap actief te volgen, niet alleen bij de aanbesteding maar gedurende het hele contract. Een overname verandert het speelveld, ook als de dienst zelf hetzelfde blijft.

Les 4: Regel zeggenschap en een exit vooraf

Toen de onrust losbarstte, moest alles in allerijl worden geregeld: noodplannen, toetsen, een nieuwe aanbesteding. Dat lukte, maar onder hoge druk en met veel improvisatie. Veel goedkoper en rustiger is het om afspraken vóóraf vast te leggen.

De les is om zeggenschap, dataportabiliteit en een exit-scenario standaard op te nemen in contracten met kritieke leveranciers. Kun je overstappen als het moet, zonder je organisatie plat te leggen? Dat antwoord wil je kennen vóór het misgaat, niet erna.

Les 5: Een vangnet is geen strategie

De casus liet zien dat Nederland niet machteloos is: de investeringstoets, een veiligheidsanalyse en een noodplan vormden samen een vangnet, en de overname werd tegengehouden. Bemoedigend. Maar een vangnet dat pas in werking treedt als het bijna misgaat, is geen structurele oplossing.

De les is dat soevereiniteit vooraf moet worden ingebouwd, niet achteraf gered. Behandel afhankelijkheid van één partij als een risico dat je actief beheert — niet uit wantrouwen tegen technologie, maar uit verantwoordelijkheid voor wat je beschermt.

Wat dit voor jouw organisatie betekent

Je hoeft geen DigiD te beheren om deze lessen toe te passen. Elke gemeente, uitvoeringsorganisatie en samenwerkingsverband draait op een keten van leveranciers en clouddiensten. De vraag "wat gebeurt er als deze partij wordt overgenomen?" hoort thuis in elke aanbesteding en elk leverancierscontract.

Begin klein: breng in kaart welke leveranciers kritiek zijn, wie de eigenaar is en onder welk recht ze vallen, en leg vast hoe je zou kunnen overstappen. Zo maak je van digitale soevereiniteit geen loze kreet, maar een controleerbare eigenschap van je organisatie.

Zo houd je zelf de regie

De bijna-overname van DigiD is een gratis les over hoe kwetsbaar én hoe verdedigbaar onze digitale soevereiniteit is. Precies op dat snijvlak van informatieveiligheid, leveranciersmanagement en publieke kaders werken wij als DWDA.

Wilt u weten hoe soeverein uw organisatie werkelijk is? Doe onze gratis volwassenheidsscan en ontvang direct een rapport met concrete vervolgstappen. Liever sparren over een kritieke leverancier of een lopende aanbesteding? Met onze instapvouchers zetten we tegen een vaste prijs een eerste analyse neer, zonder langdurige verplichting. Neem gerust contact met ons op, dan kijken we samen waar uw grootste risico's en kansen zitten.

De vijf lessen in één overzicht — deel gerust.
De vijf lessen in één overzicht — deel gerust.
TdW
Tom de WaardOprichter · Interim CMO & partner in digitale transformatie

Oprichter van DWDA en interim CMO. Al ruim dertig jaar — sinds 1993 — helpt Tom organisaties van mkb tot multinational met digitale strategie, marketing en transformatie. Als boegbeeld van een award-winnende digitale case bij Nutricia (Danone) won hij meerdere publieke prijzen, waaronder de Customer Data Award en de LOVIE Awards. De laatste jaren richt hij zich sterk op de publieke sector: hij helpt (semi)overheidsorganisaties, zoals Sabewa Zeeland, moderniseren en de systemen en technieken van vandaag benutten — met informatieveiligheid en compliance als fundamentele vertrekpunten. Tom vertaalt strategie naar uitvoering, met AI en governance als rode draad.

Meer over het team → Connect op LinkedIn