Preview document (🔗 origineel)

---

Geachte voorzitter,

Op 5 november jl. verscheen het nieuwsbericht over de beoogde overname van het cloudbedrijf Solvinity door het Amerikaanse bedrijf Kyndryl. Met deze brief informeer ik u, mede namens de minister van Economische Zaken, over de feitelijke stand van zaken omtrent de casus Solvinity, schets ik de aanpak in het bredere kader van de digitale autonomie voor de overheid en geef ik aan wat de kabinetslijn is ten aanzien van de vervolgstappen.

Stand van zaken

Ik begrijp dat de beoogde overname van Solvinity tot veel maatschappelijke en politieke discussie leidt. Tegelijkertijd hecht ik waarde aan een zorgvuldig doorlopen proces. Momenteel vindt de integrale en strategische bespreking plaats binnen de Taskforce Economische Veiligheid (TFEV), ter advisering aan de betrokken bewindspersonen.

In de casus wordt breed opgetrokken door de voor deze casus relevante overheden, waarbij de overheidsbrede coördinatie en de afstemming met de betrokken overheidscontracthouders bij de Taskforce Continuïteit ICT Dienstverlening (CID) van het ministerie van BZK is belegd.

De volgende sporen worden in deze casus doorlopen:

1. Investeringstoetsing

In het kader van de voorgenomen investering vindt toetsing plaats op grond van de toepasselijke investeringstoetsen. De Autoriteit Consument en Markt (ACM) beoordeelt in het kader van de concentratietoets of de voorgenomen overname gevolgen heeft voor de mededinging en de werking van de markt. Met concentratietoetsing wordt toegezien op eerlijke concurrentie en marktwerking bij fusies, overnames en joint ventures.

Daarnaast vindt investeringstoetsing plaats door het Bureau Toetsing Investeringen (BTI), dat opereert onder de verantwoordelijkheid van het ministerie van Economische Zaken. Investeringstoetsing ziet toe op risico’s voor de nationale veiligheid bij een beoogde overname. De duur van een BTI-onderzoek is afhankelijk van verschillende factoren, zoals de kwaliteit en snelheid van de antwoorden die betrokken bedrijven geven en de complexiteit van het vraagstuk. Conform het jaarverslag van het BTI is de gemiddelde doorlooptijd van een onderzoek circa 45 dagen. Complexere onderzoeken vergen in de praktijk vaak meer dan 120 dagen, met één uitschieter tot 309 dagen. Deze termijnen bieden ruimte voor een zorgvuldige en integrale afweging van eventuele risico’s.

Deze toetsen maken deel uit van een proces van onafhankelijke beoordeling door de daartoe aangewezen toezichthouders. De overname zal niet eerder plaatsvinden dan nadat zowel de concentratietoets door de ACM als de investeringstoetsing door het BTI volledig zijn afgerond. Het kabinet wacht het oordeel van deze onafhankelijke toezichthouders af alvorens verdere stappen te zetten.

2. Integrale weging

De lopende risicoanalyses en adviezen in deze casus worden binnen de TFEV, onder voorzitterschap van de NCTV, nader besproken. De TFEV is een ambtelijk orgaan dat zich richt op economische veiligheidsrisico’s die de Nederlandse nationale veiligheidsbelangen kunnen raken. De integrale bespreking is ondersteunend aan de strategische afwegingen van het kabinet.

3. Verkenning mitigerende maatregelen in de klantrelatie met Solvinity

Daarnaast heeft BZK vanuit de positie van de overheid als klant van dienstverlening van Solvinity de Taskforce Continuïteit ICT Dienstverlening verzocht een aantal onderzoeken uit te zetten om tot een risico-inschatting en handelingsperspectief in deze casus te komen. Ook is wekelijks overleg ingesteld met de betrokken overheidsorganisaties. Hierbij is het eerste risicobeeld voor de dienstverlening bij de overname in kaart gebracht en is onderzoek uitgezet bij de Landsadvocaat.

Het onderzoek van de Landsadvocaat wijst uit dat Solvinity in geval van overname door Kyndryl binnen het bereik valt van bepaalde Amerikaanse wetgeving met extraterritoriale werking. De gevolgen hiervan voor de data-integriteit en continuïteit van dienstverlening worden momenteel onderzocht als onderdeel van de integrale risico-afweging.

Onder coördinatie van BZK worden gesprekken gevoerd met de Landsadvocaat, Solvinity en Kyndryl over generieke aanvullende maatregelen ten aanzien van dataveiligheid, zeggenschap en continuïteit om bepaalde risico’s welke zijn geconstateerd in het risicobeeld te mitigeren. Logius en JenV maken tevens apart afspraken met Solvinity over specifieke technische risico-mitigerende maatregelen geldend voor de specifieke dienstverlening die zij van Solvinity afnemen. Deze gesprekken zijn nog gaande.

Aanpak in het kader van digitale autonomie voor de overheid

Nationaal beleid rond digitale autonomie

In oktober 2023 heeft het kabinet de Agenda Digitale Open Strategische Autonomie (DOSA) vastgesteld. De Visie Digitale Autonomie en Soevereiniteit van de Overheid, die uw Kamer in december 2025 is toegezonden, werkt deze agenda verder uit voor de overheid. De visie beschrijft hoe de overheid, langs leidende principes en strategische bouwstenen, stapsgewijs werkt aan het verminderen van ongewenste afhankelijkheden en het vergroten van de digitale weerbaarheid. Digitale autonomie vormt een integraal onderdeel van de Nederlandse Digitaliseringsstrategie (NDS).

Nederlandse Digitalisering Strategie (NDS): soevereine cloud

Binnen het Rijk bestaat momenteel nog variatie in de invulling van beleid, onder meer op het gebied van cloudgebruik en sourcing. Deze verschillen kunnen het overzicht en de beheersing van risico’s bemoeilijken. Het kabinet zet daarom in op overheidsbreed beleid, gezamenlijke uitvoering en versterkte centrale coördinatie, inclusief betere monitoring van afhankelijkheden en toezicht op de naleving van afspraken. In dat kader werkt het kabinet, binnen de NDS, onder meer aan het verkennen van (meer) soevereine cloudoplossingen, het opstellen van overheidsbrede kaders en handreikingen voor digitale autonomie en het aanscherpen van de IT-sourcingstrategie. Er wordt komende periode interbestuurlijk toegewerkt naar een Investeringsagenda NDS. Daarin komt een nadere uitwerking en onderbouwing van de kosten, waaronder de kosten van een soevereine cloud. Ook komen daarin de eventuele baten van de NDS aan bod voor Nederland, evenals voorgestelde financieringsmogelijkheden. Deze investeringsagenda wordt in de eerste helft van 2026 verwacht. Op basis hiervan kan dan later verdere besluitvorming plaatsvinden.

Europese samenwerking op het gebied van digitale autonomie 

In het kader van de Agenda Digitale Open Strategische Autonomie werkt het kabinet langs verschillende sporen aan het verbeteren van de werking van de cloudmarkt. Zo draagt wetgeving als de Dataverordening, de Digitalemarktenverordening (Digital Services Act, DSA) en de Cyberveiligheidsverordening bij aan de randvoorwaarden voor goede marktwerking. Daarnaast worden ook investeringen in Europese alternatieven onderzocht als een belangrijk onderdeel van het beleid om de markt te verbeteren. Deze investeringen kunnen publiek-privaat zijn, zoals de financiering via het Important Project of Common European Interest Cloud Infrastructure and Services (IPCEI CIS) en het Digital Europe Programme (DEP). Ook proberen we als overheid een verbeterde nationale en Europese samenwerking tussen belanghebbenden in de sector tot stand te brengen, onder andere via de European Alliance for Industrial Data, Edge and Cloud.

Eind 2025 heeft de Europese Commissie goedkeuring gegeven voor de oprichting van het European Digital Infrastructure Consortium (EDIC). Nederland heeft een trekkersrol, met de EDIC Digitale Gemeenschapsgoederen bundelen we onze krachten en schalen we gezamenlijke Europese oplossingen op om de digitale soevereiniteit te versterken. Tegelijkertijd worden Europees ook nieuwe beleidsinitiatieven en wet- en regelgeving ontwikkeld ter versterking van de Europese digitale autonomie. Naar verwachting publiceert de Europese Commissie in april 2026 het voorstel voor een Cloud and AI Development Verordening (CADA) met parallel een aanbeveling voor aanbestedingen van clouddiensten door overheden. Nederland heeft hierbij tevens aandacht gevraagd voor het opnemen van soevereiniteitsvereisten in de CADA, onder andere middels het non-paper ‘Strenghtening cloud sovereignty of public administrations’.¹ Deze nieuwe initiatieven zullen naar verwachting onder meer aandacht hebben voor publieke aanbesteding van clouddienstverlening en bepalingen bevatten over de (versnelde) ontwikkeling van Europese digitale infrastructuur en soevereiniteitseisen voor clouddiensten. Het kabinet heeft een positieve grondhouding ten opzichte van de ambities van de CADA en kijkt uit naar het wetsvoorstel van de Commissie.

De Europese Commissie heeft in januari 2026 een voorstel gepresenteerd voor de herziening van de Cyberveiligheidsverordening. De focus ligt hierbij op het versnellen van het proces voor Europese certificeringsschema's, zoals dat voor clouddiensten (EUCS). Hiermee wordt ICT-supply-chain security verankerd als kernonderdeel van het EU-cyberbeleid. Dit stelt de Unie in staat om strengere eisen te stellen aan de herkomst en transparantie van kritieke technologie, waardoor de afhankelijkheid van hoog-risico aanbieders uit derde landen structureel wordt verminderd.

Kabinetslijn vervolgstappen Solvinity

Nederland beschikt over een breed instrumentarium ter borging van onze economische veiligheid, waaronder de continuïteit van vitale (overheids)processen. Dit bestaat onder andere uit het stelsel van investeringstoetsing, exportcontrolebeleid, en beveiligingsmaatregelen in het vitaal stelsel, zoals toegelicht in de Kamerbrief van 1 juli 2025².

Inzake deze casus, zoals eerder aangegeven in deze brief, handelt het kabinet naar een driesporenbeleid, te weten: 1. investeringstoetsing, 2. het uitlopen van een risicoanalyse plus integrale weging en 3. de verkenning van mitigerende maatregelen in de klantrelatie met Solvinity.

Ten aanzien van het eerste spoor wacht het kabinet, zoals gebruikelijk, de beoordeling van de toezichthouders af. Een zorgvuldige afweging wordt zeer van belang geacht. Ten aanzien van het tweede spoor vindt een integrale bespreking van de brede risicoanalyse plaats in de Taskforce Economische Veiligheid. Ten aanzien van het derde spoor is het kabinet middels de Taskforce Continuïteit ICT Dienstverlening actief in gesprek met stakeholders om mitigerende maatregelen in kaart te brengen ten behoeve van de continuïteit van de dienstverlening.

Op basis van de uitkomsten van de toetsen en de zorgvuldige weging van de integrale risico-analyse worden verdere acties in gang gezet. Het kabinet hecht er ten slotte aan te benadrukken dat de continuïteit van kritieke overheidsprocessen van cruciaal belang is. Daarmee zijn alle opties om de continuïteit van ICT-dienstverlening te borgen open.

De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,

Herstel Groningen, Koninkrijksrelaties en Digitalisering

Eddie van Marum

---

1. Non paper 'Strengthening cloud sovereignty of public administrations' | Publicatie | Rijksoverheid.nl↩︎

2. TK2025/30821-302↩︎