Preview document (🔗 origineel)

---

2026Z08716

(ingezonden 22 april 2026)

Vragen van het lid Daniël van den Berg (JA21) aan de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en de ministers van Economische Zaken en Klimaat, van Binnenlandse Zaken en Koninkrijksrelaties en van Justitie en Veiligheid over de feitelijke veiligheidsrisico’s, juridische reikwijdte en afhankelijkheden rond DigiD, Solvinity en Kyndryl.

Bent u bekend met de voorgenomen overname van Solvinity Group B.V. door Kyndryl Netherlands B.V., de rol van Solvinity als leverancier van het platform waarop DigiD draait, en de eerdere beantwoording van Kamervragen over deze casus?

Kunnen de Verenigde Staten volgens u gezien worden als een bondgenoot? Zo nee, waarom niet?

Acht u het waarschijnlijk dat een NAVO-bondgenoot als de Verenigde Staten doelbewust DigiD of vergelijkbare Nederlandse kritieke digitale overheidsinfrastructuur zou uitschakelen? Graag een onderbouwing op basis van dreiging, intentie, capaciteit, precedent en diplomatieke consequenties.

Acht u een dergelijk scenario realistisch, of gaat het primair om een theoretische mogelijkheid die in de risicoanalyse wel moet worden meegenomen, maar niet gelijkgesteld mag worden aan een waarschijnlijke dreiging? Graag een expliciet onderscheid tussen “mogelijk”, “aannemelijk”, “waarschijnlijk” en “urgent”.

Kunt u per juridisch instrument, CLOUD Act, FISA Section 702, Executive Order 12333 en eventuele andere relevante Amerikaanse bevoegdheden, uiteenzetten wat de wettelijke grondslag is, welke autoriteit bevoegd is, welk type gegevens kan worden gevorderd of verzameld, welke rechterlijke toetsing plaatsvindt, of kennisgeving aan de betrokkene, Logius of de Nederlandse Staat verplicht, verboden of beperkt kan zijn en hoe dit zich verhoudt tot de Algemene verordening gegevensbescherming (AVG), verwerkersovereenkomsten en contractuele geheimhoudingsplichten?

Kunt u expliciet onderscheid maken tussen toegang tot gegevens enerzijds en operationele zeggenschap over systemen anderzijds? Klopt het dat wetgeving zoals de CLOUD Act primair ziet op toegang tot elektronische gegevens en niet zonder meer op het met “één druk op de knop” uitschakelen van infrastructuur?

Hoe verhoudt de stelling dat Solvinity in beginsel geen toegang heeft tot burgerservicenummers, adres en telefoonnummer van DigiD-gebruikers zich tot de eerdere kabinetsuitspraak dat Amerikaanse autoriteiten 'in theorie' toegang kunnen krijgen tot gegevens die door Solvinity in opdracht van de Staat worden verwerkt?

Bent u van mening dat er momenteel geen gelijkwaardige technologieën zijn op Nationaal/Europees gebied? Zo ja, bent u dan van mening dat hierdoor de continuiteit van de dienstverlening juist onder druk komt te staan?

Kunt u reflecteren op de gehele Amerikaanse verwevenheid met technologie, zoals de hardware waar de applicaties van Solvinity op draait, de datacenters en eveneens de zeekabels? Zijn deze componenten/diensten ook in handen van Amerikaanse bedrijven? Bent u het daarom eens met de mening dat het nationaliseren van Solvinity geen enkel effect heeft op deze risico's, gezien de verwevenheid in de keten?

Welke concrete risico’s bestaan er momenteel volgens u op het gebied van het opvragen van data, inzage in data en het (eenzijdig) stopzetten van dienstverlening, en van welke vormen van dienstverlening maakt de overheid op dit moment gebruik bij niet-Nederlandse of niet-Europese partijen?

Welke aanvullende (theoretische) risico’s zouden volgens u kunnen ontstaan op deze punten als gevolg van de beoogde overname van Solvinity door Kyndryl?

Kunt u allen de voorgaande vragen los van elkaar beantwoorden?