Logius geeft op eigen webpagina meer informatie over overname van DigiD-hoster

DigiD-beheerder Logius heeft een webpagina online gezet waarin het uitleg geeft over de overname van het Nederlandse hostingbedrijf Solvinity door een Amerikaans bedrijf. Logius zegt op die pagina dat er onderzoek wordt gedaan naar de mogelijke gevolgen van de overname.

Logius heeft de pagina digid.nl/solvinity online gezet in reactie op recent nieuws over de overname van hostingprovider Solvinity. Begin november werd bekend dat dat Nederlandse bedrijf werd overgenomen door een Amerikaanse ict-dienstverlener, Kyndryl. Dat leidde tot ophef, onder andere in de politiek. Solvinity levert namelijk clouddiensten voor verschillende Nederlandse overheidsdiensten, waaronder DigiD.

DigiD maakt gebruik van de servers van Solvinity, maar heeft daar verder weinig mee te maken. Beheerder Logius zegt dan ook dat Solvinity een leverancier is, maar niet de eigenaar.

Logius verwijst verder naar onderzoek dat op dit moment wordt gedaan naar de gevolgen van de overname voor DigiD. "Er wordt uitgebreid onderzoek gedaan naar de mogelijke gevolgen voor de dienstverlening, beveiliging en privacy van DigiD. Als uit het onderzoek blijkt dat er risico's zijn die wij niet kunnen accepteren, nemen wij direct maatregelen", schrijft de dienst. Dat onderzoek wordt uitgevoerd door het kabinet, dat dit eerder al aankondigde.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 05-12-2025 15:12 29

05-12-2025 • 15:12

Lees meer

Nederlands kabinet onderzoekt overname cloudfirma Solvinity door bedrijf uit VS

Nederlands kabinet onderzoekt overname cloudfirma Solvinity door bedrijf uit VS Nieuws van 21 november 2025

Nederlandse cloudfirma Solvinity komt in handen van Amerikaans ict-bedrijf

Nederlandse cloudfirma Solvinity komt in handen van Amerikaans ict-bedrijf Nieuws van 6 november 2025

Bedrijfsnieuws Privacy Digid Logius Solvinity

IT-banen

Meer vacatures

Reacties (29)

29

27

13

0

0

9

Wijzig sortering

Zerokuni 5 december 2025 15:25

Als ik het goed begrijp dan draait DigiD on premise bij de overheid en is het geen SaaS vanuit Solvinity. Dus hebben ze als leverancier geen toegang tot de database van DigiD. Ze verzorgen enkel de updates, etc, die de overheid dan zelf uitvoert (?). Dan ligt het technisch applicatie beheer en functioneel beheer volledig bij de overheid (?).

Ik vind het nog niet heel duidelijk.

[Reactie gewijzigd door Zerokuni op 5 december 2025 15:26]

baseoa @Zerokuni • 5 december 2025 15:46

Dit is ook mijn vermoeden maar het staat er niet. Er staat op digid.nl/solvinity dat Solvinity iets levert dat in een overheidsdatacentrum draait en dat Solvinity geen gegevens kan inzien die door die servers verwerkt worden. Oftewel, ze leveren ze alleen hardware? Hoezo zou dit nieuws zijn als ze die niet ook beheren? Stel dat HP wordt overgekocht door China BV en de overheid HP servers heeft staan, dan is dat geen probleem tenzij HP ook nog toegang heeft tot die systemen voor bijvoorbeeld een onderhoudscontract

Langs de ene kant is "we kopen er alleen hardware" wat de PR-pagina suggereert, maar niet rechtuit zegt. En langs de andere kant is er het nieuws dat ze op een platform van Solvinity draaien (wat zou betekenen dat die partij ook toegang tot hun eigen platform heeft) en onderzoek gedaan wordt naar de mogelijke gevolgen van de overname. Ik ben benieuwd wat het antwoord zal blijken te zijn en heb hoop, maar ben bang dat de verwoording misschien bewust vaag gehouden is...

Edit: hoe vaker ik de pagina herlees, hoe meer ik vermoed dat Solvinity wel degelijk toegang heeft. Zie ook hoe "data processors" en "data controllers" bij GDPR zo'n papieren werkelijkheid zijn over wie eigenaar van gegevens is terwijl de processors ze natuurlijk kunnen inzien. Zo is de formulering op deze pagina ook: (ingekort) "de servers zijn van, en draaien bij, ons" zonder te zeggen dat Solvinity geen toegang heeft, en wel benoemend dat het Solvinitys platform is wat daar draait. Dat Solvinity toegang heeft is de enige sluitende uitleg

[Reactie gewijzigd door baseoa op 5 december 2025 15:53]

laurxp @baseoa • 5 december 2025 15:48

Leveren van hardware is ook al problematisch, dat is bijvoorbeeld de reden dat Huawei-netwerkapparatuur in Europa in de ban is gedaan.

baseoa @laurxp • 5 december 2025 15:55

Als je backdoors vermoed. In het gegeven voorbeeld van HP dat door China BV opgekocht wordt, was HP een vertrouwde partij op het moment van aankoop van de hardware. Zo ook bij Solvinity, als ze inderdaad alleen de servers leveren en Logius die verder zelf beheert. Huawei is een andere situatie omdat dat altijd al uit China kwam en vervolgens vermoed werd dat ze toegang tot de infrastructuur hielden

R_Zwart @baseoa • 5 december 2025 15:49

Solvinity zal de hardware and cloud software leveren. En misschien het management van o.a. digid.

baseoa @R_Zwart • 5 december 2025 15:57

Als ze software leveren, kunnen ze in een update meeleveren wat ze willen. Dat is feitelijk hetzelfde als toegang hebben tenzij je nu stopt met updates installeren

5 december 2025 15:15

De sprong naar voren. Zonder veel inhoudelijks te zeggen, wel een verstandige zet van Logius/DigiD.

smv @JSBach • 5 december 2025 15:25

Eerlijke en open communicatie. Iets waar heel veel mensen en bedrijven van kunnen leren. Ze hoeven immers niet zo'n website/pagina te maken met informatie.

_{En ja natuurlijk kan je er over twisten, maar we kunnen ook overal iets achter blijven zoeken....}

laurxp @smv • 5 december 2025 15:46

Niet echt eerlijk en open, als je het mij vraagt.

Neem bijvoorbeeld de vraag "Kan een Amerikaans bedrijf mijn gegevens straks inzien?": ze beantwoorden dat DigiD alleen een BSN verstrekt. Wat ze hierbij niet vermelden is dat DigiD in feite de poortwachter is tot de andere overheidsdiensten: de beheerder van DigiD zou zich dus als iedere burger voor kunnen doen, en op die manier jouw data uit de andere overheidsdiensten kunnen halen.

Ze zeggen wel leuk "Solvinity is leverancier van DigiD", maar dat zegt dus helemaal niks over het daadwerkelijke risico. Een "leverancier" kan iemand zijn die admintoegang heeft tot alle machines, of iemand die een doos printpapier voor de deur zet. Aan welke kant van het spectrum valt Solvinity? Dat krijgen we dus niet te weten.

Juist bij zulke cruciale diensten moet je 100% transparant zijn - en dat is niet het gevoel dat ik krijg bij deze publicatie. Dit leest meer als een PR-bericht geschreven in een poging om verder drama te voorkomen.

foppe-jan @smv • 5 december 2025 15:43

lol. de toeleverancier van een overheidsdienst die een van de belangrijkste identificatiemiddelen beheert hoeft niet transparant te zijn? Hoe laag wil je de lat leggen?

R_Zwart @foppe-jan • 5 december 2025 15:48

Ze kunnen het ook overlaten aan het verantwoordelijke ministerie.

foppe-jan @R_Zwart • 5 december 2025 15:51

kunnen ze doen, als ze niet bang zijn de overheid als klant te verliezen omdat politici daar (al dan niet terecht) niet op gaan wachten. Maar goed, inhoudelijk vind ik deze publicatie nog steeds vrij misleidend, om de redenen die laurxp aangeeft.

foppe-jan @doctrine • 5 december 2025 15:54

.. begrijp je nou echt zo weinig van reputatiemanagement dat je denkt dat bedrijven alleen doen wat de wet voorschrijft? Dat deze overname publieke ruchtbaarheid krijgt is ze überhaupt al een doorn in het oog, laat staan dit soort aandacht.

Stukfruit 5 december 2025 15:26

Logius verwijst verder naar onderzoek dat op dit moment wordt gedaan naar de gevolgen van de overname voor DigiD. "Er wordt uitgebreid onderzoek gedaan naar de mogelijke gevolgen voor de dienstverlening, beveiliging en privacy van DigiD. Als uit het onderzoek blijkt dat er risico's zijn die wij niet kunnen accepteren, nemen wij direct maatregelen", schrijft de dienst. Dat onderzoek wordt uitgevoerd door het kabinet, dat dit eerder al aankondigde.

Waarom is dat onderzoek nodig als al breed duidelijk is dat bedrijven via een omweg beslist de wensen van MAGA volgen?

Want Microsoft heeft weliswaar niet het ICC geblokkeerd, maar sleutelposities de mogelijkheid ontnemen is net zo erg. Misschien wel erger omdat het redelijk matig te noemen is dat toegang zo nog steviger op basis van ideologische redenen zaken kan worden geblokkeerd.

Voorkomen is beter dan genezen.

Zebby 5 december 2025 15:34

De mensen die dit niet begrepen gaan die pagina ook niet lezen denk ik zo, maar goed om er iets over te roepen.

jip_86 5 december 2025 15:19

Je zou zeggen dat je vooraf onderzoek doet naar de gevolgen van zo'n overname.

disbehave @jip_86 • 5 december 2025 15:24

Dan moeten ze wel weten dat die overname gáát plaatsvinden.

darkdeathrip @jip_86 • 5 december 2025 15:36

Het grappige is dat iedereen nu doet alsof deze overname totaal onverwacht risico’s introduceert, terwijl je online al jaren kritische stukken vindt over Solvinity/Kyndryl: governance-issues, aanbestedingsgedoe, klanten die projecten zien ontsporen, financiële druk, noem maar op.

Combineer dat met matige reviews van medewerkers en interne onrust, en het voelt een beetje vreemd dat juist dé digitale voordeur van Nederland daar gaat draaien.

Jammer.

[Reactie gewijzigd door darkdeathrip op 5 december 2025 15:37]

IrBaboon79 5 december 2025 15:19

Ach, gewoon die doosjes naar een andere provider verhuizen dan maar? Of gaan we eerst weer op de blaren zitten om kleingeld te sparen?

laurxp @IrBaboon79 • 5 december 2025 15:36

De doosjes staan al in een overheidsdatacenter. Solvinity doet iets met beheer - maar wat precies is mij niet duidelijk.

gpon @laurxp • 5 december 2025 15:41

Klopt niet. Ik zie dat vele registers en portals nog bij AS29311 staan, het DC van voormalig ASP4ALL, Solvinity.

R_Zwart @laurxp • 5 december 2025 15:52

Beheer is hun core business. In dit geval zouden ze managed cloud, security & application services kunnen bieden als ik hun service portfolio bekijk. Misschien ook nog system integration.

specs2021 @IrBaboon79 • 5 december 2025 16:06

Eerst zien, dan geloven.

Als Logius slechts een normale klant was zou je misschien gelijk hebben, maar het lijkt mij dat voor een dienst als DigiD de nodige investeringen gedaan moeten worden. Dat 'rechtvaardigt' een vergoeding als de klant plots de dienst op zegt, tenzij er ontbindende voorwaarden in de contracten staan.

Dus ik verwacht een claim van de nieuwe eigenaar richting Logius, als Logius als klant vertrekt, die een orde grootte hoger ligt dan de omzet van een gemiddeld bedrijf.

DLabs 5 december 2025 15:25

Overheid slaapt weer. Altijd achteraf gelul.

Comentator 5 december 2025 15:26

Kunnen we niet beter direct onze data aan Israël & Co. geven? Nu gaat het zo omslachtig allemaal.

NEK 5 december 2025 16:01

Zoals ik het nu lees is de uitleg van logius best wel begrijpelijk maar juridisch gezien blijft er wederom 1 harde realiteit overeind want zodra solvinity eigendom wordt van het Amerikaanse Kyndryl valt het bedrijf daarmee direct onder de US CLOUD Act. En die wet verplicht Amerikaanse bedrijven om data of toegang te leveren aan Amerikaanse autoriteiten ongeacht waar de gegevens fysiek staan. Encryptie of "data staat in Nederland" verandert daar niets aan want de CLOUD Act richt zich op toegang, niet op locatie.
Het Europese Hof (Schrems II), de EDPB en ENISA zijn hierover duidelijk, namelijk contracten of technische afspraken kunnen dit risico niet volledig uitsluiten. Daarom wordt Amerikaanse cloudinfrastructuur structureel als risicovol beschouwd voor kritieke overheidsdiensten.

Er kunnen, denk ik, zich 3 sceanrios zich voortdoen:

1. Het valt mee;
Solvinity heeft geen beheerrechten op gevoelige systemen; alle sleutelmaterialen en segmentatie liggen bij de overheid. CLOUD Act-risico blijft theoretisch.

2. Indirecte toegang;
Solvinity/Kyndryl heeft toegang tot logging, monitoring, beheerkanalen of patches. Zodra er een chain of access bestaat, is de CLOUD Act juridisch van toepassing. Dit is het meest realistische scenario in deze praktijkomgevingen.

3. Metadata-toegang;
Zelfs zonder BSN's kan de VS metadata of systeemtoegang opvragen. De CLOUD Act staat dat toe, en bedrijven mogen dit vaak niet melden aan de Nederlandse overheid.

De enige echte garantie dat kritieke digitale infrastructuur soeverein blijft, is dat zij volledig onder Europese jurisdictie vallen..........

5 december 2025 16:01

Dus Logius is overheidsorganisatie dat valt onder het Ministerie van Binnelandse Zaken (https://www.logius.nl/#). Naast DigiD, verzorgen ze ook MijnOverheid, E-procurement en infrastructuur.

DigiD draait dus op de servers van Solvinity. Deze partij wordt overgenomen door Kyndryl Nederland. Die dan onderdeel is van Kyndryl Holdings in VS. Ze zijn zelf een afsplitsing van IBM infrastructure services in 2021.

Op zich zal het niet veel uitmaken als Kyndryl hun EU services gaan aanbieden op EU servers (zoals Microsoft), denk ik.

Maar strategisch gezien, waarom wordt er niet voor een EU provider gekozen? En als het zo belangrijk is waarom geen Nederlands/Europees cloudinfrastructuur met (semi) overheid als eigenaar? Onze wegen vallen ook onder Rijkswaterstaat om een dwarsstraat te noemen. Of denk ik te simpel?

[Reactie gewijzigd door TekkenLord op 5 december 2025 16:05]

Om te kunnen reageren moet je ingelogd zijn