Logius geeft op eigen webpagina meer informatie over overname van DigiD-hoster

DigiD-beheerder Logius heeft een webpagina online gezet met uitleg over de overname van het Nederlandse hostingbedrijf Solvinity door een Amerikaans bedrijf. Logius zegt op die pagina dat er onderzoek wordt gedaan naar de mogelijke gevolgen van de overname.

Logius heeft de pagina digid.nl/solvinity online gezet in reactie op recent nieuws over de overname van hostingprovider Solvinity. Begin november werd bekend dat dat Nederlandse bedrijf werd overgenomen door een Amerikaanse ict-dienstverlener, Kyndryl. Dat leidde tot ophef, onder andere in de politiek. Solvinity levert namelijk clouddiensten voor verschillende Nederlandse overheidsdiensten, waaronder DigiD.

DigiD maakt gebruik van de servers van Solvinity, maar heeft daar verder weinig mee te maken. Beheerder Logius zegt dan ook dat Solvinity een leverancier is, maar niet de eigenaar.

Logius verwijst verder naar onderzoek dat op dit moment wordt gedaan naar de gevolgen van de overname voor DigiD. "Er wordt uitgebreid onderzoek gedaan naar de mogelijke gevolgen voor de dienstverlening, beveiliging en privacy van DigiD. Als uit het onderzoek blijkt dat er risico's zijn die wij niet kunnen accepteren, nemen wij direct maatregelen", schrijft de dienst. Dat onderzoek wordt uitgevoerd door het kabinet, dat dit eerder al aankondigde.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 05-12-2025 15:12 74

05-12-2025 • 15:12

Lees meer

Nederlands kabinet onderzoekt overname cloudfirma Solvinity door bedrijf uit VS

Nederlands kabinet onderzoekt overname cloudfirma Solvinity door bedrijf uit VS Nieuws van 21 november 2025

Nederlandse cloudfirma Solvinity komt in handen van Amerikaans ict-bedrijf

Nederlandse cloudfirma Solvinity komt in handen van Amerikaans ict-bedrijf Nieuws van 6 november 2025

Bedrijfsnieuws Privacy Digid Logius Solvinity

IT-banen

Meer vacatures

Reacties (74)

74

71

32

2

0

36

Wijzig sortering

Zerokuni 5 december 2025 15:25

Als ik het goed begrijp dan draait DigiD on premise bij de overheid en is het geen SaaS vanuit Solvinity. Dus hebben ze als leverancier geen toegang tot de database van DigiD. Ze verzorgen enkel de updates, etc, die de overheid dan zelf uitvoert (?). Dan ligt het technisch applicatie beheer en functioneel beheer volledig bij de overheid (?).

Ik vind het nog niet heel duidelijk.

[Reactie gewijzigd door Zerokuni op 5 december 2025 15:26]

Isnowiz @Zerokuni • 5 december 2025 16:59

Ik ken Solvinity vooral als een partij die netwerkinfrastructuur levert (DMZ/wasstraten) en virtualisatieplatforms (dus vooral housing). Wat ik weet is dat Solvinity gebruik maakt van Equinix als datacenter. De overheid huurt daar ook een deel van en host daar vooral publieksdiensten, dus alles van overheid aan burger/bedrijven.

B64 @Zerokuni • 5 december 2025 17:13

Ze hebben geen toegang tot de database, die is van Logius. Maar ze kunnen wel de dienstverlening stoppen (al dan niet op last van de Amerikaanse overheid), en dan ligt de dienstverlening van de Nederlandse overheid en zorginstellingen plat.

Er stond onlangs een interview met de directeuren van Solvinity en Kyndryl NL in het NRC, en die vinden de hele ophef maar onzin. Volgens hun is en blijft het gewoon veilig en hoeven we ons nergens zorgen over te maken.

Mythx @B64 • 13 december 2025 01:40

Oh, als de (financieel) belanghebbenden zeggen dat wij ons niet zo'n zorgen moeten maken, dan zal er vást niets aan de hand zijn.

Han8888 @B64 • 17 december 2025 16:39

Precies ze kunnen clouddienstverlening gewoon stoppen natuurljk. Dan werk systeem niet meer. Daar gaat het om. Dat is reeel risico. Niet om waar de data fysiek staat. Overheid moet dit natuurlijk in geheel ownen! Hopelijk goede exit strategie zoals dat hoort maar ik vrees..

[Reactie gewijzigd door Han8888 op 17 december 2025 16:42]

baseoa @Zerokuni • 5 december 2025 15:46

Dit is ook mijn vermoeden maar het staat er niet. Er staat op digid.nl/solvinity dat Solvinity iets levert dat in een overheidsdatacentrum draait en dat Solvinity geen gegevens kan inzien die door die servers verwerkt worden. Oftewel, ze leveren ze alleen hardware? Hoezo zou dit nieuws zijn als ze die niet ook beheren? Stel dat HP wordt overgekocht door China BV en de overheid HP servers heeft staan, dan is dat geen probleem tenzij HP ook nog toegang heeft tot die systemen voor bijvoorbeeld een onderhoudscontract

Langs de ene kant is "we kopen er alleen hardware" wat de PR-pagina suggereert, maar niet rechtuit zegt. En langs de andere kant is er het nieuws dat ze op een platform van Solvinity draaien (wat zou betekenen dat die partij ook toegang tot hun eigen platform heeft) en onderzoek gedaan wordt naar de mogelijke gevolgen van de overname. Ik ben benieuwd wat het antwoord zal blijken te zijn en heb hoop, maar ben bang dat de verwoording misschien bewust vaag gehouden is...

Edit: hoe vaker ik de pagina herlees, hoe meer ik vermoed dat Solvinity wel degelijk toegang heeft. Zie ook hoe "data processors" en "data controllers" bij GDPR zo'n papieren werkelijkheid zijn over wie eigenaar van gegevens is terwijl de processors ze natuurlijk kunnen inzien. Zo is de formulering op deze pagina ook: (ingekort) "de servers zijn van, en draaien bij, ons" zonder te zeggen dat Solvinity geen toegang heeft, en wel benoemend dat het Solvinitys platform is wat daar draait. Dat Solvinity toegang heeft is de enige sluitende uitleg

[Reactie gewijzigd door baseoa op 5 december 2025 15:53]

laurxp @baseoa • 5 december 2025 15:48

Leveren van hardware is ook al problematisch, dat is bijvoorbeeld de reden dat Huawei-netwerkapparatuur in Europa in de ban is gedaan.

baseoa @laurxp • 5 december 2025 15:55

Als je backdoors vermoed. In het gegeven voorbeeld van HP dat door China BV opgekocht wordt, was HP een vertrouwde partij op het moment van aankoop van de hardware. Zo ook bij Solvinity, als ze inderdaad alleen de servers leveren en Logius die verder zelf beheert. Huawei is een andere situatie omdat dat altijd al uit China kwam en vervolgens vermoed werd dat ze toegang tot de infrastructuur hielden

hoosterb @baseoa • 5 december 2025 19:02

Ook zonder backdoors is het onverstandig cruciale infrastructuur (iets dat DiGi-ID zéker is) in handen van een land te laten komen waarvan we nu echt 100% zeker weten dat het totaal onbetrouwbaar is. Je wilt echt niet onnodig afhankelijk zijn van een land dat je op alle mogelijke manieren chanteert om zijn eigen belangen en politieke opvattingen na te streven.

mgizmo @laurxp • 5 december 2025 19:49

Solvinity verzorgt de DMZ infra van MinJ&V

R_Zwart @baseoa • 5 december 2025 15:49

Solvinity zal de hardware and cloud software leveren. En misschien het management van o.a. digid.

baseoa @R_Zwart • 5 december 2025 15:57

Als ze software leveren, kunnen ze in een update meeleveren wat ze willen. Dat is feitelijk hetzelfde als toegang hebben tenzij je nu stopt met updates installeren

@baseoa • 5 december 2025 16:44

Ik vrees dit ook een beetje. Dat het in de praktijk niet heel anders wordt dan "Europese" AWS/Azure/etc. dat zogenaamd soverein en Europees zou moeten zijn want "het draait hier".

Dat invloeden uit Amerika kunnen zorgen dat data afgegeven moet worden en diensten afgesloten? Denk dat wat iemand van de rijksoverheid (die een mooie presentatie kwam houden over hun risicomanagement) destijds tegen me zei na het ICC verhaal een mooi beeld geeft. Hij zei nonchallant: "als dit nou vaker gebeurd wordt dit wel een risico". Nee oetlul, het is al decades een risico waar security mensen voor waarschuwen. Je hebt inmiddels een incident

...

Quintiemero @baseoa • 5 december 2025 17:10

De AVG gaat niet over eigendom van gegevens. Bovendien, data processor is inderdaad heel breed en staat los van (technisch) gegevens kunnen inzien. Iedere type verwerking is relevant, niet alleen opslag, alleen dat wordt vaak over het hoofd gezien.

Han8888 @Zerokuni • 17 december 2025 16:34

Solvinity is clouddienstverlener voor logius. Het feit dat data on premise staat en dat logius eigenaar is zegt natuurlijk niks. Op basis van cloud act kan Amerika data opvragen en nog erger is dat technisch beheerder/clouddienstverlener natuurljk gewoon werking van systeem kan stoppen als ze kwaad willen of worden gedwongen. Dit moet je gewoon ownen als overheid. Hopelijk hebben ze een goede exit strategie. Daar hoef je niet echt een diepgravend onderzoek voor de doen. De risico’s zijn vrij duidelijk.

5 december 2025 15:15

De sprong naar voren. Zonder veel inhoudelijks te zeggen, wel een verstandige zet van Logius/DigiD.

smv @JSBach • 5 december 2025 15:25

Eerlijke en open communicatie. Iets waar heel veel mensen en bedrijven van kunnen leren. Ze hoeven immers niet zo'n website/pagina te maken met informatie.

_{En ja natuurlijk kan je er over twisten, maar we kunnen ook overal iets achter blijven zoeken....}

laurxp @smv • 5 december 2025 15:46

Niet echt eerlijk en open, als je het mij vraagt.

Neem bijvoorbeeld de vraag "Kan een Amerikaans bedrijf mijn gegevens straks inzien?": ze beantwoorden dat DigiD alleen een BSN verstrekt. Wat ze hierbij niet vermelden is dat DigiD in feite de poortwachter is tot de andere overheidsdiensten: de beheerder van DigiD zou zich dus als iedere burger voor kunnen doen, en op die manier jouw data uit de andere overheidsdiensten kunnen halen.

Ze zeggen wel leuk "Solvinity is leverancier van DigiD", maar dat zegt dus helemaal niks over het daadwerkelijke risico. Een "leverancier" kan iemand zijn die admintoegang heeft tot alle machines, of iemand die een doos printpapier voor de deur zet. Aan welke kant van het spectrum valt Solvinity? Dat krijgen we dus niet te weten.

Juist bij zulke cruciale diensten moet je 100% transparant zijn - en dat is niet het gevoel dat ik krijg bij deze publicatie. Dit leest meer als een PR-bericht geschreven in een poging om verder drama te voorkomen.

@laurxp • 7 december 2025 07:42

Of de cloudaanbieder bij de gegevens kan (en daarmee de dienst mogelijk misbruiken) hangt er van af of de gegevens versleuteld zijn. Wanneer de opslag versleuteld is en het verkeer versleuteld is en enkel Logius en gebruikers (burgers en overheidsdiensten) hebben de benodigde sleutels, dan kan de cloudaanbieder helemaal niets. (Behalve de stekker er uit trekken.)

Wanneer we bang zijn dat een buitenlandse cloudaanbieder de gegevens kan misbruiken, moeten we er ook bang voor zijn dat een medewerker van een Nederlandse cloudaanbieder de gegevens kan misbruiken.

foppe-jan @smv • 5 december 2025 15:43

lol. de toeleverancier van een overheidsdienst die een van de belangrijkste identificatiemiddelen beheert hoeft niet transparant te zijn? Hoe laag wil je de lat leggen?

R_Zwart @foppe-jan • 5 december 2025 15:48

Ze kunnen het ook overlaten aan het verantwoordelijke ministerie.

foppe-jan @R_Zwart • 5 december 2025 15:51

kunnen ze doen, als ze niet bang zijn de overheid als klant te verliezen omdat politici daar (al dan niet terecht) niet op gaan wachten. Maar goed, inhoudelijk vind ik deze publicatie nog steeds vrij misleidend, om de redenen die laurxp aangeeft.

foppe-jan @doctrine • 5 december 2025 15:54

.. begrijp je nou echt zo weinig van reputatiemanagement dat je denkt dat bedrijven alleen doen wat de wet voorschrijft? Dat deze overname publieke ruchtbaarheid krijgt is ze überhaupt al een doorn in het oog, laat staan dit soort aandacht.

doctrine @foppe-jan • 11 december 2025 16:20

als het puntje bij paaltje komt draait alles om wetten en contracten. Mijn kennis van reputatiemanagement doet er niet toe. Niemand behalve jij zegt dat ze niet transparant hoeven te zijn. Je "vragen" bevatten beladen meningen.

foppe-jan @doctrine • 11 december 2025 20:14

Heel goed, het gaat om contracten. En dus ook om toekomstige contracten. En klanten willen binnenhalen. Als bedrijf loop je best wat risico als je op dit moment jezelf laat uitkopen door de Amerikanen terwijl iedereen hun opperhoofd (terecht) wantrouwt. Politici zouden dat zo maar eens kunnen oppakken, en je business case kunnen verpesten door te eisen dat alle overheidsdiensten (waaraan ze grof verdienen) te verhuizen. Maar goed, dit alles is uiteraard mijn inschatting (wat niet hetzelfde is als een mening). Het staat je geheel vrij die te negeren.

[Reactie gewijzigd door foppe-jan op 11 december 2025 20:16]

Han8888 @JSBach • 17 december 2025 16:34

Alleen inhoudelijk onzin

5 december 2025 16:01

Dus Logius is een overheidsorganisatie dat valt onder het Ministerie van Binnenlandse Zaken (https://www.logius.nl/#). Naast DigiD, verzorgen ze ook MijnOverheid, E-procurement en infrastructuur.

DigiD draait dus op de servers van Solvinity. Deze partij wordt overgenomen door Kyndryl Nederland. Die dan onderdeel is van Kyndryl Holdings in VS. Ze zijn zelf een afsplitsing van IBM infrastructure services in 2021.

Op zich zal het niet veel uitmaken als Kyndryl hun EU services gaan aanbieden op EU servers (zoals Microsoft), denk ik.

Maar strategisch gezien, waarom wordt er niet voor een EU provider gekozen? En als het zo belangrijk is waarom geen Nederlands/Europees cloudinfrastructuur met (semi) overheid als eigenaar? Onze wegen vallen ook onder Rijkswaterstaat om een dwarsstraat te noemen. Of denk ik te simpel?

[Reactie gewijzigd door TekkenLord op 5 december 2025 17:09]

Isnowiz @TekkenLord • 5 december 2025 16:43

In essentie denk je niet te simpel, maar ontbreekt het aan beleid.
Alle overheidspartijen, zeker degene die wat onafhankelijker mogen opereren, zijn vrij om hun IT-infrastructuren overal en nergens in te kopen. Bedrijven als Atos en Capgemini hebben daar jarenlang flink van geprofiteerd. Veel volume kunnen leveren, voor elke scheet een uurtje-factuurtje kunnen sturen, minimaal onderhoud plegen..
Een aantal overheidsorganisaties moet daar nu voor op de blaren zitten. Jaren aan technical debt, verstoorde relaties met leveranciers en niet in de laatste plaats overnames en/of faillissement van leveranciers. Gelukkig lijken die organisaties inmiddels 'genezen' en gaan ze ook binnen de eigen overheid shoppen. De soevereiniteitsdiscussie en bijv. de komst van NIS2 heeft wat dat betreft wel een goede beweging in gang gezet.

M.i. zou een goede en verplichte sourcing-strategie, vanuit CIO-Rijk opgelegd, al een hoop verschil maken. Heb je iets nodig, ga je eerst binnen het Rijk kijken wat er te krijgen is, daarna pas aanbesteden. Geld mag niet de enige drijfveer zijn om naar de markt te gaan.
Dergelijk beleid zou ook van toepassing moeten zijn op de decentrale overheid, semi-overheid en zelfs de bredere publieke sector. Ik vind het bijv. echt om te janken dat ik bij mijn waterbedrijf moet inloggen met een Entra-account..

koppie @Isnowiz • 5 december 2025 21:02

Kunnen we dan nog kijken naar mogelijkheden om de Europese aanbestedingen te versimpelen of standaard een eisenpakket op te leveren zodat je in elk geval de juiste afslag pakt, en niet in deze situatie terecht komt?

Isnowiz @koppie • 6 december 2025 11:02

Het is tegenwoordig al een verplichting om een exit-strategie te hebben, dus ik denk niet dat daar nu per se aanvullende regels voor zijn.

Stukfruit 5 december 2025 15:26

Logius verwijst verder naar onderzoek dat op dit moment wordt gedaan naar de gevolgen van de overname voor DigiD. "Er wordt uitgebreid onderzoek gedaan naar de mogelijke gevolgen voor de dienstverlening, beveiliging en privacy van DigiD. Als uit het onderzoek blijkt dat er risico's zijn die wij niet kunnen accepteren, nemen wij direct maatregelen", schrijft de dienst. Dat onderzoek wordt uitgevoerd door het kabinet, dat dit eerder al aankondigde.

Waarom is dat onderzoek nodig als al breed duidelijk is dat bedrijven via een omweg beslist de wensen van MAGA volgen?

Want Microsoft heeft weliswaar niet het ICC geblokkeerd, maar sleutelposities de mogelijkheid ontnemen is net zo erg. Misschien wel erger omdat het redelijk matig te noemen is dat toegang zo nog steviger op basis van ideologische redenen zaken kan worden geblokkeerd.

Voorkomen is beter dan genezen.

Zebby 5 december 2025 15:34

De mensen die dit niet begrepen gaan die pagina ook niet lezen denk ik zo, maar goed om er iets over te roepen.

NEK 5 december 2025 16:01

Zoals ik het nu lees is de uitleg van logius best wel begrijpelijk maar juridisch gezien blijft er wederom 1 harde realiteit overeind want zodra solvinity eigendom wordt van het Amerikaanse Kyndryl valt het bedrijf daarmee direct onder de US CLOUD Act. En die wet verplicht Amerikaanse bedrijven om data of toegang te leveren aan Amerikaanse autoriteiten ongeacht waar de gegevens fysiek staan. Encryptie of "data staat in Nederland" verandert daar niets aan want de CLOUD Act richt zich op toegang, niet op locatie.
Het Europese Hof (Schrems II), de EDPB en ENISA zijn hierover duidelijk, namelijk contracten of technische afspraken kunnen dit risico niet volledig uitsluiten. Daarom wordt Amerikaanse cloudinfrastructuur structureel als risicovol beschouwd voor kritieke overheidsdiensten.

Er kunnen, denk ik, zich 3 sceanrios zich voortdoen:

1. Het valt mee;
Solvinity heeft geen beheerrechten op gevoelige systemen; alle sleutelmaterialen en segmentatie liggen bij de overheid. CLOUD Act-risico blijft theoretisch.

2. Indirecte toegang;
Solvinity/Kyndryl heeft toegang tot logging, monitoring, beheerkanalen of patches. Zodra er een chain of access bestaat, is de CLOUD Act juridisch van toepassing. Dit is het meest realistische scenario in deze praktijkomgevingen.

3. Metadata-toegang;
Zelfs zonder BSN's kan de VS metadata of systeemtoegang opvragen. De CLOUD Act staat dat toe, en bedrijven mogen dit vaak niet melden aan de Nederlandse overheid.

De enige echte garantie dat kritieke digitale infrastructuur soeverein blijft, is dat zij volledig onder Europese jurisdictie vallen..........

Quintiemero @NEK • 5 december 2025 17:11

Grappig, dat is niet de cloud act…

Gazuhl @Quintiemero • 5 december 2025 20:43

Uhmm dat is het wel. Het deel wat hier beschreven staat is oorspronkelijk uit de PATRIOT Act. Elk amerikaans bedrijf en/ of bedrijf met een kantoor in de VS kon dmv de PATRIOT Act, via een "secret court order" tevens uit een "secret court" verplicht worden om toegang te verschaffen tot systemen waartoe het toegang heeft of kan krijgen danwel data die zich op die systemen bevind. De CLOUD Act is een uitbreiding van die wet en met name verruimd het de redenen waarom het ingeroepen mag worden. Hoeven ze niet meer zo moeilijk te doen met vage vergezochte linkjes naar mogelijk terrorisme. Als US gov toegang wil tot DigiD systemen en Solvinity heeft daar de mogelijkheid toe, dan kan (wanneer kyndryl de overname voltooid en Solvinity dus eigendom is van een amerikaans bedrij) er wel degelijk een medewerker opgedragen worden om dat te cheffen (moet die medewerker wel een US citizen zijn overigens).

Praat je over die court order - sancties + mogelijk de bak in

Doe je niet wat er in staat - sancties + mogelijk de bak in

Komt je baas vragen stellen - mag je niks zeggen, want je weet niet of deze op de hoogte is.

Wordt je ontslagen of gepakt voor computervredebreuk tja helaas, you are on your own. Maar gelukkig levert dat waarschijnlijk een minder zware straf op dan snitch spelen op de Amerikaanse overheid :)

Quintiemero @Gazuhl • 5 december 2025 20:45

Valt onder FISA, die is problematischer

Gazuhl @Quintiemero • 5 december 2025 21:14

Het ligt nog iets genuanceerder. FISA is veel ouder, stamt ergens uit de jaren 80. PATRIOT Act is de wet die onder andere FISA significant uitbreidt / moderniseert (electronische communicatie was in die tijd nog niet echt een dingetje). Echter de amendementen uit PATrIOT staan wel los van FISA in de zin dat deze oorspronkelijk een einddatum hadden. Die amendementen waren tijdelijk en zijn verlopen met de PATRIOT act zelf. Maar volgens goed gebruik is dat dus in de CLOUD act opgenomen zonder einddatum. Kortom, FISA voorziet in mass surveilance, PATRIOT breidt dat uit naar digitaal en alles waar de US toegang toe kan krijgen met als argument terrorisme bestrijding, CLOUD maakt het permanent en vervangt terrorisme door nationale veiligheid als reden.

ZinloosGeweldig @NEK • 5 december 2025 19:16

Wat ik mij afvraag bij dat verplichten toegang te verschaffen, is hoe het zit met de eigendomskwestie. Dat locatie niet belangrijk is is bekend, maar als de systemen en data geen eigendom zijn van Solvinity, maar Solvinity op enige wijze wel toegang heeft om een dienst te leveren, valt dit dan onder de CLOUD act? Dat is niet niks, want in zo'n scenario verplicht de VS Solvinity eigenlijk om in een ander land computervredebreuk te plegen.

Overigens, richt de CLOUD act zich naast niet op locatie, ook niet op waar het bedrijf in kwestie gevestigd is. De CLOUD act is een vorm van extraterritoriale wetgeving, dat betekent dat de VS de CLOUD act volgens hun eigen regels, kan inzetten om een niet-Amerikaans bedrijf te sommeren data af te staan. Dat is een lastige kwestie. Gaan we bedrijven die met kritieke infrastructuur te maken hebben verbieden zaken te doen in de VS, zodat ze "nee" kunnen zeggen tegen zo'n bevel? Want dat komt vrijwel neer op economische sancties opleggen nietwaar? Moet de overheid dan alles in eigen hand houden? Oei, dat zie ik ook niet rooskleurig in...

Gazuhl @ZinloosGeweldig • 5 december 2025 20:27

De cloud act richt zich puur op toegang. Als een amerikaans bedrijf toegang heeft of kan verkrijgen tot data die US gov wil, dan kunnen ze via een geheime order dat bedrijf verplichten die toegang te verschaffen / danwel data te overhandigen. Zowel de order, als de court die hierbij gemoeid zijn zijn geheim en het is het bedrijf verboden om hierover ook maar iets te melden. Disclosure van de order of het niet nakomen van de verplichting uit die order betekent sancties met mogelijk gevangenis voor degene die de order ontvangen. Let wel, het betekent ook daadwerkelijk dat een dergelijk bevel dus niet perse aan de bestuurders wordt gestuurd. Het kan ook linea recta naar een systeembeheerder. En dan mag je dus niet uitleggen aan je baas waarom je een onbekende 3e partij ineens een via een vpn oid toegang verschaft.

ZinloosGeweldig @Gazuhl • 5 december 2025 20:41

Maar de CLOUD act is dus ook nog eens extraterritoriaal. Wat de VS betreft beperkt die wet zich dus niet tot Amerikaanse bedrijven, en dan eigenlijk dus ook niet eens tot Amerikaanse staatsburgers of inwoners.

Een bedrijf dat geen zaken doet in Amerika kan misschien nee zeggen, maar hoe zit het met een werknemer van zo'n bedrijf die banden met Amerika heeft? Dat hoeft niet eens te zijn dat ze zelf Amerikaans staatsburger zijn, maar veel mensen zouden niet blij zijn als ze nooit meer van hun leven naar Amerika kunnen reizen. Het maakt het soevereiniteitsvraagstuk nog een stuk enger...

Clu3M0r3 5 december 2025 19:26

Logius verwijst verder naar onderzoek dat op dit moment wordt gedaan naar de gevolgen van de overname voor DigiD. "Er wordt uitgebreid onderzoek gedaan naar de mogelijke gevolgen voor de dienstverlening, beveiliging en privacy van DigiD. Als uit het onderzoek blijkt dat er risico's zijn die wij niet kunnen accepteren, nemen wij direct maatregelen", schrijft de dienst.

Dit komt op mij over als mosterd na de maaltijd. Dit onderzoek had vooraf moeten plaatsvinden.

MichielHimself @Clu3M0r3 • 8 december 2025 14:09

De overname is nog niet rond, tot Autoriteit Consument en Markt (ACM) en MinEZ (wet VIFO) hun goedkeuring hebben gegeven.
Berichten die de overname presenteren als iets definitiefs, hebben het persbericht van Kyndryl (beursgenoteerd) niet goed begrepen, het gaat om een "intent to acquire", het plan om over te nemen.
De koop is nog niet rond tot de goedkeurings-instanties een verklaring van geen bezwaar afgeven.

IrBaboon79 5 december 2025 15:19

Ach, gewoon die doosjes naar een andere provider verhuizen dan maar? Of gaan we eerst weer op de blaren zitten om kleingeld te sparen?

laurxp @IrBaboon79 • 5 december 2025 15:36

De doosjes staan al in een overheidsdatacenter. Solvinity doet iets met beheer - maar wat precies is mij niet duidelijk.

gpon @laurxp • 5 december 2025 15:41

Klopt niet. Ik zie dat vele registers en portals nog bij AS29311 staan, het DC van voormalig ASP4ALL, Solvinity.

R_Zwart @laurxp • 5 december 2025 15:52

Beheer is hun core business. In dit geval zouden ze managed cloud, security & application services kunnen bieden als ik hun service portfolio bekijk. Misschien ook nog system integration.

specs2021 @IrBaboon79 • 5 december 2025 16:06

Eerst zien, dan geloven.

Als Logius slechts een normale klant was zou je misschien gelijk hebben, maar het lijkt mij dat voor een dienst als DigiD de nodige investeringen gedaan moeten worden. Dat 'rechtvaardigt' een vergoeding als de klant plots de dienst op zegt, tenzij er ontbindende voorwaarden in de contracten staan.

Dus ik verwacht een claim van de nieuwe eigenaar richting Logius, als Logius als klant vertrekt, die een orde grootte hoger ligt dan de omzet van een gemiddeld bedrijf.

jip_86 5 december 2025 15:19

Je zou zeggen dat je vooraf onderzoek doet naar de gevolgen van zo'n overname.

darkdeathrip @jip_86 • 5 december 2025 15:36

Het grappige is dat iedereen nu doet alsof deze overname totaal onverwacht risico’s introduceert, terwijl je online al jaren kritische stukken vindt over Solvinity/Kyndryl: governance-issues, aanbestedingsgedoe, klanten die projecten zien ontsporen, financiële druk, noem maar op.

Combineer dat met matige reviews van medewerkers en interne onrust, en het voelt een beetje vreemd dat juist dé digitale voordeur van Nederland daar gaat draaien.

Jammer.

[Reactie gewijzigd door darkdeathrip op 5 december 2025 15:37]

William_H @darkdeathrip • 5 december 2025 16:46

Maar ja, als de aanbestedingscriteria daar geen rekening mee houden, dan wordt zo'n contract dus gewoon aan zo'n partij gegeven. Overigens waren er meer gegadigden. Dus als erbin de aanbesteding stond dat bij dit soort fratsen, de aanbesteding teruggedraaid kan worden, moesten ze dat maar doen.

koppie @William_H • 5 december 2025 20:52

De (Europese) aanbestedingen zijn een enorme uitdaging, enorme bureaucratie en levert grote risico's op.

Hoe kan je dit (fratsen) van te voren bedenken, kwantificeer maken en dan ook nog op acteren? Want als je maar enigszins buiten de regeltjes kleurt sta je als afnemende partij bij de rechter. En dan moet het echt goed doortimmerd in elkaar zitten. Als het gaat over geld is dat nog wel te berekenen, maar dit is echt lastig.

Ik snap dat je niet zo een leverancier kan bellen en zeggen "doe dat maar", maar een Europese aanbesteding is weer het andere uiterste....

disbehave @jip_86 • 5 december 2025 15:24

Dan moeten ze wel weten dat die overname gáát plaatsvinden.

Inkjet @disbehave • 5 december 2025 16:37

Je moet altijd een exit strategie hebben. Als dat niet lukt zou je de dienst niet moeten gebruiken.

ZinloosGeweldig @Inkjet • 5 december 2025 18:26

Dat is een ander verhaal. Je kan nog steeds pas kijken naar de gevolgen van een overname, en of deze gevolgen betekenen dat je je exit strategie moet gaan inzetten, wanneer er daadwerkelijk sprake van is.

5 december 2025 17:11

Ik heb het artikel ook gelezen bij Logius en ik heb nog steeds mijn twijfels over deze zin:

Solvinity levert het platform waar DigiD op draait. Dit platform draait in een overheidsdatacentrum.

Solvinity is een Cloud leverancier, de diensten die ze leveren draaien op de infrastructuur van Solvinity. Het eerste deel van de zin is mij duidelijk, maar de tweede, het draait in een overheidsdatacentrum?

. Dit begrijp ik niet helemaal. Iemand die iets hierover kan roepen?

ZinloosGeweldig @david-v • 5 december 2025 18:36

. Dit begrijp ik niet helemaal. Iemand die iets hierover kan roepen?

Ja, je eerste premise ("Solvinity is een Cloud leverancier, de diensten die ze leveren draaien op de infrastructuur van Solvinity.") klopt niet. Cloud leverancier zijn betekent niet dat alle diensten die je levert op je eigen infrastructuur draait.

Wat ik vermoed is dat er een platform beheerd wordt door Solvinity (bijv. k8s en GitOPS tooling) op infra van Logius/de overheid, waar Logius dan weer hun workloads naar deployt.

Maar misschien is de hardware wel van Solvinity, en wordt deze geplaatst in een overheidsdatacentrum. Dat zou ook kunnen. Misschien doet Solvinity enkel netwerkbeheer? Alle combinaties van smaken zijn feitelijk mogelijk.

@ZinloosGeweldig • 5 december 2025 20:18

Ja, je eerste premise ("Solvinity is een Cloud leverancier, de diensten die ze leveren draaien op de infrastructuur van Solvinity.") klopt niet.

Ik heb gezocht bij solvinity naar de services die ze bieden en kon alleen de private cloud dienst vinden . Daar staat het volgende:

De Solvinity Cloud geeft je volledige controle over je resources en zorgt dat jouw organisatie schaalbaarheid behoudt. Deze Private Cloud bevindt zich binnen de Solvinity infrastructuur, gehost binnen een netwerk van datacenters in en rondom Amsterdam

Dit is dan niet wat Logius gebruikt. Maar wat dan wel? Doet Solvinity het beheer van de infra in een datacenter van de overheid? Ofwel dat ze het beheer van de infra en misschien ook de apparatuur leveren binnen een datacenter van de overheid?

Of leveren ze de Solvinity cloud stack (zoiets als Azure local) in het datacenter van de overheid?

Het is moeilijk inschatten wat de risicos zijn als we niet precies weten wie waar voor verantwoordelijk is en wie eigenaar is van de infra.

ZinloosGeweldig @david-v • 5 december 2025 20:31

.Huh. Als ik naar de website van Solvinity ga, dan bevat het menu bovenin als eerste twee categorieën "Services" en "Platforms". Onder services worden verschillende de diensten genoemd, met weinig suggestie dat deze enkel op de private cloud van Solvinity aangeboden kunnen worden. Onder platform staan een aantal clouds die Solvinity voor je kan beheren, waaronder hun eigen Solvinity Cloud, maar ook Azure en AWS. Daarnaast doen de meeste MSP's ook gewoon zaken die niet direct in een dienstenportfolio waar ze openbaar mee adverteren passen.

Niets geeft mij de indruk dat Solvinity een bedrijf is dat enkel diensten levert op infra die ze volledig in eigen beheer hebben. Onder Services staat bijvoorbeeld CI/CD, het voorbeeld van het beheer van een k8s + Gitops dat ik gaf omgeving past perfect in het verlengde daarvan. Als een bedrijf daar de vaardigheden voor in huis heeft, waarom zouden ze dat dan niet leveren op andermans infra als de kaders goed afgebakend zijn? Alleen de reuzen zoals de grote Hyperscalers kunnen zich zulke selectiviteit veroorloven.

koppie @ZinloosGeweldig • 5 december 2025 21:05

Wat ik vermoed is dat er een platform beheerd wordt door Solvinity (bijv. k8s en GitOPS tooling) op infra van Logius/de overheid, waar Logius dan weer hun workloads naar deployt,

Ik denk dat wat jij platform noemt, in de Logius wereld hun eigen (interne) cloud wordt genoemd. Ik kom dat bij meerdere overheidsorganisaties tegen.

Om te kunnen reageren moet je ingelogd zijn