Rechtbank publiceert vonnis over rechtszaak rondom DigiD-beheerder Solvinity

De Nederlandse overheid heeft daadwerkelijk weinig mogelijkheden de architectuur achter DigiD zelf in beheer te nemen of ergens anders onder te brengen. De rechtbank bevestigt dat in een vonnis van een kort geding over de overname van hoster Solvinity. Drie burgers verloren die zaak vorige week, maar nu is het vonnis ook openbaar.

De rechtbank in Den Haag heeft het vonnis openbaar gemaakt van een kort geding rondom de overname van onder andere DigiD. Drie Nederlandse burgers stapten naar de rechter vanwege de overname van Solvinity. Eerder deze maand vond een kort geding plaats, dat de burgers verloren. Dat betekent dat de Nederlandse staat het contract dat hij met Solvinity heeft, mag verlengen. De burgers wilden juist die verlenging stopzetten.

Hoe zat het ook alweer met DigiD?

DigiD is het Nederlandse identificatiesysteem voor burgers bij organisaties zoals overheidsdiensten, verzekeraars of medische instellingen. DigiD wordt beheerd door de overheidsorganisatie Logius, maar de software draait op servers van een externe provider, Solvinity. Eind vorig jaar bleek dat Solvinity zou worden overgenomen door een Amerikaans bedrijf, Kyndryl. Daarop ontstond ophef onder experts en de politiek. Die vrezen dat de Amerikaanse autoriteiten toegang kunnen krijgen tot gegevens van Nederlanders, of in het ernstigste geval de dienstverlening kunnen stopzetten.

De staat moet het contract met Solvinity nog verlengen met twee jaar. De burgers eisten dat specifiek die verlenging werd stopgezet.

Naast DigiD is Solvinity ook de beheerder van de architectuur van belangrijke overheidsinstanties zoals ministeries.

Tweakers schreef dit uitlegartikel over de overname.

De rechtbank publiceerde eerder al een zogeheten kop-staartvonnis, maar nog niet het volledige vonnis. Dat is nu wel gebeurd.

In het volledige vonnis vallen een aantal passages op:

Passage uit het vonnis

Eisers stellen dat het door de Staat geschetste risico kan worden ondervangen door het beheer van het Picard-platform over te dragen aan een andere dienstverlener; eisers voeren aan dat verschillende deskundigen en enkele bedrijven kenbaar hebben gemaakt dat een overstap snel, binnen enkele maanden, gerealiseerd moet kunnen worden.

Nu eisers niet voldoende hebben kunnen concretiseren dat een overstap naar een opvolger na Solvinity op korte termijn en op een deskundige en veilige wijze kan worden gerealiseerd, is – tegenover het gemotiveerde betoog van de Staat – niet aannemelijk geworden dat als de Staat de overeenkomst met Solvinity niet nu verlengt, geen groot maatschappelijk probleem zal ontstaan.

Wat staat hier nou eigenlijk?

De eisers stelden dat de overheid de architectuur achter DigiD over konden dragen naar een andere dienstverlener, maar ze kunnen dat volgens de rechter niet hardmaken.

Passage uit het vonnis

In dit oordeel weegt nog mee dat de Staat momenteel een risicoanalyse uitvoert en in gesprek is met Solvinity en Kyndryl om te bezien op welke wijze de geschetste risico's kunnen worden gemitigeerd zodat de belangen van de Nederlandse burgers en daarmee ook van eisers op het gebied van veiligheid en privacy voldoende kunnen worden gewaarborgd.

Waar verwijst dit naar?

De overheid zegt al maanden dat zij een onderzoek uitvoert naar de overname, en de risico's daarbij. Dat onderzoek wordt uitgevoerd door het Bureau Toetsing Investeringen (BTI).

Passage uit het vonnis

Hoewel nu nog niet duidelijk is of dat overleg tot een adequate bescherming van de privacy van burgers zoals eisers zal kunnen leiden, kan wel worden geconstateerd dat de Staat de zorgen serieus neemt en zich ervoor inzet de privacybelangen van Nederlandse burgers zoveel mogelijk te beschermen.

Wat betekent dit nou eigenlijk?

Het overleg tussen de Nederlandse staat en Solvinity en koper Kyndryl. De rechter vindt dat de staat de zorgen van Nederlanders serieus neemt, omdat hij dat overleg voert.

Passage uit het vonnis

Bij deze stand van zaken kan niet worden gezegd dat de Staat onrechtmatig handelt door de overeenkomst met Solvinity te verlengen. De primaire vordering van eisers is daarom niet toewijsbaar.

Passage uit het vonnis

Eisers vorderen meer subsidiair dat de Staat wordt verboden om tot verlenging over te gaan, tenzij aan bepaalde voorwaarden is voldaan (zie 3.1). Een van die voorwaarden is dat wordt gewacht tot 1 juni 2026. Toewijzing van deze vordering heeft eveneens tot gevolg dat de Staat de overeenkomst met Solvinity niet kan verlengen, omdat de Staat de gewenste verlenging uiterlijk op 6 mei 2026 schriftelijk aan Solvinity kenbaar moet maken. In het voorgaande is voldoende duidelijk geworden dat stopzetting van de dienstverlening door Solvinity tot ontwrichting van het digitale contact met de overheid na 6 augustus 2026 zal kunnen leiden, zodat ook deze vordering niet toewijsbaar is.

Wat staat hier nou eigenlijk?

Met andere woorden: als het contract niet wordt verlengd, kan DigiD mogelijk niet goed meer werken.

Passage uit het vonnis

Eisers zien kennelijk voor zich dat de Staat wel ontbindt maar verlangt dat Solvinity de dienstverlening desondanks voortzet tot een moment dat de Staat klaar is voor de overstap naar een opvolger. Het heeft er alle schijn van dat de Staat daarvoor de instemming van Solvinity nodig heeft. Onduidelijk is of Solvinity daartoe bereid is. Voor een voorziening zoals eisers vorderen is alleen om deze reden al geen plaats.

Wat staat hier nou eigenlijk?

De eisers willen dat Nederland het contract met Solvinity niet verlengt, maar dat Solvinity DigiD wel blijft beheren. Dat kan niet zomaar, zegt de rechter.

Passage uit het vonnis

Eisers zijn in het ongelijk gesteld en moeten daarom de proceskosten (inclusief nakosten) betalen.

Om hoeveel gaat het?
Het gaat om 2101 euro.

Door Tijs Hofmans

Nieuwscoördinator

22-05-2026 • 16:46

151

Submitter: Antrax

Reacties (151)

Sorteer op:

Weergave:

Waarom is DigiD überhaupt in handen van een prive bedrijf ? Het is de toegang tot de meest gevoelige informatie van burgers tot de overheid en daarbuiten. Dat hoort toch sowieso in handen van de overheid zelf te zijn?
Waarom is DigiD überhaupt in handen van een prive bedrijf ? Het is de toegang tot de meest gevoelige informatie van burgers tot de overheid en daarbuiten. Dat hoort toch sowieso in handen van de overheid zelf te zijn?
DigiD is eigendom van Logius, dus is echt een overheidsinstantie, geen privebedrijf.

Het wordt enkel gehost bij een privaat bedrijf, dat nu dus wordt overgenomen. Maar als je iets host ben je niet meteen eigenaar van het bedrijf (of dienst, in het geval van DigiD).
De opmerking gaat om het in handen zijn. Op basis van het nieuws gaat dat om wie er in de praktijk controle over heeft. En dat is duidelijk niet de overheid, omdat die zelfs bij te verwachten problemen met het bedrijf zo zwaar afhankelijk van het bedrijf is dat anders de dienstverlening niet gegarandeerd kan worden. En dat is een belangrijk probleem, omdat de eigenaar de controle feitelijk bij het bedrijf heeft liggen. Kan je wel eigenaar zijn, daar heb je weinig tot niets aan als het bedrijf voorkeur geeft aan andere eisen en wensen. Zoals de wetten van de VS. En dat probleem is realistisch. Zo bleek vandaag weer met het nieuws dat Microsoft er absoluut niets om geeft dat ze persoonsgegevens van personen met wie ze zaken doen of mee te maken kunnen krijgen ongevraagd met het congres in de VS delen. En dat is al zonder wettelijke eis vanuit de VS en met wettelijke beschermende eisen vanuit de EU. Ze kriigen een bevel vanuit de VS en negeren de wettelijke eisen vanuit de EU en de rechten van wie in de EU is.

[Reactie gewijzigd door kodak op 22 mei 2026 17:55]

Ehm, als de overheid vast zit aan een service provider en de dienst niet verhuisd kan worden dan is de dienst niet langer in handen van de overheid. Ja het beheer zal vast door de overheid worden uitgevoerd maar als de service provider morgen zegt genoeg en de boel uitzet dan heeft de beheerder daar weinig in de melk te brokkelen.
Als de service provider morgen besluit dat de kosten 5x zijn wat ze waren dan zal de overheid gewoon moeten betalen omdat het volgens de rechter niet verhuisd kan worden.

We hebben het over een authenticatie service... en niets anders. Dat een rechter niet begrijpt hoe IT werkt snap ik helemaal maar het idee dat een service niet verhuisd kan worden en een afspraak met een buitenlands bedrijf dat toch echt zal luisteren naar haar overheid en dus de afspraken met de Nederlandse overheid zal schenden als ze daar toe opdracht krijgen staat vast. Dat de rechter deze belangrijke infrastructuur afhankelijk maakt van een afspraak, beloftes en goede hoop zegt genoeg over hoe ontzettend graag de zittende macht het land naar de knoppen wil zien gaan.
Nee als je dit als kritieke infrastructuur beschouwd en omdat het de enige manier is om met de overheid te communiceren in het digitale tijdperk is dat het toch echt dan kun je dat niet afhankelijk maken van beloftes door een bedrijf dat niet Nederlands is. Ik ben geheel voor het gebruik van internationale diensten en zal vrijwel altijd (veel al Amerikaanse) cloud diensten gebruiken over een heikneuter hosting bedrijfje in Nederland met wel helemaal 1 locatie en een paar duizend of een paar honderd duizend virtual machines maar als het op kritieke infrastructuur aankomt dan hoort dat gewoon in Nederland gehost te worden door een Nederlands bedrijf dat als het even kan voor een groot deel in handen is van de Nederlandse overheid waardoor verkoop aan een buitenlandse partij niet een optie is.

Ik werk dagelijks met Internationale bedrijven van over de hele wereld. Japan... data verlaat het land niet als er bijvoorbeeld persoonsgegevens tussen zitten. Australie het zelfde verhaal, Een aantal Afrikaanse landen, nog veel strenger, geen data naar het buitenland helemaal niets. Amerika als er persoonsgegevens tussen zitten niet naar het buitenland zeker niet naar Europa. Als er militaire of infrastructuur gevoelige data tussen zit dan is zelfs AWS en Azure een probleem buiten de Gov Cloud omgevingen en ook daar moet er een flinke hoeveelheid extra maatregelen getroffen worden om de clout te mogen gebruiken.
Duitsland, is een hele moeilijke als het op privacy aankomt en een service als DigID in Amerkianse handen. Nooit.

Nederland, nou als ze Amerikanen zeggen dat ze er niet mee zullen rommelen dan is het allemaal goed. |:(
Maar ze hadden de koop toch wel kunnen blokkeren?

En gezien er dus schijnbaar geen concurrentie is. Dus een monopoliepositie had evt. Zelfs de ACM kunnen ingrijpen maar die wilde dit niet.

Bij Wingtech werd ook ingegrepen. Had vooraf ingegrepen kunnen worden.

Waarom hier niet? Omdat het de Amerikanen zijn?
"Het wordt enkel gehost bij een privaat bedrijf"

Dit is niet mijn expertise, ik laat me graag corrigeren door Tweakers die hier verstand van hebben. Maar een zin als 'enkel gehost' bij een privaat bedrijf, vind ik niet helemaal van toepassing.

Deze vorm van hosting en de achterliggende infra is m.i. extreem complex. Het is niet dat je een vps'je ergens anders huurt en vervolgens kan migreren...

Is de achterliggende infra in het geval van DigiD niet vele malen complexer dan de software?
Nee daar is weinig complex aan. Het werkt niet anders dan een andere identity provider. Wat je nodig hebt is een beheer organisatie die de boel in beheer neemt, zorg draagt voor de veiligheid en zorgt dat alles vlekkeloos blijft werken. En die mensen heeft de overheid niet in dienst omdat ze al decennia geleden begonnen zijn om alles te outsourcen. Daarom is de boel onder gebracht bij Solvinity, die kunnen die diensten wel leveren.

In het kort geding hebben de eisers niet aannemelijk kunnen maken dat de boel overgedragen kan worden aan een andere partij binnen een paar maanden zonder dat de dienstverlening in gevaar komt.
In mijn vakgebied (wegenbouw) heb ik het afbouwen van interne inhoudelijke expertise de afgelopen 30 jaar van dichtbij zien gebeuren. Het werd "de markt, tenzij". Aannemers gingen een groot deel van het uitvoeringsontwerp maken en uitvoeren, in plaats van het alleen uitvoeren van een ontwerp van Rijkswaterstaat, een provinciaal eigen ingenieursbureau of een gemeentelijk ingenieursbureau. Technisch toezicht op de aannemer werd vervangen door risicogestuurde audits en procestoetsen. Zo werd het aantal ambtenaren vermindert, een belangrijk doel van de meeste politieke partijen, en konden marktpartijen nieuwe business ontwikkelen. Nu 30 jaar later is het gelukkig weer een beetje de andere kant op aan het bewegen.

Hopelijk gaat de overheid bij ICT eerder de weg terug vinden.
Op zich is het helemaal niet erg dat we niet meer zoveel versnipperde ontwerpbureau's hebben. Je kunt je afvragen of dat nu wel zo'n efficiente manier van werken was. Teruggaan naar die situatie is dan misschien ook niet wenselijk.
Wat wel noodzakelijk is, is dat er weer, in jou geval civiel / bouwkundige kennis, en in tweakers geval, IT kennis, bij de overheid komt. Echt hardcore kennis, en niet alleen maar van die financiele IT'ers, of in de bouw economische types, die alleen maar naar de kosten kijken, maar inhoudelijk niet weten wat er misgaat. Dit is ook dé rede dat veel IT projecten, maar ook bouwprojecten, de afgelopen jaren gruwelijk over budget zijn gegaan. Omdat er geen experts meer lopen bij de overheid die weten waar ze het inhoudelijk over hebben, en gepast weerwoord kunnen geven.

[Reactie gewijzigd door William_H op 23 mei 2026 15:17]

waar de rechter hier aan voorbij gaat ik vermoed door een ordinair gebrek aan vakkundigheid, is het punt dat het niet aan de eisers was om te bewijzen dat, en hoe- het anders kon maar aan de overheid om te bewijzen dat het niet ander kon en dat ze garanties hebben niet dat het niet fout zal gaan, maar dat het niet fout KAN gaan.


in alle opzichten had de overheid in deze de overname moeten stuiten tot het moment dat in ieder geval dit platform was veiliggesteld.
Zo werkt het niet. Bureau Toetsing Investeringen (BTI) moet aangeven dat een overname een risico voor de nationale veiligheid zou vormen. Dat is niet gebeurt, het onderzoek van het BTI loopt nog altijd. Tot die tijd kan de overheid niets stuiten.

Het huidige contract zou per augustus 2026 verlopen. Binnen drie maanden zou er dan een migratie plaats moeten vinden naar een andere partij. Inclusief kennis overdracht en dat dan ook nog tijdens de zomervakantie.

Dat de rechter oordeelt dat die periode te kort is om grote risico's uit te sluiten, is niet raar. Ik snap de uitspraak eerlijk gezegd wel.
Dat er zo weinig tijd was, is omdat de overheid wederom lekker op haar handen heeft gezeten en niks heeft gedaan. En dan hoop ik maar dat dit de reden is, aangezien de andere is dat ze zo tenenkrommend onwetend zijn dat ze niet eens begrijpen hoe dom dit is.
Dit valt stevig in de categorie "als hadden komt is hebben te laat". Het niet nemen van acties of besluiten in het verleden veranderen niks aan het nu te kort hebben van tijd om het contract niet te moeten verlengen. Het enige wat je ermee kunt doen is verantwoordelijken ter verantwoording roepen voor dingen waar jet het achteraf niet mee eens bent. Succes daarmee. De enige verstandige uitweg hierin zou een overname verbieden, en de juridische consequenties ervan (en de bijbehorende kosten) dan maar uitzitten. En in de tussentijd op zoek gaan naar een andere partij die dit "klusje" (als je alle "experts" hier mag geloven) "even" opknappen.
waar de rechter hier aan voorbij gaat ik vermoed door een ordinair gebrek aan vakkundigheid, is het punt dat het niet aan de eisers was om te bewijzen dat, en hoe- het anders kon maar aan de overheid om te bewijzen dat het niet ander kon en dat ze garanties hebben niet dat het niet fout zal gaan, maar dat het niet fout KAN gaan.
Het is juist wél aan de eisers om hun stellingen te bewijzen. Zij zijn de rechtszaak aangegaan, dus zij moeten aantonen dat zij gelijk hebben.

Het zou wat wezen wanneer ik jou voor de rechter kan slepen omdat ik zeg dat ik ooit geld aan je heb uitgeleend dat ik nu terug wil en dat ik het aan jou over laat om te bewijzen dat ik jou nooit geld heb geleend.
Het eerste wat de rechter doet is mij vragen om te bewijzen dat ik jou dat geld heb uitgeleend. En als ik dat niet kan, dan kan de rechter verder weinig doen. Zelfs al zou ik jou daadwerkelijk geld hebben uitgeleend.
Zelfs dat vindt niet plaats. er wordt over Picard gesproken een op te leveren hal-prodcut van open source componenten te overhandigen aan systeem en applicatie bouwers om iets werkends te krijgen.
DigiD is helemaal niet in handen van een privebedrijf?
De hosting wel. En als je iets host kan je gewoon bij alles wat je host.
Als je het goed doet , is dit zeer zeker niet het geval. Je dient gewoon je eigen keys en certficaten te gebruiken en niet wat de hostingpartij standaard aanbied.
Dit is zeer zeker wel het geval. De hostingpartij bezit de hardware en heeft dus ongelimiteerde toegang tot het platform waar de apps draaien. De hosting zou bv via de hypervisor in het geheugen kunnen kijken, en dan ben je volledig compromised.
Strikt genomen hoeft dat dit, maar zo gelikt zal onze infra niet zijn.
Ja en nee, ja klopt wat je zegt, maar de hostende partij kan makkelijker misbruik maken van bepaalde exploits waar je hardware toegang voor nodig hebt, dus mochten ze erin willen dan is dat zeker mogelijk en een stuk makkelijker omdat ze de hardware dan in handen hebben.
Dit is ook niet helemaal waar. Solvinity beheert het platform en de servers. Maar de datacentra zijn van de overheid.
Als dat het geval is waarom huurt de overheid dan niet gewoon zelf infra en software engineers in om het gewoon zelf te onderhouden?!?!??
Ook niet, op de website van DigiD staat letterlijk dat het in een datacenter van de overheid staat. Solvinity is ingehuurd voor het beheer na een aanbesteding onder een 4+2+2 jaren contract.

Ik werk al 35 jaar in dergelijke constructies, en de praktijk is meestal dat het personeel (deels) wordt overgenomen door de opvolgende partij.

Volledige overdracht aan een andere partij is idd risicovol, want het geheugen en het verstand is weg.
Wat is de logica daarachter? Kan toch niet goedkoper zijn via een partij die winst moet draaien...
Hangt er vanaf. Het bedrijfsleven doet dingen meestal efficiënter. Bij de overheid is er veel bureaucratie en weinig reden om kritisch naar de kosten te kijken.
Alleen het uitbesteden zorgt ook voor veel extra overhead want zo’n aanbestedingsprocedure kost ook een hoop tijd. Dan moet alles tot op de letter vastgelegd worden. En dan ligt de focus bij de bedrijven op het zo goedkoop mogelijk volgen van het contract, in plaats van een goed product leveren.
Een eigen organisatie is wellicht goedkoper. Totdat je gaat nadenken over de risico's.

Je hebt niet 1 database-administrator nodig maar 3 of 4 (24/uur per dag afdekken, ziektes, vakantie's etc.) die vervolgens meer dan de helft van de tijd lekker op een terras kunnen gaan zitten (geen werk).

Hetzelfde voor je netwerk-engineer, je unix engineer, je webmaster, etc.

Of je besteed het uit. Het eerste jaar blijven je (ex-)medewerkers indirect voor je werken, maar tijdens hun terras-uren kunnen ze het systeem van bedrijf x, y en z leren. Vervolgens worden externe medewerkers geloosd. En natuurlijk verloop doet zo'n beetje de rest.

Vandaar het 4+2+2 contract. 4 jaar voor overname (introduceren ex-medewerkers in de nieuwe support organisatie) 2 jaar efficientie-effectuering. (Externen eruit). En 2 jaar "cashen". En na 8 jaar staat daar een supportorganisatie, lean-and-mean, voor bedrijf x,y, z en jouw eigen bedrijf. En kan je voor een veel lager bedrag je support verlengen.

En weet je tot op de cent nauwkeurig hoeveel je IT beheer kost. En zijn er geen verrassingen (overwerk voor bijv verstoringen). Wat CFO's wel zo leuk vinden.
Logius, de overheidsorganisatie die hiervoor verantwoordelijk is, heeft in haar visie het volgende uitgangspunt:
inbesteden waar mogelijk, aanbesteden waar kan en zelf doen waar nodig
Dat betekent dat ze eerst bekijken of ze een dienst af kunnen nemen van een andere overheidsorganisatie. Als dat niet kan, dan kijken ze of ze het aan kunnen besteden. En pas als dat ook niet kan dan doen ze het zelf.

Dus ze willen het liefst zelf helemaal niets beheren en alles uitbesteden. Zo krijg je een overheid die volledig leunt op andere bedrijven, waar de veiligheid van persoonsgegevens in gevaar kan komen door de overname van èèn IT-bedrijf.
Om te janken!

En nu komt onze basis-overheids-infra in handen van de VS.
Wat een ongelofelijke prutsers hebben we toch bij de overheid... dat dit kan gebeuren...

Echt om te janken!

(excuus voor mijn drama)
Je moet beter lezen .. de daadwerkelijke overname van Solvinity door Kyndryl is nog steeds niet goed gekeurd .. dus het is niet in Amerikaanse handen.
Ik zeg toch niet dat het in Amerikaanse handen is?

Maar wel dat het in Amerikaanse handen komt... Volgens mij is er nu weinig mogelijk om het tegen te houden.. Of zie ik dat verkeerd?
Er moet nog een besluit genomen worden door het Bureau Toetsing Investeringen (BTI) .. en pas als die goedkeuring geven mag de overname doorgaan.
en je kunt sws nog naar het EHRM - je kunt als grieve zowiso aanvoeren dat de lagere rechter de professionaliteits toest niet heeft uitgevoerd (lees; in bepaalde gevallen is het belang zo groot en het verschil kennis en macht zo ver uit elkaar dat je niet meer mag verwachten dat de eiser bewijst dat de eiser het fout deed, maar dat de verweerder moet bewijzen dat hij het goed deed.

denk aan een arts, je kunt niet verwachten dat iemand na een mislukte operatie even 6 jaar geneeskunde gaat studeren om te kunnen bewijzen dat de arts niet op zat te letten. in plaats daarvan moet de arts dan bewijzen dat hij het goed heeft gedaan en dat de foute afloop geen voorzienbaar gevolg was van de procedures die correct zijn gevolgd en dat iedere normale arts in die situatie ongeveer hetzelfde behandelplan zou hebben gehad.

nu zou je kunnen zeggen dat: als er 1 partij is die te alle tijden moet kunnen laten zien dat ze goed werk verrichten het de rijksoverheid zou zijn. die kan niet zo maar wat doen en hopen dat het wel goed komt.

en dat is precies wat men hier doet, hopen dat lieve blauwe ogen deze keer echt wel te vertrouwen zijn.

met toegang tot AL onze geheime informatie van ziekenhuisgegevens tot belastingpapieren tot identificatienummers tot .... letterlijk alles wat er ook maar enigszins toe doet zit tegenwoordig aan digid
Dat schrijft @pietvelleman toch? "komt in handen", niet "is in handen". Beetje ironisch als je een ander beticht van beter moeten lezen 😅

[Reactie gewijzigd door baseoa op 22 mei 2026 17:55]

En toen het in handen van de overheid was, stonden mensen te janken dat het door dure ambtenaren werd beheerd en dat het veel goedkoper en efficiënter door een commerciële marktpartij geregeld kon worden.
jawel.. ik snap je punt...

Mijn probleem is ook niet dat er een commerciele partij ingeschakeld wordt. Mijn probleem is dat je er dan wel voor moet zorgen dat die partij niet overgenomen mag worden door Chinezen/Amerikanen en Noord Koreanen....
Het punt is alleen dat die partij veel meer doet dan alleen het hosten van DigiD. Het heeft ook heel veel andere, commerciële klanten.

Het is alsof defensie niet langer zelf kantine maaltijden klaar wil maken, maar kant-en-klaar maaltijden bij de Jumbo inkoopt. En dan uit landsbelang de verkoop van Jumbo aan een buitenlandse koper tegen wil houden.
Nu zijn maaltijden voor defensie natuurlijk minder kritisch (en makkelijker van een andere leverancier te verkrijgen) dan iets als DigiD, maar je snapt waar ik heen wil. Je kan een bedrijf niet aan een anker leggen vanwege een klein stukje van hun omzet.

In het uiterste geval zouden ze, wanneer de verkoop door de staat tegengehouden zou worden vanwege DigiD en het belang van de verkoop voor de huidige eigenaar maar groot genoeg is, kunnen zeggen: Oké. dat contract voor DigiD beperkt ons in onze toekomstplannen, dus we zeggen het eenzijdig op en nemen de boete of schadeclaim voor lief. Dan trekken ze de stekker uit DigiD en alle overheidsorganisaties, verzekeringsmaatschappijen en pensioenfondsen mogen in hun papierbakken gaan kijken of er nog ergens ouderwetse formulieren liggen om de burgers hun gegevens door te kunne laten geven.

Moraal van het verhaal is: zorg dat je belangrijke zaken niet aan anderen uitbesteedt en neem eventuele inefficiëntie door het zelf te regelen voor lief.
(En nu weet ik niet of dat uitbesteden nu wel zoveel goedkoper is over de levensduur van een contract. De overheid mag misschien minder efficiënt zijn, waardoor de kostprijs hoger is dan de kostprijs binnen een commercieel bedrijf. Maar dat bedrijf doet daar een winstmarge bovenop, in plaats van inefficiëntie-kosten. En bedrijven zijn zeer creatief in het bedenken van meerkosten en kostbare vertragingen.)

Ik heb zelf van dichtbij meegemaakt hoe de invoering van een nieuw stelsel van eigen risicodragerschap voor werknemersverzekeringen voor kunstmatig hoge premies zorgde. Bedrijven konden er voor kiezen het risico voor arbeidsongeschiktheidsuitkeringen zelf te dragen, in plaats van premies aan het UWV te betalen. Dat risico moesten ze dan wel met een bankgarantie afdekken, of met een verzekering bij een private verzekeringsmaatschappij. Óf met een speciale verzekering voor eigenrisicodragers bij het UWV zelf (vanwege een andere verdeling van verantwoordelijkheden en omdat de premie specifiek werd bepaald aan de hand van de situatie van het bedrijf zelf en niet globaal voor een hele bedrijfssector, kon die premie lager zijn dan die voor de standaard premie voor de werknemersverzekeringen). Omdat het UWV zelf alle expertise al had en geen winst hoefde te maken, was hun premie heel scherp; scherper dan commerciële verzekeraars konden aanbieden. Door een lobby van die commerciële verzekeraars is de premie die het UWV in rekening moest brengen verhoogt (in veel gevallen ongeveer verdubbeld). En toen konden commerciële verzekeringsmaatschappijen een verzekeringen voor eigenrisicodragers aanbieden die concurrerend was met wat ze bij het UWV af konden sluiten. (Maar stiekem tot tweemaal zo duur was als nodig.)
Dit zou absoluut onder kritische infrastructuur vallen. Echter betekend dat zeker niet dat het in overheidshanden hoeft te zijn.

Daarentegen vraag ik mij ook af hoe je kritische infrastructuur gaat borgen als de eigenaar niet primair onder Nederlandse wetgeving valt. En dan kan je wel zeggen dat ze zich aan de wet moeten houden, maar ze moeten zich ook aan andere wetgeving houden in hun thuisland.

Misschien zijn de gekozen gronden voor de rechtszaak niet juist gekozen.
We hebben een Wet Beschikbaarheid Goederen die je hier prima voor zou kunnen inzetten.
Omdat iedereen hier altijd klaagt dat de overheid niet met software overweg kan.
Dat is ook niet zo als je de bronnen echt naloopt. Je komt uit op een broodje aap.
Dat er broodjes aap verkocht worden bij subway is natuurlijk een foute zaak, dar moet de rechter aan te pas komen.
Riskant om een eigen mening te hebben hier maar ik ben het hier totaal niet mee eens. Er is genoeg kennis en er zijn genoeg partijen om dit snel en adequaat op te pakken, maar je moet wel willen. Waar een wil is, is een weg.

Maargoed, ik ben het wel meer dingen in Nederland niet eens hoe dit gaat. Jammer dat dan zo'n rechtzaak zo snel eindigt.
Ik denk eerder dat niemand zijn vingers hieraan wil branden. Kan de ondergang van je bedrijf betekenen als het ook maar iets gaat tegenzitten
Er is een verschil tussen het ergens niet mee eens zijn (wat helemaal prima is), een betweter of stuurman aan wal zijn ook (maar irritant), maar in Nederland hebben we de rechter als onafhankelijk oordeelveller op moment dat partijen er niet uitkomt. Het is ook een kort geding (kort geeft denk ik al wat aan over de snelheid van de proces)

Hier heeft de rechter bepaalt dat de degenen die de zaak begonnen zijn geen grond hebben voor hun kort geding. En daarmee moeten we het doen.

Als je het er niet mee eens bent dat dit de manier is waarop het in Nederland geregeld is, dan is er geen plek voor je in deze maatschappij. Mijn mening, en die mag ik hebben.
LoL een rechter onafhankelijk is echt weer zo een kreet waar ik absoluut niet achter sta.

Je neemt iets aan wat gewoon flauwekul is, er zijn geen rechters die onpartijdig zijn.

Die bestaan gewoon niet PUNT UIT.
Als je dat kunt aantonen, waarom heb je je dan niet aangesloten bij de eisers? Dan hadden ze kunnen winnen. Maar goed, beschrijf jouw project- en migratieplan eens?
Riskant om een eigen mening te hebben hier maar ik ben het hier totaal niet mee eens. Er is genoeg kennis en er zijn genoeg partijen om dit snel en adequaat op te pakken, maar je moet wel willen. Waar een wil is, is een weg.
Dus een goede aanbesteding nodig. Want wie gaat het anders worden? Om de omgeving dit jaar over te zetten is onrealistisch, volgend jaar is zeer krap.
Maargoed, ik ben het wel meer dingen in Nederland niet eens hoe dit gaat. Jammer dat dan zo'n rechtzaak zo snel eindigt.
Misschien omdat jij niet alle wetten en regels weet?
Iedereen weet dat dit onzin is. Alsof je in Nederland geen Nederlandse hosters zou kunnen vinden. We hebben een van de beste digitale infrastructuur ter wereld hier. En desnoods had de overname ook nog wel geblokkeerd kunnen worden. Puur een gebrek aan motivatie iets te ondernemen, en dan achteraf allemaal naar elkaar gaan wijzen. Meest ondoorzichtige politieke tactiek die er is. Verre van een hot take of onwelgevallige mening.
Iedereen weet dat dit onzin is.
Waarom denk ik hier dan heel anders over?
Alsof je in Nederland geen Nederlandse hosters zou kunnen vinden. We hebben een van de beste digitale infrastructuur ter wereld hier.
Heb jij enige ervaring en kennis van aanbestedingen? Of hoe zoiets werkt en daarna all het papier werk wat bij de overgang te maken heeft?
En desnoods had de overname ook nog wel geblokkeerd kunnen worden.
Moet je nog wel een hele goede onderbouwing hebben om de overname tegen te houden? Met fingerspitzengefühl red je het niet in een rechtzaak hiermee.

Maar de overname is ook nog geen feit.
Puur een gebrek aan motivatie iets te ondernemen, en dan achteraf allemaal naar elkaar gaan wijzen. Meest ondoorzichtige politieke tactiek die er is. Verre van een hot take of onwelgevallige mening.
Om iets te ondernemen, moet je wel eerst iets goed kunnen onderbouwen. Zomaar iets roepen is leuk, totdat je er verantwoordelijk voor bent.
Doe de huidige beheerders een goed bod en ze komen bij je werken. Wat is daar nu zo complex aan?
De boel opkopen had ook nog gekund inderdaad, maar het is duidelijk dat niemand zin heeft ook maar iets te ondernemen. Mooie praatjes over onafhankelijk zijn kosten geen moeite, maar iets uitvoeren natuurlijk wel dus dan volgen al snel allerlei excuses want het kan allemaal niet door externe factoren. Dat gebeurt dagelijks met tal van onderwerpen dus verrassend is het niet. Desondanks evenzogoed een beschamende vertoning.
Er is genoeg kennis en er zijn genoeg partijen om dit snel en adequaat op te pakken,
Wat bedoel je met 'partijen'? Zijn dat commerciële partijen waar je vandaag mee in zee gaat en over maand ook verkocht kunnen worden en je weer terug bij af bent?
Heb jij genoeg kennis om te weten hoeveel tijd je in dit geval nodig hebt?

Want bij een groot systeem als DigiD dat bovendien zo cruciaal is dat het goed en altijd werkt. Dat zet je niet in een paar weken in een vakantieperiode op.

Niemand kan dat vóór 6 augustus opzetten. Ook al heb je nog zoveel goede wil, dat is een volstrekt onrealitische gedachte.
Heb jij genoeg kennis om te weten hoeveel tijd je in dit geval nodig hebt
Als alle details met mij worden gedeeld kan ik dat zeker. Zolang die details niet worden gedeeld kun je ook niet zeggen dat dit niet kan.

Solvinity is geen bedrijf die iets magisch aanbiedt wat anderen met een goede infra niet kunnen bieden. Met genoeg mensen en motivatie is dit haalbaar, al is het niet volledig, dan wel grotendeels. Het had allang in gang gezet moeten worden, als je gaat wachten op het laatste moment kan het idd niet meer.

Blijkbaar weet jij zeker dat het niet kan, heb jij alle details dan? Echt redenen dat het niet kan noem je ook niet.
Om vast te stellen dat het niet kan heb je veel minder details nodig.

Iedereen die ook maar enige praktijk ervaring heeft met projecten die een groot test traject nodig hebben, weet dat je dit niet in zo'n korte tijd kunt doen. Je hebt dan 7 weken. (want half Juli liggen projecten allemaal stil omdat teveel mensen op vakantie zijn)

Als je mij vraagt of het dan 6 maanden of 12 maanden nodig heeft, dan kan ik je dat antwoord niet geven, want daarvoor mis ik dan ook de details. Maar met deze korte termijn is het antwoord heel simpel.
Iedereen die ook maar enige praktijk ervaring heeft met projecten die een groot test traject nodig hebben, weet dat je dit niet in zo'n korte tijd kunt doen.
Klopt. Dat is dan ook een onderliggend probleem. Iets zo belangrijk als DigiD zou wel zo te migreren moeten zijn, of zelfs gedistribueerd moeten zijn bij verschillende partijen qua opzet.
[...]


Klopt. Dat is dan ook een onderliggend probleem. Iets zo belangrijk als DigiD zou wel zo te migreren moeten zijn, of zelfs gedistribueerd moeten zijn bij verschillende partijen qua opzet.
Verschillende partijen betekend ook veel meer complexiteit in alles.
Een nationaal identiteitsysteem is gebaat bij een hoge beschikbaarheid en flexibiliteit met betrekking tot waar het gehost wordt. Een complexe maar beheerde architectuur is op zich geen negatief punt.
Eens, maar kan ook risico zijn voor de beschikbaarheid en de flexibiliteit.


Ervaring leert ook, hoe meer partijen er bij betrokken zijn, hoe complexer het wordt, zowel vanuit processen als vanuit techniek.
Het contract is nu verlengd met twee jaar. Het zou eigenlijk aflopen. Dus geen excuses over dat het allemaal zo moeilijk is. Dit was sowieso een moment om eventueel over te stappen als dat nodig zou zijn. Nu blijkt het nodig maar wordt het alsnog verlengd. Je gelooft echt te veel in politieke praatjes als je niet ziet hoe onbekwaam men dan is bezig geweest.
Het contract is nu verlengd met twee jaar. Het zou eigenlijk aflopen. Dus geen excuses over dat het allemaal zo moeilijk is. Dit was sowieso een moment om eventueel over te stappen als dat nodig zou zijn. Nu blijkt het nodig maar wordt het alsnog verlengd.
Dit was inderdaad zo'n moment, maar dat hadden ze dan zeker 1,5 jeer geleden moeten opstarten om over te stappen.
Je gelooft echt te veel in politieke praatjes als je niet ziet hoe onbekwaam men dan is bezig geweest.
Of weten hoe wet en regelgeving in elkaar zit bij aanbestedingen en ervaring hebben met migratie trajecten?
Bij onbekwaam is het gewoon dat, maar bij heel bewust zo gedaan moeten er zeker koppen rollen want is er waarschijnlijk sprake van fraude.
Er is genoeg kennis en er zijn genoeg partijen om dit snel en adequaat op te pakken, maar je moet wel willen. Waar een wil is, is een weg.
Jullie overheid wil niet weg en moet ook helemaal niet weg bij deze dienstverlener. Dat er anderen zijn is geen argument.
Jammer dat dan zo'n rechtzaak zo snel eindigt.
Ze zullen waarschijnlijk nog wel in beroep kunnen gaan, maar als je ergens over klaagt, dan moet je dat ook hard kunnen maken. Blijkbaar is dat dus niet het geval volgens de rechter en/of hebben ze een prutsadvocaat met het donatiegeld ingehuurd.
De overheid claimt wel weg te willen maar het is allemaal moeilijk moeilijk om wat Nederlandse servers te vinden—zeggen ze dan.
Omdat de overheid weet hoe wet en regelgeving in elkaar zit.


Dit gaat niet uit van een Tweakers bron, die zegt dat dit wel even zo gedaan moet kunnen zijn.
De rechter vindt dat de staat de zorgen van Nederlanders serieus neemt, omdat het dat overleg voert,
Onzin, reinste onzin. Waarom?

De staat kon het geen fuck interesseren totdat duizenden Nederlanders geld bij elkaar legde om er een zaak van te maken.

De rechter had wel wat dieper mogen graven, want jaren geleden toen de EU een eigen DigiD wilde bouwen. Heeft Nederland, als 1 van de weinige landen overigens, tegen gestemd! Want DigiD was nationale veiligheid blabla, dat kunnen we niet uit handen geven.

De rechter is er klaarblijkelijk niet van op de hoogte dat de CLOUD ACT inhoud dat wanneer een partij TOEGANG HEEFT TOT, verplicht is mee te werken. Het spul draait straks op hun servers en komt daarmee dus binnen bereik van de CLOUD ACT.

En waarom konden de eisers dat niet hard maken? Hebben jullie ze dat niet bij DICTU, SSC-ICT, ICTU of willekeurige andere Overheids IT hosting toko kunnen navragen? Want onze overheid heeft wel degelijk de expertise om dat hosten zelf te doen.

[Reactie gewijzigd door batjes op 22 mei 2026 18:08]

En nu even de tweakers-blaat pet afzetten en serieus kijken wat de taak van de rechter is.

De taak van de rechter is niet om naar het verleden te kijken dat NL tegen een EU DigiD stemde. De rechter moet kijken naar het dossier dat nu op tafel ligt en specifiek de klacht van die burgers.

Die burgers hebben hun claim niet hard kunnen maken. En het is niet de taak van de rechter om bij DICTU, SSC-ICT, ICTU etc etc de boel na te vragen. Als jij iets claimt, dan moet jij het onderbouwen. Je kunt niet een rechtzaak maken van een claim die je uit je duim zuigt en dan zeggen dat de aangeklaagde er maar een sluitend verhaal van moet maken.

Uiteraard is de rechter wel op de hoogte van de CLOUD ACT. Maar de rechter moet hier nu kijken of het contract nu zomaar opgezegd kan worden, of dat we dan in augustus in grote problemen komen. Het is overduidelijk dat het niet nu opgezegd kan worden en dat heeft de rechter dan ook ingezien.

Of dat komt doordat het ministerie al twee jaar geleden voorbereidingen had moeten treffen doet niet ter zake als er nu een eis ligt om nu het contract niet te verlengen.

De overheid heeft op dit moment niet de expertise om het zelf te hosten. Die expertise kunnen ze uiteraard wel aantrekken, en dat zouden ze wat mij betreft ook moeten doen. (En al twee jaar geleden mee moeten hebben beginnen). Maar het feit blijft dat je niet volgende week die expertise en capaciteit kunt aantrekken zodat je nu het contract niet hoeft te verlengen.
het is niet de taak van de rechter om bij DICTU, SSC-ICT, ICTU etc etc de boel na te vragen.
Klopt. Als ik het goed lees, is dat echter ook precies wat @batjes zei:
waarom konden de eisers dat niet hard maken? Hebben jullie niet bij DICTU, SSC-ICT, ICTU of willekeurige andere Overheids IT hosting toko kunnen navragen?
Die "jullie" klinkt voor mij niet als slaande op de rechter maar op de eisers die het, zoals je zegt, niet hard hebben gemaakt

Persoonlijk vind ik het trouwens wel vaker verrassend wat de rechter in een vonnis aanhaalt als onvoldoende overtuigend beargumenteerd. Of dit hier ook lastig te voorzien was, weet ik niet omdat ik deze termen niet ken, maar ik kan me best voorstellen dat de eisers alles zo snel mogelijk hebben gedaan (zodat een overdracht/niet-verlenging zo realistisch mogelijk blijft) en daarbij dit niet hebben kunnen uitdiepen of simpelweg over het hoofd gezien hebben
Dat kan ik me op zich ook wel voorstellen. Maar ik kan me net zo hard voorstellen dat de eisers helemaal niet het inzicht in de overheids middelen hebben om dat in te schatten. Het lijkt mij namelijk nogal onmogelijk als buitenstaander om inzicht te hebben hoeveel kennis en capaciteit de overheid heeft en hoe snel ze zoiets zouden kunnen regelen.

Maar dat 9 augustus volstrekt belachelijk is kan ik als buitenstaander heel makkelijk vaststellen. Want ik heb ervaring met projecten in de multinational waar ik werk en grote projecten die een zeer uitgebreide testfase nodig hebben kun je onmogelijk in zo'n korte tijd doen. (Bedenk ook dat half Nederland vanaf half Juli op vakantie is en dat alle projecten dan praktisch stil liggen).

[Reactie gewijzigd door mjtdevries op 22 mei 2026 18:34]

Goed punt, het is mij ook niet bekend of er pogingen toe gedaan zijn.

Augustus is inderdaad onrealistisch, maar ergens volgend jaar zal toch prima haalbaar zijn. We hebben het niet over het opzetten van een compleet platform, slechts de hosting van de hardware. Dat is in het grote geheel allemaal niet zo spannend. Weinig anders dan wat de overheid al in tientallen datacenters zelf doet.

Nergens voor nodig om dan maar weer 2 jaar in contract te gaan. Rechters kunnen ook middenwegen bemiddelen.
offtopic:
dit bericht is 9 keer herschreven c.q. opnieuw geformuleert en 20 keer nagelezen ;)
Rechters kunnen ook middenwegen bemiddelen.
Maar niet in een dergelijke zaak. De rechter moest eenvoudig bepalen of de overheid iets moest doen of niet. Er was niemand die iets van rechtzaken wist en die ze een kans gaven. Ik snap best dat tweakers het niet met de feiten eens zijn, maar de uitspraak van de rechter is zeer helder en was totaal voorspelbaar.
De Nederlandse rechtspraak is juist mooi omdat omstandigheden meegenomen worden.

De rechter neemt die omstandigheden zo te zien ook mee en daarbij vind ik ook horen dat de huidige regering, besluitsvorming van een voormalige regering lijkt te negeren.

En ik vind het wel degelijk kwalijk dat de rechter specifiek benoemt dat de overheid 'goed geluisterd heeft naar het volk', terwijl het volk grootschalig in actie kwam om de overheid tot beweging te krijgen.

Mijn laatste punt was toch duidelijk gericht aan de eisers? Ik benoem het. Uit ervaring weet ik 100% dat de overheid deze architectuur in huis heeft. Of ze de capaciteit hebben is mogelijk een tweede, maar dat was geen argument van de rechter.
Nee, je laatste punt was niet duidelijk gericht aan de eisers. Dan had je het grammaticaal anders moeten formuleren.
En waarom konden de eisers dat niet hard maken? Hebben jullie niet bij DI
Als je het woordje "jullie" had vervangen door "zei" dan was het duidelijk geweest.
Maar nu is "jullie" zo'n vreemd woord in die context dat ik dacht dat je heel bewust iemand anders bedoelde. Ik dacht dat je de overheid of rechters bedoelde en ik vroeg me zelfs af of je de redactie bedoelde, dat die wat meer achtergrond hadden moeten uitzoeken naar wat de eisers hebben geclaimed.
Misschien heb je een punt, Nederlands is sowieso niet mijn sterkste punt :) Beetje aangepast, hopelijk duidelijker zo.
Normaal gesproken valt me niet op dat Nederlands niet je sterke punt is. Vandaar dat ik dacht dat je heel bewust het woord jullie had gebruikt. Maar goed dat het misverstand de wereld uit is geholpen.
ik vind het wel degelijk kwalijk dat de rechter specifiek benoemt dat de overheid 'goed geluisterd heeft naar het volk'
Waar staat dat? Ik kan het woord "volk", "goed", noch "luister" vinden in de uitspraak, en het ook niet goed plaatsen in wat ik me herinner van de delen van de uitspraak die ik eerder gelezen heb
Ik was de lui om omhoog te scrollen en parafraseerde.
De rechter vindt dat de staat de zorgen van Nederlanders serieus neemt, omdat het dat overleg voert,
Ah, oké ik zou dat anders interpreteren (tussen 'goed geluisterd' en 'ze overleggen nog' zit wat ruimte in mijn beleving) maar ik snap wat je bedoelt!
Ja maar daar gaat de rechter dus compleet de fout it. De burgers kunnen nooit inzien hoe Digd opgezet is, wat voor middelen de overheid zou hebben dus kunnen dan nooit een realistisch beeld hebben om een argument te kunnen vormen waarom de overheid dat wel zou kunnen.

De rechter had de overheid de taak moeten geven om te bewijzen waarom ze dat niet zouden kunnen onder eed.
Het punt was, denk ik, dat de overheid CLAIMT deze expertise niet te hebben en veel mensen denken dat dit TOTALE ONZIN is.

Sterker, eigenlijk weet iedereen wel dat de oorzaak voor het uitblijven van een verstandig besluit een mix van onkunde en domheid is.

Waar wordt defensie it gehost?
Deze rechter is specialist in dit soort zaken. Waar haal je vandaan dat hij geen inhoudelijke kennis heeft? De onderbuik?

Er was niemand met kennis van zaken die een andere uitspraak verwachtte. De zaak was verloren voordat de rechtbank opende, omdat de eisers de verkeerde dingen deden. Als jij zegt dat de overheid iets kan, moet je van een rechter verwachten dat je dat hard kan maken. Dat konden de eisers niet en toen was de rechtzaak in feite voorbij.

Net zoals jij die zegt dat er andere belangen spelen en daar verder niets over zegt. Daarmee had je voor mij ook elk respect verloren. Kom aan, welke belangen? Wiens belangen?
Ik denk een betere vraag is, wilt de overheid iets doen. Dat DigiD wordt overgenomen is geruime tijd bekend. Dat de overeenkomst verlengd dient te worden, wederom was lange tijd bekend. Dat de onze data niet in handen dient te komen bij een overheid die oa ICC medewerkers het leven zuur maakt, wederom is bekent. En toch kiest onze overheid er stelselmatig voor om belangrijke momenten te negeren tot het Uur U en nu is er geen keus meer.

Zelfs dan mag je je nog afvragen, wanneer we een overheid hebben die niet in ons belang werkt, of ze daadwerkelijk alles gedaan hebben wat mogelijk is. Ik weet het niet, maar hun handelen geeft zeker geen vertrouwen. En wellicht denk ik er te simpel over, maar ik snap nog steeds niet waarom met de huidige regelgeving er geen blokkade mogelijk is of alternatief, inderdaad men de schouders eronder zet en er alles aan doet om toch deze data hier te houden. Het uitblijven van actie voor mij zegt genoeg.

Daar kan deze rechter niks aan doen, en wellicht denk ik er te simpel over maar had hij misschien precedent kunnen maken om afwijkend van bestaande regelgeving uit te spreken. Want immers van onze vertegenwoordigers hoeven we het niet te hebben.
Dat Cloud Act risico in de perceptie van skeptici is schromelijk overdreven.
On the basis of the above, it is fair to conclude that the risk of disclosure of EU residents’ personal data or other data under the CLOUD Act is low
https://www.ncsc.nl/cloud/cloud-act-memo-en-cloud-act-requests

Typisch geval van "Is het veilig" versus "Denkt men dat het veilig is". Feiten en perceptie kunnen mijlenver uit elkaar liggen. Perceptie is echter vaak wat de klok slaat

[Reactie gewijzigd door AceAceAce op 22 mei 2026 17:20]

Misschien CLOUD ACT zelf lezen

https://www.justice.gov/criminal/media/999391/dl?inline
Foreign law may create similarly conflicting legal obligations when chapter 121 of title 18,
United States Code (commonly known as the ‘‘Stored Communications Act’’), requires disclosure of electronic data that foreign law prohibits communications-service providers from disclosing
‘‘A provider of electronic communication service or remote computing service shall comply with the obligations March 21, 2018 (6:08 p.m.) 2203 of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.’’.
Fuck andermans wetgeving en overal waar je op een mogelijke manier toegang toe hebt. Ook data van je klanten valt daar dus op elke mogelijke wijze onder. Al ben je de datacenter.
Het risico is wel hoog, de kans is mogelijk klein. Maar als het gebeurt dan zijn de gevolgen gigantisch dus is het risico substantieel.
Dat is niet wat ncsc en dat advocatenkantoor concluderen. Impact hoog * frequentie heel laag = laag risico
Tja dat kan, ik vindt het feit dat mocht de Amerikaanse overheid bij al onze persoonsgegevens komen via een lek bij DigID toch best wel erg impactvol en risicovol gezien geopolitieke omstandigheden
Superveilig, daarom is er ook niks mis met de amerikaanse overheid die microsoft vraagt mensen te identificeren die met de eu dma te makeb hebben.....
En goed maar ook de EU heeft geen enkele reden om informatie over elke burger in handen te hebben
[...]


Onzin, reinste onzin. Waarom?

De staat kon het geen fuck interesseren totdat duizenden Nederlanders geld bij elkaar legde om er een zaak van te maken.
oke, leuke mening, maar geen enkele juridische waarde.
De rechter had wel wat dieper mogen graven, want jaren geleden toen de EU een eigen DigiD wilde bouwen. Heeft Nederland, als 1 van de weinige landen overigens, tegen gestemd! Want DigiD was nationale veiligheid blabla, dat kunnen we niet uit handen geven.
En wat heeft dit met de huidige rechtzaak te maken?
De rechter is er klaarblijkelijk niet van op de hoogte dat de CLOUD ACT inhoud dat wanneer een partij TOEGANG HEEFT TOT, verplicht is mee te werken. Het spul draait straks op hun servers en komt daarmee dus binnen bereik van de CLOUD ACT.
Waaruit haal je dit, dat de rechter niet op de hoogte is?

En als is dit het geval, de overheid moet nog steeds zorgen dat DigiD gewoon beschikbaar is.
En waarom konden de eisers dat niet hard maken? Hebben jullie ze dat niet bij DICTU, SSC-ICT, ICTU of willekeurige andere Overheids IT hosting toko kunnen navragen? Want onze overheid heeft wel degelijk de expertise om dat hosten zelf te doen.
Want gewoon even een mailtje sturen en dan verwacht je antwoord te krijgen?


Deze rechtspraak is gewoon wat je er van kon verwachten, als uitspraak.
We hebben onszelf zo vast laten lopen op 1 leverancier dat we niet meer weg kunnen, en dat is dan meteen het argument waarmee de staat de zaak wint. knap.
Natuurlijk kun je wel weg van die leverancier, maar niet volgende week. En dat is wat de eisers wilden. Uiteraard wint de staat dan heel makkelijk, want de eisers stelden een onrealistisch scenario voor.
Haalbaarheid is geen juridische eis. Als ik een steen de ruimte in geschoten heb in de veronderstelling dat dat legaal is, en in de tussentijd komt een uitspraak die een eis toewijst van "u/baseoa moet zijn actie terugdraaien", dan blijft dat mijn probleem, ook al is het onrealistisch in de tijd tot die ergens neerkomt. Ik had moeten kunnen weten dat dit een gevaar vormt en moeten zorgen dat ik niet in zo'n situatie terecht kom

In dit geval is het wel redelijk makkelijk omdat privacy het argument was, en daar zijn veel uitspraken over uitzonderingen wanneer het anders niet de meest redelijke afweging is. Maar daarmee is het nog geen panklare zaak (de rechter lijkt zwaar mee te wegen dat de staat naar dit aspect nog aan het kijken is) en het is al helemaal geen algemeen gegeven dat je "heel makkelijk" wint wanneer de eiser iets wil dat je niet kan leveren. Zoveel mensen worden veroordeeld terwijl je van een kale kip niet kan plukken

[Reactie gewijzigd door baseoa op 22 mei 2026 17:57]

De rechter is het niet met jou eens. Zoals je in het artikel al heel duidelijk had kunnen lezen:
In het voorgaande is voldoende duidelijk geworden dat stopzetting van de dienstverlening door Solvinity tot ontwrichting van het digitale contact met de overheid na 6 augustus 2026 zal kunnen leiden, zodat ook deze vordering niet toewijsbaar is.

[Reactie gewijzigd door mjtdevries op 22 mei 2026 17:57]

Ja, ik denk inderdaad dat dat geen op zichzelf staande conclusie is maar dat dit gelezen moet worden in de context met alle andere overwegingen. Een rechter kan altijd iets opleggen met de argumentatie dat de veroordeelde het niet zover had moeten laten komen. Daarmee wordt de situatie niet magisch hersteld (een veroordeling bij doodslag tovert het slachtoffer niet terug), maar zo snel mogelijk overstappen op andere hosting en in de tussentijd dataminimalisatie toepassen (wat sowieso altijd moet, maar zeer zeer zelden goed wordt uitgevoerd) zou bijvoorbeeld wel kunnen als de eisen juridisch steek houden. Gezien de rest van de uitspraak is dat hier (nog) niet het geval ("[...] Dat betekent dat op dit moment niet kan worden gezegd dat niet op een verantwoorde wijze met Solvinity kan worden doorgewerkt [...]")

[Reactie gewijzigd door baseoa op 22 mei 2026 18:21]

Maar de rechter moet beslissen over de eis van de eisers: Het contract niet verlengen.
Wellicht was er voor de eisers een mogelijkheid geweest om de rechter ook de optie voor te leggen aan de overheid op te leggen dat ze het contract mogen verlengen maar dan vervolgens zo snel mogelijk van Solvinity af moeten gaan. In andere rechtzaken zie je wel dat rechters behoorlijk ver gaan Maar hier werd echt een ja of nee gevraagd over de contract verlenging.
Dat er een korte termijn was als gevolg van de eis komt niet door de eisers. De overheid heeft er namelijk voor gekozen dat de ze bij onacceptabel risico niet snel weg kunnen.

Er van maken dat de eisers onrealistisch eisen stellen is absurd. Het is al jaren duidelijk is dat een bedrijf van buiten de EU niet zomaar een acceptabele dienstverlener is en dus niet zomaar meer zekerheid geeft dan de overheid hoort te geven. Dit gaat dus niet om de korte termijn maar het belangrijker vinden dat een bedrijf een risico vormt dan dat de overheid zelf geen risico wil dragen. Want daar komt het op neer: zolang de overheid de verantwoordelijkheid maar op het bedrijf af kan schuiven moeten burgers en bedrijven maar geen eisen stellen.
Je hebt mijn eerdere reactie duidelijk niet goed gelezen. Want daarin geef ik zelf al aan dat de overheid dit issue veroorzaakt heeft, omdat ze al twee jaar geleden hadden moet starten.

Maar daar kan een rechter niks mee. De rechter moet nu de afweging maken:
- gaan we het contract niet verlengen waardoor op 6 aug DigiD niet meer werkt en het land in chaos komt
- gaan we het wel verlengen en voelen bepaalde mensen zich ongemakkelijk omdat ze geen vertrouwen hebben in het contract tussen de EU/NL en de VS over de bescherming van Nederlandse persoongegevens in de VS.

De overheid heeft de samenleving en de rechter voor een voldongen feit gesteld. Het is geen realistische optie om voor de eerste optie te gaan.

De eisers stellen op dit moment wel degelijk een onrealistische eis. Deze rechtzaak had een jaar geleden gestart moeten worden. Maar toen wisten de eisers dit waarschijnlijk niet.
en voelen bepaalde mensen zich ongemakkelijk
Zonder af te doen aan de rest van de reactie, dit vind ik wat kort door de bocht. De hele zaak is opgebouwd op het feit dat doorgifte van persoonsgegevens aan de VS "in strijd is met fundamentele rechten [en] onvoldoende beschermd zijn" (aldus de eisers zoals samengevat op de rechtspraak-pagina). Als dat niet het geval was, zou (zover ik ons rechtsysteem ken) de zaak niet-ontvankelijk verklaard zijn omdat het onderliggende principe van de zaak niet klopt. Dat is niet gebeurd, dus schijnbaar is de rechter het daarmee eens, werd de zaak inhoudelijk behandeld, en de vorderingen vooralsnog afgewezen door andere omstandigheden zoals dat de overheid nog bezig is met dit risico te weerleggen
Op welke gronden doe je het af als ongemak? Want je gaat op geen enkele manier in op de feiten dat wettelijke eisen en het negeren van de wet over omgang met persoonsgegevens realiteit zijn, niet slechts een theoretisch wettelijk probleem of slechte wat ongemakkelijk gevoel. De rechter heeft daarbij wel degelijk mogelijkheid te handhaven.
Van de gelinkte rechtspraak-pagina:
eisers [zeggen:] De Staat handelt onrechtmatig door de overeenkomst met Solvinity te verlengen, omdat dit tot gevolg heeft dat persoonsgegevens van [ons] toegankelijk worden voor de Amerikaanse autoriteiten. Dit is in strijd met fundamentele rechten en dient te worden voorkomen. Door de verlenging van de overeenkomst zullen de persoonsgegevens van eisers onvoldoende beschermd zijn
Dat vroeg ik me nu al de hele tijd af maar werd steeds niet benoemd: welke wet of welk contract menen ze dat ze staat overtreedt? Blijkbaar is privacy het argument

De rechter weerlegt dat niet, maar maakt een afweging van andere belangen die er spelen (zoals bij privacy altijd het geval: je mag ook best de straat filmen àls je daar een concrete en goede reden voor hebt) en de staat draagt daarnaast aan dit al in onderzoek te hebben:
[De staat overlegt] met Solvinity en Kyndryl om de impact van de voorgenomen overname te beperken en de Staat voldoende waarborgen te bieden om veilig te kunnen werken. De gesprekken zijn nog niet afgerond en de uitkomst van die gesprekken is onzeker. Dat betekent dat op dit moment niet kan worden gezegd dat niet op een verantwoorde wijze met Solvinity kan worden doorgewerkt
Edit:
Het Tweakers-artikel noemt overigens
Eisers zijn in het ongelijk gesteld en moeten daarom de proceskosten (inclusief nakosten) betalen.
Dit gaat niet alleen om hun eigen en de rechtbank-kosten, maar ook om de kosten van de staat. Hun eigen kosten komen daar nog bij

Van die 2101€ zijn een kleine 1200€ voor de advocaat van de staat. Iets meer dan 1 dag werk als de tarieven vergelijkbaar zijn met een IT-consultant, waarvoor hij/zij zich heeft moeten inlezen, voorbereiden, en in de rechtbank een aantal uur komen argumenteren. Dat heeft de staat nog netjes gedaan dan, ze hadden meer uit de kast kunnen trekken en ze dat allemaal laten betalen

Ook interessant, een eerder Tweakers-artikel vermeldt:
Aan een crowdfundingactie voor die rechtszaak doneerden mensen inmiddels al meer dan 50.000 euro.

[Reactie gewijzigd door baseoa op 22 mei 2026 18:44]

Nouja, dan de digitale overheids brievenbus maar op zeggen. Ze sturen voortaan maar alles lekker weer via de post. Ik ga weer zoveel mogelijk analoog.
Kan iemand mij uitleggen wat 'wij' hier nu precies niet kunnen als het gaat om systeemonderhoud aan hard en software mbt DigiD?
Die servers draaien nu in Nederland en ik vermoed dat zij onderhouden worden door Nederlandse ICT specialisten met misschien sporadisch een inhuur ICT'er van buiten.

Iemand die mij dit uit kan leggen?
Nee, dat kan niemand uitleggen, want "wij" zouden dit prima zelf kunnen. Als Nederlandse overheid zouden we dit zelf kunnen, maar we stemmen massaal op een partij die streeft naar een "kleine overheid", waarbij zoveel mogelijk aan de markt wordt overgelaten.
De mensen die de boel draaiend houden zijn in dienst van Solvinity. Ze werken niet bij de overheid. Dat is nu net de kern van outsourcing en wat het wisselen van leveranciers zo moeilijk maakt. Je gaat met nieuwe mensen werken.
Kan de minister niet gewoon het bestuur over Solvinity overnemen? Net als Nexperia?
Ze hebben het hele bedrijf aangeboden. Nederland kon het als eerste kopen.
Kan iemand mij uitleggen wat 'wij' hier nu precies niet kunnen als het gaat om systeemonderhoud aan hard en software mbt DigiD?
We kunnen het op dit moment niet zelf omdat die kennis niet direct aanwezig is. Die zal moeten worden opgebouwd en dat neemt tijd in beslag. In een vorig topic is dit wat uitgebreider besproken Creesch in ''Logius heeft onvoldoende kennis en capaciteit om DigiD zelf te beheren''
[...]
We kunnen het op dit moment niet zelf omdat die kennis niet direct aanwezig is.
Maar wie zijn de mensen dan die nu de infrastructuur onderhouden?

Om in de analogie van bedrijfspanden te blijven, als het bouwbedrijf van jouw pand in Amerikaanse handen komt, zijn dan die Hollandse bouwvakkers ineens verdwenen?

Ik zou zeggen, zet een nieuwe Nederlandse entiteit op en breng de benodigde hard en software daar onder.
Die mensen werken nu voor solvinity en het is nog maar de vraag of ze allemaal over zouden willen stappen. Ik zeg niet dat onmogelijk is om die kennis bij de overheid intern op te bouwen. Want er lopen zeker genoeg mensen rond in Nederland met de kennis en kunde. Maar, deze mensen hebben allemaal al een werkgever dus zal de overheid eerst ze moeten aantrekken.

Dat process alleen al kost tijd. Om verder te gaan met de analogie, een nieuw pand huren zou al tijd kosten omdat je wel de juist locatie en faciliteiten wil. Een nieuw pand bouwen en zelf onderhouden, dat is een hoop extra tijd.

Ik schets simpelweg de situatie rondom deze rechtzaak en de uitspraken. Ik zeg niet dat de overheid hier niet in zou moeten investeren.
Volgens mij neem je gewoon het huurcontract van een bedrijfspand over inclusief wat inventaris. (de kundige medewerkers)

Ik ben ervan overtuigd dat je dit in een week rond kunt maken mits je mandaat en budget krijgt.
Maar eigenlijk had dit al eerder in gang gezet kunnen worden, nu krijg je ambtenaren die zich achter contracten gaan verschuilen en claimen dat het allemaal onmogelijk is vanwege risico's en weet ik wat.
Ah je pleit er feitelijk voor dat die overheid Solvinity overneemt. Ben benieuwd onder welke legale constructie je dit denkt te kunnen doen.

Tenzij je natuurlijk alleen maar heel hard aan het roepen bent. Waar het wel op lijkt, binnen een week iets van consequentie doen op de schaal van DigiD gaat geen enkele organisatie lukken. Niet zonder gedegen voorbereiding wat, say it with me, tijd kost.
Dezelfde constructie om Nexperia over te nemen?

Als dat legaal kon, dan kan je Solvinity ook overnemen.

[Reactie gewijzigd door Raphaelo op 23 mei 2026 05:38]

ik zou je willen adviseren om je hier eerst eens in te verdiepen, of als je het heel gemakkelijk wilt doen, stil je vraag even aan AI.

haal je dan je post daarna ook weg?
De Wet beschikbaarheid goederen (Wbg) is in theorie toepasbaar op het Amerikaanse Kyndryl, mits er sprake is van een nationale noodsituatie of een ernstig risico voor de levering van cruciale goederen en diensten.

De politieke en juridische context rondom Kyndryl ziet er als volgt uit:

De casus Solvinity: De discussie speelt voornamelijk rond de beoogde overname van de Nederlandse IT-dienstverlener Solvinity door Kyndryl. Solvinity is een leverancier van de infrastructuur waarop de DigiD-omgeving draait.

Juridische status: De wet geeft de overheid de bevoegdheid om in te grijpen in de bedrijfsvoering van ondernemingen die zich in Nederland bevinden om de continuïteit en beschikbaarheid te waarborgen. Dit maakt het mogelijk om Kyndryl Nederland B.V. – zodra zij eigenaar zouden worden van een vitale infrastructuur zoals Solvinity – te verplichten de dienstverlening aan de Nederlandse overheid ononderbroken in stand te houden.

Toepasbaarheid en precedent: Het inzetten van de Wbg is zeer zwaar en uitzonderlijk. De minister van Economische Zaken heeft de wet eind 2025 al eens ingezet bij chipfabrikant Nexperia om de continuïteit en het behoud van de cruciale waardeketen te garanderen.

Politieke en juridische druk: Vanwege de overnameplannen van Kyndryl zijn er vanuit de Tweede Kamer, de NCTV en techexperts grote zorgen geuit over de Amerikaanse zeggenschap en mogelijke toegang tot data van Nederlandse burgers.

De overheid voert gesprekken met de betrokken partijen over bindende maatregelen om de datasoevereiniteit te beschermen.De wetgeving biedt juridisch houvast om in te grijpen, al heeft het kabinet tot op heden de voorkeur gegeven aan het maken van harde contractuele afspraken in plaats van het direct inzetten van de Wbg tegen de beoogde overname.

Prompt was "Wet beschikbaarheid goederen toepasbaar op Kyndryl"

Haal je eigen post lekker weg :P

[Reactie gewijzigd door Raphaelo op 23 mei 2026 14:25]

Of je het daarmee red, heb ik mijn twijfels. het zal geen gemakkelijk rechtszaak worden, hoge boeteclaims en mogelijke chaos en andere nadelige effecten.

Het is gewoon zwakke zaak om dit zo juridisch uit te vechten.

Vraag ook eens of in je prompt of deze zaak ook haalbaar is? Hoe goed de onderbouwing is, de risico's en impact, eventuele internationale verdragen, diensten vs goederen. Het is een juridisch kaartenhuis om dat te gebruiken.

Dus nee, dat zie ik niet als een echt goede oplossing, tenzij je blufpoker wilt spelen?


Nexperia volg ik niet exact, maar wat ik lees, is dat dit ook niet zo uitpakt als men hoopt, en zit ook anders in elkaar en die was juridisch gemakkelijker te onderbouwen.
We hebben in de comments hier niet te maken met stuurlui aan wal. Maar stuurlui die nog nooit de zee of een schip van dichtbij gezien hebben.
Ik lees inderdaad veel emotie, maar juridische onderbouwingen zijn vaak maken of niet aanwezig.
Hoe moeilijk kan het zijn?

DigiD en mijnoverheid.nl draaien zoals het er nu naar uitziet gewoon op servers in Nederland.
Die servers kun je gewoon op papier bij Solvinity weghalen (fysiek dan wel administratief) en bij een andere Nederlandse partij of overheidsinstantie onderbrengen, SURF, iemand?

De mensen die bij Solvinity aan het onderhoud van deze software werken kun je gewoon overnemen van Solvinity of of andere mensen inhuren al heb je natuurlijk het liefste de mensen die de software het systeem kennen.

Een andere oplossing is dat je contractueel software en servers loskoppelt van Solvinity en dat je Solvinity nog steeds inhuurt voor werkzaamheden.
Op die manier heeft de Amerikaanse overheid bij een overname van Solvinity door een Amerikaans bedrijf nog steeds niks te zeggen.

Meer dan 10 jaar geleden heb ik met dit bijltje gehakt toen ik met een aantal ICT partijen software ontwikkelde voor een provinciale overheid. We hebben daar toen uitgebreid gesproken over de uitwisselbaarheid van de verschillende ICT partners en de invloed op het systeem.

Ik ken de architectuur niet van DigiD of mijnoverheid.nl maar in principe denk ik dat ons juridische model zo over dit vraagstuk heen gelegd kan worden.
Hoe moeilijk kan het zijn?
Moeilijk.
De mensen die bij Solvinity aan het onderhoud van deze software werken kun je gewoon overnemen van Solvinity of of andere mensen inhuren al heb je natuurlijk het liefste de mensen die de software het systeem kennen.
EXACT. Het gaat je simpelweg niet lukken om alle mensen van Solvinity over te nemen die nu het onderhoud doen. Plus dat het niet alleen de kennis in hoofdjes is maar ook interne documentatie. Het alternatief is het opbouwen van deze kennis en dat kost, nogmaals, tijd. Het is geen onmogelijke opgave, maar in de context van dit artikel en de rechtzaak op dit moment niet mogelijk.

Dit is wel gelijk mijn laatste reactie. Je blijft daadwerkelijke argumenten wegwuiven met "kan vast niet moeilijk zijn" terwijl je eigenlijk in je eigen argument al aangeeft waarom het moeilijker is. Dat geeft geen stuurlui aan wal vibes, dat geeft mij het gevoel van stuurlui die nog nooit de zee of een schip hebben gezien. Als je heel hard wil blijven roepen dat het vast niet moeilijk kan zijn, be my guest. Maar ik heb volgens mij al meer dan voldoende duidelijk gemaakt dat het toch echt wat complexer is.
Je kunt in een week die dingen regelen die het mogelijk maken om de dingen waar jij op doelt geregeld te krijgen in de tijd die daarvoor nodig is,
Volgens mij neem je gewoon het huurcontract van een bedrijfspand over inclusief wat inventaris. (de kundige medewerkers)

Ik ben ervan overtuigd dat je dit in een week rond kunt maken mits je mandaat en budget krijgt.
Je hebt juridische ervaring in dit vakgebied?
Maar eigenlijk had dit al eerder in gang gezet kunnen worden,
Klopt, dat punt wat 1,5 jaar geleden. Dan hadden ze daar een nieuwe aanbesteding moeten uitschrijven.
nu krijg je ambtenaren die zich achter contracten gaan verschuilen
Contracten zijn inderdaad wel een puntje inderdaad. Konden we die maar even opzij schuiven als het ons even niet uitkomt. Jij wilt dus eigenlijk dat we als het niet uitkomt, we gewoon alle juridische consequenties weg kunnen "denken"
en claimen dat het allemaal onmogelijk is vanwege risico's en weet ik wat.
En risico... Heb jij enig idee wat de impact voor Nederland is, als DigiD niet werkt voor langere periode?
[...]

Je hebt juridische ervaring in dit vakgebied?


[...]
Ja dat heb ik, zie ook mijn reactie op @Creesch
Ruim tien jaar geleden een samenwerking tussen een aantal ICT partijen en een provinciale overheid.
We hebben toen een juridisch raamwerk ontwikkeld dat het mogelijk heeft gemaakt om nieuwe partijen aan te laten haken en bestaande partijen uit te laten treden.
Daarbij opgemerkt dat het auteursrecht op de software bij de ontwikkelaar bleef en de provincie een gebruikerslicentie kreeg.
Dat zou hier net iets anders moeten zijn, hier zou de overheid het auteursrecht op de ontwikkelde software moeten hebben of verkrijgen.

Dus ja ik heb wat ervaring met software ontwikkeling en de juridische complexiteit.
Voor dit project geloof ik dat we indertijd Arnoud Engelfriet geconsulteerd hebben naast dat we een advocaat met veel kennis en ervaring op het gebied van recht en ICT de contracten hebben laten opstellen.

Het is heel kort dag maar met mandaat en een zak geld kan er heel veel, alleen krijg je daar te maken met risicomijdende ambtenarij, dat is misschien nog wel het grootste risico in deze situatie
Okoe, dus niet op aanbestedingen van ICT?
Juist wel. Mijn project was een aanbestedingstraject — alleen hebben we daar vooraf exit-clausules, kennisborging en flexibele in- en uittreding van partijen ingebouwd. Precies de dingen die nu ontbreken bij DigiD.

Aanbestedingen gaan niet over het afvinken van eisen, maar over risicobeheersing voor de opdrachtgever. En het grootste risico hier? Dat men denkt dat een contract een vervanging is voor daadwerkelijke regie.
Met andere woorden: als het contract niet wordt verlengd, kan DigiD mogelijk niet goed meer werken.
Ondertussen op andere overheids-site:
Ondernemers gebruiken steeds vaker clouddiensten omdat dit vele aantrekkelijke functionaliteiten biedt in vergelijking met 'on premise'-omgevingen. De afhankelijkheid van clouddiensten voor (primaire) processen vergroot hierdoor. Om grip te houden op deze afhankelijkheid, is het van groot belang om te voorzien dat je ooit weer afscheid wilt nemen van een clouddienst. Binnen leveranciersmanagement is de exit misschien wel het meest onderbelichte onderwerp.
Wat moet je doen als je een exitplan bent vergeten?

Het kan natuurlijk voorkomen dat je al een contract bent aangegaan met een leverancier en bent vergeten om afspraken te maken over een exit. Dat betekent dat een einde van het contract ook het einde van de verplichtingen betekent.

Het eigendomsrecht van de leverancier zorgt ervoor dat jij geen gebruik meer kunt maken van de geboden oplossing en dat de leverancier jou de toegang kan ontzeggen. Er is wetgeving rondom data en privacy, maar ook op deze thema’s is het van belang om afspraken met de leverancier te maken.

Geen afspraken zorgt voor onduidelijkheid tussen jouw organisatie en de leverancier. Heb je geen exitplan, ga dan in gesprek met de leverancier en ga er niet van uit dat het wel goed komt.
https://www.ncsc.nl/cloud/belang-van-een-cloud-exitplan

:P
Epic fail; dit had ik die drie burgers ook kunnen vertellen.

Als het Nederland en de EU lukt om Wero te maken, wat super veilig moet zijn natuurlijk. Dan moet een digitaal paspoort of digiD toch ook wel kunnen? Of gaat men nu vertellen dat Wero ook een Amerikaans bedrijf is?
DigiD is ook van de overheid. Solvinity, een privaat bedrijf, doet het beheer van het platform waar het op draait.
Wero draait ook gewoon bij private partijen. Banken en Payment Service Providers hosten het. En voor die hosting maken de banken en PSP's maken ook gewoon gebruik van de cloud providers zoals Microsoft Azure, AWS en Google Cloud.
Als het Nederland en de EU lukt om Wero te maken, wat super veilig moet zijn natuurlijk.
Wero is een slecht voorbeeld voor een 'soeverein' dienst

Wero gebruikt Amazon AWS
Wero is van een bedrijf, en het zal me niets verbazen als het op termijn weer in Amerikaanse handen zal vallen. Daarnaast is het ook geen opvolger van IDEAL, het is een ander product. IDEAL is een betaalmethode, Wero is een betaalmethode met kopersbescherming. Dit maakt Wero duurder, en dat zal ook te merken zijn.
Maestro en V Pay waren ook van Amerikaanse partijen. En met de vervangers Mastercard Debitcard en de Visa Debit veranderd daar niets aan.

Je draait decennia outsourcing niet zo eventjes terug. Dat is waar de pijn zit.
Zeker wel, de prijs van een. Maestro/Vpay transactie is lager dan die van Mastercard en Visa. Maar dit wordt zo erg off-topic. Er is op het forum hier een draadje over.
Wat maakt de infrastructuur van DigiD zo complex dat het niet lukt om dit binnen een paar maanden elders te hosten? En er is dan ook eigenlijk nooit een contigency plan geweest, bijv. hoster gaat failliet of het bekende vliegtuig op het datacenter?
De hosting is niet complex, maar het opzetten en testen wel. Met name de veiligheidseisen zijn hoog, dat betekend dat alles standaard dichtgezet wordt en je elke interface moet white-listen. Je zal alle procedures moeten checken zoals het patch beleid et cetera.

Als ik een nieuwe server live moet zetten, dan ben ik weken bezig om aan alle verplichtingen te voldoen. Inclusief een DR test om de redundantie aan te tonen. Internet facing op nieuwe servers betekend ook een verplichte nieuwe PEN test. Als die findings heeft, dan zal je die op moeten lossen en moeten laten hertesten.

En dat is de doorlooptijd bij een reeds bekend, eigen data center. Een nieuw data center zal eerst volledig ge-audit moeten worden. Daarna moeten alle audit findings opgelost worden, voordat je het nieuwe data center überhaupt kan gebruiken.

Voor het bekende vliegtuig op het data center werkt men met een DR data center. Geografisch gescheiden en volledig redundant met het primaire data center. Soms wordt het zelfs drievoudig uitgevoerd bij echt kritische applicaties.
Hoezo niet? Je kan prima op verschillende locaties draaien van een hostingpartij met 2+ locaties ter redundantie. Een vliegtuigcrash overleven is wat anders dan vendoronafhankelijk zijn. Ten minste zijn ze altijd afhankelijk van het SIDN voor de domeinnaam, daar kun je niet omheen

[Reactie gewijzigd door baseoa op 22 mei 2026 18:33]

Wat maakt de infrastructuur van DigiD zo complex dat het niet lukt om dit binnen een paar maanden elders te hosten?
Iets met aanbestedings regels bijvoorbeeld? Hoe selecteer jij deze paar maanden hoster? Waarom A en niet B, en waarom zou C dan niet een rechtzaak beginnen omdat hij het niet geworden is.

En paar maanden, je moet een hoop afspraken met over governance, bouwen en testen.
En er is dan ook eigenlijk nooit een contigency plan geweest, bijv. hoster gaat failliet of het bekende vliegtuig op het datacenter?
Dual datacenter principe bedoel je? Perfect bestand tegen 1 vliegtuis en heel normaal. failliet is heel wat anders, ook juridisch gezien voor noodplannen.

[Reactie gewijzigd door Rolfie op 22 mei 2026 19:03]


Op dit item kan niet meer gereageerd worden.