Het Solvinity-verbod en de grenzen van het publiek belang

    - - / 29 mei 2026

    Het kabinet heeft de overname van Solvinity door het Amerikaanse Kyndryl verboden. De motivering is geheim. De juridische grondslag is onduidelijk. En de drie gronden die het meest voor de hand liggen, houden bij nadere analyse geen van drieën vanzelfsprekend stand. De vraag is dan: is dit een overwinning voor de digitale soevereiniteit, of een ad hoc-besluit dat de illusie van controle biedt terwijl het onderliggende probleem ongeadresseerd blijft?

    Solvinity, Kyndryl en DigiD

    Eerst de feiten. Solvinity is geen telecomoperator. Het is een cloudinfrastructuurprovider, plat gezegd een hoster, die onder meer het infrastructuurplatform levert waarop DigiD draait, gehost in een overheidsdatacenter. DigiD zelf wordt beheerd door Logius, onderdeel van het ministerie van BZK. Solvinity levert dus de onderliggende infrastructuur, maar beheert niet de applicatie. Daarnaast host Solvinity de Berichtenbox van MijnOverheid en levert het diensten aan het ministerie van Justitie en Veiligheid.

    Kyndryl, in 2021 afgesplitst van IBM als zelfstandige beursgenoteerde onderneming, is naar eigen zeggen 's werelds grootste IT-infrastructuurdienstenverlener met 73.000 medewerkers, vijftien miljard dollar omzet, klanten in meer dan zestig landen, waaronder driekwart van de Fortune 100. Qua omzet is dat ruwweg drie keer KPN. Het bedrijf wilde het eigendom verwerven van Solvinity, dus de aandelen kopen en Solvinity als werkmaatschappij laten doordraaien.

    De voorgenomen overname leidde tot maatschappelijke ophef: burgers en prominenten spanden kort gedingen aan om het DigiD-contract met Solvinity te blokkeren, en de Tweede Kamer nam met 141 stemmen een motie aan tegen verlenging als de overname zou doorgaan. Ook werd opgeroepen om DigiD bij Logius onder te brengen. De rechter wees de vorderingen af — opzegging zou het functioneren van DigiD in gevaar brengen.

    Nu ligt er dan toch een verbod op de overname, en wel via de vrij onbekende route van een negatief advies van het Bureau Toetsingen Investeringen (BTI). Wie overwegende zeggenschap wil verwerven in een partij die een belangrijke rol speelt in de Nederlandse telecommunicatie-infrastructuur, moet dat vooraf melden bij deze organisatie. Het BTI onderzoekt vervolgens of de overname een risico vormt voor het publiek belang. De wettelijke basis is hoofdstuk 14a van de Telecommunicatiewet, beter bekend als de Wet ongewenste zeggenschap telecommunicatie (WOZT). De naam is misleidend: de wet reikt verder dan klassieke telecom. De WOZT introduceert het begrip “telecommunicatiepartij,” dat volgens de Memorie van Toelichting een brede kring van partijen omvat die een belangrijke rol spelen in het functioneren van telefonie en internet in Nederland, waaronder ook hostingdiensten, internetknooppunten, vertrouwensdiensten en datacenters. Solvinity valt als hoster onder die definitie.

    De Europese corridor

    De WOZT staat de minister toe een overnameverbod op te leggen als de verkrijging van zeggenschap “kan leiden tot een bedreiging van het publiek belang.” De Kamerbrief van staatssecretaris Aerdts doet niet meer dan daarnaar verwijzen. Verder geen toelichting, geen specificatie welk publiek belang precies bedreigd wordt, geen onderbouwing waarom. Wettelijk niet verplicht, maar wel frustrerend.

    “Publiek belang” klinkt als een breed begrip dat de minister naar eigen inzicht kan invullen. Dat is het niet.

    De Europese Unie kent vier fundamentele vrijheden: vrij verkeer van kapitaal, diensten, goederen en personen. Een overnameverbod beperkt ten minste de eerste twee. Dat mag, maar alleen als de beperking gerechtvaardigd wordt door openbare orde, openbare veiligheid, of wezenlijke staatsveiligheidsbelangen. Dat zijn de enige toegestane redenen. Economische belangen (“we willen dit bedrijf in Nederlandse handen houden”) vallen er niet onder. Industriepolitiek evenmin.

    De wetgever wist dit. Artikel 14a.1 Telecommunicatiewet koppelt "publiek belang" aan die Europese begrippen: openbare orde en veiligheid in de zin van de artikelen 45, 52 en 65 VWEU, wezenlijke staatsveiligheid in de zin van artikel 346 VWEU. De Memorie van Toelichting erkent met zoveel woorden dat het verbod een belemmering van het vrij verkeer is en de Europese toets moet doorstaan.

    Maar wat ís dan een geldige reden van openbare veiligheid? Het Hof van Justitie heeft daar veertig jaar jurisprudentie over geproduceerd. De lat ligt aanzienlijk hoger dan het politieke debat rond Solvinity doet vermoeden.

    De lat van Luxemburg

    In 1984 accepteerde het Hof dat aardolieproducten vitaal genoeg zijn om beperkingen te rechtvaardigen — niet alleen de economie maar “the institutions, essential public services and even the survival of its inhabitants” hangen ervan af (Campus Oil, C-72/83). In 2002 vernietigde het brede staatsvetomachten bij privatiseringen in Frankrijk en Portugal, maar liet beperkte Belgische golden shares in twee energiebedrijven in stand — juist omdat die objectief genormeerd en proportioneel waren.

    De synthese kwam in 2023 met Xella Magyarország (C-106/22), over moderne FDI-screening. Het Hof formuleerde vier eisen. De beperking moet berusten op een genuine and sufficiently serious threat to a fundamental interest of society — werkelijk, voldoende ernstig, gericht op een fundamenteel belang. Zij moet berusten op precieze, vooraf kenbare criteria. Zij moet openstaan voor rechterlijke toetsing. En het nagestreefde doel mag niet bereikbaar zijn met minder ingrijpende maatregelen.

    Het Hof paste die toets toe op de Hongaarse blokkade van een overname van een zandwinbedrijf en haalde er een streep door: regionale leveringszekerheid van bouwgrondstoffen is geen fundamenteel belang van de samenleving. DigiD is uiteraard een ander verhaal. Maar het criterium stelt eisen aan élk verbod — ook aan dit.

    Drie plausibele gronden, en waarom geen ervan eenvoudig is

    De motivering is niet openbaar. De Kamerbrief zegt alleen dat het BTI 
     een risico voor het publieke belang” heeft vastgesteld. De Kamer krijgt een vertrouwelijke briefing. Er zijn Kamervragen gesteld, maar de kans dat de motivering publiek wordt is klein — de WOZT schrijft alleen publicatie voor van het feit dat er een verbod is, niet van de onderbouwing, en het BTI werkt in vertrouwelijkheid.

    De WOZT kent in artikel 14a.4 lid 2 een limitatieve opsomming van gronden. Er zijn er drie plausibel. Vooraf nog wel een juridisch-technisch argument: de WOZT is nader uitgewerkt in het Besluit ongewenste zeggenschap telecommunicatie, dat objectief meetbare drempelwaarden vaststelt: internettoegang of telefonie aan meer dan 100.000 eindgebruikers, datacenterdiensten met meer dan 50 MW stroomcapaciteit, hosting van meer dan 400.000 .nl-domeinnamen, of dienstverlening aan de inlichtingendiensten, Defensie, NCTV of Nationale Politie. Solvinity noch DigiD voldoen evident aan een van die criteria. Ik neem maar even aan dat het BTI hier scherp naar gekeken heeft.

    Amerikaanse jurisdictie als dreigingsgrond

    Het meest gehoorde argument is structureel en kent twee varianten. De Amerikanen krijgen zo de macht over DigiD, met hun strenge eenzijdige wetgeving. Amerikaans ambassadeur Popolo erkent in een reactie dat er “legitieme veiligheidszorgen” zijn bij de overname, wat suggereert dat ook hij deze kant op denkt. De WOZT noemt dit “ongewenst persoon of staat” (art. 14a.4 lid 2 punt a) “waarvoor gronden zijn te vermoeden dat deze de intentie heeft een telecommunicatiepartij te beïnvloeden om misbruik of opzettelijke uitval mogelijk te maken.”

    De eerste dergelijke beïnvloedingsgrond is de CLOUD Act: Amerikaanse wetgeving verplicht Amerikaanse bedrijven mee te werken aan datavorderingen, ook voor data buiten de VS. Kyndryl als Amerikaans moederbedrijf zou Solvinity onder die jurisdictie brengen. Het risico: heimelijke toegang tot DigiD-data. Dat raakt aan lid 3 punt a: misbruik in de vorm van onrechtmatige inbreuk op de vertrouwelijkheid van communicatie.

    De tweede variant raakt aan sanctiebevelen. Een sanctiebevel van de Amerikaanse president kan een Amerikaans bedrijf dwingen alle dienstverlening aan een gesanctioneerde partij te staken. Dat is geen hypothetisch scenario. De Trump-administratie heeft economische sancties opgelegd aan de aanklager van het Internationaal Strafhof in Den Haag — later uitgebreid naar rechters en aanklagers — en visumrestricties opgelegd aan voormalig Eurocommissaris Thierry Breton en vier anderen wegens hun rol bij de Digital Services Act.

    In datzelfde kader heeft Microsoft namen van Nederlandse ambtenaren die werken aan de uitvoering van de DSA verstrekt aan het Amerikaans Congres. Vooralsnog zonder zichtbare gevolgen voor deze personen, maar het signaal is duidelijk. Als Trump de Nederlandse overheid, een ministerie of een dienst op een sanctielijst zet, is Kyndryl wettelijk verplicht de dienstverlening te staken. Het resultaat is opzettelijke uitval van DigiD — niet door Kyndryl gewild, maar door de eigendomsrelatie juridisch onvermijdelijk.

    Het sanctie-argument heeft twee voordelen boven het CLOUD Act-argument. Het is concreter: er is een gedocumenteerd patroon van inzet tegen Europese instituties en personen, waar de CLOUD Act een abstracte bevoegdheid is. En het gag-order-probleem valt weg: sancties zijn publiek, dus de dreiging is falsifieerbaar — precies wat het CLOUD Act-argument miste.

    Maar beide varianten delen hetzelfde fundamentele probleem: ze zijn generiek. De CLOUD Act geldt voor elk Amerikaans bedrijf. Sanctieverplichtingen evenzo. Niet alleen voor Kyndryl, maar evenzeer voor Microsoft, Amazon, Google, IBM en Accenture. Bedrijven die op dit moment overheidsdiensten in heel Europa leveren. Kyndryl zelf bouwt op dit moment de complete IT-infrastructuur van het ministerie van Defensie om. Je kunt niet volhouden dat een bedrijf betrouwbaar genoeg is voor Defensie maar te gevaarlijk voor DigiD.

    En de inconsistentie is breder dan Defensie. De Rijksoverheid draait op Microsoft 365, Azure en Teams voor tienduizenden ambtenaren. Ook gemeentes gebruiken massaal de Microsoft-omgeving, net als vele andere overheids- en semi-overheidsorganisaties. Het Hof eist een genuine and sufficiently serious threat. Een wettelijk regime dat aan een hele categorie bedrijven kleeft, kan niet bij de één een onaanvaardbaar risico zijn en bij de andere een te overzien aandachtspunt.

    Daarbij komt het juridisch-technische argument dat de criteria uit artikel 14a.4 lid 3, zoals uitgewerkt in het Besluit ongewenste zeggenschap telecommunicatie, allemaal gaan over internettoegang, telefonie en zeer grote datacentra. Ik heb grote moeite Solvinity of de dienst DigiD onder die criteria te praten.

    De Kamerbrief doet de opvallende uitspraak dat Nederland “grote waarde hecht aan de aanwezigheid van buitenlandse, waaronder nadrukkelijk ook Amerikaanse technologiebedrijven.” Radboud-jurist Evert-Jan Breukink, medeauteur van een handboek over de Wozt, leidt daaruit af dat “de reden tot zorg waarschijnlijk op het niveau van Kyndryl zelf zit.”

    De financiële situatie van Kyndryl

    Op 9 februari 2026 — midden in het BTI-onderzoek — onthulde Kynddryl dat het zijn kwartaalrapport niet kon indienen. De auditcommissie onderzocht kasbeheerpraktijken en interne controles. De SEC startte een handhavingsonderzoek. Diezelfde dag vertrokken de CFO, de General Counsel en de Controller. Het aandeel verloor 55%. De audit-opinie van PricewaterhouseCoopers werd ingetrokken. Onder de geconstateerde zwakheden: “tone at the top.

    Dat biedt een aanknopingspunt in artikel 14a.4 lid 2 sub c: een verbod is gerechtvaardigd als de verkrijger “een zodanige staat van dienst heeft dat hierdoor het risico aanzienlijk wordt vergroot” dat de in lid 3 genoemde gevolgen zich voordoen. Het argument is specifiek (het geldt alleen voor Kyndryl), concreet (verifieerbaar via SEC-filings) en actueel. Precies het type individuele omstandigheid dat de Xella-toets eist.

    Strategisch is het plausibel dat het BTI deze grond heeft gekozen. Een verbod op governance-gronden vermijdt de principiële soevereiniteitsdiscussie die een CLOUD Act-verbod zou uitlokken. Het schept geen precedent dat elke toekomstige Amerikaanse overname blokkeert. En het brengt Nederland niet op ramkoers met Washington of Brussel.

    Maar de grond heeft een logisch gat. De gevolgen van lid 3 worden getriggerd door "misbruik of opzettelijke uitval." Financieel wanbeheer vergroot het risico op onbedoelde uitval — insolvabiliteit, onderinvestering, organisatorisch falen — maar niet op opzettelijk misbruik. Een bedrijf dat zijn boekhouding niet op orde heeft, is niet daardoor geneigd om bewust DigiD te saboteren.

    Maakt wanbeleid ze meer kwetsbaar voor de CLOUD Act of sanctiebevelen? Nee. De CLOUD Act is een wettelijke verplichting, geen verzoek waaraan je weerstand biedt door financieel gezond te zijn. Microsoft is juridisch even verplicht om te voldoen aan een CLOUD Act-warrant als Kyndryl in zwaar weer. Hooguit is er bij Microsoft meer bereidheid en capaciteit om zo’n bevel aan te vechten dan bij een kwakkelend bedrijf zonder leiding. Maar dat is echt te mager.

    Wanbeleid als spionagerisico

    Een risico waar ik nog wel wat in zie én dat Kyndryl-specifiek is: wanbeleid maakt je vatbaarder voor spionage.

    Een bedrijf met materiële zwakheden in interne controles, een "tone at the top"-probleem en een vertrokken CFO, General Counsel en Controller is een bedrijf waar medewerkers makkelijker om te kopen zijn, waar firewalls minder consequent worden onderhouden, waar toegangsrechten minder strikt worden beheerd, waar anomalieën in dataverkeer minder snel worden opgemerkt. Niet door de Amerikaanse overheid via de CLOUD Act, maar door élke inlichtingendienst die belangstelling heeft voor de gegevens van miljoenen Nederlandse burgers. China, Rusland, of wie dan ook. Of voor mijn part óók de NSA of FBI: een slecht beveiligde router is minder gedoe dan een CLOUD Act-warrant met bijbehorende gag order.

    De rechtbank Rotterdam heeft deze redenering in wezen al gevalideerd. In 2023 toetste zij het verbod op Huawei- en ZTE-apparatuur in kritieke netwerkonderdelen van T-Mobile (thans Odido), opgelegd via het Besluit veiligheid en integriteit telecommunicatie. De taal van artikel 2(2) Bvit is bijna identiek aan die van artikel 14a.4 lid 2 sub a WOZT — allebei spreken over een staat, entiteit of persoon waarvan bekend is of waarvoor gronden zijn te vermoeden dat deze de intentie heeft [een netwerk/dienst] te misbruiken of uit te laten vallen. De rechtbank accepteerde dat Chinese inlichtingenwetgeving die Huawei verplicht tot medewerking aan spionage (art. 7 Nationale Inlichtingenwet 2017), in combinatie met het “offensief cyberprogramma gericht tegen Nederland” van het land een concreet en niet-mitigeerbaar veiligheidsrisico oplevert.

    De parallel is niet exact — het Huawei-verbod richtte zich op producten in het netwerk, niet op eigendom, en liep via een andere wet. Maar het principe staat: derdelandswetgeving die medewerking aan inlichtingendiensten afdwingt, is een erkend veiligheidsrisico in het Nederlandse telecommunicatierecht.

    Voor Kyndryl gaat het argument dan als volgt. De governance-problemen vergroten het bredere risico dat de infrastructuur kwetsbaar is voor misbruik door derden, doordat interne controles falen. Onder lid 2 sub c hoeft het BTI dan niet te betogen dat Kyndryl zélf DigiD zal misbruiken, maar dat Kyndryls staat van dienst het risico vergroot dat de door haar beheerde infrastructuur wordt misbruikt — door wie dan ook.

    Het is het sterkste argument van de drie. Maar het rekt de wettekst. Artikel 14a.4 lid 3 spreekt van "misbruik of opzettelijke uitval van de telecommunicatiepartij." Grammaticaal is de telecommunicatiepartij het object — het gaat om misbruik van Solvinity, niet door Solvinity. Dat biedt ruimte: de gevolgen in lid 3 sub a ("onrechtmatige inbreuk op de vertrouwelijkheid van de communicatie") veronderstellen niet dat de eigenaar zelf de inbreuk pleegt. Zij beschrijven het resultaat. Als wanbeleid van de eigenaar (dus door China, de VS zelf, of wie dan ook) de kans vergroot dat derden dat resultaat bewerkstelligen door spionage of sabotage, is sub c in beginsel van toepassing.

    En nu

    Kyndryl kan bezwaar maken en vervolgens in beroep bij de rechtbank Rotterdam, met hoger beroep bij het College van Beroep voor het bedrijfsleven. De vraag is of ze dat zullen doen. Als het besluit steunt op de governance-problemen, zit Kyndryl klem: aanvechten vereist het publiekelijk betwisten van de ernst van precies die problemen die in de VS de inzet zijn van een securities class action en een SEC-onderzoek. Dat eerder een verbod onder de Wet Vifo werd omgezet in een voorwaardelijke goedkeuring na bezwaar, laat zien dat het instrument niet onaantastbaar is, maar die zaak betrof vermoedelijk geen bedrijf met vergelijkbare interne puinhopen.

    Als er wél wordt doorgeprocedeerd, is de zaak potentieel richtinggevend. Het CBb is als laatste instantie in beginsel verplicht prejudiciële vragen te stellen aan het Hof van Justitie. Solvinity/Kyndryl zou dan de eerste zaak worden waarin het Hof zich uitspreekt over nationale investeringsblokkades in de digitale infrastructuur.

    Het eigenlijke probleem

    Het Solvinity-verbod is begrijpelijk. Het is ook juridisch kwetsbaar — ongeacht welke grond het BTI heeft gekozen.

    De WOZT is geschreven voor scenario's waarin een gesanctioneerde entiteit of een identificeerbaar staatsinstrument zeggenschap verwerft over telecommunicatie-infrastructuur. Niet voor een jurisdictieconflict dat inherent is aan het Amerikaanse rechtsstelsel en dat geldt voor elke Amerikaanse onderneming. Niet voor een governance-crisis bij een specifieke overnemende partij. En al helemaal niet voor de bredere vraag die eigenlijk voorligt: hoe organiseer je de digitale soevereiniteit van een continent dat zijn overheidsinfrastructuur heeft uitbesteed aan bedrijven die onderworpen zijn aan wetgeving van derde landen?

    Die vraag beantwoord je niet met een ad hoc overnameverbod. Die beantwoord je met een kader dat eisen stelt aan elk bedrijf dat Europese overheidsinfrastructuur beheert, ongeacht nationaliteit. De herziene EU FDI-screeningsverordening is daarin een stap, maar die is nog niet in werking.

    Tot die tijd staat Nederland met een besluit waarvan de juridische houdbaarheid afhangt van een motivering die niemand (nog) kan inzien. De reflex om dat besluit toe te juichen als soevereiniteitswinst is begrijpelijk. Maar een overnameverbod dat bij de rechter sneuvelt, levert het tegenovergestelde op van soevereiniteit: het bewijst dat we het juridisch niet rond krijgen. De hoogste tijd voor een wet die dat wél doet.
    Terug naar overzicht

    Arnoud Engelfriet

    Chief Knowledge Officer (CKO)
    Lees meer
    Blog CTA - algemeen

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram