NLdigital: "Focus op risicoanalyse, niet op herkomst leverancier"
Tijdens een rondetafelgesprek in de Tweede Kamer over digitale autonomie heeft NLdigital gewaarschuwd voor een te eenzijdige focus op de herkomst van cloudaanbieders. Volgens de belangenorganisatie moeten concrete risicoanalyses leidend zijn bij het bepalen of de overheid veilig gebruik kan maken van IT-dienstverleners, in plaats van het bij voorbaat uitsluiten van partijen met Amerikaanse banden.
Het gesprek in de Kamer op 27 januari 2026 volgde op politieke onrust over de voorgenomen overname van de Nederlandse clouddienstverlener Solvinity door het Amerikaanse bedrijf Kyndryl (een afsplitsing van IBM). Centraal stond de vraag of de veiligheid van Nederlandse overheidsdata, waaronder die van DigiD, nog gegarandeerd kan worden wanneer er een Amerikaanse partij in de keten zit.
Juridisch versus praktisch risico
Namens NLdigital betoogde Jelmer Schreuder dat er een essentieel onderscheid moet worden gemaakt tussen theoretisch juridische risico's en de praktijk. Hoewel wetgeving zoals de Amerikaanse CLOUD Act het juridisch mogelijk maakt voor de VS om data op te vragen bij bedrijven onder hun jurisdictie, nuanceert NLdigital dit beeld. De organisatie wijst erop dat ook Europese bedrijven die actief zijn op de Amerikaanse markt onder deze jurisdictie kunnen vallen.
Bovendien bleek uit een technische briefing over DigiD dat de praktische risico's beperkt zijn door de inrichting van het systeem, aldus NLdigital:
Het systeem draait in een Nederlands overheidsdatacentrum.
De overheid is eigenaar van zowel het platform als de applicatie.
Alle beheeractiviteiten worden gemonitord door de overheid zelf.
"De praktische mogelijkheden om onder die omstandigheden heimelijk data te onttrekken, zijn van een fundamenteel andere orde dan het theoretische juridische risico," aldus de verklaring van NLdigital.
Waarschuwing voor investeringsklimaat
Naast de veiligheidsdiscussie waarschuwde NLdigital voor de economische gevolgen van politiek ingrijpen. De sectororganisatie benadrukt dat Nederlandse tech-bedrijven voor hun groei vaak afhankelijk zijn van buitenlands kapitaal.
Wanneer de politiek investeringen uit het buitenland bemoeilijkt of koppelt aan uitsluiting van overheidsopdrachten, kan dit de toegang tot groeikapitaal voor Nederlandse ondernemers bemoeilijken. NLdigital pleit daarom voor het behoud van rechtszekerheid en het vertrouwen op bestaande toetsingskaders, zoals de Wet veiligheidstoets investeringen, fusies en overnames (Vifo).
Pleidooi voor maatwerk
NLdigital, dat ruim 600 uiteenlopende bedrijven vertegenwoordigt, stelt dat "geen enkele leverancier kan bouwen zonder internationale componenten." De organisatie roept de Tweede Kamer op om niet te vervallen in zwart-witdenken.
In plaats van een algemene herkomsttoets pleit de organisatie voor een methodische benadering. Hierbij zou per specifieke situatie beoordeeld moeten worden welke risico’s reëel zijn en welke technische of organisatorische maatregelen er zijn genomen om die risico's te mitigeren, aldus NLdigital.
