Zoeken
Sluit dit zoekvak.
  • Home
  • Nieuws
  • De Solvinity-case: een wake-up call voor digitale soevereiniteit

De Solvinity-case: een wake-up call voor digitale soevereiniteit

De overname van de Nederlandse cloudprovider Solvinity door het Amerikaanse Kyndryl heeft de afgelopen tijd veel stof doen opwaaien. Zelfs in de Tweede Kamer zijn vragen gesteld en dat is niet vreemd want op de servers van Solvinity draaien kritieke overheidsdiensten zoals DigiD, MijnOverheid en Digipoort. Ook het CJIB en de politie maken gebruik van hun diensten. De vrees bestaat nu dat de Amerikaanse overheid op basis van wetten als de CLOUD Act of FISA toegang kan eisen tot gevoelige persoonsgegevens, of bij een geopolitiek conflict zelfs de toegang tot deze vitale diensten zou kunnen blokkeren.

Dit zijn legitieme zorgen die om duidelijke antwoorden en structurele oplossingen vragen.

Geen schuldige…maar wel lessen

Het is belangrijk om te benadrukken dat er geen sprake is van verwijtbaar handelen. Solvinity of Kyndryl hebben geen regels overtreden. De betrokkenheid van een buitenlandse private-equitypartij was al jarenlang bekend, net als het gegeven dat dergelijke investeerders op termijn willen verkopen.

De overname is dus geen verrassing maar de vraag blijft echter:

  • Hoe zijn deze diensten aanbesteed?
  • Welke eisen zijn vooraf gesteld
  • Welke risicoanalyse is gemaakt?

Denk vooruit bij aan- of uitbesteding

Een goed doordachte aanbesteding begint met het stellen van de juiste vragen:

  • Wat gebeurt er als een leverancier wordt overgenomen?
  • Wat als een dienst op een platform als Microsoft Azure draait en er ontstaat een conflict met de VS?
  • Blijft de continuïteit dan gewaarborgd?
  • Hoe borgen we dat data-integriteit en dienstverlening onder alle omstandigheden behouden blijven?

Er zijn verschillende manieren om dit soort risico’s te mitigeren:

  • Een “gouden aandeel” kan voorkomen dat er ooit een meerderheidsaandeelhouder komt die de strategie eenzijdig kan wijzigen.
  • Een overnameclausule kan in het contract opgenomen worden, inclusief een gereed exit-pad naar een alternatieve leverancier.
  • Strategische spreiding van diensten over meerdere aanbieders en escrowconstructies kunnen extra zekerheid bieden.

Maak risico’s bespreekbaar en bepaal ook de exit-strategie

Voor zowel overheden als bedrijven is het verstandig deze aspecten standaard mee te nemen bij aan- en uitbesteding. In het geval van overheden zou het zelfs verplicht moeten zijn: het opstellen van een heldere exit-strategie moet voorafgaan aan het sluiten van contracten met leveranciers, zeker wanneer het gaat om vitale infrastructuur of gevoelige persoonsgegevens.

Het is en blijft namelijk simpel:

Amerikaanse bedrijven vallen onder Amerikaanse wetgeving en Nederlandse bedrijven kunnen altijd worden overgenomen.

Dat zijn feiten waar je in je contractbeheer en risicomanagement beleid actief op moet anticiperen.

Over Solvinity & Zivver

Solvinity bestaat, oorspronkelijk als ASP4ALL, al sinds 1999. Na de fusie met BitBrains in 2014 kreeg het de huidige naam en kwam het Britse private-equitybedrijf Vitruvian als investeerder aan boord.

Solvinity had geen verplichting om een constructie op te zetten om te borgen dat het nooit in niet-Europese handen zou vallen.

Eerder dit jaar werd Zivver, het Nederlandse bedrijf dat het beveiligde mailsysteem levert voor justitie, gemeenten en veel Nederlandse zorginstellingen, overgenomen door een Amerikaans bedrijf.

ISPConnect en DHPA zijn nu Dutch Cloud Community

We zijn sinds januari 2021 gefuseerd tot de Dutch Cloud Community.

De fusie van ISPConnect en DHPA heeft plaatsgevonden om als nieuwe branchevereniging de belangen te behartigen voor de Nederlandse cloud-, hosting- en internetsector.

Al onze informatie vind je vanaf nu op dutchcloudcommunity.nl