Inleiding: de ongemakkelijke realiteit van digitale afhankelijkheid

De digitale infrastructuur van de Nederlandse overheid vormt de kern van onze democratische dienstverlening. DigiD is daarin het centrale toegangspunt voor burgers: het authenticatiemechanisme waarmee 17 miljoen Nederlanders dagelijks hun overheid benaderen.
Dat maakt DigiD niet zomaar “IT” — het is een kritiek staatsinstrument onder de NIS2-richtlijn, essentieel voor sociale zekerheid, rechtspraak, gezondheidszorg, belastingen, veiligheid en bestuurlijke processen.
Wanneer zulke systemen afhankelijk zijn van buitenlandse jurisdictie, ontstaat er een structureel risico voor digitale soevereiniteit.
Toch draait een belangrijk deel van de DigiD-infrastructuur op systemen van Kyndryl — een Amerikaans bedrijf dat volledig onder de CLOUD Act en FISA 702 valt.
Dit blog laat zien waarom die afhankelijkheid juridisch, technisch en geopolitiek problematisch is, en waarom de Nederlandse overheid structureel moet ingrijpen.

1. Amerikaanse wetgeving maakt digitale soevereiniteit juridisch onmogelijk 1.1 De CLOUD Act (18 U.S.C. §2713)

Deze wet verplicht Amerikaanse bedrijven wereldwijd mee te werken aan:

• het verstrekken van gegevens,
• metadata,
• back-ups,
• en logs

ongeacht waar die data fysiek staat opgeslagen. Een server in Nederland biedt dus géén bescherming.

1.2 FISA 702 (50 U.S.C. §1881a)

Deze wet verplicht Amerikaanse inlichtingendiensten toegang tot gegevens van niet-Amerikanen buiten de VS — ook als die gegevens zich nooit op Amerikaans grondgebied bevinden.

1.3 Gag orders: verboden om te melden dat er toegang is verleend

Beiden wetten bevatten geheimhoudingsplichten die providers verbieden om:

• te melden dat er een bevel is geweest;
• te melden welke data is verstrekt;
• te melden wanneer dat is gebeurd;
• audits hierover toe te laten.

Dit betekent dat een Nederlandse overheidsdienst juridisch en technisch niet kan controleren of er toegang tot gegevens of metadata is geweest.

2. Wat betekent dit voor DigiD?

De DigiD-architectuur bestaat uit drie lagen:

1. Applicatie & beheer (Logius/NL)
2. Data & encryptie (Solvinity/NL)
3. Infrastructuur (Kyndryl/VS)

Kyndryl beheert:

• fysieke servers
• hypervisors
• netwerken
• back-ups
• systeem- en toeganglogs
• disaster recovery
• infrastructuur-monitoring

Ook als de data-inhoud versleuteld is, blijft infrastructuurcontrole voldoende om metadata, procesinformatie en netwerkstromen inzichtelijk te maken.

Deze metadata levert voor inlichtingendiensten vaak evenveel informatie op als inhoudelijke data:

• wie wanneer inlogt
• vanaf welk IP-adres
• welke overheidsdienst wordt benaderd
• gebruikspatronen
• geolocatie-informatie
• authenticatiepogingen

Dit is waardevolle informatie voor profiling en correlatie — zelfs zonder dat BSN’s of persoonsgegevens in plaintext beschikbaar zijn.

3. Europese rechtspraak bevestigt het probleem ondubbelzinnig

Het arrest Schrems II (C-311/18) van het Europees Hof van Justitie is glashelder:

• de VS biedt géén bescherming die “essentieel gelijkwaardig” is aan de EU;
• FISA 702 en CLOUD Act bevatten geen noodzakelijke beperkingen;
• EU-burgers hebben geen rechtsmiddelen;
• contracten of encryptie lossen het probleem niet op.

Daarmee stelt het Hof feitelijk dat Amerikaanse wetgeving en Europese grondrechten fundamenteel botsen.
En deze uitspraak is juridisch bindend.

4. Historische praktijk: weigeren is geen optie voor Amerikaanse bedrijven

Er is geen enkel voorbeeld van een Amerikaans technologiebedrijf dat duurzaam een FISA- of CLOUD Act-bevel heeft geweigerd:

• Microsoft verloor zijn rechtszaak in 2016 over data in Ierland.
• Big Tech-bedrijven in PRISM (Google, Microsoft, Facebook, Apple, Yahoo) hebben allemaal meegewerkt.
• Cloudflare bevestigde publiekelijk dat zij FISA-verzoeken ontvangen en uitvoeren.

Bedrijven kunnen simpelweg niet weigeren vanwege:

• strafdreiging voor bestuurders,
• economische sancties,
• juridische dwangmiddelen.

Dat betekent dat Kyndryl, als Amerikaanse “United States person”, altijd de instructies van de Amerikaanse overheid moet volgen — ongeacht de contractuele afspraken met Logius.

5. De kern: het loyaliteitsconflict is structureel en niet te mitigeren

Een Amerikaanse provider kan onmogelijk voldoen aan:

• Amerikaanse wetgeving, die toegang afdwingt en geheimhouding vereist;
• Europese wetgeving, die dergelijke toegang verbiedt zonder verdrag.

Wanneer wetten conflicteren, wint Amerikaanse federale wet — omdat de consequenties (boetes, strafrecht, bestuursrecht) veel zwaarder zijn.

Dit creëert een onoplosbaar loyaliteitsconflict.
Geen audit, geen contract en geen encryptie kan dat fundamenteel oplossen.

6. Wat moet Nederland nu doen? (beleidsaanbevelingen)

6.1 Kortetermijn (2026–2027)A) Onafhankelijke audit

Verifieer encryptie, sleutelbeheer, logscheiding en infrastructuurtoegang.

B) Transparantieonderzoek

• Wob/Woo-verzoek naar mogelijke historische FISA/CLOUD-bevelen.

C) Contractherziening

• Versterk meldplichten, logscheiding en encryption policies — waar mogelijk.

6.2 Middellange termijn (2027–2029)Infrastructuurmigratie naar Europese providers

• Bij voorkeur GAIA-X-compatibel; alternatief: nationale cloudinfrastructuur.

6.3 Lange termijn (2030+)Nationale digitale soevereiniteitsstrategie

• Investeer in Europese identiteits-infrastructuur en geleidelijke afbouw van afhankelijkheid van niet-Europese leveranciers voor kritieke diensten.

7. Conclusie

Digitale soevereiniteit is geen politiek modewoord — het is een randvoorwaarde voor een moderne rechtsstaat.

Zolang Amerikaanse jurisdictie op infrastructuurniveau betrokken blijft bij DigiD, blijft de Nederlandse overheid structureel kwetsbaar voor:

• extraterritoriale datatoegang,
• onzichtbare bevelen,
• metadataverzameling,
• verlies van verifieerbaarheid,
• ondermijning van publieke autonomie.

Encryptie en contracten zijn belangrijk — maar ze veranderen niets aan de wettelijke bevoegdheden van een buitenlandse mogendheid.

De enige duurzame oplossing is een strategische, beleidsmatige en technische heroriëntatie richting Europese infrastructuur.