Op 25 mei 2026 nam staatssecretaris Aerdts (Economische Zaken) een besluit dat in de Nederlandse IT-wereld al maanden werd verwacht: de Amerikaanse overname van Solvinity door Kyndryl is verboden. Solvinity beheert de infrastructuur waarop DigiD, MijnOverheid en Digipoort draaien. Het Bureau Toetsing Investeringen (BTI) concludeerde dat de overname een risico vormde voor de publieke belangen, en de staatssecretaris gebruikte de Wet ongewenste zeggenschap telecommunicatie (Wozt) om de verkoop tegen te houden.
Wij zijn daar blij mee. Kritieke nationale infrastructuur voor authenticatie hoort niet onder de jurisdictie te vallen van een land waarvan de wetgeving (denk aan de CLOUD Act) toegang tot gegevens of het blokkeren van diensten mogelijk maakt. Dat DigiD op Europese, en bij voorkeur Nederlandse, infrastructuur blijft draaien is precies de uitkomst die past bij de ambities rond digitale soevereiniteit die ook in het coalitieakkoord 2026-2030 staan.
Een terechte beslissing, maar geen oplossing
Het zou verleidelijk zijn om dit besluit te lezen als “crisis bezworen”. Dat is het niet. De blokkade van de overname haalt de acute dreiging weg, maar laat de onderliggende kwetsbaarheid volledig intact.
Het contract met Solvinity is verlengd tot augustus 2028. Daarna moet de overheid opnieuw kiezen, en dan komen dezelfde vragen weer op tafel: bij welke partij beleg je de identiteitslaag van een heel land, en hoe voorkom je dat die partij later alsnog in buitenlandse handen valt? Tweakers schetste vijf toekomstscenario’s voor DigiD: van verlenging bij Solvinity en overstappen naar een andere Nederlandse of Europese leverancier tot het oprichten van een staatsbedrijf. Wat al die scenario’s gemeen hebben: ze verplaatsen de afhankelijkheid, ze nemen die niet weg.
Dat is de kern. Zolang de identiteit van burgers afhangt van één gecentraliseerde dienst bij één leverancier, blijft elke overname, elk datalek en elke storing een systeemrisico. Een ander logo op het contract verandert daar niets aan.
Voor organisaties: laat dit geen valse geruststelling zijn
We zien een reëel risico. Nu de overname van tafel is, zou de urgentie bij organisaties om naar alternatieven naast DigiD te kijken kunnen wegzakken. “Het is toch goed afgelopen?” Yivi als alternatief voor DigiD wordt daarmee mogelijk minder in trek, terwijl het probleem dat de discussie veroorzaakte nog precies even groot is.
Wij draaien de redenering liever om. De episode rond Solvinity is geen incident dat is opgelost, maar een eye-opener die laat zien hoe broos een gecentraliseerde monocultuur is. Organisaties die hun afhankelijkheid van één identiteitssysteem willen verkleinen, doen er goed aan om juist nu te werken aan alternatieven, in relatieve rust en niet onder crisisdruk. Yivi draait al in productie, onder meer bij de Gemeente Nijmegen, en bewijst dat dataminimalisatie en burgerregie geen toekomstmuziek zijn.
Wij geloven in evolutie, niet in vervanging
Voor alle duidelijkheid: ons punt is niet dat DigiD moet verdwijnen. DigiD werkt, wordt breed vertrouwd en is voor miljoenen Nederlanders de vanzelfsprekende manier om in te loggen. Wij geloven niet in een harde breuk, maar in een evolutie: van een gecentraliseerd inlogmiddel naar een walletmodel waarin de gebruiker zijn gegevens zelf bij zich draagt en zelf bepaalt wat hij deelt.
Dat is precies de richting die Europa met eIDAS 2.0 en de EUDI-wallet heeft ingeslagen. In dat model is de identiteitslaag niet langer één centrale honeypot, maar een gedecentraliseerd geheel waarin geen enkele overname, leverancierswissel of storing het hele systeem kan platleggen. Yivi biedt die wallettechnologie, inclusief zero-knowledge proofs voor maximale privacy, vandaag al.
De echte showstopper: het ontbreken van wettelijke kaders
In gesprekken met organisaties die Yivi naast DigiD willen zetten, stuiten we keer op keer op hetzelfde obstakel. Het is niet de techniek, en het is niet de wil. Het is de juridische onzekerheid. Veel overheidsorganisaties zijn gedreven door compliance: staat iets niet expliciet in de wet als verplichting, dan doen we het niet. De (politieke) wil is er vaak wel; we spreken regelmatig bestuurders en ambtenaren die het belang van wallets zien. Maar de initiatieven sterven in de bureaucratische molen. Zonder een helder Nederlands wettelijk kader dat de status, aansprakelijkheid en erkenning van wallets regelt, durft niemand de knoop door te hakken om een walletoplossing in productie te nemen.
Hier ontstaat een gevaarlijk misverstand. Veel partijen wachten op “de wetgeving”, in de veronderstelling dat die er nog lang niet is. Maar eIDAS 2.0 is een Europese verordening en daarmee rechtstreeks bindend. Vanaf eind 2026 moet elke lidstaat ten minste één gecertificeerde EUDI-wallet beschikbaar hebben, en vanaf eind 2027 zijn grote private partijen zoals banken, verzekeraars, transport en energie verplicht die wallets te accepteren. Het kader bestaat dus al, en de deadlines komen snel dichterbij.
Het probleem zit aan de Nederlandse kant. De overheid erkent zelf dat de NL-wallet de Europese deadlines niet gaat halen en dat de eerste versie nog niet aan alle eisen zal voldoen. De nationale implementatie, onder meer via de Wet digitale overheid, loopt achter op het Europese tempo. Daardoor ontstaat een vacuüm: Europa is bindend, maar de Nederlandse vertaling laat op zich wachten, en organisaties weten niet waar ze aan toe zijn.
Hier ligt voor ons allemaal werk. Organisaties moeten zich ervan bewust worden dat eIDAS 2.0 geen verre toekomst is maar een Europese realiteit met harde deadlines. Afwachten tot Den Haag alle puntjes op de i heeft gezet, betekent dat je straks achter de feiten aanloopt. Wie nu begint met experimenteren en bouwen, staat klaar wanneer het kader sluit; wie wacht, begint te laat.
Conclusie
Het blokkeren van de overname van Solvinity is goed nieuws en een verstandig besluit. DigiD blijft op Europese infrastructuur, en dat verdient applaus. Maar laten we het zien voor wat het is: uitstel, geen afstel van een structureel vraagstuk. De afhankelijkheid van een gecentraliseerde identiteitslaag blijft, het contract loopt af in 2028, en de weg naar een toekomst op basis van wallets is uitgestippeld door Europa maar wordt door Nederland vertraagd.
Onze oproep aan organisaties: gebruik deze adempauze niet om achterover te leunen, maar om vooruit te bouwen. Evolueer mee richting wallets, experimenteer met bewezen alternatieven, en laat je niet tegenhouden door de mythe dat “de wetgeving er nog niet is”. Die is er, op Europees niveau. De vraag is of we de wil hebben om er nu mee aan de slag te gaan.
Meer informatie
- Tweakers: Vijf toekomstscenario’s voor DigiD: tweakers.net
- NOS: Staatssecretaris verbiedt Amerikaanse overname Solvinity: nos.nl
- Waarom Yivi een bewezen alternatief is voor DigiD: Lees onze blog
- Yivi en de private EUDI-wallet: Lees onze blog
- Coalitieakkoord 2026 en digitale soevereiniteit: Lees onze blog
- Wat is Yivi: docs.yivi.app
- Neem contact op: yivi.app/contact