De overname van Solvinity drong vertraagd tot me door. Ik zag opwinding op socials, nadat het bedrijf verantwoordelijk voor de cruciale DigiD-dienst in Amerikaanse handen viel, maar sloeg niet direct aan. Het hielp daarbij niet dat ik niet precies wist wat het bedrijf doet en of ze echt een belangrijke schakel zijn in onze kritieke nationale digitale infrastructuur.
Nieuwsbrief Broncode
Je leest hier een artikelversie van onze nieuwsbrief NRC Broncode. Wekelijks schrijven wij over technologische ontwikkelingen die op de redactievloer tot opwinding leiden. Inschrijven (voor Plus-abonnees) doe je hier:
Daarover een dagje rondbellen bracht niet meteen opheldering. Het bedrijf zelf had het op dat moment vooral druk met pogingen afnemers gerust te stellen en liet terugbellen door een inderhaast ingehuurd communicatiebureau. Woordvoerders van de ministeries die klant zijn bij Solvinity kwamen en komen met weinig feiten. Bert Voorbraak, algemeen directeur bij uitvoeringsorganisatie Logius (die DigiD beheert), benadrukte deze week in een verklaring dat is ‘opgeschaald’ en dat ‘uitgebreid onderzoek’ wordt gedaan naar de mogelijke impact op dienstverlening, beveiliging en privacy. „Als de impactanalyse een onacceptabel risico laat zien, worden onmiddellijk passende maatregelen genomen.” Wordt nog vervolgd dus.
Het interessantste wat ik leerde was dat er vorig jaar een poging was gedaan Solvinity terug in Nederlandse handen te krijgen. Terug, want het bedrijf is sinds 2014 voor zestig procent van buitenlandse eigenaren, een Brits private-equityfonds.
Dat was geen geheim. Ook niet dat private equity na een paar jaar met winst wil doorverkopen en Solvinity dus in de etalage stond. „Onze aandeelhouders zijn open geweest over het feit dat Solvinity te koop was en daarover zijn gesprekken gevoerd met diverse partijen”, schreef de woordvoerder in reactie op mijn vragen daarover.
Dat belrondje was het begin van een kleine en niet-systematische inventarisatie. Die loopt nog en meedenken wordt zeer gewaardeerd. Mijn e-mailadres staat onderaan deze nieuwsbrief. Want als het erg is dat Solvinity van eigenaar verandert – overigens vlak nadat hetzelfde gebeurde met de beveiligde maildienst Zivver – op welke bedrijven moeten we dan nog meer letten de komende tijd?
Wie is cruciaal?
In een leerzaam gesprek zei een kenner: „Elke overname op zichzelf is vanuit de ondernemer heel begrijpelijk. En het gaat steeds maar om een paar procentpunt van de markt. Maar samen zijn ze heel spannend, want langzamerhand raak je de control points en de rode knop kwijt.” Hij legde het uit: „Helemaal soeverein zijn is onmogelijk. Je moet [als land, MdK] opletten dat je nog een paar niches over houdt waardoor je strategisch onmisbaar bent en kunt onderhandelen als dat nodig is. Je wilt kunnen zeggen: ‘Ik heb ook een rode knop.’”
En zoals dat gaat als je vragen gaat stellen: je leert eerst vooral hoeveel je niet weet. Bijvoorbeeld aan welke bedrijven het runnen van de overheidsdatacenters is uitbesteed en wat ze daar precies doen. Bouwen ze alleen de muren en hekken en trekken ze de kabels? Of kopen ze ook de servers die daar draaien en beheren ze de software? En wat zegt dat? Zijn ze daarmee een cruciale schakel? In welke volgorde van ‘belangrijkheid’ moeten bijvoorbeeld deze namen worden gezien: KPN, Intermax, Leaseweb, NorthC, Conclusion, Fundaments, Schuberg Philis, Previder, Capgemini, Pink Roccade, Equinix en Centric?
Tal van spelers hebben de 342 Nederlandse gemeenten geadviseerd en geassisteerd bij hun digitalisering. Ze zitten in die dikke tussenlaag van dienstverleners met invloed, maar zijn ze dan ook van cruciaal belang voor de veiligheid en toegankelijkheid van de data van Nederlandse burgers? Of zouden ze het noodpakket niet halen? En moeten we vooral constateren dat via die tussenlaag uiteindelijk alles in de cloud van Microsoft is komen te staan?
Een nuttige bron in die context vind ik het Zwartboek Aanbestedingen op Mastodon. Valentijn Sessink publiceert daar links naar ict-aanbestedingen waarin om een merknaam wordt gevraagd. Dat mag namelijk niet, maar gebeurt wel en illustreert hoe het komt dat de Nederlandse afhankelijkheid van grote Amerikaanse cloudproviders blijft groeien.
Sessink signaleerde daar bijvoorbeeld in 2024 dat de gemeente Amsterdam in een aanbesteding om dienstverlening op Azure vroeg, de cloud van Microsoft. Dat leidde tot vragen in de gemeenteraad, maar niet tot een echte koerswijziging. Het bedrijf dat de Azure-dienstverlening uiteindelijk mocht gaan verlenen was het (Britse en straks Amerikaanse) Solvinity.
Gifpil
Berry den Hartog bouwt voor de overheid aan MijnBureau, dat een alternatief moet worden voor de werkomgeving van Microsoft die ambtenaren gebruiken. Samengesteld uit opensource-componenten. Dat gaat best goed, vertelt hij telefonisch. Sommigen onderdelen zijn al ‘gebruiksrijp’, andere delen zitten nog ‘in de zandbak’. Maar: „Als de onderliggende diensten steeds weggevaagd worden, dan is daar niet tegenop te werken. Dan kunnen wij nog zo’n mooi product bouwen, maar je zou een beetje zekerheid willen als afnemer.”
Na de overname-aankondiging van Solvinity deelde Den Hartog op LinkedIn suggesties voor de manier waarop soevereiniteitseisen in aanbestedingen zouden kunnen worden opgenomen, met een link naar de Franse SecNumCloud-standaard.
„In Duitsland en Frankrijk pakken ze dat anders aan dan hier”, licht hij telefonisch toe. „Soevereiniteit ligt daar meer in het hart. In Nederland is dat veel minder. Wij zijn meer gericht op samenwerking en efficiëntie. Daardoor zie je soevereiniteitseisen nog niet in aanbestedingen terugkomen, hoewel je ze wel zou verwachten.”
Politiek is er een verschuiving aan de gang, maar die lijkt in Nederland nog weinig gevolgen te hebben voor contractonderhandelingen. Op de vraag ‘in hoeverre kunnen jullie garanties geven dat jullie op langere termijn niet in Chinese of Amerikaanse handen vallen?’ zijn de meeste bedrijven niet voorbereid,” constateert Den Hartog.
Nu is het ook best complex wat je daarop als ondernemer die geld wil verdienen kunt antwoorden. Niet zoveel waarschijnlijk.
Het ligt meer voor de hand dat afnemers bij zichzelf te rade gaan en veiligheidskleppen inbouwen. In zijn presentaties heeft Bert Hubert het in die context steeds over gifpillen, gouden aandelen of staatsdeelnemingen. Dat bekt in ieder geval lekker, maar ik geloof niet dat het momenteel gebeurt.
Ik vroeg de ceo van het Duitse bedrijf NextCloud hoe hij probeert afnemers gerust te stellen dat zijn bedrijf niet wordt overgenomen. NextCloud probeert delen van de Nederlandse overheid ervan te overtuigen hun digitale werkomgeving te gaan gebruiken, in plaats van die van Microsoft. Hij krijgt de vraag tegenwoordig vaak, zei Frank Karlitschek. En een goed antwoord is nog niet zo eenvoudig, want beloftes zijn maar woorden. „Ik beloof dat het niet aan de orde is. Ik wil niet verkopen, niemand wil verkopen. Ik ben heel uitgesproken. Mijn hele identiteit hangt hiermee samen. Verkopen zou betekenen dat ik naar the dark side zou gaan. Maar ja, er is een theoretische kans.”
De belangrijkste garantie die hij kan geven zit ingebakken in het bedrijfsmodel. De broncode (leuk woord he?) van de NextCloud-software is open source en niemands eigendom. Dat zou afnemers gerust moeten stellen. Het dienstverlenende bedrijf zou kunnen verdwijnen, het product niet.
Geef cadeau
Deel
Mail de redactie
NIEUW: Geef dit artikel cadeau
Als NRC-abonnee kun je elke maand 10 artikelen cadeau geven aan iemand zonder NRC-abonnement. De ontvanger kan het artikel direct lezen, zonder betaalmuur.
Waarom je NRC kan vertrouwen