De Solvinity paradox

De Solvinity-paradox: Waarom digitale soevereiniteit faalt zonder architecturaal denken

Deze week zag ik iets opmerkelijks: Solvinity, het Nederlandse cloudbedrijf dat eerder dit jaar nog waarschuwde voor te grote afhankelijkheid van Amerikaanse tech-giganten, werd zelf overgenomen door Amerikaanse IT-gigant Kyndryl. Amsterdam tekende in oktober nog een €14 miljoen contract specifiek voor "digitale autonomie" - en ontdekte weken later dat hun Nederlandse partner in Amerikaanse handen komt.

De verontwaardiging is voorspelbaar. Maar het interessante zit hem niet in de verontwaardiging - die is politiek theater. Het interessante zit in wat deze deal blootlegt over hoe fundamenteel we digitale infrastructuur misverstaan.

Het contractrecht-alibi

Juridisch gezien heeft Amsterdam natuurlijk exit-rechten. Ze kunnen het contract opzeggen. Probleem opgelost, toch?

Niet echt. Want hier komt de eerste laag van het probleem: contractuele rechten ≠ operationele realiteit.

Als Solvinity je hele stack beheert - compute, networking, security, compliance certificeringen - ben je niet 2 weken maar 18-36 maanden kwijt aan migratie. De engineers die DigiD en MijnOverheid dagelijks runnen? Die zitten bij Solvinity. Die tribal knowledge, die operationele intimiteit met systemen, die cultural context van how things really work - dat kopieer je niet met een tender.

De VMware/Broadcom precedent

We kennen dit patroon. VMware-klanten zijn het aan het meemaken met Broadcom: na de $61 miljard overname in 2023 zagen klanten prijsstijgingen tot 1.500%. AT&T claimde een 1.050% verhoging in één jaar. Broadcom's playbook: product bundling forceren, subscriptions verplichten, support degraderen.

Kyndryl (wanhopig op zoek naar marges na de IBM-afsplitsing) gaat exact hetzelfde playbook volgen. Waarom niet? Hun klanten kunnen operationeel niet weg.

Dit is geen bug - het is architecturaal determinisme. Als je systemen ontwerpt met centrale orchestrators en vendor lock-in, creëer je extractive geometry. De markt beloont dan niet innovatie maar strategic chokepoints.

US Cloud Act: De Juridische Tijdbom

En dan is er de US Cloud Act: Amerikaanse cloudproviders kunnen wettelijk verplicht worden data aan de US government beschikbaar te stellen, zelfs als de opslag in Europa staat. Dat betekent dat DigiD, MijnOverheid, en CJIB-systemen nu potentieel onder Amerikaanse jurisdictie vallen.

Europa's afhankelijkheid is dramatisch: 92% van cloud-infrastructuur wordt gecontroleerd door Amerikaanse bedrijven (AWS, Azure, Google Cloud). De EU Data Act probeert dit tegen te gaan door vendor lock-in te verbieden tegen 2027, maar de implementatie loopt achter.

De governance-illusie

Nu roepen we om investment screening, om de overheid bedrijven te laten blokkeren. Zie Nexperia.

Maar hier wordt het interessant: een overheid die niet capabel is om eigen IT te runnen, is ook niet capabel om IT-overnames strategisch te beoordelen.

Wat screenen we precies? Supply chain risk? Maar Solvinity was al in handen van Britse private equity (Vitruvian Partners) - dus "Nederlands" was al een fictie. Data sovereignty? De systemen draaien nog steeds in Nederlandse datacenters. Kyndryl krijgt toegang tot dezelfde infrastructuur die Vitruvian's portfolio managers al hadden.

Het echte probleem is dat we geen coherent model hebben van wat "kritieke digitale infrastructuur" betekent. We improviseren met symptoombestrijding terwijl de onderliggende architectuur blijft falen.

Waarom eigen overheids-IT meestal faalt (en waarom Estland niet)

De reflex is nu: "Overheid moet eigen IT bouwen!"

Terechte reflex, maar even de data. Uit een parlementaire enquête uit 2014:

• Nederlandse overheids-IT projecten: 70% faalt, slechts 7% succesvol bij budgets >€7.5M

• €4-5 miljard per jaar weggegooid

• Probleem? Procurement focust op tijd + kosten, nooit op kwaliteit

De Rekenkamer-audit van DigiD (2023) toonde kritieke zwaktes: geen effectieve controls op outsourcing, inconsistente IT architectuur, fraud prevention "unsatisfactory".

Maar dan: Estonia's X-Road.

• 3000+ digitale services op één interoperability layer

• 99% government contact digitaal

• 2% GDP jaarlijks bespaard

• Geen enkele major security breach in 20+ jaar, ondanks constante Russische cyberaanvallen sinds 2007

Wat is het verschil?

Architectuur eerst, procurement later.

Estonia koos in 2001 voor distributed-by-design: elk ministerie beheert eigen database, X-Road is alleen de authentication/exchange layer. Peer-to-peer, geen single point of failure, geen centrale orchestrator waar een vendor lock-in op kan ontstaan. Open source vanaf dag één.

Cruciale ontwerpkeuze: "Data is king - je bouwt geen weg voor een koning, je geeft hem een beveiligingsteam." Data reist over internet, beschermd door software, niet over dedicated vendor-controlled networks.

Nederland? Logius als centrale orchestrator, outsourcing naar Solvinity/Capgemini/etc als basismodel. Knowledge blijft bij consultants, niet in-house. We designen voor extractive dependency.

De Europese Respons: Gaia-X

Europa probeert te reageren met Gaia-X, gelanceerd in 2019 door Duitsland en Frankrijk. Het doel: een gefedereerde, sovereigne data-infrastructuur gebaseerd op open standards.

Maar Gaia-X heeft aanzienlijke vertragingen door infighting tussen corporate members. Scaleway, een oprichter, verliet het project in 2021. Critici noemen het een "Trojan horse van Big Tech" - Microsoft, Google en zelfs Palantir zijn members.

CISPE committeert nu aan 3.000 Gaia-X gecertificeerde services tegen november 2025, maar de vraag blijft: is dit te weinig, te laat?

De systemische lock-in

Hier is de werkelijke paradox:

We kunnen Kyndryl niet verbieden zonder het Angelsaksische eigendomsmodel fundamenteel te herzien. Maar als we niets doen, ontstaat exacte scenario waar we bang voor zijn: kritieke infrastructuur onder US Cloud Act jurisdictie.

Dit is geen policy failure - dit is architecturaal faillissement dat zich als policy failure presenteert.

Een Wire-survey van 270+ Europese tech leaders toont de barrières:

• 63.2% user resistance - vertrouwdheid met bestaande tools

• 57.9% integration complexity - sovereign platforms integreren moeilijk met Microsoft 365/Google Workspace

• 36.8% awareness gap - veel IT leaders zijn onbekend met Europese alternatieven

• 26.3% vendor lock-in - langetermijncontracten maken switching prohibitief duur

Zolang we systemen ontwerpen met:

• Centrale orchestrators (single points of extraction)

• Proprietary protocols (vendor lock-in by design)

• Knowledge outsourcing (permanent dependency)

• Procurement op laagste prijs (race to bottom)

...zijn we structureel kwetsbaar.

Wat dan?

Ik zie drie paden:

1. Estonian model adopteren - X-Road is proven, open source, en beschikbaar. Maar dat vereist 5-10 jaar, politieke wil, en in-house technical talent dat nu niet bestaat. 25+ landen gebruiken het al.

2. European interoperability pools - geen individuele soevereiniteit maar gedeelde, met architecturaal gedwongen portability. Vereist EU consensus (lol).

3. Dual-vendor redundancy - split critical systems over meerdere providers met enforced API compatibility. 2x de kosten, maar halveert strategic risk.

Realistisch? Geen van deze gebeurt, want:

• Business case is politiek onverkoopbaar

• Expertise om dit te implementeren ontbreekt

• Private sector lobby is krachtiger dan strategic clarity

• "Urgentie" ontstaat pas na crisis

De eigenlijke les

De Solvinity-overname is geen anomalie - het is wat er gebeurt als je governance problemen probeert op te lossen zonder architecturaal begrip.

We behandelen digitale infrastructuur als procurement-probleem: wie biedt het laagste? Maar het is een architectural problem: hoe ontwerp je systemen die intrinsiek resistent zijn tegen extraction en lock-in?

Estland begreep dit in 2001 uit pure noodzaak - ze hadden geen geld voor vendor lock-in, dus ontwierpen ze ervoor.

Wij hebben het geld wel, dus kopen we gemak. En betalen er strategische autonomie voor.

Tot de volgende crisis. Dan roepen we weer om screening, om blokkades, om soevereiniteit. En missen we opnieuw het punt: je kunt soevereiniteit niet kopen bij vendors die je daarvoor eerst afhankelijk moeten maken.

Je moet het ontwerpen als architectuur

Bronnen & verder lezen:

Solvinity overname:

• https://www.dutchnews.nl/2025/11/dutch-cloud-firm-solvinity-taken-over-by-us-it-giant-kyndryl/

• https://ibestuur.nl/artikel/nederlandse-cloudleverancier-komt-in-amerikaanse-handen/

VMware/Broadcom case studies:

• https://www.networkworld.com/article/3994107/vmware-customers-in-europe-face-up-to-1500-price-increases-under-broadcom-ownership.html

• https://www.ciodive.com/news/broadcom-vmware-lock-in-cost-disruption/718281/

Estonia X-Road:

• https://e-estonia.com/solutions/interoperability-services/x-road/

• https://x-road.global/xroad-history

• https://govinsider.asia/intl-en/article/estonias-x-road-data-exchange-in-the-worlds-most-digital-society

European digital sovereignty:

• https://wire.com/en/blog/state-digital-sovereignty-europe

• https://gaia-x.eu/

• https://digital-strategy.ec.europa.eu/en/policies/cloud-computing

Nederlandse overheids-IT:

• https://english.rekenkamer.nl/publications/reports/2023/03/29/digital-identity-demanding-a-lot-from-digid-and-eherkenning

• https://leanarch.eu/2014/04/26/the-dutch-government-massively-failed-it-projects-openly-discussed/

Field notes from someone who helps organizations prepare landing platforms for planetary-scale technology - and sees them repeatedly build dependency platforms instead.