Reacties klanten van Solvinity

Ministerie van Binnenlandse Zaken 

1.⁠ ⁠Gaan overheidsinstanties deze deadline halen? 

Nee, Nederland zal niet gereed zijn in 2026. Dit is ook eerder aan de Tweede Kamer gemeld (Verzamelbrief digitalisering mei 2025 en december 2025, en eveneens uitgesproken in het wetgevingsoverleg Digitalisering d.d. 2 maart jl.).

2.⁠ ⁠Kiest Nederland voor één bepaalde ID-wallet?

Nederlandse burgers hebben op termijn de keuze uit een publieke EDI-wallet, die op dit moment door de overheid wordt ontwikkeld, of EDI-wallets van private aanbieders.

Het gebruiken van een EDI-wallet is vrijwillig.

Burgers die geen EDI-wallet willen gebruiken kunnen bij de overheid blijven inloggen met DigiD, of straks ook met andere toegelaten private inlogmiddelen.

Wanneer burgers ervoor kiezen om EDI-wallets te gebruiken, dan kunnen ze ervoor kiezen om één wallet voor alles te gebruiken, of voor verschillende zaken verschillende EDI-wallets te gebruiken.

Om de publieke EDI-wallet te activeren en personaliseren zal voor nu DigiD-Hoog nodig zijn. De verordening stelt namelijk hoge betrouwbaarheidseisen aan EDI-wallets. Wij verwachten dat op termijn er meer manieren zullen komen om EDI-wallets te activeren. Hierover wordt in Europees verband nog gesproken.

3.⁠ ⁠Wat is de stand van zaken wat betreft de ontwikkeling van een Nederlandse EDI-wallet? 

De Europese verordening voor Digitale Identiteit bepaalt dat overheidsinstanties alleen EDI-wallets mogen accepteren die voldoen aan vastgestelde specificaties, zijn gecertificeerd en zijn uitgegeven of erkend door een EU-lidstaat.

De technische specificaties en certificeringsregels worden momenteel in Europees verband verder uitgewerkt. Daardoor zullen gecertificeerde EDI-wallets later beschikbaar komen dan eerder verwacht. Dat geldt ook voor de oplossingen waar bijvoorbeeld de gemeente Nijmegen mee werkt.

In Nederland werken we ondertussen aan de voorbereidingen voor een nationaal stelsel dat nodig is om EDI-wallets veilig en betrouwbaar te kunnen gebruiken. Daar hoort ook nationale wet- en regelgeving bij.

Op dit moment wordt gewerkt aan een wetswijziging om de Europese verordening in Nederland te implementeren. Het streven is om eind 2026 een uitvoeringswet in consultatie te brengen. Afhankelijk van de parlementaire behandeling kan deze naar verwachting in 2028 in werking treden.

Parallel daaraan wordt de wallet zelf verder ontwikkeld. In januari 2025 heeft een kleine groep inwoners van Amsterdam en Nijmegen een eerste versie getest. Met de inzichten uit deze proef wordt de wallet verder verbeterd. In 2026 volgen nieuwe proeven, onder meer via Europese Large Scale Pilots.

Aanvullende vragen over Solvinity

1.⁠ ⁠In hoeverre is mitigeren mogelijk? Ik had namelijk begrepen dat de werking van bijvoorbeeld de Cloud Act niet contractueel kan worden uitgesloten. Dus in hoeverre zijn mitigerende maatregelen ook zinvol? 

2.⁠ ⁠Hoe zien mitigerende maatregelen (concreet) eruit? 

We doen op dit moment geen uitspraken over welke mitigerende maatregelen er worden genomen. We wachten eerst alle lopende onderzoeken af. Alle opties om de veiligheid van DigiD te garanderen liggen nog op tafel. Beslissingen volgen zodra de integrale risico-afweging is afgerond. De bescherming van gegevens en ononderbroken werking van DigiD voor burgers en bedrijven staan voorop

Ministerie van Sociale Zaken en Werkgelegenheid

Bij SZW gaat het om hosting van een informatiesysteem dat gebruikt wordt voor subsidieverstrekking aan organisaties. Er verandert door de mogelijke overname niets aan de diensten die SZW afneemt. SZW werkt samen met de andere betrokkenen binnen de Rijksoverheid en weegt zorgvuldig af of aanvullende contractuele afspraken wenselijk zijn.

Je vroeg ook naar toegang tot data. Bij het uitvoeren van beheertaken ten behoeve van de afgenomen diensten hebben beheerders indirect toegang tot data die SZW verwerkt in het subsidiesysteem. Met Solvinity zijn afspraken gemaakt die geheimhouding en een zorgvuldige verwerking van deze data conform wet- en regelgeving waarborgen.

Zorginstituut Nederland 

Welke diensten worden van Solvinity afgenomen?

Webhosting en managed hosting.

Wat betekent de mogelijke overname van Solvinity door Kyndryl voor de diensten die Zorginstituut Nederland afneemt?

Dat is op dit moment nog niet te zeggen. Er vindt binnen de Rijksoverheid een brede integrale risico-afweging plaats ten aanzien van de casus Solvinity, en alle onderzoeken die hiervan deel uitmaken lopen nog. Onderwijl werkt het Zorginstituut in overleg met andere overheidspartijen en de landsadvocaat pro-actief aan aanvullende, contractuele afspraken die de kans moeten minimaliseren dat de Amerikaanse overheid toegang krijgt tot onze data, als blijkt dat de overname toch niet tegengehouden zou kunnen worden.

Heeft Solvinity op enige manier, direct dan wel indirect, toegang tot (enige) data van het Zorginstituut?

Het Zorginstituut werkt met zogeheten gepseudonimiseerde (zorg)data. Dit is een veilige vorm van data-opslag en -verwerking die op geen enkele wijze herleidbaar is tot individuele burgers.

Ministerie van Financiën 

Het ministerie van Financien neemt behalve DigiD niks af van Solvinity. Dus de antwoorden op de vragen luiden: drie keer nee. 

Voor zover bekend worden er geen andere diensten van Solvinity afgenomen. Dus wat betekent een mogelijk overname: niks. Daarnaast heeft Solvinity dus geen toegang tot de data van het ministerie van Financiën. 

Ministerie van Volksgezondheid, Welzijn en Sport

Welke diensten neemt het ministerie van VWS af van Solvinity?

Het ministerie zelf neemt geen diensten van Solvinity af. De concernonderdelen Zorginstituut NL en het College ter Beoordeling Geneesmiddelen (CBG) hebben wel contracten met Solvinity.

Wat betekent de mogelijke overname van Solvinity door Kyndryl voor de diensten die het ministerie afneemt?

Het ministerie neemt geen diensten af. Voor de impact voor het Zorginstituut en CBG op hun dienstverlening verwijst VWS naar deze organisaties.

Heeft Solvinity op enige manier, direct dan wel indirect, toegang tot data van het ministerie van VWS?

Nee, het ministerie neemt geen diensten af. Voor de impact voor het Zorginstituut en CBG verwijst VWS naar deze organisaties. Voor de impact op de dienstverlening voor het zorgveld inzake DigiD verwijst het ministerie naar Logius, onderdeel van het ministerie van Binnenlandse Zaken.

Ministerie van Justitie en Veiligheid 

Welke diensten neemt het ministerie van JenV af van Solvinity?

JenV heeft een lopende samenwerking met Solvinity voor specifieke ICT-diensten. De dienstverlening van Solvinity ondersteunt onderdelen van onze ICT-infrastructuur die essentieel zijn voor veilige digitale communicatie tussen interne systemen en de buitenwereld.

Wat betekent de mogelijke overname van Solvinity door Kyndryl voor de diensten die het ministerie afneemt? 

 JenV brengt in kaart wat de voorgenomen overname betekent voor deze samenwerking en de bijbehorende afspraken.

Heeft Solvinity op enige manier, direct dan wel indirect, toegang tot (enige) data van het ministerie van JenV?

Solvinity heeft geen directe toegang tot de inhoudelijke gegevens van het ministerie van JenV. Voor beheer en toegang gelden strikte technische en organisatorische beveiligingsmaatregelen en toezicht door het ministerie van JenV.

College ter beoordeling van Geneesmiddelen

Welke diensten neemt het CBG af van Solvinity? 

Infrastructuurdiensten en eindgebruikersdiensten.

Wat betekent de mogelijke overname van Solvinity door Kyndryl voor de diensten die het CBG afneemt? 

Uit de risicoanalyse blijkt dat de risico’s voor het CBG beperkt zijn. Het CBG beschikt niet over persoonsgegevens van patiënten.

Heeft Solvinity op enige manier, direct dan wel indirect, toegang tot (enige) data van het CBG?

Net als bij elke andere leverancier monitoren we welke toegang er is en wanneer daar gebruik van wordt gemaakt. En als het nodig is kan de toegang beperkt worden. Vanzelfsprekend neemt het CBG alle maatregelen om de veiligheid van gegevens te borgen.

Translink (bedrijf achter OV-chipkaart) 

Translink verwerkt de OV-chipkaarttransacties voor alle OV-bedrijven in Nederland. Translink stelt daarom hoge eisen aan gegevensbescherming.

Welke diensten worden van Solvinity afgenomen?

Solvinity levert publieke en private clouddiensten aan Translink.

Wat betekent de mogelijke overname van Solvinity door Kyndryl voor de diensten die Translink afneemt? 

Dat we momenteel onderzoeken of de diensten in de nieuwe situatie voldoen aan de hoge eisen die wij stellen aan gegevensbescherming.

Heeft Solvinity op enige manier, direct dan wel indirect, toegang tot (enige) data van Translink?

Ja; dat is dan ook de reden waarom wij de ontwikkelingen rond dit dossier nauwgezet volgen en eventuele maatregelen in kaart brengen in afwachting van definitieve besluitvorming.

Politie Nederland

Waarvoor gebruikt de politie Solvinity? Welke diensten worden van Solvinity afgenomen?

De website politie.nl wordt door Solvinity gehost en daarnaast maakt de politie gebruik van Solvinity via Burgernet (waar Amber Alert ook onder valt)

Wat betekent de mogelijke overname van Solvinity door Kyndryl voor de diensten die de politie afneemt? 

In de basis niet veel, de dienstverlening van Solvinity voor de politie bevat geen unieke diensten en zou ook door een andere hosting partij geleverd kunnen worden.

 Heeft Solvinity op enige manier, direct dan wel indirect, toegang tot (enige) data van de politie?

Nee de data staat op eigen Politie systemen.

Logius (beheerder van DigiD)

DigiD is een inlogmiddel dat door ruim 16,5 miljoen mensen wordt gebruikt om toegang te krijgen tot overheidsdienstverlening zoals de Belastingdienst, UWV of zorgverzekeraars en pensioenuitvoerders. Een groot deel van de publieke dienstverlening is inmiddels digitaal ingericht. DigiD speelt daarbij een centrale rol en is momenteel het middel om veilig en efficiënt toegang te krijgen tot digitale diensten. Vorig jaar groeide het aantal authenticaties naar 645 miljoen.

Organisaties met een publieke taak kunnen burgers niet verplichten om digitaal zaken met ze te doen. Organisaties moeten burgers ook op een andere, niet-digitale manier kunnen helpen (bijvoorbeeld telefonisch of aan een balie). Voor de groep die wel digitaal zaken wil doen, maar moeite hiermee heeft, zijn er verschillende mogelijkheden om hulp te krijgen zoals bij de IDO’s (Informatiepunten Digitale Overheid). Als grote groepen mensen massaal zouden overstappen op uitsluitend fysieke of papieren dienstverlening, zou dat de organisaties en systemen daarachter zwaar belasten. De huidige infrastructuur is daar qua capaciteit, doorlooptijden en kosten niet meer op ingericht.

Binnen het toegangsstelsel zullen in de toekomst ook private inlogmiddelen en EDI-wallets worden toegelaten, waarmee burgers meer keuzevrijheid krijgen. Deze middelen zullen dan moeten voldoen aan de vereisten die in de Wet digitale overheid en de Europese eIDAS-verordening zijn opgenomen.

Gaat de inlogmethode per sms uitgefaseerd worden? Zo ja, per wanneer zou dat gebeuren?

Nee, er zijn op dit moment geen plannen om sms uit te zetten. Burgers worden gestimuleerd om gebruik te maken van de DigiD-app, omdat dat de makkelijkste manier is om veilig in te loggen. 

Als dit gebeurt, is de DigiD app dan de enige methode waarmee mensen kunnen inloggen?

Nee, zie bovenstaand antwoord. Daarnaast wordt ook gewerkt aan een desktop-applicatie als alternatief voor de DigiD-app. Hiermee is een burger niet afhankelijk van een smartphone bij het inloggen.

Is de DigiD app ook beschikbaar voor telefoons met een ander besturingssysteem dan IOS en Android? 

Naast iOS en Android, is het mogelijk dat de DigiD app op apparaten werkt zoals de Fairphone.

Kan bijvoorbeeld de Fairphone de DigiD app downloaden? 

Ja, op de Fairphone kan je DigiD downloaden.

Voor meer informatie over welke rol Solvinity speelt binnen DigiD verwijzen wij jullie graag naar digid.nl/solvinity.

De gesprekken zijn waarschijnlijk nog gaande, maar hoe kunnen specifieke technische risico-mitigerende maatregelen er in theorie (concreet) uitzien?

We zijn in november 2025 gestart met het in kaart brengen van de security, privacy en juridische risico’s die de voorgenomen overname van Solvinity door Kyndryl met zich meebrengt.

De uitkomsten van de analyse gebruiken we om (additionele) maatregelen te bepalen. Denk daarbij aan aanvullende versleuteling, het aanpassen van verantwoordelijkheden voor specifieke taken en extra logging en monitoring. Dit is maatwerk per voorziening. Bij het bepalen van de maatregelen hebben we ook aandacht voor de mogelijke gevolgen voor continuïteit (zoals prestaties van voorzieningen), vertraging van lopende ontwikkelingen, benodigd extra budget en voorkomen van het onrechtmatig verlengen van contracten.  

In hoeverre kunnen risico's worden gemitigeerd? In had begrepen dat de werking van bijvoorbeeld de Cloud Act niet contractueel kan worden uitgesloten. Dus in hoeverre zijn mitigerende maatregelen zinvol? 

Zoals gezegd heeft Logius allerlei maatregelen genomen om de veiligheid en beschikbaarheid van diensten te waarborgen. Tegelijkertijd kunnen in elke complexe IT-keten risico’s nooit volledig worden uitgesloten, ook omdat er vele partijen bij betrokken zijn.