Nu een hoge topambtenaar in zodanige gewetensnood is gekomen dat hij een publieke zaak begint over het vraagstuk rond de overname Solvinity komen wij als Human Rights in Finance (EU) even uit de bestuursrechtelijke kast met onze visie op de materie.
Ons doel is om te wijzen op definities en zaken die ons opvallen. In het publieke en parlementaire debat zijn een paar zaken nog onvoldoende voor het licht gekomen. En die brengen we hierbij graag even wél naar voren.
Valt dit onder de Vifo of de WOZT?
In het kamerdebat ‘Verkoop cloudbedrijf dat DigiD en MijnOverheid host aan een buitenlandse techgigant en cloudmigraties naar Amerikaanse techgiganten’ van 11 februari 2026 stelt Minister Karremans heel duidelijk dat de overname Solvinity onder de WOZT gebeurt en niet de Vifo.
Maar wat zijn de WOZT en de Vifo eigenlijk? Als we het heel korte samenvatten is de situatie als volgt:
- WOZT: een telecomwet die voorkomt dat partijen met een ongewenst veiligheidsrisico controle krijgen over Nederlandse telecomaanbieders en -infrastructuur.
- Vifo: een veiligheidstoets voor investeringen, fusies en overnames in vitale sectoren en bij sensitieve technologie, om risico’s voor de nationale veiligheid te voorkomen.
Wat zijn dan de definities WOZT?
Ok, we pakken de Memorie van Toelichting van de WOZT erbij. En de definitie van telecommunicatiepartij in de wet. De hele wet is gericht op het voorkomen van een Huawei effect: buitenlandse ondernemingen die namens hun eigen nationale overheid meeluisteren in onze telefoonpalen. En de sleuteltoets is dat bij een bedreiging van een publiek belang een verbod op overname kan volgen.
Van een bedreiging van het publiek belang kan slechts sprake zijn als aan twee voorwaarden, cumulatief is voldaan:
- a.de overwegende zeggenschap leidt tot relevante invloed in de telecommunicatiesector, EN
- b.ten aanzien van de houder of verkrijger een of meer van de in artikel 14a.4, tweede lid, genoemde omstandigheden van toepassing zijn.
Als je dan de hele wet doorleest zie je een mechaniek over de manier om dat publieke belang te bepalen. En in theorie zou je dat allemaal op Solvinity kunnen toepassen, want de wet kun je best een eindje oprekken in de definities, maar in de kern is Solvinity geen telecommunicatiepartij natuurlijk. Het is gewoon een cloud aanbieder en IT leverancier.
De ACM beschrijft dat ook in zijn besluit over de overname.
Valt een cloud-speler onder de WOZT eigenlijk?
Wat veel mensen over het hoofd zien is dat in februari 2025 al een debat was gevoerd over de definities en werking van WOZT en of cloud-diensten daaronder vallen. Ziehier de link.
Joris Thijssen van Groen Links vroeg toen in het bijzonder aandacht voor die vraag. En het antwoord van toenmalig Minster Beljaarts was: cloudspelers vallen er niet echt onder, maar we gaan ernaar kijken. U hoort meer bij de evaluatie.
Ik blijf bij de heer Thijssen, die vraag naar de Wozt, die in oktober dit jaar vijf jaar geleden in werking is getreden. In de wet is voorgeschreven dat deze na vijf jaar wordt geëvalueerd. Die evaluatie zal daarom nog in de loop van dit jaar worden uitgevoerd. In die evaluatie gaan we ook kijken naar de doeltreffendheid en de effecten van de Wozt in de praktijk. Daarbij zal ook aandacht worden besteed aan de verhouding met de Wet vifo, waar de heer Thijssen het terecht ook over had. Tegelijkertijd kijken we naar de reikwijdte. Daarbij zullen we de suggestie meenemen om er ook andere spelers in de digitale infrastructuur, zoals aanbieders van clouddiensten, in onder te brengen. De Kamer wordt in het vierde kwartaal van dit jaar over de uitkomsten van de evaluatie geïnformeerd.
Wat zegt de evaluatie: het SEO rapport (oktober 2025)
Er is een mooi evaluatierapport van SEO en Universiteit Leiden. Al in oktober 2025 afgerond. Daarin staan behartenswaardige zaken over de verhouding Vifo en WOZT. Allereerst: the WOZT is een walk in the park. Daar is nooit echt op ingegrepen (37 meldingen en 24 besluiten). De Vifo is meer serieus: die leidde tot één verbod en soms tot intrekkingen/aanpassingen van aanvragen.
Een verbod (afwijzing) van transacties onder de Wet Vifo komt in de praktijk zelden voor: sinds 2023 is voor alle investeringstoetsen slechts één verbod opgelegd. Uit gesprekken met betrokken marktpartijen blijkt dat een aanstaande afwijzing — ofwel wanneer het BTI een concept-verbodsbeslissing deelt, of wanneer partijen zelf de kans op goedkeuring laag inschatten — kan leiden tot het intrekken van een melding of het vooraf herstructureren van de transactie.
Het SEO merkt echter nog iets op. Er is een ontduikingsrisico. Als er overlap is dan zou je voor de strengere VIFO-toets kunnen duiken door het te scharen onder WOZT.
Timing is alles – wat ligt wanneer bij wie?
Mooi toch, zo’n rapport van SEO? Heb je nog eens wat aan. Laten we eens zien hoe dit een eigen leven is gaan leiden.
- Dit SEO rapport is in oktober 2025 klaar en bekend bij Ministerie.
- Solvinity doet een melding op 7 november rond overname (en kiest WOZT- de duikroute)
- Dan explodeert het publiek debat.
Maar dit evaluatie-rapport wordt echter pas op 20 februari 2026 (3 dagen voor het nieuwe kabinet er komt) naar de Tweede Kamer gestuurd. Dat is dan 2 weken na het debat waarin Karremans zegt: de hele toetsing gaat onder de WOZT gebeuren.
Maar in de brief van 20 februari 2026 aan de Tweede Kamer, waarin het rapport wordt aangeboden, schrijft Karremans dat de keuze om cloud wél of niet onder de scope WOZT te brengen een politieke keuze voor het nieuwe kabinet is:
Tijdens het eerdergenoemde commissiedebat is naar aanleiding van een vraag van Kamerlid Thijssen ook toegezegd bij de evaluatie van de WOZT te onderzoeken of aanbieders van clouddiensten onder de werking van de WOZT moeten worden gebracht. Een besluit over de reikwijdte van de WOZT is een politieke keuze die gezien de huidige demissionaire status aan het volgend kabinet gelaten wordt.
Kortom, Karremens is hier niet helemaal helder en niet helemaal eenduidig aan het communiceren richting parlement.
Drie maanden onderzoek en nu is nog steeds niet duidelijk of toetsing onder Vifo of WOZT gebeurt?
HRIFEU heeft bij Bureau Toetsing Investeringen / Ministerie van Economische Zaken op 16 januari (en 23 januari per brief) een verzoek gedaan om negatief te besluiten rond de voorgenomen overname. EZ reageerde toen dat men onderzocht of dit wel onder de WOZT zou vallen. Kortom: ook EZ begrijpt dat hier een keuze en afweging ligt.
Te zien is dat de overname begin november gemeld is. Begin februari 2026 meldt EZ aan betrokken organisaties: we zijn aan het onderzoeken of dit onder WOZT of Vifo valt. Dus EZ is gewoon drie maanden een het puzzelen op de wetscontext? Dat is toch onwaarschijnlijk.
De cloud-business hangt tussen wal (Vifo) en schip (WOZT)
Als we op afstand kijken naar de juridische context van de discussie Solvinity dan zien we eigenlijk
- De regelgeving om te toetsen op publiek belang is sectoraal neergezet en zowel onder Vifo als WOZT zijn redenen en argumenten te vinden om Solvinity in te passen
- Politiek bezien is nog niet de keuze gemaakt om cloud onder de WOZT te hangen zodat het vooralsnog onder de Vifo als restwet zou hangen en een politiek besluit nodig is om WOZT toe te passen,
- Tactisch bezien lijkt WOZT een lichter regime en Solvinity heeft in elk geval gestuurd op de WOZT als beoordelingskader en het Ministerie van EZ lijkt dit te volgen,
- Evaluatie onderzoek wijst erop dat door een keuze voor WOZT het toetsings-aspect rond nationale veiligheid verloren gaat, maar dat onderzoek en die analyses zijn een paar maanden bij EZ onder de pet gehouden,
- De verhouding tussen de wetten en toepasselijkheid vergt actualisering rond de reikwijdte van wat als vitaal wordt beschouwd (Vifo – zou ook grote clouds moeten meenemen) c.q. wat als telecom gezien wordt (WOZT)
Het probleem is dat we dus eigenlijk twee gemankeerde wetten hebben en vragen rond toepassing, betrekken van burgers en politieke wensen. Ons instrumentarium is dus een beetje kapot. En er wordt gehusseld met die wetten en de vraag of ze wel/niet van toepassing zijn.
De inhoud zélf is echter heel duidelijk: er is geen risico-mitigatie mogelijk – dat heeft Kyndryl zelf al gepubliceerd
Wij herhalen hieronder een deel van de e-mail die we stuurden op 18 februari 2026 over ‘risico-mitigatie’. Ons argument aan EZ is dat al vanaf dat moment simpelweg niet eens duidelijk is met wie EZ moet praten (de top van het bedrijf is gewisseld) en dat er aantoonbaar geen mitigeerbare maatregelen mogelijk zijn. Er zijn material weaknesses in het risicobeheer-raamwerk Kyndryl gevonden én aan aandeelhouders bekend gemaakt.
Alleen moet je wel als Nederlander die Amerikaanse briefjes/verslagen lezen. Dus daar hebben we BTI even bij geholpen.
Ik wijs u, ter verdere onderbouwing van ons hoorverzoek c.q. aanvraag onder 1.3 Awb, op de nu uitgekomen SEC filing van Kyndryil, welke toelicht dat de governance en control (het COSO-raamwerk) niet op orde is. Dit betekent vaktechnisch dat er bewijsbaar geen sprake is van risicomitigerende maatregelen die als goed geheel werken. Evenzo is helder dat er geen klokkeluiders-routines bestaan.
U vindt de filing hier – https://www.sec.gov/ix?doc=/Archives/edgar/data/0001867072/000110465926015743/kd-20251231x10q.htm en een korte image ervan onderaan de e-mail en als bijlage.
Zullen we ‘AAN DE SLAG’ gaan?
Dus of het nu onder Vifo of WOTZ valt, nog langer luchtfietsen over mitigerende maatregelen heeft geen zin. Dat die conclusie nu al 2 maanden niet getrokken wordt is veelzeggend. Dat er daarom nu een ambtenaar in de openbaarheid is getreden is ook begrijpelijk.
Als EZ meer dan drie maanden nodig heeft om te bepalen onder welke wet dit valt, een evaluatierapport over de wet lang onder de pet houdt en blijft vermijden een evidente inhoudelijke conclusie te trekken die geen rocket-science is (mitigatie is niet mogelijk, deal gaat niet door) dan is dat zorgelijk.
Het nationaal coalitie-akkoord van de nieuwe regering heet ‘AAN DE SLAG’ en verduidelijkt hoe we dat rond cloud en soevereiniteit gaan doen.
Kortom, BTI, aan de slag.
Afwijzen die handel.
====
Post aangepast op 24-4-2026