|
Gisteren kwamen vier managers van de Nederlandse tak van het Amerikaanse Kyndryl naar de Tweede Kamer. Ze waren daar om de meest toxische deal van de afgelopen jaren te verdedigen: de overname van Solvinity. Dat is de leverancier van het DigiD-platform en meer dan honderd cruciale systemen van onder meer het ministerie van Justitie, de rechtspraak en het Openbaar Ministerie.
De mannen hadden een eenduidige boodschap: leg vitale dienstverlening niet in handen van Amerikanen want de risico's zijn te groot. President Trump kan sancties opleggen via tech-bedrijven, dreigen met de kill switch en data opvragen, ook al staan de servers op Nederlands grondgebied.
Nee, grapje. Dat zeiden ze niet.
Wat ze wel zeiden:
'Solvinity blijft een Nederlands bedrijf dat onder Nederlands recht valt.'
'Het moederbedrijf heeft geen directe inspraak.'
'Kyndryl heeft een stevige raad van commissarissen.'
'De data zijn niet van ons, maar van de klant.'
'Er is geen technische mogelijkheid om toegang te krijgen tot klantgegevens van Solvinity.'
'We zullen, binnen de grenzen van de wet, altijd: 1. De Amerikaanse overheid naar de klant doorverwijzen, 2. De klant op de hoogte stellen van elk overheidsverzoek dat we ontvangen, 3. Ons altijd verzetten tegen ieder verzoek.'
Middelvinger aan Trump
Bottom line: wij geven Trump vanuit Nederland een middelvinger en als we toch zwichten, dan kunnen we niet eens bij de data.
Maar is dat wel zo?
Het ministerie van Justitie heeft de inspectie en controle van al haar internetverkeer uitbesteed aan Solvinity. Dat kan iedere e-mail van Justitie technisch gezien meelezen, zei IT-expert Bert Hubert eerder tegen Follow the Money na bestudering van de aanbestedingsstukken.
Ook schreven we eind vorig jaar dat Solvinity technisch toegang heeft tot het DigiD-systeem. Demissionair staatssecretaris Eddie van Marum (BBB), die dat eerst nog ontkende, bevestigde dat een paar dagen later in antwoord op Kamervragen. De bewindsman deed dat niet zomaar, maar na overleg met de overheidsorganisatie (Logius) die DigiD beheert.
Ik weet wel wie ik geloof in dit geval.
Heldhaftig 'verzet'
Eveneens doorzichtig was het argument dat Solvinity een Nederlands bedrijf is en blijft. Van de Amerikaanse Cloud Act en de Foreign Intelligence Surveillance Act is nu juist bekend dat ze extra-territoriale werking hebben. Amerikaanse bedrijven moeten voldoen aan inlichtingenbevelen, ook als de gegevens in de polder staan. Dat de data 'van de klant' zijn, betekent in dit kader niets. Dat hier Nederlands recht geldt, helpt evenmin.
Dat komt ook omdat de kans groot is dat niemand ooit zal weten of Kyndryl in de data graaft. De bevelen gaan namelijk vaak gepaard met 'gag orders', wat betekent dat het bedrijf het bevel geheim moet houden. Dus zo'n opmerking dat ze de klant zullen 'informeren', is tamelijk gratuit. Dat geldt ook voor het aanprijzen van de raad van commissarissen: die heeft geen enkele notie van welk bevel dan ook.
Maar wees gerust: de Nederlandse tak zal zich altijd verzetten 'binnen de grenzen van de wet'. Inspirerend in dit verband zijn de sancties van Trump jegens rechters en officieren van justitie van het Internationaal Strafhof. Europese werknemers van Microsoft blokkeerden vervolgens hun e-mailaccounts. Ook konden ze geen zaken meer doen met Amazon en Paypal.
Tegenover de Franse senaat verklaarde een directeur van Microsoft vorig jaar onder ede dat Amerikaanse wetten voor haar prevaleren boven Europese en nationale wetgeving.
Als dochteronderneming van een grote Amerikaanse multinational moet je bovendien luisteren naar je enige aandeelhouder. De bewering dat de moeder 'geen directe inspraak' heeft, zal daarom in menig bestuurskamer gniffelend zijn aangehoord. Als Kyndryl-directeur Ron Bravenboer weigert om de marsorders uit New York uit te voeren, voorspel ik dat zijn dienstverband spoedig tot een einde zal komen.
Financiële belangen in de VS
In de statuten van Kyndryl BV staat hierover: 'De algemene vergadering [van aandeelhouders, red.] kan een directeur te allen tijde schorsen en ontslaan.' Zoals je ziet hoeft de raad van commissarissen niet eens gekend te worden in dit besluit. Dit is gebruikelijk bij een BV, maar kom dan niet aan met praatjes over commissarissen.
Kyndryl heeft flinke financiële belangen in de VS. Het doet grote opdrachten voor het Amerikaanse ministerie van Defensie – contracten die het bedrijf liever niet op het spel zet door niet te voldoen aan gerechtelijke bevelen of presidentiële decreten ten aanzien van een Europees staatje als Nederland.
'Het komt neer op vertrouwen,' zei een van de vier Kyndryl-managers in de Tweede Kamer. Dat klopt dan wel weer helemaal, want garanties zijn er dus niet.
Naïviteit
En dat is een keuze die we in onze naïviteit welbewust hebben gemaakt. Vitale overheidsdiensten waarop ook onze rechtsstaat leunt, zijn geparkeerd bij commerciële bedrijven, zonder veel waarborgen.
In de hoorzitting in de Kamer over de overname van Solvinity dinsdagavond merkte Bert Hubert terecht op dat de overheid in het verleden ook vitale diensten (energie, zorgverzekeringen etc.) aan de markt overliet, maar die wel volledig dichtregelde met strenge wetten en toezicht.
De contractuele waarborgen zijn in het geval van Solvinity volstrekt ontoereikend, blijkt nu. Dat vraagt dus om een geheel andere manier van IT-inkoop.
Gaat de overname nog door? Ik hoor graag je voorspelling.
Het beste. |
