Jouw DigiD onder Amerikaans beheer: wat het EU-soevereiniteitspakket voor je betekent

Elke keer dat je inlogt bij de Belastingdienst, je zorgverzekeraar of de gemeente, gebruik je DigiD. Wat de meeste mensen niet weten: het systeem dat dat inloggen mogelijk maakt, komt binnenkort onder beheer van een Amerikaans bedrijf. En precies dat soort constructie is wat Brussel op 27 mei wil aanpakken.

Wat presenteert Brussel op 27 mei?

De Europese Commissie kondigt op 27 mei 2026 een zogenaamd soevereiniteitspakket voor technologie aan. De kern: nieuwe regels die het gebruik van Amerikaanse cloudplatformen voor de verwerking van gevoelige overheidsgegevens van EU-landen moeten beperken.

Verantwoordelijk voor het pakket is Henna Virkkunen, uitvoerend vicevoorzitter van de Europese Commissie voor technologische soevereiniteit, veiligheid en democratie. Wat er precies in het pakket staat, is nog niet openbaar. Wat we weten is de richting: Brussel wil dat gevoelige overheidsdata, denk aan belastinggegevens, uitkeringsadministraties en identiteitssystemen, buiten het bereik blijft van niet-Europese wetgeving.

Dat het pakket nu komt is geen toeval. De Commissie werkte de afgelopen jaren al aan een reeks digitale regels. De Digital Services Act (DSA) stelde eisen aan grote online platforms. Het Digital Omnibus-pakket, gepresenteerd op 19 november, bracht aanvullende regulering. Het soevereiniteitspakket is de volgende stap, maar richt zich nu specifiek op de infrastructuur achter overheidsdata.

Waarom raakt dit Nederlandse burgers? De DigiD-casus

Om te begrijpen waarom dit concreet voelbaar is voor Nederlanders, helpt het voorbeeld van DigiD.

Het systeem wordt beheerd door Logius, een overheidsorganisatie die valt onder het ministerie van Binnenlandse Zaken. Het technische beheer van de infrastructuur lag tot voor kort bij Solvinity. Maar Solvinity wordt overgenomen door Kyndryl, een Amerikaans technologiebedrijf. Staatssecretaris Eric van der Burg heeft het contract getekend waarmee dat beheer formeel naar de Amerikaanse partij overgaat.

In een Kamerbrief schreef Van der Burg dat het niet verlengen van het contract de continuïteit en veiligheid van de dienstverlening in gevaar zou brengen. Dat is een reëel operationeel argument: systemen als DigiD kunnen niet zomaar van de ene op de andere dag naar een andere leverancier.

Critici in de Tweede Kamer en onder technologie-deskundigen stellen echter een ander risico aan de orde. Zodra een Amerikaans bedrijf betrokken is bij het technisch beheer van een systeem, kan de Amerikaanse CLOUD Act van toepassing zijn. Die wet stelt, kort samengevat, dat Amerikaanse autoriteiten bedrijven kunnen verplichten data te verstrekken, ook als die data fysiek op servers in Europa staat. Dat betekent dat persoonsgegevens van miljoenen Nederlanders, die via DigiD inloggen op overheidsportalen, in theorie bereikbaar zijn voor Amerikaanse overheidsdiensten.

Of dat in de praktijk ook gebeurt, is een andere vraag. Maar de juridische constructie maakt het mogelijk, en dat is precies wat Brussel met het soevereiniteitspakket wil voorkomen.

Wat verandert er voor jou?

Het pakket richt zich in eerste instantie op overheidsdata, niet direct op jouw privécloud of je Google-account. Maar de gevolgen reiken verder dan alleen overheidsportalen.

Als de nieuwe regels er komen, zullen organisaties die gevoelige data verwerken, moeten beoordelen of hun cloudleveranciers voldoen aan de nieuwe eisen. Dat geldt voor overheidsinstellingen, maar ook voor zorgaanbieders, scholen, pensioenfondsen en werkgevers die persoonsgegevens verwerken met Europese clouddiensten.

Concreet betekent dit dat je als burger in de komende jaren kunt verwachten:

• Overheidsorganisaties die hun cloudcontracten herzien of nieuwe eisen stellen aan leveranciers.
• Meer druk op Europese alternatieven voor clouddiensten, zoals GAIA-X, het Europese cloud-initiatief.
• Mogelijk hogere kosten of overgangsproblemen als organisaties van Amerikaanse naar Europese leveranciers moeten overstappen.

Wat het pakket niet gaat doen: het zal je niet verplichten om apps te verwijderen of je gedrag online te veranderen. De maatregelen richten zich op de instellingen die jouw data verwerken, niet op jou persoonlijk.

Wat volgt er na 27 mei?

Op 27 mei presenteert de Europese Commissie het pakket officieel. Daarna begint het wetgevingsproces: de Raad van de Europese Unie en het Europees Parlement moeten het voorstel behandelen, amenderen en uiteindelijk goedkeuren. Dat proces duurt doorgaans meerdere jaren.

Voor de Nederlandse situatie rond DigiD en Kyndryl verandert er op korte termijn niets. Het contract is getekend en de overgangstrajecten liggen vast. Maar de politieke druk vanuit Brussel en de Tweede Kamer om dit soort constructies in de toekomst te vermijden, neemt wel toe.

Wat je op 27 mei kunt verwachten: een persbericht van de Europese Commissie met de hoofdlijnen van het pakket, en waarschijnlijk een toelichting van Virkkunen. Of het ook concrete verbodsbepalingen bevat of eerder een richtinggevend kader is, wordt dan duidelijk.

Bronnen: Europese Commissie, Logius, Test-Aankoop, BNR Nieuwsradio

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiele beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.