Digitale soevereiniteit Bij defensie loopt het grootste ict-project van de Nederlandse overheid. De hele digitale infrastructuur wordt vernieuwd. Een miljardenopdracht die wordt uitgevoerd door Kyndryl, het Amerikaanse bedrijf dat nu het bedrijf wil kopen dat ervoor zorgt dat DigiD draait.
Opleidingscentrum voor Forward Air Controllers van defensie in 't Harde. IT is steeds belangrijker voor defensie: fregatten zijn een soort drijvende datacenters en straaljagers vliegende computers.
Twee keer per jaar zit de top van defensie in Nederland met de top van de bedrijven die de ict voor defensie leveren. Het wordt het partneroverleg genoemd. Dat klinkt anders dan een zakelijke bespreking tussen een opdrachtgever en zijn leverancier. En dat doet recht aan de verhoudingen, vertelt Michiel Borgers, directeur van het IT-bedrijf van defensie (JIVC). „Het is een partnerschap. Je zit tot topniveau aan tafel.”
Tijdens dat overleg worden scenario’s doorgesproken. Zoals: stel dat de regering van Donald Trump Amerikaanse techbedrijven als onderdeel ziet van het Amerikaanse oorlogsapparaat. Stel dat hij het Amerikaanse bedrijf Kyndryl, dat momenteel de hele IT-infrastructuur van defensie vernieuwt, opdracht geeft de Nederlandse verdediging te saboteren. Kan hij dat dan?
Een vertegenwoordiger van Kyndryl moet de plaatsvervangend Commandant der Strijdkrachten dan kunnen vertellen welke maatregelen het bedrijf daartegen heeft genomen. En houden die stand, of kan de Amerikaanse regering die overrulen?
Het is hetzelfde soort vragen als de Tweede Kamer stelt nu Kyndryl mogelijk de nieuwe eigenaar wordt van Solvinity, het van oorsprong Nederlandse bedrijf dat het technisch beheer doet voor inlogapplicatie DigiD. Een meerderheid in de Tweede Kamer vindt dat de overname moet worden tegengehouden, om te voorkomen dat de Amerikaanse overheid via Kyndryl bij DigiD zou kunnen. Volgens vertegenwoordigers van Solvinity en Kyndryl is er met tal van technische en juridische maatregelen voor gezorgd dat zo’n scenario zich niet zal voordoen.
Op dit moment toetst het Bureau Toetsing Investeringen (BTI) de mogelijke overname aan de telecomwet. BTI kijkt of vitale infrastructuur in het geding is en daarmee de nationale veiligheid. Uiteindelijk beslist de minister van Economische Zaken, Heleen Herbert (CDA), over de overname. De ACM oordeelde donderdag dat die geen concurrentieproblemen veroorzaakt. De zorgen gaan om veiligheid en digitale autonomie, niet om verstoring van de markt.
Er zijn ook Kamervragen gesteld over de rol van Kyndryl bij defensie. Want waarom zou Kyndryl wel een cruciale partner voor defensie kunnen zijn, maar niet DigiD mogen beheren? Het antwoord van defensie komt er op neer dat (door de MIVD gescreende) medewerkers van Kyndryl weliswaar toegang hebben tot plekken die essentieel zijn voor de Nederlandse weerbaarheid, maar Kyndryl kan die niet aan- of uitschakelen. De data van defensie stromen niet via platformen of apparatuur die Kyndryl beheerst. Zoals bij DigiD wel zou kunnen gebeuren.
Voor de meeste Nederlanders is het DigiD-debat de eerste keer dat ze van Kyndryl hoorden. De naam is relatief nieuw. Dat komt doordat het bedrijf in 2021 werd afgesplitst van het veel oudere en bekendere IBM. Het is een Amerikaanse beurgenoteerde onderneming met een jaaromzet van circa 16 miljard dollar (omgerekend ongeveer 13,5 miljard euro), die zich toelegt op het bouwen van IT-infrastructuur voor klanten. Dat wil zeggen: alle hardware- en software die een organisatie nodig heeft om te kunnen functioneren.
Defensie is sinds 2021 de grootste Nederlandse klant van het bedrijf. Kyndryl is de hoofdaannemer voor project Grensverleggende IT, afgekort GrIT. Onderaannemers zijn het Franse IT-bedrijf Atos en de Nederlandse IT-consultant Unica. Samen moeten ze in ongeveer tien jaar tijd en voor bijna 4 miljard euro de hele IT-infrastructuur van defensie moderniseren.
Dat gaat van de kabels tot de datacenters, de werkplekken en de servers. Zowel in rust als in actie. Er zijn ook datacenters voor op missie gebouwd, die door twee militairen samen te sjouwen zijn. Het consortium onder leiding van Kyndryl moet er voor 2030 ook voor zorgen dat alle applicaties van defensie (dat zijn er zo’n zesduizend) daar op kunnen draaien en dus in samenhang kunnen functioneren.
Het belang en de schaal daarvan zijn moeilijk te onderschatten. „Zonder IT is er geen gevechtskracht. Dan kunnen we Nederland niet beschermen. Onze rol als NAVO- en EU-lid niet vervullen”, vat brigadegeneraal Paul Ducheine samen. Hij is emeritus hoogleraar cyberoorlogsvoering en recht van de UvA en doet nu onderzoek aan het NATO Defense College in Rome.
Het is ook complex, want defensie is groot, wereldwijd actief en bestaat uit onderdelen die sterk van elkaar verschillen. De marechaussee moet beveiligd kunnen communiceren binnen de strafrechtketen. De marine moet via ‘battle fleet‘-managementsystemen met bijvoorbeeld Britten en Zuid-Koreanen kunnen praten. Met NAVO-partners en daarbuiten. En als een houwitser veel munitie heeft verbruikt tijdens een landmachtoefening in Duitsland zou er – vergelijk het met een supermarkt – geautomatiseerd een seintje naar voorraadbeheer moeten gaan voor aanvulling.
Ducheine spreekt van ‘groene IT’ (die meegaat op missies), witte IT (voor op kantoor), blauwe IT voor op zee en dan is er nog de ‘afgeschakelde, gesegregeerde IT’ tijdens militaire operaties.” Fregatten zijn tegenwoordig een soort drijvende datacenters en straaljagers vliegende computers.
Omdat met GrIT miljarden euro’s gemoeid zijn, krijgt de Tweede Kamer met regelmaat voortgangsrapportages. Die gaan uitgebreid in op de planning en verantwoording van budgetoverschrijdingen, maar weinig op de vraag of defensie té afhankelijk dreigt te worden van een Amerikaans bedrijf.
Toen GrIT werd aanbesteed was het geen probleem dat een consortium onder leiding van een Amerikaans bedrijf het contract won. Eerder een voordeel. Amerika is een vertrouwde NAVO-partner en het lag voor de hand, want Amerikaanse bedrijven domineren (met Chinezen en Israëli’s) in de informatietechnologie, of het nu gaat om de kabels, de servers, de clouds of de software.
En bij een klus van deze omvang was gelijk overduidelijk dat die veel te groot was voor Nederlandse spelers. Eigenlijk konden alleen de Amerikaanse reuzen zoals IBM en HP zoiets aan. En zelfs voor hen is het uitdagend.
Nog geen jaar geleden – in maart 2025 – was het Franse bedrijf Atos de onzekere factor binnen GrIT. Het bedrijf verkeerde in financiële problemen en dreigde om te vallen. Inderhaast werd samen met Kyndryl een plan B geschreven, schreef de staatssecretaris toen ter geruststelling aan het parlement.
Het verklaart mede waarom Nederlandse IT-experts GrIT vooral op hoofdlijnen lijken te kennen. . Ze kunnen eventuele risicovolle afhankelijkheden daardoor niet beoordelen en vermoeden dat defensie die heeft afgedekt. Maar tegelijk vinden ze vragen daarover nu uiterst relevant. Ronald Prins was nog de baas bij cybersecuritybedrijf Fox-IT toen de aanbesteding begon. Hij zegt bijvoorbeeld: „We vinden het al belangrijk dat we niet kunnen inloggen op burger-IT als de Amerikanen boos zijn. Het moet niet zo zijn dat we onze leger-IT niet kunnen inzetten als de Amerikanen boos zijn.”
In antwoord op Kamervragen over de inzet van Amerikaanse bedrijven zoals Kyndryl en ook Cisco schreef de vorige staatssecretaris van Defensie, Gijs Tuinman (BBB) op 26 januari ‘op dit moment geen veiligheidsrisico’s te zien’. „Alle data wordt uitsluitend binnen de eigen defensie-datacenters verwerkt en opgeslagen; export van die data is niet toegestaan.” Bij het beheer van de datacenters zijn Nederlandse medewerkers van Kyndryl betrokken. Die ondergaan dezelfde screening als defensiepersoneel. „Deze maatregelen sluiten de invloed van Amerikaanse wetgeving op de IT-systemen effectief uit of mitigeren ze”, schreef Tuinman.
Dat komt doordat Kyndryl hier ict levert volgens ‘het oude model’. Defensie koopt de software en de kennis, maar zet het wel in eigen datacenters. En dus niet in een Amerikaanse cloud. Er zijn geen netwerkverbindingen met Kyndryl.
Defensiedirecteur Borgers voegt daar telefonisch aan toe dat ook ingekochte hardware door defensie wordt gecheckt voor die in gebruik wordt genomen. Defensie gaat bovendien altijd uit van wat hij ‘last standing IT’ noemt: „Als het spannend wordt, moeten we het zelf weer kunnen beheren.”
Hij pleit voor nuance en waarschuwt voor het vergelijken van appels met peren als DigiD en GrIT naast elkaar worden gelegd. Kyndryl geeft geen antwoord op vragen over de technische waarborgen en over de verschillen tussen DigiD en GrIT.
Bij defensie wordt voortdurend geprobeerd te wegen of wat Trump roept „echt een koers is of een proefbalon”, zegt Borgers. „Je wilt wel stabiel zijn en niet elke keer reageren.” Amerikaanse bedrijven zijn bovendien niet in de ban in Nederland. Zoals bijvoorbeeld wel geldt voor Russische of in sommige gevallen Chinese bedrijven. „Als Trump hele extreme besluiten neemt, dan ga je een aantal scenario’s met alternatieven uitlopen. Dan heb je een nieuwe situatie.” Op dit moment „denken we voldoende maatregelen te hebben genomen en waarborgen georganiseerd”, zegt de directeur. „Ik ben niet bezorgd.”
Volg de laatste politieke ontwikkelingen in de VS op de voet