ALGEMENE VERKLARING

De voorgenomen overname van Solvinity door Kyndryl heeft in Nederland tot debat geleid.

In reactie hierop onderstreept Daniëlle Schuur, CEO van Solvinity, zich te blijven inzetten voor het leveren van diensten aan de Nederlandse markt. “Solvinity levert veilige managed cloud-diensten, en dat blijven we doen. De beoogde overname door Kyndryl Nederland B.V. zal ons in staat stellen onze missie-kritische diensten te blijven beveiligen, sneller te schalen en te innoveren ten behoeve van onze klanten. Solvinity levert en beheert het platform waarop klanten veilig hun applicaties en data kunnen inzetten.”

Introductie

Recentelijk hebben wij de voorgenomen overname van Solvinity B.V. door Kyndryl Nederland B.V. aangekondigd. Wij leveren veilige managed cloud-diensten en blijven dit doen.

Dit nieuwe hoofdstuk in het Solvinity-verhaal zal geen invloed hebben op de beveiliging van onze missie-kritische diensten, ons in staat stelt sneller te schalen en te innoveren, en ons in staat stelt een verbeterd aanbod van moderniserings-, beveiligings- en veerkrachtdiensten aan onze klanten te leveren. De overname is onderhevig aan goedkeuring door de toezichthouder.

We hebben enthousiaste reacties gezien, maar ook zorgen over de gevolgen van de voorgenomen overname. De zorgen gaan vooral over de soevereiniteit van onze diensten. De soevereiniteitsdiscussie is complex; het is een combinatie van juridische en technische maatregelen die wij treffen om onze diensten te leveren zoals onze klanten gewend zijn. Wij willen graag duidelijkheid geven over waarom onze aandeelhouders deze overname nastreven, waarom dit onze dienstverlening aan klanten zal verbeteren, en wat de positieve impact is op onze diensten.

Hieronder vindt u antwoorden op veelgestelde vragen van de afgelopen weken.

Wat doet Solvinity? Is het een cloudprovider?

Solvinity levert veilige managed cloud-diensten. Solvinity ontwerpt, bouwt en onderhoudt diensten met gebruik van standaard hardware, software en diensten van derden. Op verzoek van de klant kunnen wij publieke en/of private cloudoplossingen leveren.
Indien gewenst kunnen de diensten volledig door de klant worden beheerd volgens de hoogste kwaliteits- en beveiligingsstandaarden. Dat betekent dat wij organisaties helpen hun data op de voor hen beste manier op te slaan.

Met onze private cloudoplossingen wordt data uitsluitend opgeslagen in datacenters in Nederland. Onze engineers zijn er volledig op gericht om de afspraken met de klant uit te voeren en veilige managed cloud-diensten te leveren. De klant beheert de applicatie en de data.

Wat voor bedrijf is Kyndryl?

Kyndryl is een beursgenoteerde onderneming met hoofdkantoor in New York. Het bedrijf is genoteerd aan de New York Stock Exchange en bestaat sinds 2021, toen het werd afgesplitst van IBM. Kyndryl is geen ‘hyperscale cloud provider’ zoals Microsoft, Amazon of Google, maar een IT-dienstverlener en integrator die klanten helpt bij het bouwen en onderhouden van veilige en missie-kritische digitale diensten.

Kyndryl hanteert robuuste beveiligingspraktijken volgens industriestandaarden en frameworks, zoals het National Institute of Standards and Technology (NIST) en de International Organization for Standardization (ISO), en beschikt over relevante security- en privacycertificeringen, attestaties en auditrapporten.

Kyndryl en zijn voorgangers zijn al decennia actief in Nederland, met Nederlandse klanten en personeel. Kyndryl Nederland B.V. heeft momenteel honderden medewerkers in Nederland en werkt voor diverse overheidsklanten en klanten in sterk gereguleerde sectoren zoals de financiële sector.

Kyndryl Nederland B.V. is ABDO-geautoriseerd (Algemene Beveiligingseisen voor Defensieopdrachten) door het Ministerie van Defensie. Kyndryl is recent aangemerkt als Kritische Derde Partij (Critical Third Party) onder de Digital Operational Resilience Act (DORA), waardoor Kyndryl onder toezicht staat van de Europese toezichthouders.

Kyndryl Nederland B.V. werkt met een tweelaags bestuursmodel:

Een aparte Directie (“bestaande uit één (Nederlandse) directeur”) en een lokaal managementteam van Nederlandse medewerkers
Een externe, onafhankelijke Nederlandse Raad van Commissarissen (RvC), bestaande uit niet-Kyndryl medewerkers, Nederlandse staatsburgers met lokale expertise en kennis. De Raad van Commissarissen ziet toe op en adviseert de Directie, zodat Kyndryl Nederland B.V. wordt bestuurd in het belang van het bedrijf en haar stakeholders, waaronder aandeelhouders, medewerkers, schuldeisers en het publieke belang.

Belangrijke kenmerken:

Goedkeuring van de Raad van Commissarissen is vereist voor belangrijke managementbeslissingen.
De Raad van Commissarissen kan adviseren over grote zakelijke beslissingen die een significante impact hebben op de belangen van het bedrijf en haar bedrijfsvoering.

Wat betekent deze overname voor Solvinity?

Solvinity levert hoogwaardige technologische diensten in Nederland, met name op het gebied van security, digitale transformatie en innovatie met nieuwe technologieën. Deze diensten worden geleverd aan klanten in de overheid, banken en andere sectoren.
Omdat digitale technologie en digitale dreigingen zich snel ontwikkelen, zijn strategische investeringen en verantwoord innoveren essentieel.

Een van de grootste uitdagingen van Solvinity is het continu opschalen van hoogwaardige diensten. Kyndryl’s expertise, schaalgrootte en diepgaande technische kennis bieden Solvinity de kracht om dit te doen. Kyndryl is daarmee een strategische partner die weet wat nodig is om leider te blijven in kwaliteit, security en privacy op het hoogste niveau. Daarnaast levert Solvinity soevereine veilige managed cloud-diensten, wat een aanvulling zal zijn op de Kyndryl-diensten in Nederland.

Welke diensten levert Solvinity aan de overheid en DigiD?

DigiD is een applicatie waarmee de overheid de identiteit van burgers kan verifiëren wanneer zij met de overheid willen communiceren. Het is de identiteitsvalidatie van Nederlandse burgers voor toegang tot overheidsdiensten. DigiD is eigendom van Logius, dat onder het Ministerie van Binnenlandse Zaken valt.

De DigiD-applicatie draait bovenop een platform dat is ontworpen en beheerd door Solvinity. De rol van Solvinity is beperkt tot het leveren en beheren van het platform waarop de DigiD-software draait: de servers, opslag en beveiligingsapparatuur. Alleen een beperkt aantal goedgekeurde medewerkers van Solvinity mag deze werkzaamheden uitvoeren. DigiD wordt gehost in een dubbel beveiligd overheidsdatacenter (ODC) in Nederland.

De beveiligingsmaatregelen van Solvinity zijn onderworpen aan certificeringen door derden, auditrapporten, waaronder SOC 1 & 2 en ISO 27001. Het werk van Solvinity aan DigiD wordt regelmatig geaudit op verzoek van het Ministerie van Binnenlandse Zaken, zoals gebruikelijk bij dit type klanten.

Wat betekent dit voor DigiD en vergelijkbare overheidsdiensten?

Na afronding van de overname zal Kyndryl de Nederlandse klantdata die nu in private clouds binnen Nederland staan, niet buiten Nederland verplaatsen en blijft het uitsluitend medewerkers in Nederland en de EU inzetten voor dienstverlening. Met andere woorden: Kyndryl is niet van plan om het beleid van Solvinity omtrent datasoevereiniteit te wijzigen en zal de kwaliteit van Solvinity’s bedrijfsbeveiliging juist versterken met Kyndryl’s geavanceerde infrastructuur, security en technologie.

Voor DigiD blijft het platform in Nederland gehost en onze rol in het project verandert niet. Kortom: er verandert niets in de manier waarop wij onze diensten aan klanten leveren.

Kan de Amerikaanse overheid data opvragen of diensten zoals DigiD stopzetten na de overname van Solvinity?

Een zorg die de afgelopen weken is geuit, is dat de Amerikaanse overheid Kyndryl zou kunnen dwingen om Nederlandse burgerdata te delen en/of DigiD of andere diensten te ‘stopzetten’. Wij begrijpen deze zorgen en willen hierop ingaan.

De scenario’s waarin de Amerikaanse overheid data zou kunnen opvragen zijn uiterst onwaarschijnlijk; en in dergelijke gevallen is het beleid van Kyndryl – zoals te lezen op hun Trust Center, inclusief transparantierapporten – gericht op het beschermen van klantprivacy en het nooit delen van klantdata, tenzij wettelijk verplicht. Kyndryl stelt dat zij elk verzoek toetst op naleving van toepasselijke wetgeving en elk verzoek dat onwettig, onduidelijk of te ruim is, juridisch of anderszins zal aanvechten.

Wat betekent deze overname voor de beveiliging van de data die Solvinity beheert?

Zowel Solvinity als Kyndryl blijven zich inzetten voor de hoogste standaarden van datagovernance, essentieel voor het vertrouwen van hun klanten, dat altijd de meeste prioriteit heeft. Solvinity en Kyndryl blijven voldoen aan alle Nederlandse, Europese en andere relevante wet- en regelgeving die van toepassing is op hun dienstverlening.

Daarnaast heeft Solvinity robuuste beveiligingsmaatregelen om risico’s op inmenging in de IT-omgeving van klanten te minimaliseren en te mitigeren, wordt regelmatig geaudit door derden en is SOC I en II gecertificeerd. Dit geldt ook voor Kyndryl.

Omdat beveiligingstechnologieën en regelgeving zich blijven ontwikkelen, brengt Kyndryl een schat aan extra ervaring en technologie mee om de bescherming verder te versterken. Kyndryl past wereldwijd best practices toe om hun diensten voortdurend te verbeteren. Zij signaleert kansen voor verbetering en implementeren deze in al zijn wereldwijde operaties, zodat klanten profiteren van de nieuwste ontwikkelingen, ongeacht waar deze vandaan komen.

Op aanwijzing van haar klanten biedt Solvinity de volgende private cloud-functionaliteiten die Kyndryl wil behouden:

Data lokalisatie: Bij het uitrollen en beheren van private cloud-instances binnen de EU blijven alle klantdata en back-ups in lokale datacenters. Momenteel hosten de private clouds van Solvinity alle data in faciliteiten in Nederland. Dit verandert alleen indien de klant dit verzoekt.
Operationele soevereiniteit: Op verzoek van de klant voor EU private cloud-instances blijft toegang beperkt tot EU-gebaseerde medewerkers van Kyndryl en Solvinity. Beide partijen bieden momenteel operationele soevereiniteit.
Toegangsbeheer: Solvinity hanteert strenge toegangscontroles – zoals zero-trust, privileged access pathways, klantgestuurde identity plane – zodat alleen personen met een ‘need to know’ en voorafgaande klantautorisatie toegang hebben tot de data. Solvinity heeft bepaalde toegangsbeperkingen geïmplementeerd waarbij klanttoestemming vereist is voor elke toegangsaanvraag, en Kyndryl is van plan deze praktijk te handhaven, tenzij de klant anders verzoekt.
Encryptie: Solvinity gebruikt sterke encryptie bij opslag, verzending en, afhankelijk van klantwensen, met sleutels beperkt tot de EU. Solvinity heeft momenteel contractuele beperkingen met sommige klanten waarbij hun toestemming vereist is voor elk verzoek tot gegevensverstrekking, en Kyndryl hanteert dezelfde strikte procedures voor haar klanten.
Soevereine logging: Op verzoek van de klant gebruikt Solvinity soevereine logging binnen private cloudoplossingen, zodat logs – inclusief securitylogs, systeemlogs, audittrails, toegangs- en authenticatielogs, metadata of telemetry – binnen de EU blijven en niet van buiten de EU toegankelijk zijn. Kyndryl volgt dezelfde aanpak om aan deze eisen te voldoen.

ALGEMENE VERKLARING

Introductie

Over Solvinity

Managed IT Solutions

Meld je aan
voor onze nieuwsbrief

ALGEMENE VERKLARING

Introductie

Meld je aan voor onze nieuwsbrief

Meld je aan
voor onze nieuwsbrief