Er bestaat een soort macht die zich nooit aandient bij de voordeur. Ze komt binnen via een contract, een pilot, een gunst tijdens een crisis. Ze vraagt geen mandaat en zoekt geen debat. Tegen de tijd dat iemand vraagt hoe het zover kon komen, is ze al jaren onderdeel van het meubilair. Twee dossiers die het Nederlandse publieke debat de afgelopen maanden beheersten — het Amerikaanse data-analysebedrijf Palantir en de blokkade van de overname van DigiD-beheerder Solvinity — gaan in de kern over precies dat: niet over één omstreden bedrijf of één omstreden deal, maar over de vraag wie eigenlijk de zeggenschap heeft over de digitale ruggengraat van de staat. En vooral: hoe weinig die vraag werd gesteld toen het ertoe deed.

Het zijn formeel twee losstaande kwesties. Palantir levert analysesoftware aan politie en krijgsmacht; Solvinity host de infrastructuur waarop DigiD draait. Er loopt geen contract van het ene naar het andere. Maar wie beide naast elkaar legt, ziet hetzelfde patroon, dezelfde reflex en dezelfde blinde vlek. Ze zijn twee gezichten van een onderliggend verschijnsel: een overheid die de bouwstenen van haar eigen soevereiniteit gaandeweg heeft uitbesteed, grotendeels buiten het zicht van het parlement, en die nu — laat, haastig, en met de schade al deels geleden — probeert de regie terug te nemen.

De pijler die niemand mocht zien

Het verhaal van Palantir in Nederland begint niet in een Kamerdebat, maar in een opsporingsonderzoek. Het bedrijf kwam voor het eerst in beeld rond 2010, toen de politie bij de ontmanteling van het kinderpornonetwerk van Robert M. werd geconfronteerd met een berg data die met conventionele middelen onbekijkbaar was. Vanaf 2011 ging de politie de software gebruiken. Vanaf 2018 werd Palantir de spil onder wat intern “de Raffinaderij” ging heten: een centraal dataplatform waarin politiegegevens over miljoenen Nederlanders aan elkaar worden geknoopt, doorzoekbaar gemaakt en geanalyseerd. Volgens bronnen die met Follow the Money spraken is de Raffinaderij in feite weinig meer dan standaardsoftware van Palantir, draaiend op de meest gevoelige databanken die de politie bezit.

Het opmerkelijke is niet dat de politie geavanceerde data-analyse inzet — dat doet bijna elke moderne opsporingsdienst. Het opmerkelijke is hoe het gebeurde. De aanschaf vond plaats zonder openbare aanbesteding. Een deel van de afspraken werd gesloten op “need to know”-basis: alleen wie strikt noodzakelijk betrokken was, mocht weten dat Palantir werd ingezet. En de man die in die jaren als directeur-generaal van de politie bij de aankoop betrokken was, is inmiddels demissionair premier: Dick Schoof. Een omstreden Amerikaanse technologie nestelde zich in het hart van de Nederlandse opsporing, met medeweten van iemand die later de hoogste politieke functie van het land zou bekleden, terwijl de volksvertegenwoordiging er nauwelijks weet van had.

De geslotenheid hield jaren stand. Een Woo-verzoek uit 2019 leidde tot een uitputtingsslag van trage besluiten, dwangsommen en rechterlijke aanwijzingen. Uiteindelijk gaf de politie 931 documenten vrij — waarvan, volgens de berichtgeving op basis van de Volkskrant, het overgrote deel zwartgelakt was; over de periode 2012-2019 meer dan 99 procent. De rechtbank Amsterdam tikte de politie op de vingers: de motivering voor de geheimhouding was te vaag en te algemeen, het beroep op het opsporingsbelang te ruim, en documenten waren soms dubbel en driedubbel weggelakt onder elkaar overlappende uitzonderingen. De politie moest opnieuw beoordelen en concreter uitleggen welk belang openbaarmaking nu eigenlijk zou schaden.

Een crisis als verkoopkans

Wat de zaak van een opsporingskwestie tot een breder bestuurlijk probleem maakt, is wat er tijdens de coronapandemie gebeurde. In maart 2020 meldde Palantir zich bij het ministerie van Volksgezondheid met een aanbod: een vrijwel realtime “COVID-19 response platform”, in samenwerking met Amazon Web Services, gratis. Het bedrijf bood naar verluidt zelfs toegang tot medische gegevens op patiëntniveau. Het kwam niet tot een landelijke uitrol bij VWS, maar de software vond wel haar weg naar zes zuidelijke veiligheidsregio’s, die onder de naam Fieldlab Zuid6 een “coronadashboard” bouwden. De software mocht gratis worden gebruikt — maar het bedrijf vroeg in ruil toegang tot het netwerk van die veiligheidsregio’s: politie, brandweer, rampenbestrijding.

De interne documenten die Follow the Money hierover boven water haalde, schetsen een ongemakkelijk beeld. Ambtenaren waren zichtbaar gecharmeerd van de mogelijkheden; Palantir van zijn kant zag een etalage. Er stonden demonstraties gepland bij de Raad van Commandanten en Directeuren van de Veiligheidsregio’s en zelfs bij Defensie. Toen de gewenste contractverlenging uitbleef, stuurde een medewerker van Palantir in maart 2021 nog een persoonlijke mail: men geloofde in het project en was bereid te investeren. Het is het klassieke mechanisme dat onderzoekers al langer benoemen: wie je uit de brand helpt, kun je daarna moeilijker streng reguleren. Een crisis verlaagt de drempel, en wat als noodoplossing binnenkomt, heeft de neiging te blijven.

Het kabinet houdt vol dat de schade beperkt bleef. Volgens minister Van Weel werd de pilot bij de veiligheidsregio’s in 2021 beëindigd, werden uitsluitend openbare bronnen gebruikt en had Palantir geen toegang tot persoonsgegevens. De data binnen de Raffinaderij, zo verzekert het kabinet, blijven strikt binnen het politiedomein en worden nooit met de leverancier gedeeld. Dat zijn relevante geruststellingen. Maar ze laten de structurele vraag onbeantwoord: hoe kan een land dat zegt te hechten aan democratische controle, jarenlang zonder aanbesteding, zonder debat en met bijna volledige geheimhouding een buitenlandse technologie tot fundament van zijn opsporing maken — en dat pas erkennen nadat journalisten en privacy-experts het via de rechter hebben afgedwongen?

Het buitenland als spiegel

De zorgen krijgen contrast tegen de internationale achtergrond van het bedrijf. Palantir ontstond in 2003 met steun uit de Amerikaanse inlichtingenwereld en geldt sindsdien als controversieel. Het levert software aan ICE voor het opsporen van migranten — sinds begin 2025 voor meer dan 81 miljoen dollar aan contracten, waaronder een targetingtool die gegevens van de Amerikaanse gezondheidsdienst gebruikt om deportatiedoelwitten in kaart te brengen. Het ondersteunt het Israëlische leger. En via het Maven Smart System is het sinds april 2025 ook bij de NAVO in gebruik; de Nederlandse krijgsmacht zet de software in voor interoperabiliteit met bondgenoten. In Duitsland verklaarde het constitutioneel hof het politiegebruik van Palantir in 2023 ongrondwettig, omdat de wet onvoldoende afbakende wat met persoonsgegevens mocht gebeuren.

Dat laatste is het scharnierpunt. Het bezwaar tegen een instrument als de Raffinaderij is niet dat data-analyse op zichzelf verwerpelijk is, maar dat een technologie die ongelijksoortige bronnen tot verfijnde profielen aaneensmeedt, juridisch scherp moet zijn ingekaderd en publiek controleerbaar moet zijn. Precies die twee voorwaarden — wettelijke begrenzing en transparantie — zijn in het Nederlandse geval het zwakst gebleken.

DigiD: dezelfde reflex, andere laag

Terwijl de Palantir-onthullingen zich opstapelden, ontvouwde zich een tweede zaak die op het eerste gezicht over iets heel anders ging, maar bij nadere beschouwing dezelfde structuur blootlegt. In november 2025 maakte het Amerikaanse Kyndryl — in 2021 afgesplitst van IBM en naar eigen zeggen ‘s werelds grootste leverancier van IT-infrastructuurdiensten — bekend de Nederlandse cloudleverancier Solvinity te willen overnemen. En Solvinity is geen willekeurig bedrijf: het houdt de infrastructuur draaiende achter DigiD, MijnOverheid, de Berichtenbox en Digipoort. DigiD is de digitale sleutel waarmee zo’n 16,5 miljoen Nederlanders toegang krijgen tot de Belastingdienst, zorgverzekeraars en pensioenfondsen; in 2025 verwerkte het systeem 645 miljoen authenticaties, een aantal dat jaarlijks met tien tot vijftien procent groeit.

Hier is een belangrijke nuance op haar plaats, juist omdat de twee dossiers makkelijk door elkaar lopen. DigiD zelf was nooit te koop. De functionele regie en de zeggenschap over de data blijven bij de overheidsdienst Logius. Solvinity is de partij die de onderliggende cloud- en hostinginfrastructuur verzorgt. De kwestie draaide dus niet om de software van DigiD, maar om de vraag wie de machine bezit waarop die software draait — en, een laag dieper, onder welke jurisdictie de moedermaatschappij van die eigenaar valt. Want zodra het eigendom naar een Amerikaanse entiteit verschuift, komen extraterritoriale wetten als de CLOUD Act in beeld, die de Amerikaanse overheid onder omstandigheden toegang kunnen geven tot data van bedrijven die onder haar rechtsmacht vallen. De vrees in de Tweede Kamer was tweeledig: dat Washington via Kyndryl bij gevoelige gegevens van Nederlandse burgers zou kunnen, of in het uiterste geval de stekker uit een vitale dienst zou kunnen trekken.

Anders dan bij Palantir kwam de politiek deze keer wel in beweging — en op tijd. Er ontstond maatschappelijke ophef; burgers en prominenten spanden kort gedingen aan. De Tweede Kamer nam met een overweldigende meerderheid van 141 stemmen een motie aan die het kabinet opriep het DigiD-hostingcontract in 2028 niet te verlengen als de overname zou doorgaan. En op 25 mei 2026 hakte staatssecretaris Willemijn Aerdts de knoop door: op dwingend advies van het Bureau Toetsing Investeringen werd de overname definitief verboden, wegens onaanvaardbare risico’s voor het publieke belang. Omdat een volledig verbod wettelijk openbaar moet worden gemaakt, kwam een normaal gesproken in stilte verlopend proces ditmaal in het volle licht te staan. Aerdts zei snel te hebben moeten handelen nadat ze “serieuze indicaties” kreeg dat de transactie bijna rond was.

Daarbij speelde vermoedelijk nog een complicerende factor mee. Midden in het onderzoek, in februari 2026, maakte Kyndryl bekend zijn kwartaalrapportage niet te kunnen indienen; er liep een onderzoek naar kasbeheer en interne controles, de SEC opende een handhavingszaak, topfunctionarissen vertrokken en het aandeel kelderde. Juristen wijzen erop dat de “staat van dienst” van de overnemende partij een zelfstandige grond voor een verbod kan zijn — wat de officiële, geheimgehouden motivering van het kabinet zou kunnen verklaren.

Eén probleem onder twee namen

Wat verbindt de pijler onder de Raffinaderij met de servers onder DigiD? Niet een contract, maar een conditie. In beide gevallen rust een vitale staatsfunctie op een fundament dat in laatste instantie onder buitenlandse — Amerikaanse — zeggenschap valt of dreigde te vallen. In beide gevallen bleek de afhankelijkheid pas zichtbaar toen iemand er gericht naar groef. En in beide gevallen draait de discussie uiteindelijk niet om techniek, maar om eigendom, governance en jurisdictie. Zoals een analyse van de Solvinity-zaak het kernachtig stelde: de soevereiniteit faalt hier niet door technologie, maar door ontwerpkeuzes rond eigendom en zeggenschap. DigiD functioneert technisch voortreffelijk. Dat was nooit het probleem.

Het bredere besef begint inmiddels door te dringen. Tijdens een drukbezochte hoorzitting in de Tweede Kamer pleitten deskundigen ervoor dat Nederland het beheer van platforms waarop vitale diensten als DigiD draaien weer in eigen hand neemt — desnoods via een staatsdeelneming of publiek-private constructie. Hoogleraar Nitesh Bharosa van de TU Delft wees erop dat de overheid tegelijk de brand moet blussen en structureel moet voorbouwen; anderen herinnerden eraan dat met iDEAL in het betalingsverkeer iets soortgelijks gebeurde. De cijfers maken de afhankelijkheid concreet: de overheid koopt jaarlijks voor zo’n 180 miljoen euro aan clouddiensten in, grotendeels bij Amerikaanse hyperscalers. De Kamer nam moties aan om DigiD-servers in Nederlandse handen te houden, in te zetten op open source — waarvan de broncode controleerbaar is — en zelfs te testen wat er gebeurt als een Amerikaanse aanbieder plotseling wegvalt. Op Europees niveau loopt intussen de invoering van de European Digital Identity, een EU-brede tegenhanger van DigiD, gepland voor eind 2026.

De staat als bouwheer: regie zonder reflex

De voor de hand liggende conclusie is dat de overheid de teugels strakker in handen moet nemen — centraler moet sturen en de vitale digitale infrastructuur naar zich toe moet trekken in plaats van haar telkens te beleggen bij grote, vaak buitenlandse leveranciers. Op papier is die kanteling inmiddels ingezet. De ministerraad stemde eind 2025 in met een Visie Digitale autonomie en soevereiniteit, waarin een kernidee centraal staat: de overheid moet zelf kunnen kiezen welke technologie ze gebruikt, moet kunnen overstappen als een leverancier wegvalt of niet aan de eisen voldoet, en moet daarvoor voldoende kennis in eigen huis hebben. Het coalitieakkoord van 2026 ging een stap verder en kondigde een regelrechte “revolutie” aan in de rijks-ICT. Waar ministeries tot dusver grotendeels hun eigen koers voeren — mede gesteund door de departementale autonomie die artikel 44 van de Grondwet hun verleent — moet er nu centrale aansturing komen vanuit Binnenlandse Zaken, met centrale inkoop, verplichte standaarden en een nieuwe Nederlandse Digitale Dienst die “doorzettingsmacht” krijgt om keuzes af te dwingen. IT-projecten boven de vijf miljoen euro krijgen pas geld als ze aan die centrale eisen voldoen. Digitale autonomie wordt, in de woorden van het akkoord, het leidende principe.

Daarmee verschuift de vraag van het *of* naar het *of het kan*. En precies daar wordt het ongemakkelijk. Centralisatie klinkt als een bestuurlijke knop waaraan je draait, maar het veronderstelt iets wat de overheid juist structureel mist: mensen, kennis en uitvoeringskracht. Een staat die zijn infrastructuur naar zich toe trekt, moet die infrastructuur ook kunnen bouwen, beheren en doorgronden — en daar wringt het. De Algemene Rekenkamer concludeerde dat het Rijk “ondoordacht” naar de cloud is gestapt en onvoldoende heeft nagedacht over de risico’s. Dat is geen toeval, maar een symptoom van een dieper capaciteitsprobleem. Wie zelf te weinig technische kennis in huis heeft, kan bijna niet anders dan leunen op de partij die de kennis wel heeft — en dat is precies hoe Palantir en Solvinity in beeld kwamen. Afhankelijkheid is in die zin niet alleen een inkoopkeuze, maar het gevolg van een kennistekort.

Heeft de staat de mensen wel?

Het cijfermatige beeld is ontnuchterend. Nederland telde in 2022 zo’n 673.000 digitale professionals; in 2023 daalde dat aantal voor het eerst, met drieduizend. Tegelijk houdt het kabinet vast aan de ambitie van 1 miljoen ICT’ers in 2030 — een doel dat zich verder van de werkelijkheid verwijdert naarmate het aanbod stagneert in plaats van groeit. Onderzoekers verwachten dat bij vrijwel alle ICT-beroepen knelpunten ontstaan, met de grootste tekorten juist bij de hoogopgeleide software- en netwerkspecialisten die je nodig hebt om een eigen, soevereine infrastructuur te dragen. Dat zijn niet de functies die je makkelijk vult, en al helemaal niet binnen de salarisschalen van het Rijk. Veelzeggend is dat experts erop wijzen dat het knelpunt niet eens primair bij de absolute topinkomens zit, maar bij de waardering en inschaling van ervaren technici in de midden­schalen — precies de ruggengraat van een uitvoeringsorganisatie.

Een ambitie als de Nederlandse Digitale Dienst staat of valt dus met de vraag of de overheid die “compacte, deskundige club” überhaupt bemenst krijgt in concurrentie met een markt die dezelfde schaarse mensen wegkaapt tegen hogere beloning. En dat raakt aan een ongemakkelijke waarheid achter het hele soevereiniteitsstreven: je kunt geen regie voeren over wat je niet begrijpt. Een overheid die enkel contractmanagers in huis heeft en de feitelijke techniek volledig uitbesteedt, blijft afhankelijk — ook als de servers toevallig in Nederland staan. Soevereiniteit is uiteindelijk geen kwestie van eigendomspapieren, maar van begrip en bekwaamheid.

De wortel van het probleem ligt in de klas

Hier komt het onderwijs in beeld, en dat is geen bijzin maar de kern. De capaciteit waarover de staat in 2030 wil beschikken, wordt nucin de schoolbanken gevormd — of juist niet. En daar stapelen de alarmsignalen zich op. Slechts ongeveer de helft van de middelbare scholen biedt onderwijs in digitale vaardigheden of informatica aan, vooral door een gebrek aan docenten. Het lerarentekort is bij informatica het nijpendst van alle vakken: waar het al jaren rond een kwart schommelde, lopen prognoses op naar de helft en op langere termijn naar meer dan zestig procent onvervulde formatie. Scholen die geen informaticadocent kunnen vinden, schrappen het vak simpelweg — waarmee een hele generatie leerlingen de eerste kennismaking met programmeren, datalogica en computationeel denken misloopt. De pijplijn die de toekomstige ambtenaren, beveiligingsspecialisten en systeemarchitecten van de staat moet voeden, lekt al aan de bron.

Daarmee ontstaat een vicieuze cirkel die het hele soevereiniteitsdebat ondergraaft. Te weinig informaticadocenten leiden tot te weinig en te slecht voorbereide ICT-studenten; die schaarste drijft de salarissen in het bedrijfsleven op; de overheid kan in die strijd om talent niet meekomen; en dus blijft ze leunen op externe leveranciers — wat de afhankelijkheid bestendigt die ze nu juist wil afbouwen. Wie deze cirkel niet doorbreekt, kan nog zoveel visiedocumenten en Digitale Diensten optuigen, maar bouwt op zand. Initiatieven als zij-instroom- en omscholingstrajecten voor ICT-docenten en versnelde lerarenopleidingen proberen het gat te dichten, maar ze opereren op een schaal die niet in de buurt komt van wat de ambities vergen.

Dat is meteen de reden waarom dit verhaal niet eindigt bij een verbod of een blokkade. Het verbieden van een overname is een eenmalige defensieve handeling; het opbouwen van een staat die zijn eigen digitale fundament begrijpt en kan dragen, is een investering van een andere orde — in geld, maar vooral in onderwijs en mensen, over een horizon van tien tot twintig jaar. En juist op dat punt blijft het opvallend stil. In de budgettaire tabellen van het coalitieakkoord ontbreken concrete bedragen voor digitalisering; de grote woorden over autonomie en doorzettingsmacht worden niet gedekt door zichtbaar geld. Een soevereiniteit die wel wordt uitgesproken maar niet wordt gefinancierd, en die niet wordt ondersteund door een onderwijssysteem dat de benodigde mensen aflevert, blijft een intentie. De vraag is niet of Nederland zijn digitale infrastructuur naar zich toe wil trekken — dat wil het inmiddels hardop. De vraag is of het bereid is de prijs te betalen die daar onlosmakelijk bij hoort.

De prijs van comfort

Het is verleidelijk om dit te lezen als een verhaal over Amerikaanse bedrijven die de Europese soevereiniteit ondermijnen. Maar dat is te makkelijk, en het mist het werkelijke punt. Palantir kwam binnen omdat de software werkte en de politie een acuut probleem had. Solvinity dreigde in Amerikaanse handen te vallen omdat een Brits-Nederlands bedrijf nu eenmaal verkoopbaar is op een open markt. De afhankelijkheid is niet door anderen opgelegd; ze is, stap voor stap, gunst voor gunst, door Nederland zelf gekozen — meestal omdat de buitenlandse oplossing op dat moment sneller, goedkoper of beter was. Dat is de oude logica van een wereld waarin technologische verwevenheid als pure efficiëntiewinst werd gezien, en de vraag wie aan de knoppen zat als een academische bijzaak.

Die logica is aan het kantelen. Wat lang gold als verstandig inkoopbeleid, blijkt in een tijd van schuivende geopolitieke verhoudingen ineens een kwetsbaarheid. De staatssecretaris die in dezelfde adem het verbod uitsprak en benadrukte dat Nederland “grote waarde hecht” aan de aanwezigheid van Amerikaanse technologiebedrijven, belichaamt precies die overgang: een land dat zijn oude reflexen nog niet kwijt is, maar wel begint te beseffen dat afhankelijkheid en zeggenschap niet hetzelfde zijn.

De diepere les van beide dossiers is dan ook niet dat Nederland moet kiezen tussen openheid en veiligheid, of tussen efficiëntie en autonomie. Het is dat zeggenschap over de eigen digitale infrastructuur geen technische bijzaak is maar een politieke kernvraag — en dat die vraag thuishoort aan de voorkant, in het openbaar, voor het contract wordt getekend, en niet jaren later in een rechtszaal of een geheimgehouden Kamerbrief. De Kyndryl-blokkade laat zien dat het kan, als de politiek op tijd wakker is. De Palantir-affaire laat zien wat er gebeurt als ze dat niet is. Het is aan Nederland om te besluiten welke van die twee de regel wordt, en welke de uitzondering.

*Bronnen onder meer: Follow the Money, de Volkskrant, NieuwRechts, ICTMagazine, Computable, Clingendael, iBestuur, ICTRecht, TPO, Dutch IT Channel, MSP Business, Binnenlands Bestuur, Rijksoverheid.nl, de Algemene Rekenkamer, Universiteit Leiden, Researchcentrum voor Onderwijs en Arbeidsmarkt (ROA), officiële Kamerstukken en bekendmakingen, en SEC-deponeringen van Palantir en Kyndryl.*