Drie dossiers, één soevereiniteitsprobleem — Statecraft

Tussen juli 2025 en april 2026 spelen zich in Nederland drie dossiers tegelijk af die elk afzonderlijk al een statecraft-vraagstuk zouden zijn, en die samen de feitelijke positie van Nederland in 2026 laten zien. Het gaat om een datalek bij een Frans-Luxemburgs zorgconcern waarbij de gegevens van bijna een miljoen Nederlandse vrouwen werden gestolen en losgeld werd betaald aan een Russischtalige criminele organisatie. Het gaat om een Chinese chipfabrikant in Nijmegen waarvan de Nederlandse Staat met een noodwet uit 1952 de feitelijke controle heeft overgenomen. En het gaat om de aanstaande overname van de IT-leverancier achter DigiD en MijnOverheid door een Amerikaans concern dat onder de CLOUD Act valt. Drie verschillende buitenlandse moeders, drie verschillende vormen van afhankelijkheid, drie verschillende reacties van de Nederlandse Staat. Wat ze delen is het onderliggende patroon: de zeggenschap over Nederlandse kritieke infrastructuur ligt niet meer in Nederlandse handen, en de Staat is pas tot ingrijpen geneigd als de geopolitieke druk dat afdwingt.

I. Eurofins en het zorgdatalek

De feiten in statecraft-frame

De Nederlandse Staat heeft een publieke kerntaak, het bevolkingsonderzoek baarmoederhalskanker waar burgers door diezelfde Staat actief toe worden opgeroepen, gedelegeerd via RIVM en Bevolkingsonderzoek Nederland aan vijf private screeningslaboratoria. Clinical Diagnostics NMDL is sinds 2018 dochter van het Frans-Luxemburgse Eurofins Scientific, een beursgenoteerd life sciences conglomeraat met circa 65.000 werknemers in 59 landen en een pro-forma omzet van ruim 6,5 miljard. De security monitoring van de Nederlandse omgeving lag bij een internationaal Eurofins SOC, opererend onder “key guidance documents” van het moederbedrijf. De lokale Nederlandse IT-afdeling was formeel eindverantwoordelijke, maar de feitelijke architectuur was transnationaal.

Tussen 3 en 6 juli 2025 verkreeg de ransomware-as-a-service operatie Nova, een rebrand van RALord met vermoedelijk Russischtalige infrastructuur en operationeel vermoedelijk vanuit een veilig rechtsgebied, drie dagen lang onopgemerkt toegang tot een legacy-omgeving. Die omgeving viel volgens Eurofins door “menselijke fout” buiten de scope van de SOC-monitoring. Het account dat werd gecompromitteerd had een wachtwoord van zestien karakters maar geen MFA. De ontdekking vond plaats op 6 juli. BVO NL werd pas op 6 augustus geïnformeerd.

Wat hier gebeurde, in statecraft-termen: een statelijke verantwoordelijkheid voor de gezondheidsgegevens van uiteindelijk 941.000 Nederlandse vrouwen, gegenereerd door een door de Staat aanbevolen onderzoek, is door drie governance-lagen naar buiten geschoven (RIVM, BVO NL, Clinical Diagnostics NMDL, Eurofins SOC) tot het punt waarop niemand binnen het Nederlandse soevereine bereik nog effectief eigenaar van het risico was.

Het ransom-incident

De meest geopolitiek relevante gebeurtenis krijgt in het IGJ-rapport van 8 april 2026 geen letter, maar staat in elke andere bron. Eurofins heeft Nova betaald, vermoedelijk rond 1,3 tot 1,6 miljoen euro in Bitcoin, op basis van Nova’s eigen formule van twee procent van de assets van de moedermaatschappij. Northwave bevestigde dit, RTL Nieuws kreeg het bevestigd door Nova zelf, en delen van de data verschenen alsnog op het lekplatform omdat Nova vond dat het slachtoffer de afspraak schond door politie te betrekken.

Dit betekent in praktijk dat een private actor binnen een door de Staat georganiseerd bevolkingsonderzoek, met persoonsgegevens van Nederlandse burgers, een transactie heeft uitgevoerd met een criminele organisatie die vermoedelijk opereert vanuit Russisch grondgebied. De Nederlandse Staat is niet de juridische opdrachtgever van die betaling en Eurofins is geen agent van de Staat, alleen ketenpartner via BVO NL. Maar de morele en bestuurlijke realiteit is dat publieke verantwoordelijkheid voor de uitvoering van een door de Staat aanbevolen onderzoek effectief is gebruikt om een vijandige niet-statelijke actor te financieren, zonder enige formele Nederlandse besluitvorming over die overdracht. Onder een staat die zichzelf serieus neemt zou dit een nationale veiligheidsdiscussie zijn over de vraag wie überhaupt bevoegd is om in naam van burgers die deelnemen aan een door de overheid aangeboden onderzoek, losgeld te onderhandelen met georganiseerde criminaliteit. In Nederland is het een voetnoot in een handhavingsbrief van een toezichthouder die expliciet stelt dat ze niet eens een boete mag opleggen.

Het toezichtsysteem als papieren architectuur

Lees de slotpassage van het IGJ-rapport opnieuw. “Op grond van de Wabpvz is de inspectie, voor zover zij toeziet op deze wet, niet bevoegd bestraffende maatregelen in te zetten.” Dat is de hele Nederlandse handhavingsarchitectuur in één zin. De wettelijke verplichting om volgens NEN 7510 te werken bestaat sinds het Besluit elektronische gegevensverwerking door zorgaanbieders. In de drie jaar voorafgaand aan het incident is er geen enkele audit uitgevoerd. De toezichthouder met sectorkennis (IGJ) mag alleen herstelmaatregelen opleggen. De toezichthouder die boetes mag opleggen (AP) heeft geen sectorkennis en doet er bij een dossier van deze omvang routinematig jaren over. Het maximale AVG-bedrag van 20 miljoen of 4 procent van de wereldomzet klinkt afschrikwekkend tot je beseft dat Eurofins een werkkapitaalbuffer voor incidenten van deze categorie houdt die deze boete absorbeert als kostenpost.

NEN 7510 functioneert hier als compliance-theater. SCAL binnen Eurofins Nederland had certificering, NMDL en LCPL hadden die niet, en niemand binnen de Eurofins-governance of binnen de Staat had blijkbaar belang of mandaat om die discrepantie tot escalatie te brengen. De directeur-bestuurder zei tegen de inspectie dat hij niet wist of er ooit een audit was gedaan, en moest dat na het inspectiebezoek navragen.

Het rapport citeert daarnaast NEN 7512 Hoofdstuk 5 als getoetste norm voor gegevensuitwisseling tussen zorgaanbieders: “Voordat het kader tot stand komt, behoort voor het geheel van de communicatiepartijen duidelijk te worden welke mate van risico acceptabel is.” Op de vraag welke richtlijnen Clinical Diagnostics hanteerde in de uitwisseling met BVO NL kwam het antwoord dat men technische standaarden gebruikte die voortkwamen uit de inrichting van elektronische patiëntendossiers, zoals Edifact en HL7v2. Dat is een protocolantwoord op een governance-vraag. De norm vereist dat partijen voorafgaand aan de uitwisseling het acceptabele risiconiveau gezamenlijk vaststellen, en daar bestond geen documentatie van. Het wettelijk kader vraagt op papier precies wat in de werkelijkheid niet bleek te bestaan, en de handhaving zwijgt. Dat is een sterker indictment dan het feit dat een norm werd overtreden: hier werd een norm overtreden waarvan de toezichthouder zelf erkent dat hij een essentieel vereiste is voor een effectief informatiebeveiligingsmanagementsysteem.

Regulatoire ontwijking via corporate herstructurering

De passage over NMDL is in statecraft-termen de meest cynische. Tussen het incident in juli 2025 en het plan van aanpak in februari 2026 zijn de laboratoriumactiviteiten van NMDL geheel overgedragen aan LCPL en heeft de Raad van Accreditatie in november 2025 de accreditatie van NMDL ingetrokken. Resultaat: het plan van aanpak voor NEN 7510-certificering hoeft volgens Eurofins alleen LCPL te dekken, omdat NMDL als operationele entiteit feitelijk is opgeheven. De entiteit waar de hack plaatsvond bestaat daarmee in handhavingstermen niet meer in dezelfde gedaante. Eventuele toekomstige sancties richten zich op een lege huls, terwijl de feitelijke onderneming met andere kop verder draait. Dit is exact het patroon dat private equity-gedreven zorgconcentraties mogelijk maken, en exact waarom Nederlandse toezichtsarchitectuur die ontworpen is voor stichtingen en familiebedrijven niet meer past op de werkelijkheid van de sector.

Het patroon: passieve overdracht zonder ingrijpen

De Nederlandse reactie op Eurofins is in essentie een briefrapport. Geen verwerkingsverbod, geen tijdelijke schorsing van de zorgrelatie, geen heroverweging van het uitbestedingsmodel, geen herziening van de NZa-concentratietoetsing op weerbaarheidsgronden. De Staat heeft de afhankelijkheid gecreëerd door uitbesteding, en de Staat ziet vervolgens toe hoe een buitenlandse moeder onderhandelt met criminele actoren over de gegevens van Nederlandse burgers. Dit is de eerste van de drie patronen: passief gedogen.

II. Nexperia en de noodwet uit 1952

De feiten in statecraft-frame

Nexperia is gevestigd in Nijmegen, voortgekomen uit Philips/NXP, en sinds 2018 eigendom van het Shanghai-genoteerde Wingtech Technology. Wingtech werd in december 2024 door de Verenigde Staten op de Entity List geplaatst, wat Amerikaanse bedrijven verbiedt zaken te doen met Wingtech. Eind september 2025 activeerde het ministerie van Economische Zaken de Wet beschikbaarheid goederen, een noodwet uit 1952 die in uitzonderlijke gevallen de beschikbaarheid van strategische goederen kan veiligstellen. Op 12 oktober 2025 kondigde het kabinet aan dat het de feitelijke controle had overgenomen. De Ondernemingskamer schorste kort daarop de Chinese CEO Zhang Xuezheng en plaatste Duitse interim-leiding aan het roer. De Amsterdamse rechter bevestigde de maatregelen in vervolg.

De gronden waren tweeërlei. Officieel: ernstige tekortkomingen in de bedrijfsvoering die de continuïteit en nationale veiligheid bedreigden. Volgens latere reconstructies in NRC en andere media: de CEO was bezig het bedrijf leeg te halen, wilde de waferproductie naar China verplaatsen, had Brits IP over MOSFET-productie laten doorvloeien naar een ander door hem geleid Chinees bedrijf, wilde een onderzoekscentrum in München sluiten en veertig procent van het Europese personeel ontslaan. Achter de schermen zou ook directe Amerikaanse druk hebben gespeeld: Washington liet Nexperia weten dat het zelf op de Entity List zou belanden als het de Chinese CEO niet zou ontslaan.

Het ingrijppatroon

Dit is fundamenteel anders dan Eurofins. De Nederlandse Staat heeft hier wel ingegrepen, en met een instrument dat 73 jaar onaangetast in de gereedschapskist had gelegen. De Wet beschikbaarheid goederen uit 1952 is naoorlogse defensiewetgeving, bedoeld voor het waarborgen van schaarse strategische goederen in crisistijd. Het feit dat dit instrument in 2025 wordt geactiveerd tegen een Chinese eigenaar van een chipproducent, zegt drie dingen tegelijk. Eén: Nederland behandelt halfgeleiders inmiddels expliciet als crisis-categorie, zoals voedsel of munitie in 1952. Twee: het reguliere mededingings- en investeringstoetsingsinstrumentarium (Wet Vifo, BTI) heeft bij deze acquisitie in 2018 niets tegengehouden, dus moet er nu retroactief worden ingegrepen met noodrecht. Drie: de feitelijke aanleiding ligt minstens zo zeer in Washington als in Den Haag.

Wingtech bereidt nu een internationale arbitragezaak voor tegen de Nederlandse Staat. De Chinese accountant weigert de jaarcijfers 2025 goed te keuren omdat Wingtech sinds eind september geen toegang meer heeft tot systemen en informatie van Nexperia-onderdelen buiten China. Het rapporteerde over 2025 een nettoverlies van meer dan een miljard euro. China heeft formeel geprotesteerd via het ministerie van Handel, met de standaardformulering dat Nederland zich niet moet mengen in interne bedrijfsaangelegenheden en dat de Ondernemingskamer-uitspraak een ernstige schending vormt van de rechten van Chinese ondernemingen.

In statecraft-termen is dit het eerste serieuze gebruik van Nederlandse noodwetgeving in een strategische technologiesector sinds de Koude Oorlog. Het is ook een directe demonstratie dat de Nederlandse Staat onder voldoende druk wel degelijk bereid is een buitenlandse eigenaar de feitelijke zeggenschap af te nemen. Tegelijk is het pijnlijk dat die bereidheid niet voortkwam uit een autonome Nederlandse risicoanalyse uit 2018 toen Wingtech Nexperia overnam, maar uit een combinatie van Amerikaanse export controls en het gedrag van de Chinese CEO. Nederland reageert hier, het anticipeert niet. En het reageert in coördinatie met, of onder druk van, een Amerikaanse bondgenoot die zelf ook geen onbevangen actor is.

Het tweede patroon is dus: reactieve ingreep onder bondgenootschappelijke druk, met instrumenten die in dezelfde wetgeving wel altijd hadden bestaan maar nooit waren ingezet.

III. DigiD, Solvinity en Kyndryl

De feiten in statecraft-frame

DigiD is het Nederlandse identiteitsplatform waarmee in 2025 jaarlijks circa 700 miljoen authenticaties plaatsvinden voor 16,5 miljoen burgers, gekoppeld aan het BSN. Het wordt beheerd door Logius, een agentschap van het ministerie van Binnenlandse Zaken. De feitelijke IT-platformdienstverlening is uitbesteed aan Solvinity, een Nederlandse aanbieder. Daarnaast loopt circa 100 miljoen officieel berichtenverkeer per jaar via MijnOverheid.

In het najaar van 2025 werd bekend dat het Amerikaanse Kyndryl, een afsplitsing van IBM en zelf beursgenoteerd in de VS, Solvinity wil overnemen. De voorgenomen overname valt onder toetsing van het Bureau Toetsing Investeringen op grond van de Wet Vifo. Centraal staat de vraag of Solvinity, na overname, onder de Amerikaanse CLOUD Act en aanverwante extraterritoriale wetgeving zou vallen, en daarmee in theorie gedwongen kan worden om gegevens van Nederlandse burgers aan Amerikaanse autoriteiten te overhandigen. In het uiterste geval zou Washington de toegang tot DigiD kunnen blokkeren.

Eind november 2025 zei staatssecretaris Eddie van Marum bij WNL op zondag dat DigiD “Nederlands blijft” en dat Solvinity “geen toegang heeft” tot DigiD. Op 17 december 2025 herriep hij die uitspraak in antwoord op Kamervragen van Barbara Kathmann (GroenLinks-PvdA): de overname kan wel degelijk leiden tot het weglekken van persoonsgegevens en andere kritieke overheidsinformatie naar Amerikaanse partijen, “in ieder geval in theorie”. Uit de interne veiligheidsanalyse van het kabinet bleek dat het platform “gezien de huidige architectuur niet zodanig is dicht te zetten dat de leverancier niet meer bij de data/persoonsgegevens zou kunnen komen”.

Begin april 2026 heeft een hoge ambtenaar bij Logius, Van Oordt, publiek via LinkedIn opgeroepen tot een “chique oplossing”: stel de overname met enkele maanden uit en gebruik die tijd om DigiD en MijnOverheid weg te halen bij Solvinity. Hij is zo overtuigd van het belang dat hij overweegt zelf een rechtszaak tegen het ministerie en de Staat te beginnen. Zijn werkgever is daarvan op de hoogte.

De procedurele tegenlezing en haar grens

Voor wie het verschil tussen Nexperia en Kyndryl wegredeneert als rechtsstatelijke zorgvuldigheid is een verdedigbare tegenlezing voorhanden, en die zal door iedereen bij EZ of BZK met enige routine worden opgevoerd. Nexperia was een acute interventie tegen wat de Ondernemingskamer feitelijk heeft vastgesteld als asset stripping in real time, met zichtbare IP-doorvloeiing, dreigende sluiting van het Münchense onderzoekscentrum en aangekondigde ontmanteling van de Europese personeelsbasis als feiten op tafel op het moment van de ingreep. Kyndryl is een aangekondigde overname die de reguliere Vifo-toetsing doorloopt, met termijnen die wettelijk zijn vastgelegd. In die lezing is het verschil in tempo een functie van het verschil tussen noodbevoegdheid en regulier toetsingsregime, niet van geopolitieke moed.

Die tegenlezing is intern consistent maar valt op één feit. In mei 2025, vier maanden vóór de Vifo-toetsing van Kyndryl begon, heeft Microsoft in opdracht van het Witte Huis de e-mail en andere Microsoft-diensten van de hoofdaanklager van het Internationaal Strafhof in Den Haag afgesloten. Dat is geen hypothetisch CLOUD Act-scenario meer. Een Amerikaanse cloudleverancier handelde op last van een Amerikaanse executive order tegen een functionaris van een internationale rechtbank op Nederlands grondgebied. In de Nexperia-logica zou dit een acuut-risicofeit zijn dat het reguliere toetsingsregime onvoldoende maakt, omdat het de aanname van controleerbaarheid via reguliere instrumenten weerlegt. In de Kyndryl-toetsing blijkt dat acuut-risicofeit zich niet of niet zichtbaar te vertalen in een ander tempo of een ander instrumentarium. De toetsing blijft formeel BTI-conform, terwijl de feitelijke veiligheidsanalyse intern al concludeerde dat de architectuur niet zodanig is dicht te zetten dat de leverancier niet meer bij de data zou kunnen komen, en terwijl een interne hoge ambtenaar het nodig acht publiek te escaleren omdat het departement geen knoop doorhakt.

De procedurele lezing klopt voor het tempo, maar verklaart niet waarom het Microsoft-ICC-incident geen aanleiding is geweest om buiten het reguliere Vifo-regime te treden, terwijl bij Nexperia minder direct bewijs van extraterritoriaal handelen voldoende was om de noodwet uit 1952 te activeren. Het verschil dat overblijft, nadat de procedurele verklaring is verrekend, is niet meer dan dit: tegen China kan, tegen de Verenigde Staten durft Den Haag voorlopig niet, ook nadat het risico in de praktijk al een keer materieel is bewezen op Nederlands grondgebied.

Dit is het derde patroon: indecisie en draaiende beleidsuitspraken onder druk van een bondgenoot waarvan Nederland niet wil of meent te kunnen losbreken, ook nadat het acute risico zichtbaar is geworden.

Synthese: drie kleuren afhankelijkheid

Wat de drie dossiers samen tonen is dat Nederland in 2026 over de zeggenschap van drie verschillende categorieën kritieke infrastructuur drie verschillende interventiehoudingen aanneemt, en dat die houdingen meer worden bepaald door de identiteit van de buitenlandse moeder dan door de aard van het risico.

Bij commerciële afhankelijkheid van een EU/private actor (Eurofins, Frans-Luxemburgs) is de reactie passieve berusting. De Staat ziet toe hoe een buitenlands concern met data van Nederlandse burgers onderhandelt met criminele organisaties, en de eigen toezichthouders hebben geen tanden. Er is geen heroverweging van het uitbestedingsmodel.

Bij geopolitieke afhankelijkheid van een rivaliserende statelijke actor (Wingtech, China) en onder bondgenootschappelijke druk wel een ingreep, en wel met instrumenten uit de gereedschapskist van de Koude Oorlog. De ingreep is reactief, niet anticiperend, en hij komt minstens zoveel uit Washington als uit Den Haag.

Bij infrastructurele afhankelijkheid van de bondgenoot zelf (Kyndryl, VS) is er aarzeling, terugtrekking van eerdere stellige uitspraken, formele toetsing die voortduurt, en publieke escalatie door interne ambtenaren omdat het departement de knoop niet doorhakt. Het feit dat een Amerikaans concern in 2025 in opdracht van het Witte Huis al een ICC-functionaris op Nederlands grondgebied heeft afgesloten van zijn werkmiddelen, blijkt onvoldoende om de toetsing op andere gronden dan formele BTI-criteria te voeren.

De gemeenschappelijke noemer is een Staat die de architectuur van zijn kritieke infrastructuur jarenlang heeft laten ontstaan zonder serieuze soevereiniteitstoetsing, en die nu per dossier reactief moet beslissen of, hoe en namens wie hij überhaupt nog optreedt. De drie patronen, passief gedogen bij commercieel, reactief ingrijpen onder druk bij geopolitiek, en aarzelen bij bondgenoten, zijn niet het resultaat van een coherente doctrine. Ze zijn het resultaat van een ad hoc reactie op situaties die langs verschillende mechanismen op de Nederlandse Staat afkomen.

Wat dit zegt over Nederland in een fragmenterende internationale orde

Voor wie de geluiden uit Brussel, Washington en Beijing van de afgelopen achttien maanden volgt, is de richting onmiskenbaar. De internationale orde fragmenteert langs technologische, juridische en monetaire blokken. Extraterritoriale wetgeving (CLOUD Act, Entity List, EU CSRD/DORA) wordt steeds vaker als instrument van geopolitiek beleid gebruikt. Ransomware en cyberoperaties opereren in toenemende mate vanuit jurisdicties die niet meewerken aan opsporing. Kritieke infrastructuur in elke EU-lidstaat wordt strategisch herkaart als nationale veiligheid in plaats van als interne markt.

In deze context is Nederland structureel kwetsbaar. Niet omdat het instrumenten ontbreekt, want de Wet beschikbaarheid goederen uit 1952 heeft inmiddels bewezen toepasbaar te zijn, de NIS2- en Vifo-kaders zijn geïmplementeerd, en de Cyberbeveiligingswet met de Wet weerbaarheid kritieke entiteiten breiden de zorgplicht binnenkort uit tot ruim 8.000 organisaties. Het probleem is niet de afwezigheid van instrumenten, maar de afwezigheid van een doctrine die ze in samenhang inzet vóórdat de schade is geleden.

Architectuurschets van wat een coherente doctrine zou omvatten

Een coherente doctrine schrijven is een eigen exercitie en hoort niet in dit stuk thuis. Maar de richting waarin het bestaande instrumentarium zou moeten worden gecombineerd valt aan te wijzen, en dat is een minimum dat een serie over EU en internationaal aan de lezer verschuldigd is. Vijf bouwstenen.

De eerste is een uitbreiding van de Wet Vifo van ex post naar ex ante, en van haar huidige scope (sensitieve technologie, vitale aanbieders) naar identiteitsinfrastructuur en data-aggregatieknopen. Solvinity zou bij de huidige reikwijdte van Vifo als grensgeval kwalificeren. Het ICC-precedent uit mei 2025 maakt duidelijk dat de identiteit van de moedermaatschappij van een aggregatieknoop minstens zo bepalend is voor het risico als de inhoud van de gegevens. Wie publieke identiteitsinfrastructuur beheert moet onder een zwaarder en eerder toetsingsregime vallen, niet onder hetzelfde regime als generieke IT-dienstverlening.

De tweede is een soevereiniteitscriterium in de NZa-concentratietoets bij zorgaanbieders. Op dit moment toetst de NZa op marktmacht en zorgkwaliteit. De Eurofins-casus laat zien dat concentratie van publieke verwerkingen bij private partijen onder buitenlandse zeggenschap een eigenstandig nationaal weerbaarheidsrisico vormt, dat los staat van de vraag of de markt voldoende blijft. Een toetsingscriterium dat aggregatie van publiek-uitvoerende verwerkingen op één buitenlandse moeder als zelfstandige weerbaarheidskwestie behandelt, sluit een lacune die nu door private equity en transnationale concentratie wordt geëxploiteerd.

De derde is een herziening van de Wabpvz-handhavingsbevoegdheden. Een sectoraal toezichthouder met domeinkennis (IGJ) die geen bestraffende bevoegdheid heeft, gekoppeld aan een algemeen toezichthouder met bestraffende bevoegdheid (AP) maar zonder sectorkennis en met meerjarige doorlooptijden, levert in de praktijk noch afschrikking noch herstel. De keuze is bestraffende bevoegdheid bij IGJ aanvullend op AP, of een geïntegreerd zorgtoezicht waarin domeinkennis en sanctiebevoegdheid in één hand liggen. Beide opties zijn beter dan de huidige situatie waarin Eurofins drie jaar lang geen audit had en de toezichthouder daar alleen vriendelijk om bevestiging van een toekomstige certificering kan verzoeken.

De vierde is een Nederlandse positiebepaling in de Europese cybersecurity certification scheme voor cloud (EUCS). Het EUCS-debat draait al jaren rond de vraag of “immune from non-EU law” een eigenstandig criterium moet zijn voor de hoogste assurance-niveaus bij overheidscloud. Frankrijk en Italië hebben dat verdedigd, Nederland heeft een minder uitgesproken positie gekozen. Het ICC-precedent maakt het verdedigen van immuniteit van extraterritoriale wetgeving voor de hoogste categorie overheidsdiensten geen ideologische maar een operationele eis. Een actieve Nederlandse positie in dit dossier, gekoppeld aan een nationale eis dat identiteitsinfrastructuur en aggregatieknopen van publieke verwerkingen onder die hoogste categorie vallen, sluit de cloudkant van het probleem dat DigiD blootlegt.

De vijfde is een doctrine voor losgeldbetalingen door private ketenpartners in publiek gemandateerde verwerkingen. Op dit moment beslist een buitenlandse moedermaatschappij autonoom of zij betaalt aan een criminele organisatie als haar Nederlandse dochter is getroffen in een publiek-uitvoerende verwerking. Dat is een operationele keuze met directe nationale veiligheidsimplicaties die in geen enkel regime is verankerd. Een meldplicht voorafgaand aan betaling, gekoppeld aan een nationale beslislijn waarbij de Staat ten minste consulteert en in het uiterste geval kan blokkeren, is geen onverdedigbare interventie in private contracten. Het is de erkenning dat losgeldbetaling in dit type ketens een statecraft-handeling is geworden.

Deze vijf bouwstenen vormen samen geen doctrine, maar een architectuur waarbinnen een doctrine geschreven kan worden. Ze maken het Eurofins-patroon (aggregatie zonder toetsing), het Nexperia-patroon (reactief ingrijpen na het feit) en het Kyndryl-patroon (aarzeling bij bondgenoten) elk afzonderlijk minder waarschijnlijk. Ze veranderen niet de geopolitieke positie van Nederland, ze veranderen het instrumentarium waarmee Nederland binnen die positie opereert.

Slot

Het IGJ-rapport over Clinical Diagnostics, de Wingtech-arbitragezaak en de ambtelijke escalatie rond Solvinity zijn drie verschillende symptomen van hetzelfde diagnostische beeld. Een staat die zijn kritieke infrastructuur heeft uitgeleverd en die nu, geval per geval, ontdekt wat dat in een minder vriendelijke wereld werkelijk betekent. De vraag voor de komende kabinetsperiode is niet of de drie patronen moeten worden geharmoniseerd tot één doctrine. De vraag is wie de hierboven geschetste architectuur omzet in wetgeving, op welke termijn, en met welke politieke bereidheid om het verzet van zowel buitenlandse moedermaatschappijen als Nederlandse uitbestedingsbelangen te dragen.

Zonder dat verzet wordt het de moeite niet waard om de architectuur te bouwen, en zonder de architectuur wordt elk volgend Eurofins, Nexperia of DigiD opnieuw als verrassing behandeld door het bestuur dat de huidige situatie zelf heeft toegestaan.