On November 7 2025, the proposed acquisition of Solvinity Group B.V. (“Solvinity”) by Kyndryl Nederland B.V. (“Kyndryl”) was announced, causing quite a stir in the Netherlands. Kyndryl is an American company that, through this acquisition, will become the owner of the company that manages the digital infrastructure behind DigiD. DigiD is used by millions of Dutch citizens to log in to websites of the government and organizations with a public mandate. The completion of the acquisition is subject to the completion of various approval procedures, including a review by the Investment Assessment Bureau (“BTI”).
Background
Solvinity plays a crucial role in accessing various government agencies. For example, it is the provider of the digital infrastructure behind DigiD. DigiD is managed by the Dutch government organization Logius, which is part of the Ministry of the Interior and Kingdom Relations. According to Solvinity and the State, as a provider, Solvinity “in principle” does not have access to personal data in the database required to create an account (e.g. the BSN), but does receive the IP address and email address of individuals with a DigiD account. Furthermore, Solvinity is involved with MijnOverheid, and its services are utilized by the Central Judicial Collection Agency.
The potential buyer of Solvinity is Kyndryl. Kyndryl has an American parent company (Kyndryl International LLC) and operates globally in the field of IT services. Although it is part of an American group, Kyndryl emphasizes that the data currently stored will remain in Dutch data centers after the acquisition and that these services will not be performed in the United States.
Geopolitical dependency
There is significant debate in Dutch politics regarding the acquisition of Solvinity due to the Netherlands’ growing dependence on the United States. Nearly all parties in the House of Representatives are urging the outgoing cabinet to block the acquisition. They primarily see geopolitical risks given DigiD’s key role in Dutch citizens’ digital interactions with the government. Their fear is twofold: on the one hand, there is concern about U.S. access to Dutch citizens’ data; on the other hand, there is concern about the continuity of DigiD in the event of intervention by the U.S. government.
After all, the U.S. government has extensive tools at its disposal to take action against foreign subsidiaries with U.S. parent companies. Examples of these tools include the Clarifying Lawful Overseas Use of Data Act (CLOUD Act), the Foreign Intelligence Surveillance Act (FISA), and Executive Order 12333. As a result, the U.S. government could, in theory, gain access to the data processed by Solvinity, even if that data is stored on Dutch servers. Furthermore, there are risks regarding the continuity of DigiD should the U.S. government impose sanctions on the Netherlands. U.S. companies such as Kyndryl would then, for example, no longer be free to operate in the Netherlands, meaning that Dutch citizens would no longer be able to use DigiD. This has far-reaching consequences, as it restricts access to certain digital government services.
The outgoing Minister of Economic Affairs (the “minister”) has indicated that he will not take any action until the investigations by the Authority for Consumers and Markets (“ACM”) and the BTI have been completed.
ACM: no objections
The ACM has examined whether the acquisition raises competition concerns. Its investigation was recently concluded; on February 26 2026, ACM confirmed that it does not foresee any competition issues arising or being intensified as a result of the acquisition. According to the ACM, the acquisition does not lead to a significant impediment to competition in the Dutch market for IT services and potential submarkets, as the parties’ combined market share is limited (15%). In addition, ACM states, among other things, that the aforementioned risks are not related to a restriction of competition resulting from the proposed acquisition as such. For the customers of Solvinity’s IT services, there are sufficient alternatives at the time of a future (re)tender.
BTI: ongoing investigation
The BTI is investigating the risks to national security and may use sector-specific and generic assessment criteria for this purpose. This generic assessment criterion, the Act on Security Assessments of Investments, Mergers, and Acquisitions (“Vifo Act”), serves as a safety net for investments that do not fall within the scope of the sector-specific assessments for energy and telecommunications.
On January 23, 2026, the BTI announced that the parties had filed a notification pursuant to the Telecommunications Act in conjunction with the Decree on Undesirable Control in Telecommunications, and not the Vifo Act. The BTI is currently investigating whether the regime applied by the notifying parties is applicable to the transaction in question, because different laws include a notification obligation to BTI for transactions and there are rules on which notification regime takes precedence. Public announcements by the BTI are highly unusual; normally, BTI investigations are conducted in secret and little information is disclosed about ongoing investigations.
Telecommunications Act
The Telecommunications Act specifically targets acquisitions of telecommunications entities, such as companies offering data center services with a certain power capacity. Anyone intending to acquire a controlling interest in a telecommunications entity must notify the BTI. The BTI then assesses whether there is a threat to the public interest. This is the case if the controlling interest leads to significant influence in the telecommunications sector and, for example, the acquirer has close ties to or is under the influence of a state known to intend to influence a telecommunications entity to enable abuse or intentional outages (Art. 14a.4(2)(b) of the Telecommunications Act). If the Minister determines that the transaction could pose a threat to the public interest, a prohibition or a prohibition subject to suspensive conditions will be imposed.
Vifo Act
The Vifo Act contains a generic test that applies to the acquisition of Dutch target companies that are vital providers or operators of a business campus or are active in the field of (highly) sensitive technology. This test therefore differs from the test under the Telecommunications Act and also applies to the acquisition of minority shareholdings if these lead to an acquisition of 10%, 20% or 25% of the voting rights of a target company. For further clarification on the scope of the Vifo Act, please refer to our previous article.
Solvinity may be a provider of (highly) sensitive technology. Although DigiD has been designated as a critical provider within the meaning of the Network and Information Systems Security Act (Section 3 of the Network and Information Systems Security Decree), Solvinity/DigiD is not among the designated critical providers listed in Section 7 of the Vifo Act. Nor is it an operator of a business campus. However, the exact designation is irrelevant for now; in a case where the Telecommunications Act obliges a company to notify the transaction, the Vifo Act does not apply (Section 5(1)(b) of the Vifo Act).
Conclusion
The BTI does not often review transactions under the Telecommunications Act. According to the BTI’s annual report, this occurred only once in 2024. Furthermore, only one transaction was prohibited that year, although it should be noted that a number of notifications were also submitted and later withdrawn. It is therefore interesting to see what decision the minister will make regarding the acquisition of Solvinity. It is clear, however, that the influence of an American party over the Dutch DigiD is a sensitive issue in the current global political climate and it is conceivable that such sensitivities could serve as a reason to block this transaction or impose far reaching measures before approval is granted.
De potentiële overname van Solvinity door een Amerikaanse partij: risico’s voor de nationale veiligheid?
Op 7 november 2025 werd de voorgenomen overname van Solvinity Group B.V. (“Solvinity”) door Kyndryl Nederland B.V. (“Kyndryl”) aangekondigd, hetgeen veel stof deed opwaaien in Nederland. Kyndryl is een Amerikaanse partij die middels deze overname eigenaar zal worden van het bedrijf dat de digitale infrastructuur achter DigiD beheert. DigiD wordt door miljoenen Nederlanders gebruikt om in te loggen op websites van de overheid en organisaties met een publieke taak. De afronding van de overname is afhankelijk van het doorlopen van diverse goedkeuringsprocedures, waaronder toetsing door het Bureau Toetsing Investeringen (“BTI”).
Achtergrond
Solvinity heeft een cruciale functie bij de toegang tot diverse overheidsinstanties. Zo is zij de leverancier van de digitale infrastructuur achter DigiD. DigiD wordt beheerd door de Nederlandse overheidsorganisatie Logius, die onderdeel is van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Volgens Solvinity en de Staat verkrijgt Solvinity als leverancier “in principe” geen toegang tot persoonsgegevens in de database die nodig zijn voor het aanmaken van een account (bijv. het BSN), maar ontvangt wel het IP-adres en e-mailadres van mensen met een DigiD-account. Bovendien is Solvinity betrokken bij MijnOverheid en worden haar diensten ingezet door het Centraal Justitieel Incassobureau.
De potentiële koper van Solvinity is Kyndryl. Kyndryl heeft een Amerikaanse moederonderneming (Kyndryl International LLC) en is wereldwijd actief op het gebied van IT-dienstverlening. Hoewel zij onderdeel uitmaakt van een Amerikaanse groep, benadrukt Kyndryl dat de gegevens die momenteel worden opgeslagen na de overname in Nederlandse datacenters zullen blijven en dat deze diensten niet in de Verenigde Staten zullen worden uitgevoerd.
Geopolitieke afhankelijkheid
In de Nederlandse politiek wordt er veel gedebatteerd over de overname van Solvinity vanwege de groeiende afhankelijkheid van Nederland van de Verenigde Staten. Bijna alle partijen in de Tweede Kamer dringen er bij het demissionaire kabinet op aan dat zij de overname blokkeert. Zij zien vooral geopolitieke risico’s gelet op de sleutelfunctie van DigiD bij het digitale contact van Nederlanders met de overheid. Hun vrees is tweeledig: enerzijds bestaat de zorg over de Amerikaanse toegang tot de gegevens van Nederlanders, anderzijds is er bezorgdheid over de continuïteit van DigiD bij ingrijpen van de Amerikaanse overheid.
De Amerikaanse overheid beschikt immers over vergaande middelen om te kunnen acteren tegen buitenlandse dochtervennootschappen met Amerikaanse moederbedrijven. Voorbeelden van deze middelen zijn de Clarifying Lawful Overseas Use of Data Act (CLOUD Act), de Foreign Intelligence Surveillance Act (FISA) en Executive Order 12333. Hierdoor kan de Amerikaanse overheid in theorie toegang verkrijgen tot de gegevens die door Solvinity worden verwerkt, zelfs wanneer deze gegevens op Nederlandse servers staan. Bovendien bestaan er risico’s in het kader van de continuïteit van DigiD wanneer de Amerikaanse overheid sancties zou opleggen aan Nederland. Amerikaanse bedrijven als Kyndryl zouden dan bijvoorbeeld niet meer vrij kunnen zijn om te handelen in Nederland, waardoor Nederlanders geen gebruik meer kunnen maken van DigiD. Dit heeft vergaande gevolgen, omdat dit de toegang tot bepaalde digitale overheidsfuncties beperkt.
De demissionair minister van Economische Zaken (de “minister”) heeft aangegeven geen actie te ondernemen voordat de onderzoeken door de Autoriteit Consument en Markt (“ACM”) en het BTI zijn afgerond.
ACM: geen bezwaar
De ACM heeft bekeken of er mededingingsbezwaren kleven aan de overname. Haar onderzoek is recentelijk afgerond; op 26 februari 2026 heeft de ACM bevestigd dat zij geen concurrentieproblemen ziet ontstaan of versterkt ziet worden als gevolg van de overname. De overname leidt volgens de ACM niet tot een significante belemmering van de concurrentie op de Nederlandse markt voor IT-dienstverlening en mogelijke submarkten, omdat het gezamenlijke marktaandeel van partijen beperkt is (15%). Daarnaast stelt de ACM onder andere dat de bovengenoemde risico’s geen verband houden met een beperking van de mededinging als gevolg van de voorgenomen overname als zodanig. Voor de afnemers van de IT-diensten van Solvinity zijn er op het moment van een toekomstige (her)aanbesteding voldoende alternatieven.
BTI: lopend onderzoek
Het BTI doet onderzoek naar de risico’s voor de nationale veiligheid en kan daarvoor gebruikmaken van sectorspecifieke en generieke toetsingsgrondslagen. Deze generieke toetsingsgrondslag, de Wet veiligheidstoets investeringen, fusies en overnames (“Wet Vifo”), dient als vangnet voor investeringen die niet onder de reikwijdte van de sectorspecifieke toetsen voor energie en telecom vallen.
Op 23 januari 2026 heeft het BTI kenbaar gemaakt dat partijen een melding hebben ingediend op grond van de Telecommunicatiewet in combinatie met het Besluit ongewenste zeggenschap telecommunicatie, en niet de Wet Vifo. Het BTI onderzoekt momenteel of het door de meldende partijen gehanteerde regime van toepassing is op de onderhavige transactie, omdat verschillende wetten een meldingsverplichting bij BTI kennen voor bepaalde transacties en daarbij regels gelden over welk regime voorrang heeft. Dergelijke berichtgeving van het BTI over een lopend onderzoek is erg uitzonderlijk; normaliter vinden onderzoeken van het BTI in het geheim plaats en wordt er over lopende onderzoeken weinig losgelaten.
Telecommunicatiewet
De Telecommunicatiewet is specifiek gericht op overnames van telecommunicatiepartijen, zoals ondernemingen die datacenterdiensten aanbieden met een bepaalde stroomcapaciteit. Diegene die het voornemen heeft overwegende zeggenschap in een telecommunicatiepartij te verkrijgen dient hiervan een melding te doen bij het BTI. Het BTI toetst dan of er sprake is van een bedreiging van het publiek belang. Hiervan is sprake als de overwegende zeggenschap leidt tot relevante invloed in de telecommunicatiesector en een verkrijger bijvoorbeeld nauwe banden heeft met of onder invloed staat van een staat, waarvan bekend is dat deze de intentie heeft een telecommunicatiepartij te beïnvloeden om misbruik of opzettelijke uitval mogelijk te maken (art. 14a.4 lid 2 onder b Telecommunicatiewet). Als de minister van oordeel is dat de transactie kan leiden tot een bedreiging van het publiek belang wordt een verbod of een verbod onder opschortende voorwaarden opgelegd.
Wet Vifo
De Wet Vifo bevat een generieke toets die van toepassing is op de verwerving van Nederlandse doelondernemingen die vitale aanbieders of beheerders van een bedrijfscampus zijn dan wel actief zijn op het gebied van (zeer) sensitieve technologie. Deze toets verschilt dus van de toets onder de Telecommunicatiewet en is – in het geval van de verwerving van zeer sensitieve technologie ook van toepassing op de verwerving van minderheidsbelangen van 10%, 20% of 25% van de stemrechten. Voor een nadere toelichting over de reikwijdte van de Wet Vifo verwijzen we naar ons eerdere artikel.
Solvinity is mogelijk een aanbieder van (zeer) sensitieve technologie. Hoewel DigiD is aangewezen als vitale aanbieder in de zin van de Wet beveiliging netwerk- en informatiesystemen (art. 3 Besluit beveiliging netwerk- en informatiesystemen), behoort Solvinity/DigiD niet tot de aangewezen vitale aanbieders in artikel 7 van de Wet Vifo. Evenmin is zij een beheerder van een bedrijfscampus. De precieze aanwijzing is voor nu echter irrelevant; wanneer een melding bij BTI moet worden gedaan op grond van de Telecommunicatiewet is de Wet Vifo niet van toepassing (art. 5 lid 1 sub b Wet Vifo).
Conclusie
Het BTI onderzoekt niet vaak transacties op grond van de Telecommunicatiewet. Volgens het jaarverslag van het BTI vond dit in 2024 slechts één keer plaats. Ook werd er dat jaar slechts één transactie verboden, waarbij moet worden opgemerkt dat er ook een aantal meldingen zijn ingediend die later zijn ingetrokken. Het is dan ook interessant om te zien welk besluit de minister zal nemen in het kader van de overname van Solvinity. Wel staat vast dat de invloed van een Amerikaanse partij over het Nederlandse DigiD in het huidige tijdsgewricht gevoelig ligt en het is dan ook niet ondenkbaar dat die gevoeligheid aanleiding is om deze transactie te verbieden of vergaande maatregelen op te leggen.
