Op 25 mei 2026 verbood staatssecretaris Willemijn Aerdts de overname van Solvinity door het Amerikaanse IT-bedrijf Kyndryl. Solvinity beheert de cloudinfrastructuur achter DigiD — het digitale identiteitssysteem waarmee miljoenen Nederlanders inloggen bij de Belastingdienst, zorgverzekeraars en pensioenfondsen.

De reden voor het verbod: Bureau Toetsing Investeringen (BTI) concludeerde dat de risico's voor de nationale veiligheid niet konden worden weggenomen. Het zwaarste advies dat het orgaan kan geven.

Het argument dat de overheid gebruikte, kent u misschien: de CLOUD Act. Die Amerikaanse wet uit 2018 geeft de Amerikaanse overheid de bevoegdheid om data op te vragen bij Amerikaanse bedrijven — ook als die data op Europese servers staat. Aerdts: "Het feit dat we de risico's niet konden wegnemen en de publieke belangen niet konden waarborgen, maakt ingrijpen noodzakelijk."1

Dat argument geldt ook voor uw cliëntdossiers.

Dezelfde wet. Dezelfde redenering. Uw cliëntdossiers.

De CLOUD Act maakt geen onderscheid tussen overheidsinfrastructuur en commerciële cloud-AI. Als u cliëntdossiers uploadt naar ChatGPT, Microsoft Copilot, of welke andere dienst van een Amerikaans bedrijf dan ook, valt die data onder hetzelfde juridische bereik waarop de overheid dit verbod baseerde.

Voor advocaten gebonden aan het beroepsgeheim — artikel 11a Advocatenwet — is de vraag concreet: kunt u uw cliënten garanderen dat hun informatie vertrouwelijk blijft? Bij gebruik van cloud-AI van Amerikaanse aanbieders is het eerlijke antwoord: niet onvoorwaardelijk.

Wat de overheid heeft beslist voor DigiD: data die onder het bereik van de CLOUD Act valt, kan op vordering van de Amerikaanse overheid beschikbaar worden gesteld. Dat geldt voor elke dienst van een Amerikaans bedrijf, ongeacht of de servers in Amsterdam of Virginia staan.

Het patroon wordt duidelijker

Dit is niet de eerste waarschuwing. Het is de meest expliciete tot nu toe — van de Nederlandse overheid zelf.

  • De Autoriteit Persoonsgegevens sloeg in 2025 alarm over datalekken via AI-chatbots waarbij gevoelige informatie naar buitenlandse servers stroomde.2
  • De NOvA waarschuwde expliciet tegen het invoeren van vertrouwelijke cliëntgegevens in publieke AI-modellen.3
  • Nu verbiedt de staatssecretaris een overname op basis van exact het argument dat advocaten al jaren als reden hebben om cloud-AI te vermijden.

De richting is consistent. De overheid handelt nu op basis van de redenering die voor uw praktijk al jaren opgaat.

Wat dit betekent voor uw kantoor

De beslissing over Solvinity verandert niets aan de wet — de CLOUD Act bestond al. Wat verandert is de erkenning: dit risico is reëel genoeg voor de Nederlandse overheid om er een overname op te blokkeren.

Als een cliënt vraagt waarom u geen ChatGPT gebruikt voor hun dossier, is het antwoord nu: om dezelfde reden dat de Nederlandse overheid heeft beslist dat DigiD niet naar Amerika mag.

De enige technische oplossing die dit vraagstuk volledig omzeilt, is AI die lokaal draait op uw eigen apparaat. Geen Amerikaans bedrijf in de keten. Geen data die de machine verlaat. De CLOUD Act per definitie irrelevant.

LocalApps.ai LocalChat draait volledig op uw eigen laptop. Geen cloud, geen Amerikaanse diensten in de keten, geen CLOUD Act-vraagstuk. Dezelfde redenering die de overheid toepaste op DigiD, lost u op voor uw cliëntdossiers.

Bekijk hoe het werkt →

Bronnen: 1. NOS: Staatssecretaris verbiedt overname Solvinity (2026) · 2. AP alarm datalekken AI (2025) · 3. NOvA Aanbevelingen AI (2025)