Strategische autonomie Ondanks alle discussies over strategische autonomie kiest NS een Amerikaanse beheerder voor cruciale IT-diensten. „Als iedereen zo handelt als NS, bouwen we nooit eigen digitale infrastructuur.”
Sprinters bij het onderhoudsbedrijf van de NS. Dat een Amerikaans bedrijf digitale diensten voor het Nederlandse spoor gaat verzorgen, kan vergaande gevolgen hebben.
NS gaat een belangrijk deel van zijn automatisering uitbesteden aan een computerdienstverlener uit de VS. Daarmee komt het beheer van het spoor, cruciale Nederlandse infrastructuur, deels in Amerikaanse handen.
Terwijl Europese overheden, bedrijven en organisaties juist streven naar digitale autonomie en minder afhankelijk proberen te worden van Amerikaanse techleveranciers, gunt NS het IT-contract aan een Nederlandse dochter van een Amerikaans bedrijf. Tot voor kort deed het Nederlandse KPN het grootste deel van de hosting, het technisch applicatiebeheer en de controle (monitoring).
Deskundigen hekelen dit besluit en noemen NS naïef. In tijden van geopolitieke spanningen wil je geen Amerikaanse handen aan het Nederlandse spoor, vinden zij.
Het gaat om een overeenkomst van minimaal zes en mogelijk twaalf jaar, ter waarde van maximaal 400 miljoen euro. Uit vertrouwelijke aanbestedingsinformatie in handen van NRC blijkt dat de Amerikaanse leverancier, DXC Technology, de goedkoopste offerte deed, maar niet het hoogst scoorde op kwaliteit.
In de politiek leeft ongemak over de afhankelijkheid van tech-leveranciers uit de VS, vooral bij cruciale digitale infrastructuur. Dat bleek recent nog bij het debat over de Amerikaanse overname van Solvinity, het bedrijf dat de cloud beheert waarop DigiD en MijnOverheid.nl draaien. In hun nieuwe regeerakkoord benadrukken D66, CDA en VVD dat digitale autonomie „het uitgangspunt moet zijn”.
In december meldde NS aan inschrijvers op de aanbesteding dat DXC Technology een deel van de IT gaat verzorgen. Het bedrijf, voortgekomen uit onder meer Hewlett-Packard (HP), is een van ’s werelds grootste IT-dienstverleners. Dochterbedrijf Enterprise Services Nederland neemt hosting, technisch applicatiebeheer en de continue, realtime bewaking van computersystemen (‘ketenmonitoring’) over. Het gaat onder meer om de automatisering voor financiële planning en treinonderhoud.
Hoe cruciaal IT is voor het spoor bleek op 6 januari. Door een fout in een systeem voor personeelsplanning kon NS het treinverkeer niet opstarten – ook al leken de winterse verstoringen grotendeels voorbij.
Dat een Amerikaans bedrijf digitale diensten voor het Nederlandse spoor gaat verzorgen, kan vergaande gevolgen hebben. Niet zozeer vanwege de kwaliteiten van de betreffende leverancier, maar vanwege de regelgeving waaraan Amerikaanse bedrijven – en hun overzeese dochterondernemingen – moeten voldoen.
Het belangrijkste risico is de Amerikaanse sanctiewetgeving, stelt Lokke Moerel, hoogleraar global ICT law in Tilburg. De VS kunnen sancties opleggen tegen landen, organisaties of personen in ‘het belang van de nationale veiligheid’. „Dat is niet denkbeeldig”, stelt Moerel. Zo legde de regering-Trump sancties op tegen rechters van het Internationaal Strafhof en aan oud-Eurocommissaris Thierry Breton vanwege diens betrokkenheid bij de strenge EU-regels tegen Big Tech uit de VS.
„We zijn ons ervan bewust dat het hier gaat om een dochterbedrijf van een Amerikaans bedrijf”, zegt een woordvoerder van NS. „Dit is een vraagstuk waar NS, net zoals zoveel andere (semi-)overheidsorganisaties en -diensten, mee worstelt.”
Volgens hem zijn de systemen die DXC gaat beheren „niet missie-kritisch” en verwerken zij geen personeels- of reizigersgegevens. „Kritieke systemen voor het rijden van treinen en informatievoorziening zijn ondergebracht bij een Nederlandse IT-partij.”
Voor hoogleraar Moerel is de gegeven reden niet doorslaggevend. „NS miskent dat voor Nederland deze hostingdiensten zelf kritische infrastructuur vormen. Digitale autonomie moet het uitgangspunt zijn. Als iedereen zo handelt als NS, bouwen we nooit een eigen digitale infrastructuur.”
Volgens haar kan NS met zijn grote inkoopkracht (een contract van 400 miljoen euro) juist Nederlandse en Europese aanbieders stimuleren. Volgens IT-deskundigen zijn er voldoende Nederlandse bedrijven die de uitbesteedde diensten kunnen leveren.
Positief, zegt Moerel, is dat het voorlopige regeerakkoord deze problemen volledig onderkent. „De coalitiepartijen kiezen voor het opbouwen van eigen digitale infrastructuur door inzet van inkoopkracht van publieke instellingen, zelfs door het opsplitsen van de diensten, zodat meer Nederlandse en Europese mkb’ers kunnen meedoen.”
Hoewel DXC zoals gezegd op prijs maar niet op kwaliteit het hoogst scoorde in de aanbesteding, ontkent de NS-woordvoerder dat kosten doorslaggevend waren. „NS stelt hoge eisen aan de kwaliteit die moet worden geleverd. Alleen partijen die daaraan voldoen, komen überhaupt in aanmerking voor de gunning.” Hij benadrukt dat ‘kwaliteit’ 60 procent meewoog in de gunning en ‘prijs’ 40 procent. DXC bood zo’n lage prijs dat het bedrijf de aanbesteding won.
Volgens hem bestaan er geen nationale richtlijnen om Amerikaanse partijen te weren. Europese regels staan deelname van in Europa gevestigde dochters toe. Brussel werkt wel aan regelgeving om minder afhankelijk te worden van Big Tech. „Wij mogen op deze grond nu geen partij weigeren.”
De keuze van NS voor een Amerikaanse IT-leverancier is „onverstandig”, stelt hoogleraar Europees en internationaal aanbestedingsrecht Elisabetta Manunza (Universiteit Utrecht). „Dit vind ik zorgelijk. We kunnen niet meer inkopen en aanbesteden zonder aandacht voor strategische autonomie en digitale onafhankelijkheid – zoals we tientallen jaren lang konden doen.”
Volgens haar onderschat NS de risico’s. „Met veilig aankopen – zeker voor kritieke infrastructuur als het spoor – verdedigen we onze democratische waarden en normen, onze rechtstaat, onze vrijheid.” Zij vindt dat nationale veiligheid en strategische autonomie noodzakelijke afwegingen moeten zijn bij ieder aanbestedingsproces.
Ten onrechte wordt vaak gedacht dat het aanbestedingsrecht dit verhindert, zegt Manunza. „Er is meer mogelijk dan wordt gedacht.”
Zij wijst op aanbestedingen van de Europese Commissie en Duitsland waarbij Europese partijen de voorkeur krijgen vanwege strategische autonomie en digitale weerbaarheid. Dit valt binnen het zogeheten Cloud Sovereignty Framework van de EU.
Verder gelden sinds 1 januari 2026 in Nederland de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Die bepalen dat de rijksoverheid voor aanbestedingen met risico’s voor de nationale veiligheid strenge eisen moet stellen op het gebied van digitale autonomie.
Nu is NS geen geen directe afdeling van de rijksoverheid, maar de ABRO geldt vanaf 1 juni 2026 ook voor zelfstandige bestuursorganen (zbo’s), semi-overheidsbedrijven én private staatsdeelnemingen als NS. „Had NS niet een paar maanden kunnen wachten met het afsluiten van het IT-contract?”, vraagt Manunza. Dan had NS op heel duidelijke gronden een Nederlandse, of Europese IT-leverancier kunnen kiezen in plaats van een Amerikaanse, zegt ze. „Ook de duur van het contract verbaast mij.” Twaalf jaar vindt ze erg lang in tijden van geopolitieke onzekerheden.
De Europese brancheorganisatie van toeleveranciers van de spoorsector, Unife, vindt dat Europa meer moet doen om het spoor te beschermen tegen de inmenging van buitenlandse, niet-Europese partijen. Volgens Unife moeten de Europese Commissie en het Europees Agentschap voor cyberbeveiliging (ENISA) hun bevoegdheden gebruiken om risicovolle niet-EU-technologie die wordt gebruikt in cruciale spoorweginfrastructuur te onderzoeken en te verbieden.
DXC Technology reageerde niet op een verzoek om commentaar van NRC.
Terugblikken, extra analyses en leestips bij de laatste uitzending van de podcast Wereldzaken.
Source: NRC