De NS gaat een deel van de ict uitbesteden aan een Amerikaanse partij. Het gaat om niet-kritische hosting, technisch applicatiebeheer en ketenmonitoring. Experts zeggen tegen NRC dat zij het besluit onverstandig vinden vanwege de afhankelijkheid van de VS.
DXC Technology gaat de hosting, het technische applicatiebeheer en de continue realtimebewaking van computersystemen overnemen van NS, schrijft NRC. Het gaat onder meer over de ict-systemen voor financiƫle planning en treinonderhoud. De NS benadrukt dat het om 'niet missiekritische' systemen gaat die geen personeels- of reizigersgegevens verwerken. Die belangrijke systemen zijn nog wel bij een Nederlandse partij ondergebracht.
Tot voor kort werden de ict-systemen die DXC gaat beheren, door KPN uitgevoerd. De nieuwe overeenkomst gaat minimaal zes jaar duren 'en mogelijk twaalf jaar', en heeft een waarde van maximaal 400 miljoen euro. NRC schrijft op basis van vertrouwelijke aanbestedingsinformatie dat DXC Technology de goedkoopste offerte deed, maar op het gebied van kwaliteit niet het hoogst scoorde. DXC Technology is onder meer door HP opgericht en DXC-dochterbedrijf Enterprise Services Nederland gaat de aanbesteding uitvoeren.
Experts hekelen tegenover NRC de keuze voor een Amerikaanse partij. Lokke Moerel, hoogleraar global ict-recht aan de Universiteit Tilburg, zegt dat de NS 'miskent' dat de hostingdiensten voor Nederland 'zelf kritische infrastructuur vormen'. Ze merkt op dat de NS een grote inkoopkracht heeft en daardoor juist Nederlandse en Europese aanbieders moet stimuleren. "Als iedereen zo handelt als de NS, bouwen we nooit een eigen digitale infrastructuur."
De NS zegt tegen NRC dat er geen nationale richtlijnen zijn om Amerikaanse partijen te weren. Elisabetta Manunza, hoogleraar Europees en internationaal aanbestedingsrecht aan de Universiteit Utrecht, vraagt zich af of de NS zich niet had kunnen beroepen op Europese wetgeving als de Cloud Sovereignty Framework.
Ze merkt ook op dat vanaf 1 juni 2026 de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten gaan gelden voor private staatsdeelnemingen zoals de NS. Onder die ABRO is de rijksoverheid verplicht om strenge eisen te stellen op het vlak van digitale autonomie voor aanbestedingen met risico's voor de nationale veiligheid. Manunza denkt dat de NS zich op die ABRO had kunnen beroepen en vraagt zich af of de NS niet een paar maanden had kunnen wachten met het IT-contract.
De NS heeft hier voor zover bekend niet op gereageerd. Het spoorbedrijf zegt wel zich ervan bewust te zijn dat de aanbesteding is gegund aan een dochterbedrijf van een Amerikaans bedrijf. "Dit is een vraagstuk waar NS, net als zoveel andere (semi-)overheidsorganisaties en -diensten, mee worstelt."
Source: Tweakers.net