NS besteedt deel automatisering uit aan Amerikaans it-bedrijf
NS besteedt een deel van de automatisering uit aan een Amerikaans it-bedrijf. Het gaat onder andere om financiële planning en treinonderhoud, zo meldt NRC vandaag. Voorheen werd het grootste deel van de hosting, technisch applicatiebeheer en monitoring door KPN verzorgd. NS stelt in een reactie op de eigen website dat het gebonden is aan het aanbestedingsrecht en niet de mogelijkheden heeft om Amerikaanse partijen vanwege het feit dat ze Amerikaans zijn te weigeren of benadelen.
NS laat verder weten dat de systemen die het Amerikaanse bedrijf gaat beheren "niet missie-kritisch" zijn en geen personeels- of reizigersgegevens verwerken. "Kritieke systemen voor het rijden van treinen en informatievoorziening zijn ondergebracht bij een Nederlandse it-partij", aldus een woordvoerder van NS tegenover NRC.
Vanaf 1 januari dit jaar gelden er nieuwe beveiligingseisen voor bedrijven die voor de overheid een opdracht uitvoeren met risico’s voor de nationale veiligheid. Dat zijn de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). "Door de ABRO gelden binnen de hele Rijksoverheid dezelfde eisen. De ABRO verkleint de risico’s voor de nationale veiligheid, zoals cyberaanvallen en spionage", aldus het Rijk. Zo worden organisaties verplicht maatregelen te nemen om nationale veiligheid en kritieke processen te beschermen.
De Rijksoverheid voert de ABRO sinds 1 januari 2026 in. Organisaties krijgen twee jaar de tijd om de ABRO in te voeren. De ingangsdatum verschilt daardoor per organisatie. In 2026 en 2027 wordt de ABRO ingevoerd bij de politie, ministeries, hun diensten en agentschappen. NS schrijft dat het niet onder deze wet valt. "Of dat in de toekomst verandert, weten wij niet. NS kan en mag daar nu in ieder geval geen beroep op doen tijdens een Europees aanbestedingstraject." Daarnaast stelt NS dat de ABRO geen directe grond biedt om een Amerikaanse partij uit te sluiten.
"Richtlijnen vanuit de overheid ontbreken om Nederlandse bedrijven te helpen met de strategische autonomie van it. Het zou helpen als die richtlijnen er komen. Maar er is meer nodig: het huidige aanbod zorgt voor grote afhankelijkheid van Amerikaanse bedrijven. Het is daarom onrealistisch om te verwachten dat die afhankelijkheid op korte termijn wordt opgelost en die transitie zal voor grote organisaties als NS complex en kostbaar zijn", laat NS verder weten.
Lokke Moerel, hoogleraar global ICT law in Tilburg, is kritisch op de beslissing van NS. "NS miskent dat voor Nederland deze hostingdiensten zelf kritische infrastructuur vormen. Digitale autonomie moet het uitgangspunt zijn. Als iedereen zo handelt als NS, bouwen we nooit een eigen digitale infrastructuur", zegt ze tegenover NRC. De hoogleraar voegt toe dat NS met zijn grote inkoopkracht Nederlandse en Europese aanbieders juist zou kunnen stimuleren.
Ook beveiligingsexpert Bert Hubert hekelt op Mastodon de beslissing van NS. "Het overkomt ons steeds dat we toch weer afhankelijker geworden zijn, iedere keer weer! Maar misschien is het toch makkelijker te begrijpen als een bewust plan, aangejaagd door belangen. Want het is wel heel veel toeval dat ons dit steeds "overkomt"."
Juist ja.
...Tot het 'kritieke systeem voor het rijden van treinen en informatievoorziening' zoals dat in managementtermen kleurrijk wordt genoemd: outdated raakt en er ingeschreven kan worden op een aanbesteding, waarbij zoals Bert Hubert overwegend vaststelt het ons steeds maar overkomt dat de offerte van een Amerikaanse partij de aanbesteding wint.
Héél toevallig inderdaad ja....
Dat is natuurlijk onzin. Je kan de functionele eisen zo opstellen dat hier geen Amerikaans bedrijf aan kan voldoen.
Je kan niet aangeven dat bedrijven worden uitgezonderd, wel zo specificeren dat alleen bedrijven waar je mee zaken wil doen aan de specificaties voldoen. Zolang dit maar niet expliciet bedrijven uitsluit.
Vanuit de gedachte dat we de afhankelijkheid willen verminderen en meer Europese en Nederlandse alternatieven willen opbouwen, begrijp ik deze keuze dan ook helemaal niet.
Waar wordt eigenlijk het OV-chipkaart-systeem gehost? Ook bij een Amerikaans bedrijf? Dat zou betekenen dat elke treinreis van elke Nederlandse reiziger in Amerika kan worden gevolgd.
Vanuit de gedachte dat we de afhankelijkheid willen verminderen en meer Europese en Nederlandse alternatieven willen opbouwen, begrijp ik deze keuze dan ook helemaal niet.
bBetrouwbaar en betaalbaar.
Sinds wanneer?
De oplossing: stel de eisen zo op dat je bij een NL partij uit komt. Oh, wacht... die zijn door de overheid het land al uit getreiterd.
Tsja... Daar kun je weer als kanttekening bij plaatsen dat India toenadering zoekt tot de USSR v.2 (Poetin)
Stand van zaken op 10 februari 2026: Er is in Nederland structureel weinig tot zelfs geen animo om zich los te weken van de Amerikaanse IT. Bewijs? Hier een ander debacle in wording: DigD dat hoogstwaarschijnlijk wordt versjacherd aan een VS bedrijf. Maar och... het rumoer daarover is natúúrlijk inmiddels verstild want we zijn weer helemaal geobsedeerd op de stortvloed aan andere nieuwtjes gegenereerd door de alles verziekende Social Media: 'klikkerde-klikkerde-klikkerde-klik´.
Een drang tot in eigen huis houden van IT ontbreekt. En nu helemaal met een nieuw kabinet dat zich feitelijk helemaal het schoothondje heeft verklaard van de de IT reus VS door het negeren van een hoogstnoodzakelijke ministerspost voor digitale zaken.
Ik ben het helemaal mee eens ben dat we juist van dit soort organisaties een voortrekkersrol willen zien, maar het is niet eenvoudig voor de NS (en andere organisaties) om het hier goed te doen.
bestudeerd die eens en kom er achter dat vele clubjes de korte bocht afsnijd methodiek hanteren en dan in dit soort valkuilen landen. je mag uitstekend in een aanbesteding van te voren vast leggen dat jouw data en infra bewijsbaar niet onderhevig mag zijn aan andere wetgevingen dan die van jouw keuze / land van operatie. ja dan krijg je niet de absoluut goedkoopste maar je krijgt de goedkoopste die WEL voldoet.
Daarnaast doe maar eens een verzoek tot het verwijderen van persoonsgegevens en andere data dat niet relevant is. AVG geldt niet voor de NS.
Volgens mij is het al lang mogelijk in de voorwaarden op te nemen dat er een leveringszekerheid is. En aangezien de VS een vijandige houding richting Europa aanneemt en al bewezen heeft dat ze chantage kunnen inzetten als drukmiddel om hun doel te bereiken, is de leverzekerheid er niet langer voor producten uit de VS.
Volgens mij is het al lang mogelijk in de voorwaarden op te nemen dat er een leveringszekerheid is. En aangezien de VS een vijandige houding richting Europa aanneemt en al bewezen heeft dat ze chantage kunnen inzetten als drukmiddel om hun doel te bereiken, is de leverzekerheid er niet langer voor producten uit de VS.
Deze aanbesteding loopt al heel lang en ja, die aanbesteding regels zijn bakken met drama. De regels zijn zoals altijd begonnen met een goed idee (minder corruptie) maar uiteindelijk uitgegroeid tot een monster. De mensen die er dan mee moeten werken durven ook helemaal niets meer en vinden het wel best, die willen gewoon om 4 uur aan de keukentafel zitten (semi-ambtenaren). Daarom stelt de NS ook zelf: we kunnen en mogen dit niet eens zelf beslissen, ga ons er dan ook niet op beoordelen. Daar in Den Haag zit het probleem.
Ga alsjeblieft eens ergens werken waar je te maken hebben met IT support vanuit India , dan leer je dit soort domme dingen wel af.
Het is in een aanbesteding heel goed mogelijk om dit te voorkomen. Je mag namelijk eisen stellen zoals "de data moet opgeslagen worden in de Europese unie", "de helpdesk dient bereikbaar te zijn tijdens kantoortijden", "de helpdesk dient Nederlandstalig te zijn" en "bedrijf dient een Europese vestiging te hebben".
Enterprise Services Nederland is een dochteronderneming van het Amerikaanse DXC Technology. Uit vertrouwelijke aanbestedingsinformatie in handen van NRC blijkt dat die Amerikaanse leverancier het goedkoopste bod deed voor de klus, maar niet het hoogst scoorde op kwaliteit. De overeenkomst geldt volgens NRC voor minimaal zes en mogelijk twaalf jaar en kost de NS maximaal 400 miljoen euro.
https://nos.nl/artikel/2601753-ns-gaat-deel-automatisering-uitbesteden-aan-dochter-van-amerikaans-bedrijf
Het is in een aanbesteding heel goed mogelijk om dit te voorkomen. Je mag namelijk eisen stellen zoals "de data moet opgeslagen worden in de Europese unie", "de helpdesk dient bereikbaar te zijn tijdens kantoortijden", "de helpdesk dient Nederlandstalig te zijn" en "bedrijf dient een Europese vestiging te hebben".
Ten onrechte wordt vaak gedacht dat het aanbestedingsrecht dit verhindert. stelt Elisabetta Manunza, hoogleraar Europees en internationaal aanbestedingsrecht, Universiteit Utrecht. „Er is meer mogelijk dan wordt gedacht.” Zij wijst op aanbestedingen van de Europese Commissie en Duitsland, waarbij Europese partijen de voorkeur krijgen vanwege strategische autonomie en digitale weerbaarheid. Dit valt binnen het zogeheten Cloud Sovereignty Framework van de EU.
https://www.nrc.nl/nieuws/2026/02/10/ns-besteedt-ict-deels-uit-aan-amerikaanse-leverancier-a4919022
Correctie door de NRC redactie, 10 februari 2026 om 09.28 uur, vermeld onderaan het geciteerde NRC artikel:
'In een eerdere versie van dit artikel stond dat de ABRO-beveiligingseisen op 1 juni 2026 ingaan voor vitale sectoren als de spoorwegen. Die datum is nog niet definitief vastgesteld. De regelgeving is „in voorbereiding”.'
woensdag 11 februari 2026, 14:19 door Redactie
De staatssecretarissen Van Marum voor Digitalisering en Aartsen van Infrastructuur en Waterstaat moeten ook duidelijk maken of de Amerikaanse overheid, via wet- en regelgeving zoals de CLOUD Act, Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333, toegang kan krijgen tot gevoelige gegevens over de Nederlandse spoorinfrastructuur.
https://www.security.nl/posting/924125/Kamervragen+over+keuze+van+NS+voor+beheer+door+Amerikaans+ict-bedrijf
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
