De uitbesteding van ICT-diensten door de NS aan een Amerikaanse leverancier leidt tot zorgen over digitale autonomie en gegevensbescherming. In antwoorden op Kamervragen van PRO erkent het kabinet dat buitenlandse wetgeving in bepaalde gevallen toegang tot Nederlandse data kan afdwingen, maar ziet het in deze specifieke casus geen directe bedreiging voor de continuïteit van de dienstverlening.
Het kabinet bevestigt dat Amerikaanse wetten zoals de CLOUD Act en FISA extraterritoriale werking hebben. Dat betekent dat bedrijven onder Amerikaanse zeggenschap verplicht kunnen worden om gegevens te verstrekken aan Amerikaanse autoriteiten.
Volgens het kabinet kan dit “in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens”. Daarmee wordt opnieuw zichtbaar dat datadoorgifte niet alleen een juridisch vraagstuk is, maar ook een geopolitiek risico.
Hoewel het kabinet in deze specifieke NS-casus geen directe risico’s ziet voor de continuïteit van het spoor, wordt het bredere probleem nadrukkelijk erkend. Nederland en Europa zijn volgens het kabinet “sterk afhankelijk geworden van een klein aantal niet-Europese spelers”.
Die afhankelijkheid levert voordelen op, zoals toegang tot geavanceerde technologie, maar creëert ook kwetsbaarheden. Technologie kan immers steeds vaker worden ingezet als geopolitiek machtsmiddel .
De keuze voor een Amerikaanse leverancier komt voort uit een reguliere Europese aanbestedingsprocedure, waarbij prijs, kwaliteit en veiligheid doorslaggevend waren. Nationale overheden hebben daarbij beperkte mogelijkheden om partijen uit te sluiten op basis van herkomst.
Opvallend is dat er momenteel geen nationale richtlijnen bestaan om niet-Europese aanbieders te weren bij ICT-aanbestedingen .
Tegelijkertijd werkt het kabinet aan beleid dat meer nadruk legt op:
Volgens het kabinet heeft NS vooraf cyberrisico’s in kaart gebracht en passende beveiligingseisen gesteld. Bovendien blijven kritieke onderdelen, zoals het Security Operations Center, in eigen beheer.
De systemen die worden uitbesteed zijn volgens de overheid niet direct “missiekritisch” voor het rijden van treinen, al kan uitval wel gevolgen hebben voor de dienstverlening aan reizigers .
De casus laat zien hoe complex digitale autonomie in de praktijk is. Enerzijds is er de wens om minder afhankelijk te zijn van buitenlandse technologie. Anderzijds dwingen marktwerking en aanbestedingsregels organisaties vaak richting grote internationale leveranciers.
