RECHTBANK Overijssel
Zaaknummer: C/08/302704 / KG ZA 23-199
Vonnis in kort geding van 27 november 2023
MIC-O-DATA B.V.,
te Hengelo,
eisende partij,
hierna te noemen: MOD,
advocaten: mrs. L.E.M. Haverkort en J.P.M. Kooijman te Deventer,
ROVA ACTIVA BEHEER B.V.,
te Zwolle,
gedaagde partij,
hierna te noemen: Rova,
advocaat: mr. L.J.W. Sueters te 's-Hertogenbosch.
waarin heeft gevorderd als partij te mogen tussenkomen, subsidiair zich te mogen voegen aan de zijde van gedaagde in de hoofdzaak:
[partij]. B.V.,
gevestigd te [vestigingsplaats],
hierna te noemen: [partij],
advocaat: mr. Tj.P. Grünbauer te Ede.
1 De procedure
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding (met producties),
- de incidentele conclusie tot tussenkomst dan wel voeging van [partij],
- de conclusie van antwoord tevens akte overlegging producties 1 tot en met 9 van Rova,
- de aanvullende producties van de zijde van MOD,
- de mondelinge behandeling van 13 november 2023, waar partijen vertegenwoordigd zijn verschenen, bijgestaan door hun advocaten. Partijen hebben hun standpunten toegelicht, mede aan de hand van pleitaantekeningen. De griffier heeft aantekeningen gemaakt van de mondelinge behandeling
1.2.
Het vonnis is bepaald op vandaag.
3 Wat aan het geschil vooraf is gegaan
3.1.
Rova heeft een Europese openbare aanbestedingsprocedure georganiseerd voor “het leveren van ondergrondse containers met toegangscontrole inclusief betonput en plaatsing”. De aanbesteding is onderverdeeld in twee percelen. In deze procedure gaat het alleen om perceel 2, inhoudende het leveren van toegangscontrolesystemen (hierna ook: de Opdracht).
3.2.
Op de aanbesteding is de Aanbestedingswet 2012 (hierna: Aw 2012) van toepassing.
3.3.
In de Aanbestedingsleidraad staat in hoofdstuk IV (uitsluitingsgronden/ minimumeisen), voor zover van belang, het volgende vermeld:
“A. UITSLUITING VAN DEELNEMING
(…)
Tevens dient inschrijver door invulling (van deel IV) en ondertekening van het Uniform Europees Aanbestedingsdocument te verklaren dat hij geschikt is om de opdracht uit te voeren, namelijk dat inschrijver voldoet aan de door opdrachtgever gestelde geschiktheidseisen. Indien inschrijver niet voldoet aan de gestelde geschiktheidseisen, wordt de inschrijving terzijde gelegd en inschrijver van verdere deelname aan de aanbestedingsprocedure uitgesloten.
(…)
D. KWALITEIT EN MILIEU
(…)
Informatiebeveiliging – Perceel 2
Inschrijver dient te voldoen aan normen over informatiebeveiliging en dient te beschikken over een
ISO 27001 of ISO 27002 certificaat of gelijkwaardig.
(…)
Indien de inschrijver voor enige geschiktheidseis als bedoeld in het onderhavige hoofdstuk, paragrafen B tot en met D een beroep moet doen op inbreng van derden, zoals de holding, de moedermaatschappij of een onderaannemer, dan toont inschrijver in haar inschrijving aan dat zij een beroep op deze derde doet. De inschrijver vermeldt in het UEA op welke derde(n) zij een beroep doet. Inschrijver dient voor een derde op welke partij een beroep op wordt gedaan tevens het ingevulde en ondertekende UEA in te dienen.
In het geval een beroep gedaan wordt op een derde, dient onderdeel II C van het UEA door inschrijver ingevuld te worden en dient deze derde waarop een beroep wordt gedaan zelf het UEA, deel IIA en B in te vullen en rechtsgeldig te ondertekenen. De rechtsgeldige ondertekening van de derde partij dient herleidbaar te zijn uit het/de uittreksel(s) Kamer van Koophandel (toevoegen aan de inschrijving). De derde waarop de inschrijver zich beroept moet tevens verklaren dat zij niet verkeert in (één van) de situaties als bedoeld in de artikelen 2.86 en 2.87 Aanbestedingswet 2012 (middels het invullen van deel III van het Uniform Europees Aanbestedingsdocument). De derde moet tot slot de in Bijlage D bij de onderhavige Aanbestedingsleidraad opgenomen "Verklaring derde / onderaanneming" rechtsgeldig ondertekenen, omdat een voorwaarde is voor het doen van een beroep op een derde dat de inschrijver aantoont dat zij daadwerkelijk kan beschikken over de voor de uitvoering van die overheidsopdracht noodzakelijke middelen van deze derde.
Inschrijver mag na inschrijving en gedurende de uitvoering van de opdracht niet zonder goedkeuring van opdrachtgever wisselen van de bij inschrijving vermelde "derde partij" waarop inschrijver een beroep doet om te voldoen aan de geschiktheidseisen. In voorkomende gevallen is opdrachtgever gerechtigd om de overeenkomst te beëindigen.
(…)”
In Bijlage A (Checklist inschrijving) van de Aanbestedingsleidraad is het ISO 27001 of ISO 27002-certificaat of gelijkwaardig1 ook als zodanig opgenomen.
3.4.
Bij voorlopige gunningsbeslissing van 25 augustus 2023 heeft Rova aan MOD meegedeeld dat zij voornemens is om de Opdracht te gunnen aan [partij].
3.5.
Bij brief van 31 augustus 2023 heeft MOD aan Rova meegedeeld dat zij ermee bekend is dat [partij] niet in het bezit is van een ISO 27001/27002 -certificaat (of gelijkwaardig) en dat zij daarom graag verneemt op grond waarvan Rova meent de Opdracht voorlopig te hebben kunnen gunnen aan [partij].
3.6.
Bij brief van 4 september 2023 heeft Rova aan MOD meegedeeld dat [partij] zelf niet beschikt over een ISO 27001/27002 -certificaat (of gelijkwaardig), maar dat [partij] gebruik maakt van een onderaannemer om aan deze geschiktheidseis te voldaan en dat dit op grond van artikel 2.94 Aw 2012 en de heersende jurisprudentie is toegestaan en dienovereenkomstig in de Aanbestedingsleidraad is opgenomen.
3.7.
Bij brief van 8 september 2023 heeft (de advocaat van) MOD gereageerd op de brief van 4 september 2023 van Rova. Bij brief van 18 september 2024 heeft (de advocaat van) Rova aan MOD meegedeeld dat zij haar standpunt handhaaft.
4 De beoordeling
4.1.
[partij] heeft - kort gezegd - primair gevorderd om te mogen tussenkomen en subsidiair om zich te mogen voegen.
4.2.
De voorzieningenrechter zal de vordering van [partij] om te mogen tussenkomen toewijzen. [partij] heeft een zelfstandige vordering geformuleerd, namelijk Rova te veroordelen om de voorlopige gunningsbeslissing in stand te houden en haar te gebieden de Opdracht definitief aan [partij] te gunnen, indien en voor zover Rova de Opdracht nog wenst te verstrekken. [partij] heeft vanwege een dreiging van het verlies van het recht op gunning, een voldoende belang bij tussenkomst.
4.3.
Nu geen verweer is gevoerd tegen de gevorderde tussenkomst kan naar het oordeel van de voorzieningenrechter worden volstaan met een veroordeling van MOD in de kosten van het geding in het incident, te begroten op nihil.
4.4.
MOD vordert - samengevat - dat de voorzieningenrechter bij vonnis, voor zover mogelijk uitvoerbaar bij voorraad,
primair:
I. Rova gebiedt de voorlopige gunningsbeslissing ten gunste van [partij] in te trekken; en
II. Rova verbiedt de Opdracht te gunnen aan [partij]; en
III. Rova - voor zover zij tot gunning van de Opdracht zou willen overgaan - verbiedt de Opdracht te gunnen aan een ander dan MOD, met in achtneming van een nieuwe termijn voor het aanhangig maken van een kort geding van 20 dagen na ontvangst van de nieuwe voorlopige gunningsbeslissing;
subsidiair:
IV. Rova gebiedt de aanbesteding te staken en gestaakt te houden; en
V. Rova verbiedt de Opdracht te gunnen anders dan na heraanbesteding conform de
Aw 2012 en het door de voorzieningenrechter te wijzen vonnis;
meer subsidiair:
VI. Rova gebiedt de maatregelen te treffen die de voorzieningenrechter noodzakelijk c.q. geschikt acht;
primair, subsidiair, meer subsidiair:
VII. dit alles op straffe van verbeurte van dwangsom;
VIII. dit alles met veroordeling van Rova in de (na)kosten van de procedure, vermeerderd met de wettelijke rente daarover.
De beoordeling door de voorzieningenrechter
4.5.
De voorzieningenrechter stelt voorop dat MOD voldoende spoedeisend belang heeft bij het gevorderde.
4.6.
De kern van het geschil betreft de vraag of [partij] heeft voldaan aan de gestelde ISO 27001/27002 certificeringseis door een beroep te doen op het ISO 27001-certificaat van een door haar ingeschakelde onderaannemer.
4.7.
MOD stelt zich kort gezegd op het standpunt dat [partij] niet aan de certificeringseis heeft voldaan omdat [partij] de Opdracht voor het overgrote deel zal uitvoeren zonder waarborging van de beheersmaatregelen die een ISO 27001-certificaat vereist. [partij] beschikt zelf niet over een ISO 27001-certificaat, maar doet daarvoor een beroep op een derde die haar software host. Deze derde beschikt over een ISO 27001-certificaat dat niet aansluit bij de door Rova aanbestede opdracht, althans slechts ziet op het hosten van software hetgeen slechts een miniem onderdeel van het toegangscontrolesysteem is. MOD stelt dat de aard van de Opdracht en de aard van het ISO 27001 certificaat maar tot één conclusie kunnen leiden, namelijk dat alleen aan de certificeringseis wordt voldaan als de Opdracht volledig door of onder directe verantwoordelijkheid van een gecertificeerde opdrachtnemer wordt uitgevoerd. Behoorlijk geïnformeerde en normaal oplettende inschrijvers konden en moesten daar ook van uitgaan.
Nu [partij] maar voor een zeer beperkt deel van de Opdracht beschikt over een ISO 27001- certificaat van een derde, voldoet zij niet aan de door Rova gestelde certificeringseis en moet Rova de inschrijving van [partij] ongeldig verklaren.
4.8.
Rova stelt – samengevat weergegeven – dat het aan de aanbestedende dienst is om te bepalen of zij al dan niet een certificeringseis wenst te stellen en dat het ook geheel aan Rova als aanbestedende dienst is om te bepalen of zij al dan niet specifieke eisen stelt ten aanzien van de scope (reikwijdte) van het ISO 27001-certificaat. Rova heeft er bewust voor gekozen om géén specifieke eisen te stellen aan de reikwijdte van het ISO 27001-certificaat. In dat kader acht zij mede van belang dat veel bedrijven in de branche nog niet ISO 27001 gecertificeerd zijn en dat de markt bovendien geconcentreerd is. Rova stelt dat er sprake is Van een eenduidige certificeringseis en dat MOD deze eis op dezelfde wijze heeft uitgelegd en dienovereenkomstig haar inschrijving heeft vormgegeven, zoals door Rova wordt voorgestaan en ook door de overige inschrijvers. Een behoorlijk geïnformeerde en normaal oplettende inschrijver heeft volgens Rova moeten begrijpen dat door Rova geen specifieke eisen zijn gesteld ten aanzien van de scope van het vereiste ISO 27001-certificaat en dat [partij] met het beroep op het ISO 27001-certificaat van een derde heeft voldaan aan de gestelde ISO 27001 certificeringseis.
Indien de inschrijving van [partij] ongeldig is, betekent dit dat ook de inschrijving van MOD ongeldig is, omdat het certificaat van MOD niet ziet op hosting van de data en er ter zake door MOD geen beroep is gedaan op een derde. Anders dan MOD doet voorkomen is cloudhosting van data geenszins een onbelangrijk aspect van de Opdracht.
4.9.
[partij] stelt zich – kort gezegd – op het standpunt dat het betoog van MOD er op neer komt dat de gestelde geschiktheidseis ISO 27001-certificering zonder scope, wordt uitgebreid tot een ISO 27001-certificering mèt scope (namelijk alle onderdelen van de Opdracht), omdat de certificering anders nergens meer toe zou dienen. In juridische zin komt dat neer op het “erbij interpreteren” van een extra geschiktheidseis, namelijk een geheel waterdichte ISO 27001 certificering op de hele opdracht. [partij] stelt dat dat niet in de aanbestedingsstukken staat en dat het zo niet door [partij] en door de derde inschrijver is begrepen. Bovendien heeft MOD hierover geen vragen gesteld. Voldoende is dat een onderaannemer met een ISO 27001-certificaat daadwerkelijk voor de Opdracht wordt ingeschakeld. De onderaannemer van [partij] wordt ingeschakeld voor dat deel van de Opdracht waar ISO 27001 relevant voor is, voor de beveiliging van dataverkeer, niet voor de productie van een apparaat en de software erop. Nu vaststaat dat MOD niet zelf gecertificeerd is voor de hosting van data en zij daarvoor geen beroep heeft gedaan op een derde is daarmee volgens [partij] gegeven dat MOD de geschiktheidseis begrepen heeft zoals [partij] en de derde inschrijver dat hebben gedaan, namelijk dat het bezit van een certificaat ISO 27001, zonder relevantie van de scope ervan, voldoende is om geldig te kunnen inschrijven en dat met het vast staan van de beperkte scope van MOD ook vast staat dat als MOD in haar stellingen wordt gevolgd zij ook zelf ongeldig heeft ingeschreven.
4.10.
De voorzieningenrechter overweegt als volgt.
4.11.
Het uitgangspunt bij (Europese openbare) aanbestedingen is dat inschrijvers een beroep mogen doen op onderaannemers om te kunnen voldoen aan de geschiktheidseisen. Dat betekent dat inschrijvers niet per definitie zelf aan alle geschiktheidseisen hoeven te voldoen, zij mogen daarbij hulp van een derde inschakelen.
4.12.
Aanbestedende diensten kunnen als bewijs van het voldoen aan geschiktheidseisen vragen om certificaten. Dat kan ook bij eisen die specifiek zien op kwaliteitsbewaking. Daarbij moet worden aangesloten bij kwaliteitsbewakingsregelingen die op de Europese normenreeksen op dit terrein zijn gebaseerd, zoals bijvoorbeeld ISO en NEN (artikel 2.96 lid 1 Aw 2012).
4.13.
In het onderhavige geval heeft Rova wat betreft de informatiebeveiliging ter zake perceel 2 gevraagd om een ISO 27001-certificaat (of gelijkwaardig). Tussen partijen is niet in geschil dat dit een geschiktheidseis is. Op grond van hoofdstuk IV onder E van de Aanbestedingsleidraad is het mogelijk om ten aanzien van een geschiktheidseis een beroep te doen op de derde. Dat heeft [partij] gedaan. Zij doet namelijk een beroep het ISO 27001-certificaat van een door haar ingeschakelde onderaannemer.
4.14.
Voor zover MOD heeft betoogd dat [partij] niet heeft aangetoond dat zij voldoet aan de certificeringseis, omdat het betreffende ISO 27001-certificaat niet is overgelegd en ook de naam van de onderaannemer niet kenbaar is gemaakt, overweegt de voorzieningenrechter dat een aanbestedende dienst in beginsel mag afgaan op hetgeen door de inschrijver schriftelijk is ingediend2. Dat neemt echter niet weg dat op de aanbestedende dienst ook een eigen (zelfstandige) verificatieplicht kan rusten, met name wanneer er gerede twijfel is op een onderdeel van de inschrijving. In randnummer 41 van de conclusie van antwoord heeft Rova bevestigd dat bij de inschrijving van [partij] het ISO 27001-certificaat van de onderaannemer waarop [partij] een beroep doet was gevoegd en is door Rova gesteld dat zij voorafgaand aan de voorlopige gunningsbeslissing van 25 augustus 2023 een toetsing van de inschrijving van [partij] heeft verricht. Tevens is daarbij door Rova gesteld dat zij naar aanleiding van de bezwaren van MOD, een (in haar haar ogen onverplichte) verificatie heeft verricht en dat in dat kader door [partij] onvoorwaardelijk is bevestigd dat de onder perceel 2 van de aanbesteding vallende werkzaamheden waarop het ISO 27001-certificaat van de onderaannemer betrekking heeft daadwerkelijk door deze onderaannemer zullen worden uitgevoerd. Een en ander is door Rova ook aan MOD meegedeeld bij brief van 18 september 2023. Niet kan worden geconcludeerd dat de handelwijze van Rova onjuist is geweest. Inzage in de inschrijving van [partij] dan wel overlegging van het ISO 27001-certificaat strookt niet met de vaste rechtspraak zoals hiervoor is verwoord en zou het karakter hebben van een fishing expedition.
4.15.
Het betoog van MOD dat [partij] niet aan de ISO 27001-certificeringseis voldoet, omdat zij een beroep doet op het ISO 27001-certificaat van een onderaannemer dat niet aansluit bij de Opdracht, althans slechts ziet op een klein onderdeel van de Opdracht, slaagt naar het oordeel van de voorzieningenrechter niet. Daarvoor is redengevend dat het tot de discretionaire bevoegdheid van de aanbestedende dienst behoort om de aanbesteding vorm te geven binnen de aanbestedingsrechtelijke kaders. Door Rova zijn in de Aanbestedingsleidraad geen specifieke eisen aan de reikwijdte (“scope”) van het ISO 27001-certificaat gesteld. Rova heeft alleen als eis gesteld dat een inschrijver (al dan niet door een beroep te doen op een derde) moet beschikken over een ISO 27001 of ISO 27002-certificaat (of gelijkwaardig). Een verdere “scope” of specificering is niet opgenomen in de aanbestedingsstukken en kan er naar het oordeel van de voorzieningenrechter ook niet in worden gelezen.3 Uit het voorgaande volgt (ook) dat de door MOD ingenomen conclusie dat het gezien de aard van de Opdracht en de aard van het ISO-certificaat geen twijfel lijdt dat de volledige Opdracht door een gecertificeerde opdrachtnemer moet worden uitgevoerd, een conclusie is die naar het oordeel van de voorzieningenrechter niet kan worden getrokken. De verwijzing naar het vonnis van rechtbank ’s-Gravenhage van 25 september 20094 kan MOD in dit verband niet baten. In rechtsoverweging 3.3. wordt immers overwogen dat uit paragraaf 3.1 van het bij die aanbesteding behorend beschrijvend document kan worden afgeleid dat “de betreffende onderaannemer alle bedrijfsprocessen voor zijn rekening neemt”. Dit duidt erop dat er in die aanbesteding, in tegenstelling tot onderhavige aanbesteding, wel specifieke eisen zijn gesteld. Het beroep op het arrest van het Hof van Justitie van 7 april 20165 slaagt naar het oordeel van de voorzieningenrechter evenmin, nu, met inachtneming van hetgeen is overwogen onder 4.14 voldoende aannemelijk is dat de onderaannemer de werkzaamheden verricht waarop het ISO 27001-certificaat van deze onderaannemer betrekking heeft. De onderaannemer neemt dus deel aan de uitvoering van de Opdracht. Dat de onderaannemer slechts een gedeelte van de Opdracht uitvoert, doet aan het voorgaande niet af.
4.16.
Naar het oordeel van de voorzieningenrechter hadden alle inschrijvers, en dus ook MOD, redelijkerwijs behoren te begrijpen dat in de onderhavige aanbesteding wat betreft de certificeringseis ISO 27001 geen specifieke eisen worden gesteld. Indien zou moeten worden aangenomen dat (de reikwijdte van) de ISO 27001-certificeringseis voor MOD onduidelijk was, dan had het op haar weg gelegen om daarover tijdig vragen te stellen. Dit heeft zij nagelaten en komt voor haar rekening en risico.
4.17.
Het bovenstaande leidt tot de conclusie dat het er voor moet worden gehouden dat de inschrijving van [partij] terecht als geldig is aangemerkt. Van schending van de aanbestedingsrechtelijke beginselen is naar het oordeel van de voorzieningenrechter geen sprake. Dit betekent dat de vorderingen van MOD afgewezen moeten worden.
De vordering van [partij]
4.18.
In de stellingen van Rova ligt besloten dat zij (nog steeds) voornemens is om de Opdracht aan [partij] te gunnen. Bij die stand van zaken heeft [partij] geen belang bij toewijzing van haar vordering. Deze zal dan ook worden afgewezen.
Proceskosten in de hoofdzaak
4.19.
Als de in het ongelijk gestelde partij zal MOD worden veroordeeld in de kosten van het geding aan de zijde van Rova. Deze kosten zullen worden begroot op € 676,- aan griffierecht en € 1.079,- aan salaris van haar advocaat. De nakosten worden begroot op
€ 173,- (plus de verhoging zoals vermeld in de beslissing). De gevorderde wettelijke rente over de proceskosten wordt toegewezen als na te melden.
4.20.
Ondanks de afwijzing van het door [partij] gevorderde moet MOD in relatie tot [partij] worden aangemerkt als de in het ongelijk gestelde partij. Het doel van [partij] was immers te voorkomen dat de vorderingen van MOD zouden worden toegewezen, welk doel is bereikt. MOD zal dan ook worden veroordeeld in de proceskosten van [partij]. Deze kosten zullen worden begroot op € 676,- aan griffierecht en € 1.079,- aan salaris van haar advocaat. De nakosten worden begroot op € 173,- (plus de verhoging zoals vermeld in de beslissing). De gevorderde wettelijke rente over de proceskosten wordt toegewezen zoals vermeld in de beslissing.
4.21.
[partij] zal wat betreft de door haar ingestelde vordering worden veroordeeld in de kosten van Rova, welke kosten worden begroot op nihil, nu niet is gebleken dat Rova als gevolg van deze vorderingen extra kosten heeft moeten maken.
5 De beslissing
5.1.
staat [partij] toe tussen te komen;
5.2.
veroordeelt MOD in de proceskosten in het incident, tot op heden aan de zijde van [partij] en Rova begroot op nihil;
5.3.
wijst het door MOD en [partij] gevorderde af;
5.4.
veroordeelt MOD in de proceskosten aan de zijde van Rova, welke kosten tot op heden begroot worden op € 1.928.,-, te betalen binnen veertien dagen na aanschrijving daartoe. Als MOD niet tijdig aan deze veroordeling voldoet en het vonnis daarna wordt betekend, dan moet MOD € 90,- extra betalen, plus de kosten van betekening;
5.5.
veroordeelt MOD in de wettelijke rente over de proceskosten aan de zijde van Rova als deze niet binnen veertien dagen na aanschrijving zijn voldaan, zulks tot aan de dag der algehele voldoening;
5.6.
veroordeelt MOD in de proceskosten aan de zijde van [partij], welke kosten tot op heden begroot worden op € 1.928,-, te betalen binnen veertien dagen na aanschrijving daartoe. Als MOD niet tijdig aan deze veroordeling voldoet en het vonnis daarna wordt betekend, dan moet MOD € 90,- extra betalen, plus de kosten van betekening;
5.7.
veroordeelt MOD in de wettelijke rente over de proceskosten aan de zijde van [partij] als deze niet binnen veertien dagen na aanschrijving zijn voldaan, zulks tot aan de dag der algehele voldoening;
5.8.
veroordeelt [partij] wat betreft de door haar ingestelde vordering jegens Rova in de kosten van Rova, tot op heden begroot op nihil;
in het incident en in de hoofdzaak
5.9.
verklaart de proceskostenveroordelingen uitvoerbaar bij voorraad.
Dit vonnis is gewezen door mr. H. Bottenberg-van Ommeren en in het openbaar uitgesproken op 27 november 2023.
.jpg?width=50&height=55)
.jpg?width=50&height=55)
