ISO 27001-certificaat van onderaannemer voldoet (week 49)
Certificaat
Rova heeft een Europese openbare aanbestedingsprocedure georganiseerd voor “het leveren van ondergrondse containers met toegangscontrole”. Op 25 augustus 2023 heeft Rova aan MOD meegedeeld dat zij voornemens is om de Opdracht te gunnen aan [partij]. Het betoog van MOD dat [partij] niet aan de ISO 27001-certificeringseis voldoet, omdat zij een beroep doet op het ISO 27001-certificaat van een onderaannemer, slaagt naar het oordeel van de rechter niet. (ECLI:NL:RBOVE:2023:4802, Rechtbank Overijssel, Datum uitspraak 27 november 2023, Datum publicatie 4 december 2023)
Feiten en omstandigheden
Rova heeft een Europese openbare aanbestedingsprocedure georganiseerd voor “het leveren van ondergrondse containers met toegangscontrole inclusief betonput en plaatsing”. De aanbesteding is onderverdeeld in twee percelen. In deze procedure gaat het alleen om perceel 2, inhoudende het leveren van toegangscontrolesystemen. Bij voorlopige gunningsbeslissing van 25 augustus 2023 heeft Rova aan MOD meegedeeld dat zij voornemens is om de Opdracht te gunnen aan [partij]. Op 31 augustus 2023 heeft MOD aan Rova meegedeeld dat zij ermee bekend is dat [partij] niet in het bezit is van een ISO 27001/27002 -certificaat (of gelijkwaardig) en dat zij daarom graag verneemt op grond waarvan Rova meent de Opdracht voorlopig te hebben kunnen gunnen aan [partij]. Op 4 september 2023 heeft Rova aan MOD meegedeeld dat [partij] zelf niet beschikt over een ISO 27001/27002 -certificaat (of gelijkwaardig), maar dat [partij] gebruik maakt van een onderaannemer om aan deze geschiktheidseis te voldaan en dat dit op grond van artikel 2.94 Aw 2012 en de heersende jurisprudentie is toegestaan en dienovereenkomstig in de Aanbestedingsleidraad is opgenomen. MOD vordert dat de voorzieningenrechter Rova gebiedt de voorlopige gunningsbeslissing ten gunste van [partij] in te trekken. Het oordeel van de rechter:
Discretionaire bevoegdheid
“Het betoog van MOD dat [partij] niet aan de ISO 27001-certificeringseis voldoet, omdat zij een beroep doet op het ISO 27001-certificaat van een onderaannemer dat niet aansluit bij de Opdracht, althans slechts ziet op een klein onderdeel van de Opdracht, slaagt naar het oordeel van de voorzieningenrechter niet. Daarvoor is redengevend dat het tot de discretionaire bevoegdheid van de aanbestedende dienst behoort om de aanbesteding vorm te geven binnen de aanbestedingsrechtelijke kaders. Door Rova zijn in de Aanbestedingsleidraad geen specifieke eisen aan de reikwijdte (“scope”) van het ISO 27001-certificaat gesteld. Rova heeft alleen als eis gesteld dat een inschrijver (al dan niet door een beroep te doen op een derde) moet beschikken over een ISO 27001 of ISO 27002-certificaat (of gelijkwaardig). Een verdere “scope” of specificering is niet opgenomen in de aanbestedingsstukken en kan er naar het oordeel van de voorzieningenrechter ook niet in worden gelezen.”
Volledige opdracht
“Uit het voorgaande volgt (ook) dat de door MOD ingenomen conclusie dat het gezien de aard van de Opdracht en de aard van het ISO-certificaat geen twijfel lijdt dat de volledige Opdracht door een gecertificeerde opdrachtnemer moet worden uitgevoerd, een conclusie is die naar het oordeel van de voorzieningenrechter niet kan worden getrokken. De verwijzing naar het vonnis van rechtbank ’s-Gravenhage van 25 september 2009 kan MOD in dit verband niet baten. In rechtsoverweging 3.3. wordt immers overwogen dat uit paragraaf 3.1 van het bij die aanbesteding behorend beschrijvend document kan worden afgeleid dat “de betreffende onderaannemer alle bedrijfsprocessen voor zijn rekening neemt”. Dit duidt erop dat er in die aanbesteding, in tegenstelling tot onderhavige aanbesteding, wel specifieke eisen zijn gesteld. Het beroep op het arrest van het Hof van Justitie van 7 april 2016 slaagt naar het oordeel van de voorzieningenrechter evenmin, nu, met inachtneming van hetgeen is overwogen onder 4.14 voldoende aannemelijk is dat de onderaannemer de werkzaamheden verricht waarop het ISO 27001-certificaat van deze onderaannemer betrekking heeft. De onderaannemer neemt dus deel aan de uitvoering van de Opdracht. Dat de onderaannemer slechts een gedeelte van de Opdracht uitvoert, doet aan het voorgaande niet af.”
Inschrijving terecht als geldig beoordeeld
“Naar het oordeel van de voorzieningenrechter hadden alle inschrijvers, en dus ook MOD, redelijkerwijs behoren te begrijpen dat in de onderhavige aanbesteding wat betreft de certificeringseis ISO 27001 geen specifieke eisen worden gesteld. Indien zou moeten worden aangenomen dat (de reikwijdte van) de ISO 27001-certificeringseis voor MOD onduidelijk was, dan had het op haar weg gelegen om daarover tijdig vragen te stellen. Dit heeft zij nagelaten en komt voor haar rekening en risico. Het bovenstaande leidt tot de conclusie dat het er voor moet worden gehouden dat de inschrijving van [partij] terecht als geldig is aangemerkt.”
(VdLC publishers/consultants BV, 13 december 2023)
Lees de volledige uitspraak op rechtspraak.nl