Rechtbank Den Haag, 14-07-2020, ECLI:NL:RBDHA:2020:6590, C/09/593232 / KG ZA 20-446
Rechtbank Den Haag, 14-07-2020, ECLI:NL:RBDHA:2020:6590, C/09/593232 / KG ZA 20-446
Gegevens
- Instantie
- Rechtbank Den Haag
- Datum uitspraak
- 14 juli 2020
- Datum publicatie
- 20 juli 2020
- ECLI
- ECLI:NL:RBDHA:2020:6590
- Zaaknummer
- C/09/593232 / KG ZA 20-446
Inhoudsindicatie
kort geding; aanbesteding; eiseres beroept zich op vernietiging van een op 17 september 2018 gesloten overeenkomst (ruim anderhalf jaar na het sluiten daarvan). Dit is ism. de in artikel 4:15 Aw genoemde termijn van zes maanden. Daarnaast is eiseres er ten onrechte vanuit gegaan dat het gebruik van haar producten is voorgeschreven en dat zij als onderaannemer fungeerde van de inschrijver aan wie de opdracht is gegund. Voorshands is evenmin aannemlijk geworden dat gedaagde op dit punt bepaalde toezeggingen heeft gedaan. In het beperkte kader van dit kort geding is dan ook niet aannemelijk geworden dat de bodemrechter de vordering tot vernietiging van de overeenkomst zal honoreren. De vordering tot verstrekking van bepaalde bescheiden (843a Rv). is evenmin toewijsbaar.
Uitspraak
Team handel - voorzieningenrechter
zaak- / rolnummer: C/09/593232 / KG ZA 20-446
Vonnis in kort geding van 14 juli 2020
in de zaak van
Advanced Encryption Techonology Europe B.V. te Arnhem,
eiseres,
advocaten mrs. P.F.C. Heemskerk en F.J.P. Stoop te Amsterdam,
tegen:
1 de Staat der Nederlanden
(Ministerie van Binnenlandse Zaken en Koninkrijksrelaties) te Den Haag,
advocaten mrs. J.E. Palm en J.L. Naves te Den Haag,
2. Idemia The Netherlands B.V. te Haarlem,
advocaten mrs. A.A.H.J. Huizing en I.M. van Erkel te Amsterdam,
gedaagden.
Partijen worden hierna respectievelijk aangeduid als ‘AET’, ‘BZK’ en ‘Idemia’.
1 De procedure
Het verloop van de procedure blijkt uit:
- de dagvaarding met producties;
- de door BZK ingediende conclusie van antwoord met een productie;
- de door Idemia ingediende conclusie van antwoord met producties;
- de op 23 juni 2020 gehouden mondelinge behandeling, waarbij door AET en door BZK pleitnotities zijn overgelegd.
Ter zitting is vonnis bepaald op heden.
2 De feiten
Op grond van de stukken en het verhandelde ter zitting wordt in dit geding van het volgende uitgegaan.
Op 12 februari 2018 heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (hierna: BZK) een Europese niet openbare aanbesteding aangekondigd voor de levering van de Rijkspas (Rijkspas 3.0). Op de aanbestedingsprocedure is de Aanbestedingswet 2012 (Aw) van toepassing. In de aanbestedingsdocumentatie is vermeld dat gunning zal plaatsvinden op basis van de beste prijs-kwaliteitverhouding.
De Rijkspas is een multifunctionele smartcard voor de Nederlandse rijksoverheid. De Rijkspas wordt ingezet als toegangsmiddel tot de rijksgebouwen, als authenticatiemiddel en als interdepartementaal legitimatiebewijs. Daarnaast wordt de Rijkspas ook gebruikt voor toegang tot de werkomgeving, printers en andere systemen. De Rijkspas bevat twee chips: een contactchip en een contactloze chip. De contactchip maakt de Rijkspas geschikt voor public key infrastructure (PKI). In de contactchip zit een PKI-applet (software) om de PKI-functies op de contactchip te kunnen ontsluiten, waaronder authenticatie en de elektronische handtekening. Om gekwalificeerde elektronische handtekeningen te kunnen zetten met de Rijkspas moet de combinatie van de PKI-applet en de contactchip gecertificeerd zijn conform de daarvoor geldende wettelijke eisen. Voor het functioneren van PKI is middleware (software) benodigd. Hiermee kunnen de gegevens op de contactchip via de applet en de contactchiplezer worden uitgelezen op de (werkplek)computer. De contactloze chip wordt gebruikt voor fysieke toegang tot panden, printers en andere systemen door deze in de buurt van een paslezer te houden.
EAT en Idemia werkten samen in het kader van het vorige contract inzake Rijkspas 2.0. Rijkspas 2.0 werd geleverd door Idemia, met AET als onderaannemer en leverancier van de PKI-applet (de Safesign PKI-applet) en de bijbehorende middleware (software). Dit contract liep af in november 2018. AET en Idemia dragen tevens zorg voor de levering van de Rijkspas die wordt gebruikt door medewerkers van het Ministerie van Defensie (hierna: Defensie).
De aanbestedingsprocedure is nader omschreven in onder meer de Selectieleidraad van 12 februari 2018 (hierna: de Selectieleidraad) en in het Beschrijvend Document van 1 juni 2018 (hierna: het Beschrijvend Document), waarvan deel uitmaakt het door inschrijvers over te leggen Aanbiedingsformulier en akkoordverklaring.
In het Aanbiedingsformulier en akkoordverklaring is omschreven aan welke eisen Rijkspas 3.0 moet voldoen. Hierin is onder meer vermeld:
|
Chipmodules in de pas |
|
|
E. 29 |
Inschrijver gebruikt de volgende contactloze chip: Mifare DESFire Ev2 8KB met 70 pF met Common Criteria EAL5+ certification met de laatst bekende firmware. irmware. |
|
E. 30 |
Inschrijver gebruikt de volgende contact chip: SMARTMX2-P60 inclusief JCOP 3.x 80KB single contact interface met Common Criteria EAL5+ certification met de laatst bekende firmware. |
|
E. 31 |
De PKI-applet op de pas wordt met een standaard PKCS#15 structuur gevuld. Aangezien de applet ook geschikt moet zijn voor gebruik met de gekwalificeerde elektronische handtekening dient deze overeenkomstig die wettelijke eisen getoetst te zijn (of worden). |
|
E. 32 |
Inschrijver levert op verzoek van de Opdrachtgever de client middle ware licenties inclusief software onderhoud en support ten behoeve van het PKI-gebruik op de werkplek. |
|
E. 33 |
Zowel de contactchip als contactloze chip wordt door Inschrijver gevuld conform specificaties zoals genoemd in Bijlage F2: Normenkaders Rijkspas Infrastructuur: Functionele specificaties berichtenverkeer en Bijlage F3: Normenkaders Rijkspas Infrastructuur: Technische specificaties berichtenverkeer en Bijlage F4: WSDL. |
|
E. 34 |
De contactchip is voorzien van een PIN en PUK code, het beleid hiervan wordt centraal vastgelegd. De PIN en PUK code dienen door de gebruiker gewijzigd te kunnen worden binnen het vastgestelde beleid. |
|
E. 35 |
Op de pas wordt een PKI-certificaat gezet van een door Rijkspas aangestelde externe CA. Hiervoor dient de WSDL gebruikt te worden zoals beschreven in Bijlage F5 Rijkspas PKI WSDL. |
|
E. 36 |
Inschrijver monitort de voortgang van aangevraagde en geleverde certificaten en meldt omissies aan de Opdrachtgever. |
|
E. 37 |
De contactchip dient ook na levering nog te kunnen worden voorzien van PKI certificaten (Post- issuance). |
Uit paragraaf 4.4.2.1 van de Selectieleidraad, eis P.1 van het Aanbiedingsformulier en de akkoordverklaring behorend bij de Selectieleidraad volgt dat Rijkspas 3.0 backwards compatible moet zijn met Rijkspas 2.0.
Door de inschrijvers zijn diverse vragen gesteld, die in de Nota van Inlichting van 29 juni 2018 zijn beantwoord. Voor zover relevant luiden deze vragen en antwoorden als volgt:
" 12- Vraag: Welke PKI-applet wordt hier bedoeld?
Antwoord: De PKI-applet op de kaart wordt met een standaard PKCS#I5 structuur gevuld. Aangezien de applet ook geschikt moet zijn voor het gebruik met de gekwalificeerde elektronische handtekening dient deze overeenkomstig die wettelijke eisen getoetst te zijn (of worden).
13- Vraag: Op welke wijze kan Opdrachtnemer deze PKI-applet verwerven?
Antwoord: Opdrachtnemer dient deze component, evenals andere componenten die Opdrachtnemer niet zelf heeft, zelf te verkrijgen.
14- Vraag: Wordt deze PKI-applet door Opdrachtgever ter beschikking gesteld?
Antwoord: Nee, Opdrachtnemer dient de gehele oplossing aan te bieden.
15- Vraag: Welke cliënt middleware wordt hier bedoeld?
Antwoord: Dit betreft de benodigde software om de PKI op het gebruikersdevice te kunnen gebruiken. Gebruikersdevices draaien op een operating system (OS). De volgende operating systems dienen te worden ondersteund:
-Windows 7 en hoger;
-Ubuntu 16.10 en hoger;
-OS X 10.10 en hoger.
16- Vraag: Op welke wijze kan Opdrachtnemer deze client middleware verwerven?
Antwoord: Opdrachtnemer dient deze component, evenals andere componenten die Opdrachtnemer niet zelf heeft, zelf te verkrijgen.
17-Vraag: Betreft dit licenties?
Antwoord: Dit betreft de benodigde software om de PKI op het gebruikersdevice te kunnen gebruiken. Dus inclusief alle kosten.
I8- Vraag: Betreft dít onderhoud?
Antwoord: Dit betreft de benodigde software om de PKI op het gebruikersdevice te kunnen gebruiken. Dus inclusief alle kosten.
19- Vraag: Betreft dit support?
Antwoord: Dít betreft de benodigde software om de PKI op het gebruikersdevice te kunnen gebruiken. Dus inclusief alle kosten.
20- Vraag: Welke periode betreft dit? B.v. per jaar?
Antwoord: Het prijzenblad is ingericht op ínitiële kosten en jaarbedragen. De dienstsoftware is ingedeeld in de jaarbedragen.
21- Vraag: Is het licentiemodel per Rijkspas? Per gebruiker? Per PKI-applet?
Antwoord: Het licentiemodel is ingericht per gebruiker. Een gebruiker heeft in principe ook maar 1 Rijkspas."
AET heeft als onderaannemer van Multi-Post Services B.V. (hierna: Multi-Post) op 16 juli 2018 tijdig een geldige inschrijving ingediend op de aanbesteding en zich daarbij gebaseerd op de Safesign PKI-applet en de middleware die ook ten behoeve van Rijkspas 2.0 is gebruikt.
Daarnaast heeft AET als onderaannemer op verzoek van Idemia een offerte uitgebracht aan Idemia voor de levering van een gecertificeerde combinatie van de JCOP chip en haar PKI-applet en PKI-middleware (Safesign).
Bij brief van 8 augustus 2018 heeft BZK aan de inschrijvers bekend gemaakt dat hij voornemens is de opdracht aan Idemia te gunnen. Op 17 september 2018 heeft BZK de opdracht definitief aan Idemia gegund.
AET is op dit moment, als onderaannemer van Atos, leverancier van de door Defensie gebruikte rijkspas.
Op 8 mei 2020 heeft AET een bodemprocedure aanhangig gemaakt tegen de Staat, onder meer strekkende tot vernietiging van de tussen BZK en Idemia gesloten overeenkomst (hierna: de Overeenkomst).