Rechtbank Den Haag, 10-01-2025, ECLI:NL:RBDHA:2025:241, C/09/674647 / KG ZA 24-999 en C/09/674656 / KG ZA 24-1000
Rechtbank Den Haag, 10-01-2025, ECLI:NL:RBDHA:2025:241, C/09/674647 / KG ZA 24-999 en C/09/674656 / KG ZA 24-1000
Gegevens
- Instantie
- Rechtbank Den Haag
- Datum uitspraak
- 10 januari 2025
- Datum publicatie
- 10 januari 2025
- ECLI
- ECLI:NL:RBDHA:2025:241
- Zaaknummer
- C/09/674647 / KG ZA 24-999 en C/09/674656 / KG ZA 24-1000
Inhoudsindicatie
Kort geding, aanbesteding levering softwarelicenties door resellers, proportionaliteit, AVG; de voorzieningenrechter acht de voorwaarde dat de reseller een verwerkersovereenkomst moet sluiten met de deelnemer en de voorwaarde dat de reseller onbeperkt aansprakelijk is voor schendingen van de AVG, indien hij producten levert waarbij persoonsgegevens worden verwerkt die afkomstig zijn van een deelnemer en de reseller zelf geen toegang heeft tot de persoonsgegevens en deze niet verwerkt, disproportioneel
Uitspraak
Team handel - voorzieningenrechter
Zaaknummers: C/09/674647 / KG ZA 24-999 en C/09/674656 / KG ZA 24-1000
Vonnis in kort geding van 23 december 2024
in de zaak met zaaknummer C/09/674647 / KG ZA 24-999 van
SOFTWAREONE NETHERLANDS B.V. te Amsterdam,
eiseres,
hierna te noemen: SoftwareONE,
advocaten: mr. A. Stellingwerff Beintema en mr. P. van der Putt te Rijswijk,
tegen
DE STAAT DER NEDERLANDEN (Ministerie van Justitie en Veiligheid)
te Den Haag,
gedaagde,
hierna te noemen: de Staat,
advocaten: mr. J.E. Palm, mr. J.L. Naves en mr. B. Kleinhaut te Den Haag,
en in de zaak met zaaknummer C/09/674656 / KG ZA 24-1000 van
SOFTWAREONE NETHERLANDS B.V. te Amsterdam,
eiseres,
hierna te noemen: SoftwareONE,
advocaten: mr. A. Stellingwerff Beintema en mr. P. van der Putt te Rijswijk,
tegen
DE STAAT DER NEDERLANDEN (Ministerie van Justitie en Veiligheid)
te Den Haag,
gedaagde,
hierna te noemen: de Staat,
advocaten: mr. J.E. Palm, mr. J.L. Naves en mr. B. Kleinhaut te Den Haag.
1 De procedure (in de beide zaken)
Het verloop van de procedures blijkt uit:
- de dagvaardingen van 30 oktober 2024, met producties en aanvullende producties;
- de conclusies van antwoord, met producties;
- de wijziging van eis in de zaak met rolnummer KG ZA 24-1000.
De mondelinge behandeling heeft in beide zaken gelijktijdig plaatsgevonden op 9 december 2024. De advocaten van partijen hebben ter zitting het woord gevoerd aan de hand van pleitnotities. Deze pleitnotities maken deel uit van het dossier. Ter zitting heeft SoftwareONE haar eis in de zaak met rolnummer KG ZA 24-1000 gewijzigd. Vonnis in de beide zaken is bepaald op vandaag.
2 De feiten
Op grond van de stukken en het verhandelde ter zitting wordt in deze procedures van het volgende uitgegaan.
Op 5 april 2024 heeft de Staat de aankondiging gedaan voor de Europese openbare aanbestedingsprocedure voor de opdracht ‘Levering van standaardprogrammatuur en de daaraan gerelateerde dienstverlening ten behoeve van het ministerie van Defensie’. Op deze aanbesteding heeft de procedure met rolnummer KG ZA 24-999 betrekking. Deze aanbestedingsprocedure wordt hierna ook wel de Defensieaanbesteding genoemd.
Op 23 april 2024 heeft de Staat de aankondiging gedaan voor de vergelijkbare Europese openbare aanbestedingsprocedure, eveneens voor de opdracht ‘Levering van standaardprogrammatuur en de daaraan gerelateerde dienstverlening’, maar dan ten behoeve van de Staat der Nederlanden en een aantal zelfstandige bestuursorganen. Op deze aanbesteding heeft de procedure met rolnummer KG ZA 24-1000 betrekking. Deze aanbestedingsprocedure wordt hierna ook wel de Staatsaanbesteding genoemd.
Op beide aanbestedingsprocedures is de Aanbestedingswet 2012 (Aw 2012) van toepassing. Het gunningscriterium is in beide procedures de ‘economisch meest voordelige inschrijving gehanteerd op basis van de beste prijs kwaliteitverhouding’.
De opdracht voor de Defensieaanbesteding is omschreven in het Beschrijvend Document van 3 april 2024 en die voor de Staatsaanbesteding in het Beschrijvend Document van 22 april 2024. In beide gevallen bevat het Beschrijvend Document bijlagen, waaronder Bijlage 1 “Inschrijfformulier”, Bijlage 10a “model Raamovereenkomst” en Bijlage 10d “Model Verwerkersovereenkomst”. Op de Raamovereenkomst zijn in beide procedures de ARBIT 2022 van toepassing. Daarnaast heeft de Staat in beide aanbestedingsprocedures twee Nota’s van Inlichtingen verstrekt.
Beide aanbestedingen zijn onderverdeeld in twee percelen. In beide aanbestedingen beoogt de Staat per perceel één of meerdere Raamovereenkomsten aan te gaan voor de levering van de voor het desbetreffende Perceel gewenste standaardapparatuur en dienstverlening. Deze kort gedingprocedures gaan over Perceel 2, dat betrekking heeft op levering van software en dienstverlening van andere vendors (producenten en/of fabrikanten van standaardapparatuur) dan Microsoft. Voor dat perceel wenst de Staat de opdracht aan maximaal 3 opdrachtnemers te gunnen, waarna een raamovereenkomst wordt gesloten. Vervolgens vindt per uitvraag opdrachtverlening plaats in een minicompetitie tussen de (drie) opdrachtnemers aan wie de opdracht is gegund. De aanbesteding richt zich tot resellers, wederverkopers van software en de daaraan gerelateerde dienstverlening van vendors.
Voor de daadwerkelijke levering van standaardprogrammatuur en dienstverlening wordt een Nadere overeenkomst gesloten tussen de reseller en de betreffende deelnemer. In artikel 2 van de beide Raamovereenkomsten is bepaald:
“Uiteindelijke opdrachtverstrekking, naar aanleiding van een Offerteaanvraag, onder deze
Raamovereenkomst vindt uitsluitend plaats door het sluiten van een Nadere overeenkomst
tussen de Deelnemer(s) en Wederpartij.”
De geschatte waarde van de opdracht van Perceel 2 is in beide aanbestedingen € 80 miljoen.
In de aanbestedingen wordt onderscheid gemaakt tussen productgerichte uitvraag, waarbij opdrachtnemers een specifiek product dienen te leveren en een functionele uitvraag, waarbij de resellers zelf de keuze hebben welk product zij aanbieden. De resellers zijn verplicht om in 80% van de minicompetities een offerte in te dienen.
De Staat heeft op de Opdracht de Algemene Rijksvoorwaarden
Bij IT overeenkomsten 2022 (hierna:ARBIT-2022) van toepassing verklaard. In artikel 26 lid 4 ARBIT-2022 is bepaald dat voor aanspraken op schadevergoeding ten gevolge van schending van wet- en regelgeving op het terrein van de bescherming van persoonsgegevens of het handelen in strijd met de instructies van de verwerkingsverantwoordelijke onbeperkte aansprakelijkheid geldt voor de opdrachtnemer, dus voor de reseller.
In paragraaf 5.4.5 van beide Beschrijvende Documenten is met betrekking tot de Algemene Verordening Gegevensbescherming (AVG) (Verordening (EU) 2016/679 van het Europees Parlement) het volgende opgenomen:
“Voor de Opdracht geldt dat er sprake kan zijn van het verwerken van persoonsgegevens
volgens de per 25 mei 2018 geldende Algemene Verordening Gegevensbescherming (AVG) (Verordening (EU) 2016/679 van het Europees Parlement).
De Algemene Verordening Gegevensbescherming (AVG) harmoniseert de regels die in de
Europese Unie gelden voor de verwerking van persoonsgegevens. De AVG schrijft onder
meer voor dat de uitvoering van de verwerking door een verwerker wordt geregeld in
een verwerkersovereenkomst.
Derhalve dienen Opdrachtnemers bij Offerteaanvragen melding te maken van alle
informatie die vanuit de (reeds bestaande) aangeboden Standaardprogrammatuur aan
ieder ander dan Opdrachtnemer wordt verstrekt. Mede aan de hand van deze informatie
beoordeelt de desbetreffende Deelnemer en/of Opdrachtgever of er sprake is van het
verwerken van persoonsgegevens in de zin van de AVG.
Indien er onder een Offerteaanvraag voor Standaardprogrammatuur en Dienstverlening
sprake is van het verwerken van persoonsgegevens in de zin van de AVG, wordt er bij
het sluiten van de Nadere overeenkomst ook een verwerkersovereenkomst met
Opdrachtnemer gesloten, zoals opgenomen in Bijlage 10d: Model Verwerkersovereenkomst van dit Beschrijvend document. Opdrachtnemer is daarnaast gehouden om met eventuele in te zetten onderaannemers (derden) eenzelfde (sub)verwerkersovereenkomst te sluiten.”
In artikel 2.2 van de Model Raamovereenkomsten is bepaald dat de uiteindelijke opdrachtverstrekking uitsluitend plaatsvindt door het sluiten van een Nadere overeenkomst tussen de deelnemer en de reseller.
In artikel 9.1 van de tussen de reseller en de deelnemer te sluiten Model Nadere overeenkomst is bepaald dat in afwijking van artikel 2.2 van de Raamovereenkomst tevens de (licentie)voorwaarden van derden (vendors) van toepassing zijn, mits de reseller dit expliciet heeft bedongen en de reseller kan aantonen dat de rechten van de deelnemer daardoor niet worden verminderd, dan wel diens verplichtingen daardoor niet onredelijk worden bezwaard.
In de eerste Nota van Inlichtingen zijn – voor zover hier van belang – de volgende vragen en antwoorden opgenomen:
Vraag 20 (beide aanbestedingen):
“Eventuele algemene leverings- en betalingsvoorwaarden dan wel andere algemene of bijzondere voorwaarden van Opdrachtnemer worden door de Opdrachtgever uitdrukkelijk van de hand gewezen en zijn niet van toepassing op deze Overeenkomst. Echter, in het geval van de aanschaf van standaard software ontkomt u niet aan de desbetreffende licentievoorwaarden. De licentievoorwaarden maken integraal onderdeel van de aankoop van de software. (...)”
Antwoord:
“(...)
Het uitgangspunt is en blijft dat de ARBIT-2022 van toepassing is en dat de toepasselijkheid van algemene en bijzondere voorwaarden van Opdrachtnemer(s) in beginsel is uitgesloten, tenzij van dit uitgangspunt expliciet wordt afgeweken in volgens het bepaalde in artikel 9.1 van Bijlage 10b: Model Nadere overeenkomst.”
Vraag 48 (Staatsaanbesteding) en vraag 49 (Defensieaanbesteding):
“Inschrijver snapt en onderschrijft uw redeneerlijn voor wat betreft privacy en de verwerkersovereenkomst. Toch zouden wij graag voorstellen een nuance toe te voegen door aan te geven dat Opdrachtnemer een inspanningsverplichting heeft bij het laten ondertekenen van de verwerkersovereenkomst. Immers, in het geval Opdrachtnemer niet de verwerker is kan zij ook geen verplichtingen uit naam van een andere partij garanderen. Graag uw akkoord.”
Antwoord:
“Op grond van de AVG kwalificeert een partij als verwerker indien deze (i) een aparte partij is, (ii) die namens (dat wil zeggen: in opdracht of aan de hand van de instructies van) de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Een Vendor verwerkt de persoonsgegevens niet in opdracht van de Opdrachtgever, maar in opdracht van de reseller. Op grond van de afspraken in de Raamovereenkomst en de te sluiten Nadere overeenkomst is de reseller de enige contractuele wederpartij van de Opdrachtgever en de reseller is gelet op die afspraken de contractuele leverancier van de software voor de Opdrachtgever. Op het moment dat er bijvoorbeeld gebreken zijn met de software, spreekt de Opdrachtgever immers de reseller hier op aan, die op haar beurt de vendor kan aanspreken.
De uitleg en praktische uitvoering van de opdracht is bepalend of er sprake is van een verwerkersrelatie en een verwerkersovereenkomst. Als een opdracht tot het leveren van Standaardprogrammatuur eveneens leidt tot het verwerken van persoonsgegevens, moet die opdracht zodanig uitgelegd worden dat die ‘opdracht’ ook een Opdracht tot verwerking omvat.
Op grond van de voorwaarden in de aanbestedingsprocedure worden er in beginsel geen rechtstreekse opdrachten verleend aan de Vendor, maar uitsluitend aan de reseller. De (aansprakelijkheids-)bepalingen in de ARBIT-2022 zijn namelijk gebaseerd op de hoofdovereenkomst met de reseller en niet de Vendors. Indien er onder een Offerteaanvraag sprake is van het verwerken van persoonsgegevens in de zin van de AVG, wordt er bij het
sluiten van de Nadere overeenkomst ook een Verwerkersovereenkomst gesloten met de reseller. Reseller is daarnaast gehouden om met eventuele in te zetten onderaannemers (derden c.q. vendors) eenzelfde (sub)verwerkersovereenkomst te sluiten. ”
In de tweede Nota van Inlichtingen (in de Staatsaanbesteding) zijn – voor zover hier van belang – de volgende vragen en antwoorden opgenomen:
Vraag 44:
“(...) Dat de Software Vendor ten behoeve van de Aanbestedende dienst persoonsgegevens verwerkt als de Aanbestedende dienst vervolgens gebruik maakt van de gebruiksrechten/diensten betekent – in tegenstelling tot hetgeen u lijkt te veronderstellen - niet dat de opdracht die de Aanbestedende dienst aan de Reseller gaf tevens het verwerken van persoonsgegevens behelsde. En dit betekent dus evenmin dat de Reseller aan de Software Vendor opdracht geeft om persoonsgegevens te verwerken. Indien de Software Vendor ten behoeve van de Aanbestedende dienst (= opdrachtgever = verwerkingsverantwoordelijke) persoonsgegevens verwerkt als de Aanbestedende dienst gebruik maakt van de software (waartoe zij gerechtigd is op grond van het aan haar verstrekte gebruiksrecht), c.q. de aanverwante dienstverlening dan is de Software Vendor
verwerker in de zin van de AVG. Dit betekent dat de Aanbestedende dienst rechtstreeks met de Software Vendor een verwerkersovereenkomst dient te sluiten. Uiteraard kan de winnende Inschrijver/Reseller hierin een bemiddelingsrol vervullen, en kan de opdracht van de Aanbestedende dienst aan Reseller tevens het vervullen van die bemiddelingsrol behelzen, maar niet meer dan dat. Gegadigde is dan ook verbaast over de door de Aanbestedende dienst voorgestelde werkwijze.
(...)
Wij verzoeken u dan ook met klem om de eis dat er bij het sluiten van de Nadere
overeenkomst ook een verwerkersovereenkomst wordt gesloten inzake
gebruiksrechten en aanverwante diensten die geleverd worden door een
Software Vendor met de Winnende Inschrijver/Reseller te laten vallen en de
huidige praktijk voort te zetten. Dit geldt ook voor de eis dat Winnende
Inschrijver/Reseller gehouden is om met eventuele in te zetten onderaannemers
(derden) eenzelfde (sub) verwerkersovereenkomsten te sluiten. Tenslotte
ontvangen wij graag de bevestiging van de Aanbestedende dienst dat er geen
sprake is van sublicentiëring.”
Antwoord:
“De resellers zijn bij deze aanbestedingsprocedure contractuele wederpartij (juridische leverancier) en leveren de gewenste diensten van de Vendors aan de Deelnemers. Verantwoordelijkheid voor de uitvoering en de contractuele betrokkenheid van de Raamovereenkomst ligt gelet op de uitgangspunten bij deze aanbestedingsprocedure bij de resellers. De omstandigheid dat een reseller feitelijk geen toegang heeft tot de software en de gegevens, doet in principe niets af aan deze rol. De reseller schakelt een Vendor (als onderaannemer) in voor de levering van de dienstverlening voor de Deelnemers en is de enige die de Vendor (als haar onderaannemer) kan aansturen en eventueel aanspreken met betrekking tot de dienstverlening. De afspraken uit de Raamovereenkomst hebben immers geen werking tussen de Deelnemers en de Vendors, omdat de Vendor daarbij geen rechtstreekse contractuele partij is bij de onderhavige Raamovereenkomst. De contractuele relatie (juridische leverancier) bestaat tussen de Deelnemers en de (aanbestede) reseller. Wanneer de reseller een sub-verwerker (als onderaannemer) inschakelt voor de gegevensverwerkingen, dient de reseller door middel van een overeenkomst of een andere rechtshandeling deze sub-verwerker te verplichten minimaal hetzelfde niveau van
gegevensbescherming te bieden als de reseller biedt ten opzichte van de Deelnemers.”
Vraag 55:
“De winnende Inschrijver(s) fungeert/fungeren in de uitvoering van de opdracht als “Reseller(s)” en (weder)verkopen aan de Aanbestedende dienst ‘gebruiksrechten om de door de Software Vendor ontwikkelde standaardsoftware te mogen gebruiken’. Dit gebruiksrecht wordt ook wel een licentie genoemd. De Aanbestedende dienst geeft enkel opdracht aan de Reseller tot inkoop van het gebruiksrecht bij de Software Vendor en wederverkoop van het gebruiksrecht aan de Aanbestedende Dienst. Immers, de Software Vendor is uiteindelijk de
partij die het gebruiksrecht aan Aanbestedende Dienst verstrekt en levert. Het door de Aanbestedende Dienst geschetste model waarbij de Reseller het gebruiksrecht verstrekt, is onjuist. Voorgaande zou immers betekenen dat de Reseller het gebruiksrecht zou sublicentiëren aan de Aanbestedende Dienst, een licentiemodel die de meeste van de door u gevraagde Software Vendoren niet hanteren en waar zij eveneens ook niet in wensen te voorzien. Hetzelfde geldt voor de eventuele aanverwante dienstverlening zoals onderhoud en/of support dat de Software Vendoren rechtstreeks aan de Aanbestedende dienst levert ten
behoeve van de afgenomen licenties. Resellen is simpelweg niets anders dan het
wederverkopen van het gebruiksrechten c.q. aanverwante dienstverlening.
Dat de Software Vendor ten behoeve van de Aanbestedende dienst persoonsgegevens verwerkt als de Aanbestedende dienst vervolgens gebruik maakt van de gebruiksrechten/diensten betekent – in tegenstelling tot hetgeen u lijkt te veronderstellen - niet dat de opdracht die de Aanbestedende dienst aan de Reseller gaf tevens het verwerken van persoonsgegevens behelsde. En dit betekent dus evenmin dat de Reseller aan de Software Vendor opdracht geeft om persoonsgegevens te verwerken. Indien de Software Vendor ten behoeve van de Aanbestedende dienst (= opdrachtgever = verwerkingsverantwoordelijke) persoonsgegevens verwerkt als de Aanbestedende dienst gebruik maakt van de software (waartoe zij gerechtigd is op grond van het aan haar verstrekte gebruiksrecht), c.q. de aanverwante dienstverlening dan is de Software Vendor
verwerker in de zin van de AVG. Dit betekent dat de Aanbestedende dienst rechtstreeks met de Software Vendor een verwerkersovereenkomst dient te sluiten. Uiteraard kan de winnende Inschrijver/Reseller hierin een bemiddelingsrol vervullen, en kan de opdracht van de Aanbestedende dienst aan Reseller tevens het vervullen van die bemiddelingsrol behelzen, maar niet meer dan dat. Gegadigde is dan ook verbaasd over de door de Aanbestedende dienst voorgestelde werkwijze.
Te meer nu dit ook niet strookt met de huidige praktijk bij de Staat. Noch de huidige praktijk bij andere overheidsorganen, zoals gemeenten, waterschappen en provincies. In de situatie waarin gemeenten onder de GIBIT-voorwaarden contracteren met Resellers, sluiten de gemeenten namelijk rechtstreeks een verwerkersovereenkomst met de Software Vendor. Daarenboven wenst Gegadigde te verwijzen naar de gehanteerde werkwijze buiten Nederland, bijvoorbeeld in België waar de Europese Commissie in een recent aangevangen
overheidsopdracht voor de levering van standaardsoftware de directe relatie tussen een Deelnemer/Aanbestedende dienst en een Software Vendor expliciet erkend. En eventuele eindgebruikersvoorwaarden en verwerkersovereenkomsten direct tussen de Software Vendor en Aanbestedende dienst worden gesloten en er van de Reseller enkel een bemiddelende rol wordt verwacht.
Inmiddels hebben wij van meerdere Software Vendoren (waaronder, maar niet uitsluitend IBM, OpenText en SAP) een schriftelijk statement ontvangen dat zij niet bereid zijn om direct met een Reseller een verwerkersovereenkomst te sluiten, nu ook zij zich op het standpunt stellen dat zij niet in opdracht van de Reseller, maar in opdracht van de gebruiker van de software (= Aanbestedende dienst) persoonsgegevens verwerken. Daarenboven vraagt zoals reeds aangegeven de voorgestelde werkwijze om een sublicentie model waarin veruit de meeste Software Vendoren niet in voorzien, danwel wensen te voorzien.
Met andere woorden: de lezing dat tussen Aanbestedende dienst en de Software
Vendor sprake is van een verwerkersrelatie en dus rechtstreeks tussen de
Aanbestedende dienst en de Software Vendor een verwerkersovereenkomst
moet worden gesloten is de juiste. Uw lezing dat de Winnende
Inschrijver/Reseller met de Aanbestedende dienst een verwerkersovereenkomst
moet sluiten inzake gebruiksrechten en aanverwante diensten die rechtstreeks
geleverd worden door een Software Vendor niet.
Daarbij komt dat u door te verlangen dat de Winnende Inschrijver/Reseller een
verwerkersovereenkomst met de Aanbestedende dienst dient te sluiten een onaanvaardbaar risico neerlegt bij de Winnende Inschrijver/Reseller, die zoals hiervoor reeds is aangegeven, afwijkt van hetgeen gebruikelijk is in de markt, noch de verdiensten onder de raamovereenkomst rechtvaardigt. Voorschrift 3.9A Gids Proportionaliteit schrijft voor dat de Aanbestedende dienst het risico dient te alloceren bij de partij die het risico het beste kan beheersen of beïnvloeden. Dat is in de voorgestelde werkwijze niet de Reseller. De Reseller heeft geen enkele invloed op de wijze waarop de Aanbestedende dienst gebruik maakt van haar gebruiksrecht(en) en heeft ook geen enkele invloed op de wijze waarop de
Software Vendor persoonsgegevens verwerkt, noch heeft de Reseller enig mandaat om namens de Software Vendor enige toezeggingen te doen.
Dat de Reseller – zoals u aangeeft – op haar beurt een (sub)verwerkersovereenkomst met de Software Vendor dient te sluiten doet hier niet aan af. De Reseller heeft daarmee geen zekerheid dat zij de volledige claim die de Aanbestedende dienst bij haar neerlegt kan verhalen op de Software Vendor. Denk bijvoorbeeld aan de situatie dat de Software Vendor failliet gaat. Maar denk ook aan de situatie dat de Software Vendor geen onbeperkte
aansprakelijkheid wenst te accepteren (wat veelal het geval is), terwijl de Reseller dit wel jegens de Aanbestedende dienst dient te accepteren op basis van de ARBIT. Dit is extra zorgelijk met het oog op de door de Aanbestedende dienst gestelde offerteplicht.
Met andere woorden: de eis dat de Reseller rechtstreeks met de Aanbestedende
dienst een verwerkersovereenkomst moet sluiten, wanneer er enkel sprake is
van wederverkopen, is disproportioneel. Wij verzoeken u dan ook met klem om de eis dat er bij het sluiten van de Nadere overeenkomst ook een verwerkersovereenkomst wordt gesloten inzake gebruiksrechten en aanverwante diensten die geleverd worden door een
Software Vendor met de Winnende Inschrijver/Reseller te laten vallen en de
huidige praktijk voort te zetten. Dit geldt ook voor de eis dat Winnende
Inschrijver/Reseller gehouden is om met eventuele in te zetten onderaannemers
(derden) eenzelfde (sub) verwerkersovereenkomsten te sluiten. Tenslotte
ontvangen wij graag de bevestiging van de Aanbestedende dienst dat er geen
sprake is van sublicentiëring.”
Antwoord:
“De resellers zijn bij deze aanbestedingsprocedure contractuele wederpartij (juridische leverancier) en leveren de gewenste diensten van de Vendors aan de Deelnemer. Verantwoordelijkheid voor de uitvoering en de contractuele betrokkenheid van de Raamovereenkomst ligt gelet op de uitgangspunten bij deze aanbestedingsprocedure bij de resellers. De omstandigheid dat een reseller feitelijk geen toegang heeft tot de software en de gegevens, doet in principe niets af aan deze rol. De reseller schakelt een Vendor (als onderaannemer) in voor de levering van de dienstverlening voor de Deelnemer en is de enige die de Vendor (als haar onderaannemer) kan aansturen en eventueel aanspreken met betrekking tot de dienstverlening. De afspraken uit de Raamovereenkomst hebben immers geen werking tussen de Deelnemers en de Vendors, omdat de Vendor daarbij geen
rechtstreekse contractuele partij is bij de onderhavige Raamovereenkomst. De contractuele relatie (juridische leverancier) bestaat tussen de Deelnemers en de (aanbestede) reseller. Wanneer de reseller een sub-verwerker (als onderaannemer) inschakelt voor de gegevensverwerkingen, dient de reseller door middel van een overeenkomst of een andere rechtshandeling deze sub-verwerker te verplichten minimaal hetzelfde niveau van
gegevensbescherming te bieden als de reseller biedt ten opzichte van de Deelnemer.”
Vraag 76:
“De door de Aanbestedende Dienst gedefinieerde aansprakelijkheid onder artikel 26.4 sub d, is voor Gegadigde onacceptabel. Dit geldt temeer, nu de Aanbestedende Dienst middels deze aanbesteding Inschrijvers verplicht om verwerkersovereenkomsten aan te gaan met Deelnemers, indien er onder een Nadere Overeenkomst sprake gaat zijn van de verwerking van persoonsgegevens. Gegadigde is niet de eigenaar van de te leveren software, heeft hier geen toegang tot en verwerkt in de regel zelf dus geen persoonsgegevens middels de software, maar wordt nu wel geacht contractueel op te treden als verwerker en daarmee volledig in te staan voor Vendoren die de persoonsgegevens daadwerkelijk verwerken. Kort gezegd, de Aanbestedende Dienst vraagt Gegadigden nu om in te staan voor het risico van niet-naleving van wet- en regelgeving op het gebied van bescherming van persoonsgegevens, terwijl Gegadigde dat risico voor Vendors in de eerste plaats niet kan beheersen (want: geen eigenaar van de software en dus ook geen toegang tot de software).
Dit gecombineerd met de ongelimiteerde aansprakelijkheid zoals gedefinieerd in artikel 26.4 sub c, levert een disproportioneel groot risico op voor Gegadigde.
Gegadigde verzoekt de Aanbestedende Dienst met klem om een aansprakelijkheidsbeperking op te nemen voor artikel 26.4 sub c. Is de Aanbestedende Dienst hiertoe niet bereid, dan heeft dit serieuze invloed op de inschrijvingsbereidheid van Gegadigde en andere inschrijvers: geen enkele organisatie kan redelijkerwijs gevraagd worden om in te staan voor dusdanig grote risico's die niet door de eigen organisatie beïnvloed en dus beheerst kunnen worden.”
Antwoord:
“De onder sub d opgenomen uitzondering heeft betrekking op schade als gevolg van het schenden van wet- en regelgeving op het terrein van het beschermen van persoonsgegevens. Het beschermen van natuurlijke personen bij het verwerken van persoonsgegevens is een grondrecht. Schending van dit grondrecht kan leiden tot ernstige schade bij natuurlijke personen.
Voor het verdelen van aansprakelijkheid voor privacyschendingen is in de ARBIT-2022 aansluiting gezocht bij de aansprakelijkheidsverdeling in de AVG. Kort gezegd komt dit neer op toedeling volgens het adagium ‘de vervuiler betaalt’. Dit volgt ook uit de AVG. Een verwerkingsverantwoordelijke is aansprakelijk, tenzij de verwerker niet heeft voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG/Richtlijn
gegevensbescherming politie en justitie, of buiten, dan wel in strijd met, de rechtmatige instructies van de verwerkingsverantwoordelijke heeft gehandeld (doorgaans vastgelegd in een verwerkersovereenkomst). Maximeren van aansprakelijkheid van verwerkers zou afbreuk doen aan het met de AVG beoogde doeltreffende, evenredige en afschrikkende sanctioneren van onrechtmatige verwerking van persoonsgegevens. Mede daarom bepaalt
lid 4 dat de in de leden 2 en 3 van artikel 26 ARBIT-2022 opgenomen beperkingen van aansprakelijkheid komen te vervallen bij schade door privacyschendingen.”
SoftwareONE heeft op 10 juni 2024 en op 5 augustus 2024 (aangevuld op 16 augustus 2024) in beide aanbestedingen een klacht ingediend bij het Klachtenmeldpunt JenV. Hierbij heeft SoftwareONE er onder meer over geklaagd dat de verplichting om een verwerkingsovereenkomst te sluiten met de vendoren disproportioneel is en dat de aansprakelijkheid bij de verwerkingsovereenkomsten onvoldoende beperkt is. Bij klachtadviezen van 21 juni 2024 en 20 augustus 2024 heeft het Klachtenmeldpunt JenV de klachten van SoftwareONE ongegrond verklaard.
Op 26 augustus 2024 heeft SoftwareONE haar klacht met betrekking tot het verplicht sluiten van een verwerkingsovereenkomst en de onbeperkte aansprakelijkheid in beide aanbestedingen voorgelegd aan de Commissie van Aanbestedingsexperts (hierna: CvAE).
De Staat heeft in de klachtprocedure bij de CvAE geen aanleiding gezien om de uiterste inschrijftermijn van de aanbestedingen op te schorten.
Voor de Opdracht hebben zich vier partijen (resellers) ingeschreven, SoftwareONE, Computacenter B.V. (hierna: Computacenter), Protinus IT B.V. (hierna: Protinus) en Dustin Netherlands B.V. (hierna: Dustin). In de aanbiedingsbrieven van SoftwareONE van 5 september en 10 september 2024 staat het volgende:
“Het is ons een genoegen om u onze offerte voor bovengenoemde aanbesteding te presenteren.
(...)
De aanbieding
Wij zijn van mening dat we met deze aanbieding een mooi passend voorstel doen. Wij wensen u veel succes met het analyseren van de diverse offertes en kijken met interesse uit naar uw beoordeling en feedback.
Klacht
Zoals u bekend is hebben wij aangaande de onderhavige aanbestedingsprocedure een klacht ingediend bij de Commissie van Aanbestedingsexperts. Wij handhaven onze klacht en behouden ons alle rechten voor.”
Bij spoedadvies (met nummers 746 en 747) van 4 oktober 2024 heeft de CvAE de klacht van SoftwareONE gegrond verklaard. Hiertoe heeft de CvAE overwogen dat de Staat met het stellen van de voorwaarden afwijkt van de voorschriften 3.9 A en 3.9 D van de Gids Proportionaliteit en dat de door de Staat gegeven motivering voor het hanteren van deze voorwaarden geen (deugdelijke) motivering vormt voor de afwijking van deze voorschriften. In randnummer 5.14 van het advies heeft de CvAE het volgende overwogen:
“Aanbesteder lijkt zich onvoldoende te hebben verdiept in de risico’s en overige gevolgen voor ondernemer die de verplicht te sluiten verwerkersovereenkomst in combinatie met de onbeperkte aansprakelijkheid voor schendingen van wet- en regelgeving op het terrein van het verwerken van persoonsgegevens met zich meebrengt in de gevallen dat ondernemer geen toegang heeft tot de betreffende persoonsgegevens en geen invloed kan uitoefenen op de verwerking daarvan.”
Bij brief van 7 oktober 2024 heeft de advocaat van SoftwareONE in beide aanbestedingsprocedures de Staat verzocht om de procedure in te trekken en – indien hij de opdracht nog wenst te verstrekken – over te gaan tot heraanbesteding.
Bij brieven van 10 oktober 2024 heeft de Staat in beide aanbestedingsprocedures aan SoftwareONE meegedeeld dat hij voornemens is de Opdracht te gunnen aan Computacenter, Protinus en Dustin en dat SoftwareONE als vierde is geëindigd en niet voor gunning in aanmerking komt. Uit het in de brieven opgenomen overzicht volgt dat SoftwareONE heeft verloren op prijs.
Bij berichten van 11 oktober 2024 heeft de Staat in beide aanbestedingen aan SoftwareONE meegedeeld dat hij het advies van de CvAE geen aanleiding ziet om de aanbestedingsprocedures in te trekken.
3 Het geschil
Na verbetering van een kennelijke schrijffout in de zaak KG ZA 24-1000 vordert SoftwareONE in beide zaken, bij vonnis uitvoerbaar bij voorraad, samengevat:
I. de Staat te gebieden om de gunningsbeslissingen van 10 oktober 2024 in te trekken;
II. de Staat te verbieden de opdracht voor Perceel 2 definitief te gunnen op basis van de onderhavige Europese aanbesteding;
III. de Staat te gebieden om de aanbesteding in te trekken en de opdracht voor Perceel 2 in overeenstemming met de Aw 2012 opnieuw aan te besteden, voor zover de Staat deze opdracht nog altijd wenst te gunnen;
een en ander met veroordeling van de Staat in de proceskosten, waaronder de nakosten, te vermeerderen met de wettelijke rente.
SoftwareONE legt aan de vorderingen het volgende ten grondslag.
De eis dat de reseller een verwerkingsovereenkomst moet sluiten met de deelnemer (als de vendor, en niet de reseller, degene is die de persoonsgegevens verwerkt bij het gebruik van software door de deelnemer) is disproportioneel. Daarnaast is ook de voorwaarde dat de reseller onbeperkte aansprakelijkheid moet aanvaarden voor schending van wet- en regelgeving op het terrein van bescherming van persoonsgegevens door de vendor of handelen in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke door de vendor disproportioneel. Daarom kunnen de gunningsbeslissingen niet in stand blijven en moet het de Staat worden verboden de opdrachten voor Perceel 2 op basis van de onderhavige aanbestedingen te gunnen. De aanbestedingen dienen te worden ingetrokken en, voorzover de Staat de opdrachten nog steeds wenst te gunnen, dient de Staat over te gaan tot heraanbesteding in overeenstemming met de Aw 2012.
De Staat voert in beide procedures verweer waarop hierna, voor zover van belang, nader wordt ingegaan.