Rechtbank Gelderland, 22-12-2025, ECLI:NL:RBGEL:2025:11556, 458336
Rechtbank Gelderland, 22-12-2025, ECLI:NL:RBGEL:2025:11556, 458336
Gegevens
- Instantie
- Rechtbank Gelderland
- Datum uitspraak
- 22 december 2025
- Datum publicatie
- 12 januari 2026
- ECLI
- ECLI:NL:RBGEL:2025:11556
- Zaaknummer
- 458336
Inhoudsindicatie
Kort geding. Aanbesteding. Op basis van de aanbestedingsdocumenten en de nadere toelichting van partijen was voorshands geoordeeld niet voor iedere behoorlijk geïnformeerde en normaal oplettende inschrijver duidelijk of een beveiligingsdetectiemiddel zoals SIEM deel uitmaakt van de infrastructuur van de aanbestedende dienst. Dit betekent dat voor deze categorie inschrijvers evenmin duidelijk was welke situatie bij de inschrijving als uitgangspunt had te gelden en daarmee wat nu concreet de scope van de opdracht was. Op basis daarvan is geen sprake van een heldere bepaling omtrent de omvang van de opdracht, maar van een bepaling die voor meerdere uitleg vatbaar is. Strijd met transparantiebeginsel en beginsel van gelijke behandeling. Heraanbesteding.
Uitspraak
Civiel recht
Zittingsplaats Arnhem
Zaaknummer: C/05/458336 / KG ZA 25-370
Vonnis in kort geding van 22 december 2025
in de zaak van
de besloten vennootschap met beperkte aansprakelijkheid
THALES NEDERLAND B.V.,
gevestigd te Hengelo,
eisende partij in de hoofdzaak,
verwerende partij in het incident tot tussenkomst, althans voeging,
hierna te noemen: Thales,
advocaten: mrs. A.B.B. Gelderman en L.J. Vermeulen,
tegen
de naamloze vennootschap
VITENS N.V.,
gevestigd te Zwolle,
gedaagde partij in de hoofdzaak,
verwerende partij in het incident tot tussenkomst, althans voeging,
hierna te noemen: Vitens,
advocaat: mr. A. Stellingwerff Beintema,
waarin heeft gevorderd als tussenkomende, althans voegende partij aan de zijde van Vitens te worden toegelaten:
de besloten vennootschap met beperkte aansprakelijkheid
ILIONX GROUP B.V.,
gevestigd te Utrecht,
eisende partij in het incident tot tussenkomst, althans voeging,
hierna te noemen: Ilionx,
advocaten: mrs. J.F. van Nouhuys en E.S.C. van der Hoek.
1 De procedure
In de hoofdzaak en in het incident tot tussenkomst, althans voeging
Het verloop van de procedure blijkt uit:
- de dagvaarding
- de producties 1 tot en met 14 van de zijde van Thales
- de vervangende productie 10 van de zijde van Thales
- de aanvullende productie 15 van de zijde van Thales- de akte overlegging producties met producties 1 tot en met 6 van de zijde van Vitens
- de incidentele conclusie van tussenkomst, althans voeging van de zijde van Ilionx - de mondelinge behandeling van 8 december 2025, waarvan door de griffier aantekeningen zijn gemaakt- de pleitnota van Thales - de pleitnota van Vitens
- de pleitnota van Ilionx.
Ten slotte is vonnis bepaald op heden.
2 De feiten
Vitens is het grootste drinkwaterbedrijf van Nederland. Op 13 maart 2025 heeft Vitens een Europese niet-openbare aanbestedingsprocedure aangekondigd voor een zogenaamd Managed Security Operations Center (MSOC). Deze procedure kent een selectie- en een inschrijffase.
In de selectiefase is door Vitens de Selectieleidraad met bijbehorende documenten beschikbaar gesteld voor geïnteresseerde ondernemingen. De Selectieleidraad vermeldt voor zover thans van belang het volgende:
‘(...)
2 OPDRACHTOMSCHRIJVING
Aanleiding en visie
Vitens stelt in haar Strategisch Informatiebeveiligingsbeleid dat digitale kanalen en middelen worden ingezet om dichtbij de klant te kunnen zijn, door middel van het beschikbaar stellen van informatie en mogelijkheden aan de klant om zijn of haar wensen met betrekking tot onze diensten klantvriendelijker te maken. In de aansturing van de productiemiddelen wordt ook veelvuldig gebruik gemaakt van de digitale kanalen. In gevallen dat deze digitale middelen of kanalen niet beschikbaar zijn, er misbruik van wordt gemaakt of de informatie niet juist is, kan Vitens ernstige schade lijden. Toegang tot (klant)informatie en systemen kan de bedrijfsvoering of drinkwaterlevering in gevaar brengen. Bescherming in het digitale speelveld is derhalve van cruciaal belang.
Sinds 2018 maakt Vitens gebruik van een managed Security Operations Center oplossing. De daartoe gesloten overeenkomst met een aanbieder loopt af. Vitens zoekt een nieuwe leverancier van een managed SOC dienst.
Doel van de aanbesteding
Het doel is het contracteren van een Managed SOC dienstverlener en het in eerste instantie converteren van de reeds bestaande dienst ‘as is’ naar de nieuwe dienstverlener, zodanig dat de vitale Vitens ICT Infrastructuur 24/7 adequaat wordt gemonitord. Na de implementatie volgt de doorontwikkeling naar de gewenste ‘to be’ situatie. (...)
(...) Deze Opdracht wordt gegund aan de Inschrijver die de economisch meest voordelige Inschrijving, zijnde de Inschrijving met de beste prijs-kwaliteitverhouding, heeft uitgebracht.
Door middel van deze aanbesteding wenst Vitens haar huidige oplossing voor geavanceerde security monitoring in eerste instantie 1 op 1 te vervangen, om deze samen met Opdrachtnemer verder uit te bouwen. Daarbij staan het tijdig detecteren van (pogingen tot) schade door moedwillige verstoring, uitval of misbruik van kritieke systemen in de domeinen Procesautomatisering (PA), Kantoorautomatisering (KA) en Laboratorium (LAB) centraal, waarbij tijdig gereageerd kan worden om schade te voorkomen of te minimaliseren en te herstellen.
(...)
Onderwerp van de Opdracht
Vitens bereikt de huidige security monitoring capaciteit door gebruik te maken van een Managed Security Operations Center (SOC) en wil dit in de toekomst verder uitbouwen. Vitens verwacht dat het SOC innovatieve en geavanceerde detectie middelen inzet, en zich hiermee onderscheidt van enkel traditionele SIEM- en rule-based detectie, waardoor er meer toegevoegde waarde gecreëerd wordt en tegelijkertijd het risico voor Vitens verlaagt naar een minimaal acceptabel niveau.
(...)
Scope van de Opdracht
De volgende diensten behoren tot de scope van de Opdracht:
2.3.1.1 Functionele scope Managed SOC
Voor het monitoren en detecteren van en reageren op bedreigingen en potentiële cybersecurity incidenten verwacht Vitens een managed Security Operations Center (managed SOC) dienstverlening, welke naadloos aansluit op de infrastructuur van Vitens. Vitens en de aanbieder zullen partners worden bij deze dienstverlening, waarbij de aanbieder aansluit op de relevante bestaande procedures voor de effectieve operatie van het managed SOC.
Vitens wil haar security monitoring inrichten door middel van een Hybride model, waarin functies gedeeltelijk worden uitbesteed aan het managed SOC. Vitens heeft in de afgelopen jaren interne capaciteit ontwikkeld binnen het Security Operations team, om adequate incident response te kunnen geven aan gedetecteerde incidenten door het managed SOC en haar interne security systemen. Deze verdeling van verantwoordelijkheden is schematisch weergegeven in Figuur 1, waar de oranje kleur behoort tot het managed SOC, en de blauwe kleur aan Vitens.
(...)’
Vitens heeft in de selectiefase een vragenronde georganiseerd, waarin geïnteresseerde partijen vragen over de opdracht aan Vitens konden voorleggen. De gestelde vragen met de daarop door Vitens gegeven antwoorden in de selectiefase zijn opgenomen in een eerste Nota van Inlichtingen (NvI). Deze NvI vermeldt voor zover thans van belang het volgende:
‘(...)
Vraag 23. Kan Vitens nader toelichten welke diensten er specifiek afgenomen wenst te worden van de Inschrijver? Denk hierbij aan NDR, EDR, XDR, SIEM [Security Information and Event Management Systeem, vzr], Vulnerability Management, en meer.
Antwoord: Al deze diensten/producten worden reeds afgenomen bij bestaande leveranciers. De inschrijver zal met deze bestaande tooling integreren om Vitens 24/7 te kunnen bewaken op cyber dreigingen. Aansluiten op de tooling voor bijvoorbeeld alerting en verrijking, maar ook om incident triage uit te voeren door de security analist van de inschrijver.
(...)
Vraag 47. Bijlage 1 Pagina 8 – Paragraaf 2.3 “Onderwerp van de Opdracht”: Wordt er in Elastic gebruik gemaakt van ML? Of juist geleund op de andere platformen?
Antwoord: Elastic wordt op dit moment gebruikt voor analyse & forensische doeleinden zonder ML. In de toekomst willen we de Elastic Security module wel gaan gebruiken en hierin zitten technieken als ML en AI.
Vraag 48. Bijlage 1 Pagina 8 – Paragraaf 2.3 “Onderwerp van de Opdracht”: Hoeveel tijd (in maanden of jaren) en welke mate van complexiteit (bijvoorbeeld in termen van integratie-uitdagingen, resource-inzet, of aanpassingen aan de hybride IT/OT-omgeving) heeft Vitens geïnvesteerd in het gebruik van het Elastic platform als primaire SIEM-oplossing voor security monitoring, inclusief eventuele lessen die zijn geleerd met betrekking tot de implementatie en operatie in uw specifieke infrastructuur (KA, PA, LAB en cloud)?
Antwoord: Vitens gebruikt sinds 2019 Elastic als centraal logging platform voor de gehele on-prem omgeving. Vanuit Elastic maar ook vanuit andere security producten krijgt Vitens alerts over mogelijke incidenten.
(...)’
Thales heeft op 22 april 2025 een verzoek tot deelname ingediend. Op 1 mei 2025 is zij door Vitens geselecteerd om deel te nemen aan de inschrijffase. Ook Ilionx heeft een verzoek tot deelname ingediend en ook zij is door Vitens geselecteerd voor deelname aan de inschrijffase. In het kader van de inschrijffase heeft Vitens (onder meer) de Offerteaanvraag inclusief bijlagen ter beschikking gesteld, waaronder het Programma van Eisen (PvE). De scope van de opdracht is in de Offerteaanvraag niet gewijzigd ten opzichte van de Selectieleidraad. Verder bepaalt eis 5 van het PvE dat “de managed SOC dienstverlening van opdrachtnemer dient te integreren met het Elastic platform van opdrachtgever teneinde de logbronnen aanwezig in de infrastructuur van opdrachtgever te kunnen ontsluiten.”.
Op 16 juni 2025 heeft vervolgens een zogenaamde Pre-Bid meeting plaatsgevonden. De namens Vitens op schrift gestelde presentatie die tijdens deze bijeenkomst is verzorgd, vermeldt onder meer het volgende:
‘(...)
Algemene Scope
24x7 managed SOC dienstverlening voor de gehele Vitens infrastructuur
Integratie met bestaande monitoring/logging tooling binnen Vitens
(...)
(...)
(...)’
In de periode na afloop van de Pre-bid meeting heeft Vitens geïnteresseerde partijen opnieuw de gelegenheid geboden vragen over de opdracht aan Vitens voor te leggen. De vragen met de daarop door Vitens gegeven antwoorden in de inschrijffase zijn opgenomen in een tweede NvI. Deze NvI vermeldt voor zover thans van belang het volgende:
‘ (...)
1. Heeft Vitens haar huidige SIEM in eigen beheer of ligt het beheer bij de huidige MSSP?
Antwoord: De SIEM/monitoring tooling binnen het Vitens landschap wordt zelf beheerd, met als uitzondering het Elastic platform, welke door een derde partij wordt beheerd (niet de huidige mssp).
(...)
99. Op dit moment is het niet duidelijk hoe de kosten binnen Criterium 3 zijn opgebouwd. Zou het mogelijk zijn om een uitsplitsing te maken tussen de kosten voor SIEM-beheer en NDR-beheer, zodat Vitens beter inzicht krijgt in de herkomst van de kosten?
Antwoord: Nee dit is niet mogelijk, er zijn voor aanbieder geen kosten te verwachten voor SIEM- en NDR beheer. Vitens heeft SIEM en NDR in eigen beheer.
(...)’
Thales en Ilionx hebben vervolgens, naast enkele andere uitgenodigde partijen, op de opdracht ingeschreven. De beoordelingscommissie van Vitens heeft alle ontvangen inschrijvingen daarna beoordeeld. Deze beoordeling heeft ertoe geleid dat Vitens bij brief van 18 juli 2025 aan partijen heeft medegedeeld dat zij voornemens is de opdracht te gunnen aan Thales, waarbij aan de inschrijving van Thales in totaal 865,43 punten zijn toegekend en aan de inschrijving van Ilionx 839,29 punten. Op 30 juli 2025 heeft vervolgens een verificatiegesprek plaatsgevonden tussen (een afvaardiging van) Thales en Vitens. Uitkomst van dit gesprek was dat de inschrijving van Thales voldoet aan de door Vitens gestelde eisen en wensen en dus geldig is.
Enige tijd later, bij brief van 17 september 2025, heeft Vitens voor zover thans van belang het volgende aan Thales bericht:
‘(...)
Op 18 juli 2025 hebben wij u medegedeeld dat Vitens voornemens is de aanbestede opdracht ‘Managed Security Operations Center’ te gunnen aan Thales Nederland.
Binnen de gestelde standstill-termijn is Ilionx Group B.V. hiertegen in kort geding opgekomen. Naar aanleiding van de in de dagvaarding opgenomen standpunten heeft Vitens intern onderzoek verricht. Daaruit is gebleken dat de beoordeling en toekenning van de scores per criterium niet is geschied conform hetgeen is bekend gemaakt in de Offerteaanvraag.
Vitens heeft dan ook besloten om de op 18 juli 2025 medegedeelde gunningbeslissingen in te trekken en opnieuw een consensusbespreking te beleggen waarin per criterium één score (10, 7, 4 en 1) conform de per criterium in de Offerteaanvraag bekend gemaakt ‘Wijze van beoordelen’ wordt toegekend.
(...)’
Nadat de nieuwe consensusbespreking heeft plaatsgevonden, heeft Vitens Thales bij brief van 30 september 2025 op de hoogte gesteld van haar nieuwe voorlopige gunningsbeslissing. Deze brief luidt voor zover thans van belang als volgt:
‘(...)
Vitens heeft (...) besloten om de op 18 juli 2025 medegedeelde gunningsbeslissing in te trekken en opnieuw een consensusbespreking te beleggen waarin per criterium één score (10, 7, 4 en 1) conform de per criterium in de Offerteaanvraag bekend gemaakt ‘Wijze van beoordelen’ is toegekend.
Deze opnieuw uitgevoerde consensusbespreking heeft plaatsgevonden op 19 september 2025. Hierbij bericht ik u dat naar aanleiding van deze herbeoordeling Vitens voornemens is de voornoemde opdracht te gunnen aan Ilionx Group B.V.. Deze inschrijving is in de herbeoordeling als de inschrijving met de beste prijs-kwaliteitsverhouding beoordeeld.
(...)
De ranking van de inschrijvers die een geldige inschrijving hebben uitgebracht is als volgt:
1. Ilionx Group B.V., 880 punten
2. Thales Nederland, Huizen, 856 punten
(...)’
Thales kan zich niet in de uitkomst van de tweede voorlopige gunningsbeslissing vinden. Thales heeft haar bezwaren tegen het nieuwe gunningsvoornemen aan Vitens kenbaar gemaakt en tussen deze partijen is daarover daarna gecorrespondeerd. Dit heeft er (tot op heden) niet toe geleid dat Vitens haar nieuwe gunningsvoornemen heeft gewijzigd.
3 Het geschil
In de hoofdzaak
Thales vordert bij vonnis, uitvoerbaar bij voorraad:
primair
I Vitens te gebieden de tweede voorlopige gunningsbeslissing in te trekken, de aanbestedingsprocedure te staken en gestaakt te houden en Vitens te gebieden, voor zover zij de opdracht voor een MSOC, al dan niet inclusief een SIEM, nog wenst aan te besteden, een nieuwe aanbestedingsprocedure te organiseren;
subsidiair
II Vitens te gebieden de tweede voorlopige gunningsbeslissing in te trekken;
III Vitens te gebieden om de inschrijvingen binnen zeven dagen na het vonnis, althans binnen een redelijke termijn, opnieuw te laten beoordelen, bij voorkeur door een nieuwe beoordelingscommissie;
IV Vitens te gebieden om een nieuwe derde voorlopige gunningsbeslissing te nemen naar aanleiding van de herbeoordeling van de inschrijvingen;
meer subsidiair
V zodanige maatregelen te treffen, die de voorzieningenrechter op zijn plaats acht en recht doet aan de belangen van Thales;
primair, subsidiair en meer subsidiair
VI alles op straffe van verbeurte van een dwangsom ten laste van Vitens en ten gunste van Thales van € 1.000.000,00 ineens indien Vitens niet aan het vonnis voldoet, althans een door de voorzieningenrechter in goede justitie te bepalen dwangsom;
VII Vitens te veroordelen in de proceskosten, te vermeerderen met wettelijke rente.
Vitens voert verweer en concludeert tot afwijzing van de vorderingen.
Op de stellingen van partijen zal hierna, voor zover voor de beoordeling van dit geschil van belang, worden ingegaan.
In het incident tot tussenkomst, althans voeging
Ilionx vordert bij vonnis, uitvoerbaar bij voorraad:
in het incident tot tussenkomst, althans voeging
I primair Ilionx toe te staan tussen te komen in het rechtsgeding tussen Thales en Vitens;
II subsidiair Ilionx toe te staan zich te voegen aan de zijde van Vitens in het rechtsgeding tussen Thales en Vitens;
in de hoofdzaak
III Thales niet-ontvankelijk te verklaren in haar vorderingen, althans deze af te wijzen; en voor zover nodig,
IV Vitens te verbieden Ilionx, waaraan nu een voornemen tot gunning is uitgesproken, te passeren voor gunning van de opdracht, voor zover Vitens nog wenst te gunnen;
in het incident en in de hoofdzaak
V Thales te veroordelen in de proces- en nakosten, te vermeerderen met wettelijke rente.
Thales voert verweer tegen de gevorderde tussenkomst en refereert zich wat betreft de voeging aan het oordeel van de voorzieningenrechter.
Vitens heeft geen bezwaar tegen de gevorderde tussenkomst.
Op de stellingen van partijen zal hierna, voor zover voor de beoordeling van dit geschil van belang, worden ingegaan.