26 sep Rechter over geschiktheidseis ISO 27001 en 9001 certificaten voor ICT-leverancier
ICT-leverancier is leverancier van een kaart management systeem, een applicatie die op het systeem van een klant of in de Cloud wordt geïnstalleerd en is gekoppeld aan een bronsysteem voor één of meer facilitaire doeleinden, zodat de gebruiker een chipkaart kan produceren waarmee alle applicaties bediend en waarmee de kaarten gemanaged kunnen worden.
De Aanbestedende dienst heeft een Europese aanbesteding uitgeschreven voor de ‘Aanbestedende dienst Card’, een kaart management systeem voor facilitair gebruik op de Aanbestedende dienst.
ISO-certificaten als geschiktheidseis voor ICT-leverancier
In het Programma van Eisen is onder meer het volgende bepaald:
Voordat het systeem in productie gaat en daarna tenminste eens in de drie jaar zal de opdrachtgever een audit initiëren, waarbij in een sessie met de Opdrachtnemer de risico’s ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid worden geanalyseerd en beveiligingsmaatregelen worden gecontroleerd. De Opdrachtnemer is verplicht hieraan mee te werken, alsook mee te werken aan het bedenken en doorvoeren van eventuele aanvullende beveiligingsmaatregelen. De deelname aan de audit door de Opdrachtnemer en de eventueel te nemen beveiligingsmaatregelen worden door de Opdrachtnemer bekostigd. Deelname aan de audit is niet noodzakelijk indien de Opdrachtnemer in het bezit is van een geldig ISO 27001 certificaat of ISAE3402 type 2 verklaring.
Inschrijver kan geen ISO 27001 en 9001 certificaten
Op een gegeven moment heeft de Aanbestedende dienst ICT-leverancier bericht dat de opdracht voorlopig aan haar is gegund en haar verzocht om diverse documenten, waaronder ISO certificaten (of gelijkwaardige certificaten), te sturen.
ICT-leverancier heeft per e-mail diverse documenten aan de Aanbestedende dienst doen toekomen en daarbij vermeld:
- NEN/ISO 9001/NEN/ISO 14001/NEN/ISO/ 27001
- Zoals in de door ons aangeleverde informatie is beschreven, is ICT-leverancier (nog) niet in het bezit van deze certificaten maar is onze werkwijze wel hierop gebaseerd. Op gebied van ISO 27001 zijn belangrijke stappen gezet en wordt er gewerkt aan het behalen van dit certificaat. Conform item ICT & Beveiliging van PvE, zijn wij bereid mee te werken aan de genoemde audit.
Intrekken gunningsbeslissing want geen ISO-certificaten
Op een gegeven moment meldt de Aanbestedende dienst aan ICT-leverancier:
In de voorgenomen gunningsbeslissing hebben wij u verzocht onderstaande bewijsstukken aan te leveren.
- NEN/ISO 9001 certificaat (of gelijkwaardig certificaat) (conform de offerteaanvraag)
- NEN/ISO 27001 (of gelijkwaardig certificaat) conform de offerteaanvraag)
Deze bewijsstukken hebben wij niet van u ontvangen. Naar wij hebben begrepen beschikt u niet over de gevraagde certificaten, terwijl u bij inschrijving wel had verklaard te voldoen aan de geschiktheidseisen. Zonder deze bewijsstukken kunnen wij niet vaststellen dat uw voldoet aan deze geschiktheidseisen. Op grond van (verificatie) van de offerteaanvraag rest ons geen andere keuze dan uw inschrijving ongeldig te verklaren en de voorgenomen gunningsbeslissing in te trekken.
Dit betekent dat de aanbesteding is mislukt omdat de inschrijving van de enige andere inschrijver, reeds was afgevallen vanwege het onvoldoende scoren op de gunningscriteria.
De Aanbestedende dienst kiest ervoor om conform artikel 2.30 van de aanbestedingswet de mededingingsprocedure met onderhandeling te starten met de andere Inschrijver Voor deze onderhandse procedure kan u niet in aanmerking komen, omdat u niet voldoet aan de gestelde geschiktheidseisen.
ISO 27001 en 9001 of handboek/procesbeschrijving?
In de onderhavige aanbestedingsprocedure worden meerdere geschiktheidseisen gesteld. Allereerst is in de Leidraad bepaald dat een inschrijver dient te beschikken over een geldig NEN/ISO 9001 of een gelijkwaardig certificaat (een certificaat dat ziet op technische en beroepsbekwaamheid). Vast staat dat ICT-leverancier niet hierover beschikt. ICT-leverancier is er evenwel vanuit gegaan dat een handboek/procesbeschrijving ook zou volstaan. Zij verwijst hiervoor naar het bevestigende antwoord dat is gegeven in de Nota van Inlichtingen op de vraag of een interne beschrijving ook zou volstaan in plaats van ISO certificaat 14001 (dat ziet op milieumanagement). Dit antwoord ziet echter niet op ISO certificaat 9001.
Inschrijver moet altijd opletten en navragen
Een behoorlijk geïnformeerde en normaal oplettende inschrijver had moeten navragen of het antwoord ook gold voor ISO 9001 certificaat. ICT-leverancier heeft dit echter niet gedaan, zodat zij niet zonder meer kon en mocht aannemen dat ook ten aanzien van certificaat 9001 kon worden volstaan met een handboek/procesbeschrijving (hetgeen overigens niet is overgelegd). Dit geldt temeer nu ISO certificaat 9001 ziet op kwaliteitsmanagement en niet op het milieumanagementsysteem van een inschrijver (waarop ISO certificaat 14001 ziet). Dat laatste systeem is voor deze opdracht minder van belang, terwijl de Aanbestedende dienst tijdens de mondelinge behandeling heeft aangegeven dat kwaliteitsmanagement juist van groot belang is voor een goede uitvoering van de opdracht, temeer nu de Aanbestedende dienst afgelopen jaar te maken heeft gehad met een hack waarbij persoonsgegevens zijn gelekt.
Toekomstig ISO certificaat als bewijs?
ICT-leverancier heeft nog aangevoerd dat de voorzieningenrechter Den Haag ten aanzien van ISO certificaat 9001 heeft bepaald dat certificering niet de enige manier is om aan te tonen dat een managementsysteem wordt gehanteerd conform de normen van ISO.
Ten tijde van die uitspraak was het Besluit aanbestedingsregels voor overheidsopdrachten (Bao) echter nog geldend recht, meer specifiek artikel 50 lid 2 Bao waarin was bepaald dat een aanbestedende dienst gelijkwaardige certificaten van in andere lidstaten van de Europese Unie gevestigde instanties en andere bewijzen inzake gelijkwaardige maatregelen op het gebied van de kwaliteitsbewaking moest accepteren. Thans is in artikel 2:96 lid 2 Aw bepaald dat een aanbestedende dienst naast gelijkwaardige certificaten van in andere lidstaten van de Europese Unie gevestigde instanties, andere bewijzen inzake gelijkwaardige maatregelen op het gebied van de kwaliteitsbewaking aanvaardt indien de ondernemer die certificaten niet binnen de gestelde termijnen kan verwerven om redenen die hem niet aangerekend kunnen worden, mits de ondernemer bewijst dat de voorgestelde maatregelen op het gebied van de kwaliteitsbewaking aan de kwaliteitsnormen voldoen. ICT-leverancier heeft evenwel op geen enkele wijze aannemelijk gemaakt dat zij doende is een ISO certificering 9001 aan te vragen, maar dat hierbij vertraging is opgelopen. Weliswaar was ICT-leverancier ten tijde van inschrijving doende om een informatiebeveiligingsmanagementsysteem op te zetten, maar dat systeem zou pas in de loop van 2023 zijn geïmplementeerd. Dit terwijl aan een geschiktheidseis, zoals het beschikken over ISO certificaat 27001, moet zijn voldaan op het moment van inschrijving. Overigens is gesteld noch gebleken dat het niet kunnen verwerven van het ISO 27001 certificaat of een soortgelijk certificaat ICT-leverancier niet aangerekend kan worden.
Eigen interne audit niet gelijk aan ISO-certificaat
Daar komt bij dat – nog daargelaten dat de door ICT-leverancier hierover gegeven korte toelichting in haar aanbiedingsdocument genaamd ‘Kaart Management Systeem’ pas bekeken wordt als gecontroleerd is op het voldoen aan de minimum eisen (knock-out criteria) – een handboek of een procesbeschrijving, ook al is dat gebaseerd op de betreffende ISO norm, niet zonder meer gelijkwaardig is aan een ISO certificaat. Voor het verkrijgen en behouden van een dergelijke certificering is immers een externe audit nodig die jaarlijks dient te worden herhaald. Met deze beoordeling door een derde partij wordt de kwaliteit gewaarborgd. Een eigen werkwijze die weliswaar gebaseerd is op ISO 9001 komt hiermee dus nog niet overeen. Van gelijkwaardige maatregelen is dan geen sprake. Dat dit in eerdere aanbestedingsprocedures nooit een probleem is geweest, maakt het voorgaande niet anders.
Gelet op de inhoud van de opdracht, maar ook vanwege voornoemd datalek heeft de Aanbestedende dienst tevens als eis gesteld dat een inschrijver dient te beschikken over het informatiebeveiligingscertificaat ISO 27001. Ook ten aanzien van dat certificaat staat vast dat ICT-leverancier niet hierover beschikt en evenmin over een gelijkwaardig certificaat. ICT-leverancier heeft weliswaar aan haar offerte een cybersecurity statement toegevoegd, maar – nog daargelaten overigens dat die offerte pas wordt bekeken als aan de minimumeisen (knock out criteria) is voldaan – dat statement is door ICT-leverancier zelf opgemaakt en daarvoor heeft dus geen externe audit plaatsgevonden.
Volstaat misschien meewerken aan een audit?
In deze procedure stelt ICT-leverancier zich echter op het standpunt dat zij op grond van het bepaalde in het Programma van Eisen had mogen begrijpen dat zij kan volstaan met het aanbieden om mee te werken aan een audit. Hierin kan zij niet worden gevolgd.
In Programma van Eisen is ten aanzien van ISO certificaat 27001 vermeld dat voordat het systeem in productie gaat en vervolgens tenminste één keer per drie jaar een audit wordt geïnitieerd en dat deelname aan de audit niet noodzakelijk is als de opdrachtnemer in het bezit is van een geldig ISO certificaat 27001 (of ISAE3402 type 2 verklaring). Dit betreft een uitvoeringseis en geen geschiktheidseis. Niet vermeld is dat als een inschrijver niet beschikt over ISO certificaat 27001 een audit volstaat. Een behoorlijk geïnformeerde en normaal oplettende inschrijver had hier dan ook niet vanuit mogen gaan. Immers het is ook mogelijk dat een inschrijver over een gelijkwaardig certificaat (niet zijnde voornoemd ISO certificaat of voornoemde verklaring) beschikt. In dat geval was, zo volgt uit het Programma van Eisen, wel een audit verplicht. Dat betekent dat er geen discrepantie bestaat tussen het Programma van Eisen en de eisen die worden gesteld aan de inschrijver. Van schending van het transparantiebeginsel is dan ook geen sprake.
Als ICT-leverancier hier meer duidelijkheid over had willen hebben, had zij hierover een vraag moeten stellen, hetgeen zij niet heeft gedaan. Verwezen wordt naar punt 2. van de aanbestedingsvoorwaarden waarin is bepaald dat van een inschrijver een proactieve houding wordt verwacht en dat indien een inschrijver verzuimt te waarschuwen voor fouten en/of onvolkomenheden in de aanbestedingsstukken dan wel om opheldering te vragen, hij zijn rechten verwerkt. ICT-leverancier had zich derhalve pro actief op moeten stellen.
Conclusie
Nu ICT-leverancier niet beschikt over de vereiste ISO certificaten 9001 en 27001 of gelijkwaardige certificaten heeft de Aanbestedende dienst op juiste gronden besloten om de voorlopige gunning in te trekken. Van een motiveringsgebrek is geen sprake.
Raadpleeg hier de uitspraak: https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBGEL:2022:5331