Uitspraak
RECHTBANK Den Haag
Team handel - voorzieningenrechter
Zaaknummers: C/09/674647 / KG ZA 24-999 en C/09/674656 / KG ZA 24-1000
Vonnis in kort geding van 23 december 2024
in de zaak met zaaknummer C/09/674647 / KG ZA 24-999 van
SOFTWAREONE NETHERLANDS B.V.te Amsterdam,
eiseres,
hierna te noemen: SoftwareONE,
advocaten: mr. A. Stellingwerff Beintema en mr. P. van der Putt te Rijswijk,
tegen
DE STAAT DER NEDERLANDEN (Ministerie van Justitie en Veiligheid)
te Den Haag,
gedaagde,
hierna te noemen: de Staat,
advocaten: mr. J.E. Palm, mr. J.L. Naves en mr. B. Kleinhaut te Den Haag,
en in de zaak met zaaknummer C/09/674656 / KG ZA 24-1000 van
SOFTWAREONE NETHERLANDS B.V.te Amsterdam,
eiseres,
hierna te noemen: SoftwareONE,
advocaten: mr. A. Stellingwerff Beintema en mr. P. van der Putt te Rijswijk,
tegen
DE STAAT DER NEDERLANDEN (Ministerie van Justitie en Veiligheid)
te Den Haag,
gedaagde,
hierna te noemen: de Staat,
advocaten: mr. J.E. Palm, mr. J.L. Naves en mr. B. Kleinhaut te Den Haag.
1.De procedure (in de beide zaken)
1.1.
Het verloop van de procedures blijkt uit:
- de dagvaardingen van 30 oktober 2024, met producties en aanvullende producties;
- de conclusies van antwoord, met producties;
- de wijziging van eis in de zaak met rolnummer KG ZA 24-1000.
1.2.
De mondelinge behandeling heeft in beide zaken gelijktijdig plaatsgevonden op 9 december 2024. De advocaten van partijen hebben ter zitting het woord gevoerd aan de hand van pleitnotities. Deze pleitnotities maken deel uit van het dossier. Ter zitting heeft SoftwareONE haar eis in de zaak met rolnummer KG ZA 24-1000 gewijzigd. Vonnis in de beide zaken is bepaald op vandaag.
2.De feiten
Op grond van de stukken en het verhandelde ter zitting wordt in deze procedures van het volgende uitgegaan.
2.1.
Op 5 april 2024 heeft de Staat de aankondiging gedaan voor de Europese openbare aanbestedingsprocedure voor de opdracht ‘Levering van standaardprogrammatuur en de daaraan gerelateerde dienstverlening ten behoeve van het ministerie van Defensie’. Op deze aanbesteding heeft de procedure met rolnummer KG ZA 24-999 betrekking. Deze aanbestedingsprocedure wordt hierna ook wel de Defensieaanbesteding genoemd.
Op 23 april 2024 heeft de Staat de aankondiging gedaan voor de vergelijkbare Europese openbare aanbestedingsprocedure, eveneens voor de opdracht ‘Levering van standaardprogrammatuur en de daaraan gerelateerde dienstverlening’, maar dan ten behoeve van de Staat der Nederlanden en een aantal zelfstandige bestuursorganen. Op deze aanbesteding heeft de procedure met rolnummer KG ZA 24-1000 betrekking. Deze aanbestedingsprocedure wordt hierna ook wel de Staatsaanbesteding genoemd.
2.2.
Op beide aanbestedingsprocedures is de Aanbestedingswet 2012 (Aw 2012) van toepassing. Het gunningscriterium is in beide procedures de ‘economisch meest voordelige inschrijving gehanteerd op basis van de beste prijs kwaliteitverhouding’.
2.3.
De opdracht voor de Defensieaanbesteding is omschreven in het Beschrijvend Document van 3 april 2024 en die voor de Staatsaanbesteding in het Beschrijvend Document van 22 april 2024. In beide gevallen bevat het Beschrijvend Document bijlagen, waaronder Bijlage 1 “Inschrijfformulier”, Bijlage 10a “model Raamovereenkomst” en Bijlage 10d “Model Verwerkersovereenkomst”. Op de Raamovereenkomst zijn in beide procedures de ARBIT 2022 van toepassing. Daarnaast heeft de Staat in beide aanbestedingsprocedures twee Nota’s van Inlichtingen verstrekt.
2.4.
Beide aanbestedingen zijn onderverdeeld in twee percelen. In beide aanbestedingen beoogt de Staat per perceel één of meerdere Raamovereenkomsten aan te gaan voor de levering van de voor het desbetreffende Perceel gewenste standaardapparatuur en dienstverlening. Deze kort gedingprocedures gaan over Perceel 2, dat betrekking heeft op levering van software en dienstverlening van andere vendors (producenten en/of fabrikanten van standaardapparatuur) dan Microsoft. Voor dat perceel wenst de Staat de opdracht aan maximaal 3 opdrachtnemers te gunnen, waarna een raamovereenkomst wordt gesloten. Vervolgens vindt per uitvraag opdrachtverlening plaats in een minicompetitie tussen de (drie) opdrachtnemers aan wie de opdracht is gegund. De aanbesteding richt zich tot resellers, wederverkopers van software en de daaraan gerelateerde dienstverlening van vendors.
2.5.
Voor de daadwerkelijke levering van standaardprogrammatuur en dienstverlening wordt een Nadere overeenkomst gesloten tussen de reseller en de betreffende deelnemer. In artikel 2 van de beide Raamovereenkomsten is bepaald:
“
Uiteindelijke opdrachtverstrekking, naar aanleiding van een Offerteaanvraag, onder deze
Uiteindelijke opdrachtverstrekking, naar aanleiding van een Offerteaanvraag, onder deze
Raamovereenkomst vindt uitsluitend plaats door het sluiten van een Nadere overeenkomst
tussen de Deelnemer(s) en Wederpartij.”
2.6.
De geschatte waarde van de opdracht van Perceel 2 is in beide aanbestedingen € 80 miljoen.
2.7.
In de aanbestedingen wordt onderscheid gemaakt tussen productgerichte uitvraag, waarbij opdrachtnemers een specifiek product dienen te leveren en een functionele uitvraag, waarbij de resellers zelf de keuze hebben welk product zij aanbieden. De resellers zijn verplicht om in 80% van de minicompetities een offerte in te dienen.
2.8.
De Staat heeft op de Opdracht de Algemene Rijksvoorwaarden
Bij IT overeenkomsten 2022 (hierna:ARBIT-2022) van toepassing verklaard. In artikel 26 lid 4 ARBIT-2022 is bepaald dat voor aanspraken op schadevergoeding ten gevolge van schending van wet- en regelgeving op het terrein van de bescherming van persoonsgegevens of het handelen in strijd met de instructies van de verwerkingsverantwoordelijke onbeperkte aansprakelijkheid geldt voor de opdrachtnemer, dus voor de reseller.
2.9.
In paragraaf 5.4.5 van beide Beschrijvende Documenten is met betrekking tot de Algemene Verordening Gegevensbescherming (AVG) (Verordening (EU) 2016/679 van het Europees Parlement) het volgende opgenomen:
“
Voor de Opdracht geldt dat er sprake kan zijn van het verwerken van persoonsgegevens
Voor de Opdracht geldt dat er sprake kan zijn van het verwerken van persoonsgegevens
volgens de per 25 mei 2018 geldende Algemene Verordening Gegevensbescherming (AVG) (Verordening (EU) 2016/679 van het Europees Parlement).
De Algemene Verordening Gegevensbescherming (AVG) harmoniseert de regels die in de
Europese Unie gelden voor de verwerking van persoonsgegevens. De AVG schrijft onder
meer voor dat de uitvoering van de verwerking door een verwerker wordt geregeld in
een verwerkersovereenkomst.
Derhalve dienen Opdrachtnemers bij Offerteaanvragen melding te maken van alle
informatie die vanuit de (reeds bestaande) aangeboden Standaardprogrammatuur aan
ieder ander dan Opdrachtnemer wordt verstrekt. Mede aan de hand van deze informatie
beoordeelt de desbetreffende Deelnemer en/of Opdrachtgever of er sprake is van het
verwerken van persoonsgegevens in de zin van de AVG.
Indien er onder een Offerteaanvraag voor Standaardprogrammatuur en Dienstverlening
sprake is van het verwerken van persoonsgegevens in de zin van de AVG, wordt er bij
het sluiten van de Nadere overeenkomst ook een verwerkersovereenkomst met
Opdrachtnemer gesloten, zoals opgenomen in Bijlage 10d: Model Verwerkersovereenkomst van dit Beschrijvend document. Opdrachtnemer is daarnaast gehouden om met eventuele in te zetten onderaannemers (derden) eenzelfde (sub)verwerkersovereenkomst te sluiten.”
2.10.
In artikel 2.2 van de Model Raamovereenkomsten is bepaald dat de uiteindelijke opdrachtverstrekking uitsluitend plaatsvindt door het sluiten van een Nadere overeenkomst tussen de deelnemer en de reseller.
2.11.
In artikel 9.1 van de tussen de reseller en de deelnemer te sluiten Model Nadere overeenkomst is bepaald dat in afwijking van artikel 2.2 van de Raamovereenkomst tevens de (licentie)voorwaarden van derden (vendors) van toepassing zijn, mits de reseller dit expliciet heeft bedongen en de reseller kan aantonen dat de rechten van de deelnemer daardoor niet worden verminderd, dan wel diens verplichtingen daardoor niet onredelijk worden bezwaard.
2.12.
In de eerste Nota van Inlichtingen zijn – voor zover hier van belang – de volgende vragen en antwoorden opgenomen:
Vraag 20 (beide aanbestedingen):
“
Eventuele algemene leverings- en betalingsvoorwaarden dan wel andere algemene of bijzondere voorwaarden van Opdrachtnemer worden door de Opdrachtgever uitdrukkelijk van de hand gewezen en zijn niet van toepassing op deze Overeenkomst. Echter, in het geval van de aanschaf van standaard software ontkomt u niet aan de desbetreffende licentievoorwaarden. De licentievoorwaarden maken integraal onderdeel van de aankoop van de software. (...)”
Eventuele algemene leverings- en betalingsvoorwaarden dan wel andere algemene of bijzondere voorwaarden van Opdrachtnemer worden door de Opdrachtgever uitdrukkelijk van de hand gewezen en zijn niet van toepassing op deze Overeenkomst. Echter, in het geval van de aanschaf van standaard software ontkomt u niet aan de desbetreffende licentievoorwaarden. De licentievoorwaarden maken integraal onderdeel van de aankoop van de software. (...)”
Antwoord:
“(...)
Het uitgangspunt is en blijft dat de ARBIT-2022 van toepassing is en dat de toepasselijkheid van algemene en bijzondere voorwaarden van Opdrachtnemer(s) in beginsel is uitgesloten, tenzij van dit uitgangspunt expliciet wordt afgeweken in volgens het bepaalde in artikel 9.1 van Bijlage 10b: Model Nadere overeenkomst.”
Vraag 48 (Staatsaanbesteding) en vraag 49 (Defensieaanbesteding):
“
Inschrijver snapt en onderschrijft uw redeneerlijn voor wat betreft privacy en de verwerkersovereenkomst. Toch zouden wij graag voorstellen een nuance toe te voegen door aan te geven dat Opdrachtnemer een inspanningsverplichting heeft bij het laten ondertekenen van de verwerkersovereenkomst. Immers, in het geval Opdrachtnemer niet de verwerker is kan zij ook geen verplichtingen uit naam van een andere partij garanderen. Graag uw akkoord.”
Inschrijver snapt en onderschrijft uw redeneerlijn voor wat betreft privacy en de verwerkersovereenkomst. Toch zouden wij graag voorstellen een nuance toe te voegen door aan te geven dat Opdrachtnemer een inspanningsverplichting heeft bij het laten ondertekenen van de verwerkersovereenkomst. Immers, in het geval Opdrachtnemer niet de verwerker is kan zij ook geen verplichtingen uit naam van een andere partij garanderen. Graag uw akkoord.”
Antwoord:
“
Op grond van de AVG kwalificeert een partij als verwerker indien deze (i) een aparte partij is, (ii) die namens (dat wil zeggen: in opdracht of aan de hand van de instructies van) de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Een Vendor verwerkt de persoonsgegevens niet in opdracht van de Opdrachtgever, maar in opdracht van de reseller. Op grond van de afspraken in de Raamovereenkomst en de te sluiten Nadere overeenkomst is de reseller de enige contractuele wederpartij van de Opdrachtgever en de reseller is gelet op die afspraken de contractuele leverancier van de software voor de Opdrachtgever. Op het moment dat er bijvoorbeeld gebreken zijn met de software, spreekt de Opdrachtgever immers de reseller hier op aan, die op haar beurt de vendor kan aanspreken.
Op grond van de AVG kwalificeert een partij als verwerker indien deze (i) een aparte partij is, (ii) die namens (dat wil zeggen: in opdracht of aan de hand van de instructies van) de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Een Vendor verwerkt de persoonsgegevens niet in opdracht van de Opdrachtgever, maar in opdracht van de reseller. Op grond van de afspraken in de Raamovereenkomst en de te sluiten Nadere overeenkomst is de reseller de enige contractuele wederpartij van de Opdrachtgever en de reseller is gelet op die afspraken de contractuele leverancier van de software voor de Opdrachtgever. Op het moment dat er bijvoorbeeld gebreken zijn met de software, spreekt de Opdrachtgever immers de reseller hier op aan, die op haar beurt de vendor kan aanspreken.
De uitleg en praktische uitvoering van de opdracht is bepalend of er sprake is van een verwerkersrelatie en een verwerkersovereenkomst. Als een opdracht tot het leveren van Standaardprogrammatuur eveneens leidt tot het verwerken van persoonsgegevens, moet die opdracht zodanig uitgelegd worden dat die ‘opdracht’ ook een Opdracht tot verwerking omvat.
Op grond van de voorwaarden in de aanbestedingsprocedure worden er in beginsel geen rechtstreekse opdrachten verleend aan de Vendor, maar uitsluitend aan de reseller. De (aansprakelijkheids-)bepalingen in de ARBIT-2022 zijn namelijk gebaseerd op de hoofdovereenkomst met de reseller en niet de Vendors. Indien er onder een Offerteaanvraag sprake is van het verwerken van persoonsgegevens in de zin van de AVG, wordt er bij het
sluiten van de Nadere overeenkomst ook een Verwerkersovereenkomst gesloten met de reseller. Reseller is daarnaast gehouden om met eventuele in te zetten onderaannemers (derden c.q. vendors) eenzelfde (sub)verwerkersovereenkomst te sluiten.”
2.13.
In de tweede Nota van Inlichtingen (in de Staatsaanbesteding) zijn – voor zover hier van belang – de volgende vragen en antwoorden opgenomen:
Vraag 44:
“(...)
Dat de Software Vendor ten behoeve van de Aanbestedende dienst persoonsgegevens verwerkt als de Aanbestedende dienst vervolgens gebruik maakt van de gebruiksrechten/diensten betekent – in tegenstelling tot hetgeen u lijkt te veronderstellen - niet dat de opdracht die de Aanbestedende dienst aan de Reseller gaf tevens het verwerken van persoonsgegevens behelsde. En dit betekent dus evenmin dat de Reseller aan de Software Vendor opdracht geeft om persoonsgegevens te verwerken. Indien de Software Vendor ten behoeve van de Aanbestedende dienst (= opdrachtgever = verwerkingsverantwoordelijke) persoonsgegevens verwerkt als de Aanbestedende dienst gebruik maakt van de software (waartoe zij gerechtigd is op grond van het aan haar verstrekte gebruiksrecht), c.q. de aanverwante dienstverlening dan is de Software Vendor
Dat de Software Vendor ten behoeve van de Aanbestedende dienst persoonsgegevens verwerkt als de Aanbestedende dienst vervolgens gebruik maakt van de gebruiksrechten/diensten betekent – in tegenstelling tot hetgeen u lijkt te veronderstellen - niet dat de opdracht die de Aanbestedende dienst aan de Reseller gaf tevens het verwerken van persoonsgegevens behelsde. En dit betekent dus evenmin dat de Reseller aan de Software Vendor opdracht geeft om persoonsgegevens te verwerken. Indien de Software Vendor ten behoeve van de Aanbestedende dienst (= opdrachtgever = verwerkingsverantwoordelijke) persoonsgegevens verwerkt als de Aanbestedende dienst gebruik maakt van de software (waartoe zij gerechtigd is op grond van het aan haar verstrekte gebruiksrecht), c.q. de aanverwante dienstverlening dan is de Software Vendor
verwerker in de zin van de AVG. Dit betekent dat de Aanbestedende dienst rechtstreeks met de Software Vendor een verwerkersovereenkomst dient te sluiten. Uiteraard kan de winnende Inschrijver/Reseller hierin een bemiddelingsrol vervullen, en kan de opdracht van de Aanbestedende dienst aan Reseller tevens het vervullen van die bemiddelingsrol behelzen, maar niet meer dan dat. Gegadigde is dan ook verbaast over de door de Aanbestedende dienst voorgestelde werkwijze.
(...)
Wij verzoeken u dan ook met klem om de eis dat er bij het sluiten van de Nadere
overeenkomst ook een verwerkersovereenkomst wordt gesloten inzake
gebruiksrechten en aanverwante diensten die geleverd worden door een
Software Vendor met de Winnende Inschrijver/Reseller te laten vallen en de
huidige praktijk voort te zetten. Dit geldt ook voor de eis dat Winnende
Inschrijver/Reseller gehouden is om met eventuele in te zetten onderaannemers
(derden) eenzelfde (sub) verwerkersovereenkomsten te sluiten. Tenslotte
ontvangen wij graag de bevestiging van de Aanbestedende dienst dat er geen
sprake is van sublicentiëring.”
Antwoord:
“
De resellers zijn bij deze aanbestedingsprocedure contractuele wederpartij (juridische leverancier) en leveren de gewenste diensten van de Vendors aan de Deelnemers. Verantwoordelijkheid voor de uitvoering en de contractuele betrokkenheid van de Raamovereenkomst ligt gelet op de uitgangspunten bij deze aanbestedingsprocedure bij de resellers. De omstandigheid dat een reseller feitelijk geen toegang heeft tot de software en de gegevens, doet in principe niets af aan deze rol. De reseller schakelt een Vendor (als onderaannemer) in voor de levering van de dienstverlening voor de Deelnemers en is de enige die de Vendor (als haar onderaannemer) kan aansturen en eventueel aanspreken met betrekking tot de dienstverlening. De afspraken uit de Raamovereenkomst hebben immers geen werking tussen de Deelnemers en de Vendors, omdat de Vendor daarbij geen rechtstreekse contractuele partij is bij de onderhavige Raamovereenkomst. De contractuele relatie (juridische leverancier) bestaat tussen de Deelnemers en de (aanbestede) reseller. Wanneer de reseller een sub-verwerker (als onderaannemer) inschakelt voor de gegevensverwerkingen, dient de reseller door middel van een overeenkomst of een andere rechtshandeling deze sub-verwerker te verplichten minimaal hetzelfde niveau van
De resellers zijn bij deze aanbestedingsprocedure contractuele wederpartij (juridische leverancier) en leveren de gewenste diensten van de Vendors aan de Deelnemers. Verantwoordelijkheid voor de uitvoering en de contractuele betrokkenheid van de Raamovereenkomst ligt gelet op de uitgangspunten bij deze aanbestedingsprocedure bij de resellers. De omstandigheid dat een reseller feitelijk geen toegang heeft tot de software en de gegevens, doet in principe niets af aan deze rol. De reseller schakelt een Vendor (als onderaannemer) in voor de levering van de dienstverlening voor de Deelnemers en is de enige die de Vendor (als haar onderaannemer) kan aansturen en eventueel aanspreken met betrekking tot de dienstverlening. De afspraken uit de Raamovereenkomst hebben immers geen werking tussen de Deelnemers en de Vendors, omdat de Vendor daarbij geen rechtstreekse contractuele partij is bij de onderhavige Raamovereenkomst. De contractuele relatie (juridische leverancier) bestaat tussen de Deelnemers en de (aanbestede) reseller. Wanneer de reseller een sub-verwerker (als onderaannemer) inschakelt voor de gegevensverwerkingen, dient de reseller door middel van een overeenkomst of een andere rechtshandeling deze sub-verwerker te verplichten minimaal hetzelfde niveau van
gegevensbescherming te bieden als de reseller biedt ten opzichte van de Deelnemers.”
Vraag 55:
“De winnende Inschrijver(s) fungeert/fungeren in de uitvoering van de opdracht als “Reseller(s)” en (weder)verkopen aan de Aanbestedende dienst ‘gebruiksrechten om de door de Software Vendor ontwikkelde standaardsoftware te mogen gebruiken’. Dit gebruiksrecht wordt ook wel een licentie genoemd. De Aanbestedende dienst geeft enkel opdracht aan de Reseller tot inkoop van het gebruiksrecht bij de Software Vendor en wederverkoop van het gebruiksrecht aan de Aanbestedende Dienst. Immers, de Software Vendor is uiteindelijk de
partij die het gebruiksrecht aan Aanbestedende Dienst verstrekt en levert. Het door de Aanbestedende Dienst geschetste model waarbij de Reseller het gebruiksrecht verstrekt, is onjuist. Voorgaande zou immers betekenen dat de Reseller het gebruiksrecht zou sublicentiëren aan de Aanbestedende Dienst, een licentiemodel die de meeste van de door u gevraagde Software Vendoren niet hanteren en waar zij eveneens ook niet in wensen te voorzien. Hetzelfde geldt voor de eventuele aanverwante dienstverlening zoals onderhoud en/of support dat de Software Vendoren rechtstreeks aan de Aanbestedende dienst levert ten
behoeve van de afgenomen licenties. Resellen is simpelweg niets anders dan het
wederverkopen van het gebruiksrechten c.q. aanverwante dienstverlening.
Dat de Software Vendor ten behoeve van de Aanbestedende dienst persoonsgegevens verwerkt als de Aanbestedende dienst vervolgens gebruik maakt van de gebruiksrechten/diensten betekent – in tegenstelling tot hetgeen u lijkt te veronderstellen - niet dat de opdracht die de Aanbestedende dienst aan de Reseller gaf tevens het verwerken van persoonsgegevens behelsde. En dit betekent dus evenmin dat de Reseller aan de Software Vendor opdracht geeft om persoonsgegevens te verwerken. Indien de Software Vendor ten behoeve van de Aanbestedende dienst (= opdrachtgever = verwerkingsverantwoordelijke) persoonsgegevens verwerkt als de Aanbestedende dienst gebruik maakt van de software (waartoe zij gerechtigd is op grond van het aan haar verstrekte gebruiksrecht), c.q. de aanverwante dienstverlening dan is de Software Vendor
verwerker in de zin van de AVG. Dit betekent dat de Aanbestedende dienst rechtstreeks met de Software Vendor een verwerkersovereenkomst dient te sluiten. Uiteraard kan de winnende Inschrijver/Reseller hierin een bemiddelingsrol vervullen, en kan de opdracht van de Aanbestedende dienst aan Reseller tevens het vervullen van die bemiddelingsrol behelzen, maar niet meer dan dat. Gegadigde is dan ook verbaasd over de door de Aanbestedende dienst voorgestelde werkwijze.
Te meer nu dit ook niet strookt met de huidige praktijk bij de Staat. Noch de huidige praktijk bij andere overheidsorganen, zoals gemeenten, waterschappen en provincies. In de situatie waarin gemeenten onder de GIBIT-voorwaarden contracteren met Resellers, sluiten de gemeenten namelijk rechtstreeks een verwerkersovereenkomst met de Software Vendor. Daarenboven wenst Gegadigde te verwijzen naar de gehanteerde werkwijze buiten Nederland, bijvoorbeeld in België waar de Europese Commissie in een recent aangevangen
overheidsopdracht voor de levering van standaardsoftware de directe relatie tussen een Deelnemer/Aanbestedende dienst en een Software Vendor expliciet erkend. En eventuele eindgebruikersvoorwaarden en verwerkersovereenkomsten direct tussen de Software Vendor en Aanbestedende dienst worden gesloten en er van de Reseller enkel een bemiddelende rol wordt verwacht.
Inmiddels hebben wij van meerdere Software Vendoren (waaronder, maar niet uitsluitend IBM, OpenText en SAP) een schriftelijk statement ontvangen dat zij niet bereid zijn om direct met een Reseller een verwerkersovereenkomst te sluiten, nu ook zij zich op het standpunt stellen dat zij niet in opdracht van de Reseller, maar in opdracht van de gebruiker van de software (= Aanbestedende dienst) persoonsgegevens verwerken. Daarenboven vraagt zoals reeds aangegeven de voorgestelde werkwijze om een sublicentie model waarin veruit de meeste Software Vendoren niet in voorzien, danwel wensen te voorzien.
Met andere woorden: de lezing dat tussen Aanbestedende dienst en de Software
Vendor sprake is van een verwerkersrelatie en dus rechtstreeks tussen de
Aanbestedende dienst en de Software Vendor een verwerkersovereenkomst
moet worden gesloten is de juiste. Uw lezing dat de Winnende
Inschrijver/Reseller met de Aanbestedende dienst een verwerkersovereenkomst
moet sluiten inzake gebruiksrechten en aanverwante diensten die rechtstreeks
geleverd worden door een Software Vendor niet.
Daarbij komt dat u door te verlangen dat de Winnende Inschrijver/Reseller een
verwerkersovereenkomst met de Aanbestedende dienst dient te sluiten een onaanvaardbaar risico neerlegt bij de Winnende Inschrijver/Reseller, die zoals hiervoor reeds is aangegeven, afwijkt van hetgeen gebruikelijk is in de markt, noch de verdiensten onder de raamovereenkomst rechtvaardigt. Voorschrift 3.9A Gids Proportionaliteit schrijft voor dat de Aanbestedende dienst het risico dient te alloceren bij de partij die het risico het beste kan beheersen of beïnvloeden. Dat is in de voorgestelde werkwijze niet de Reseller. De Reseller heeft geen enkele invloed op de wijze waarop de Aanbestedende dienst gebruik maakt van haar gebruiksrecht(en) en heeft ook geen enkele invloed op de wijze waarop de
Software Vendor persoonsgegevens verwerkt, noch heeft de Reseller enig mandaat om namens de Software Vendor enige toezeggingen te doen.
Dat de Reseller – zoals u aangeeft – op haar beurt een (sub)verwerkersovereenkomst met de Software Vendor dient te sluiten doet hier niet aan af. De Reseller heeft daarmee geen zekerheid dat zij de volledige claim die de Aanbestedende dienst bij haar neerlegt kan verhalen op de Software Vendor. Denk bijvoorbeeld aan de situatie dat de Software Vendor failliet gaat. Maar denk ook aan de situatie dat de Software Vendor geen onbeperkte
aansprakelijkheid wenst te accepteren (wat veelal het geval is), terwijl de Reseller dit wel jegens de Aanbestedende dienst dient te accepteren op basis van de ARBIT. Dit is extra zorgelijk met het oog op de door de Aanbestedende dienst gestelde offerteplicht.
Met andere woorden: de eis dat de Reseller rechtstreeks met de Aanbestedende
dienst een verwerkersovereenkomst moet sluiten, wanneer er enkel sprake is
van wederverkopen, is disproportioneel. Wij verzoeken u dan ook met klem om de eis dat er bij het sluiten van de Nadere overeenkomst ook een verwerkersovereenkomst wordt gesloten inzake gebruiksrechten en aanverwante diensten die geleverd worden door een
Software Vendor met de Winnende Inschrijver/Reseller te laten vallen en de
huidige praktijk voort te zetten. Dit geldt ook voor de eis dat Winnende
Inschrijver/Reseller gehouden is om met eventuele in te zetten onderaannemers
(derden) eenzelfde (sub) verwerkersovereenkomsten te sluiten. Tenslotte
ontvangen wij graag de bevestiging van de Aanbestedende dienst dat er geen
sprake is van sublicentiëring.”
Antwoord:
“De resellers zijn bij deze aanbestedingsprocedure contractuele wederpartij (juridische leverancier) en leveren de gewenste diensten van de Vendors aan de Deelnemer. Verantwoordelijkheid voor de uitvoering en de contractuele betrokkenheid van de Raamovereenkomst ligt gelet op de uitgangspunten bij deze aanbestedingsprocedure bij de resellers. De omstandigheid dat een reseller feitelijk geen toegang heeft tot de software en de gegevens, doet in principe niets af aan deze rol. De reseller schakelt een Vendor (als onderaannemer) in voor de levering van de dienstverlening voor de Deelnemer en is de enige die de Vendor (als haar onderaannemer) kan aansturen en eventueel aanspreken met betrekking tot de dienstverlening. De afspraken uit de Raamovereenkomst hebben immers geen werking tussen de Deelnemers en de Vendors, omdat de Vendor daarbij geen
rechtstreekse contractuele partij is bij de onderhavige Raamovereenkomst. De contractuele relatie (juridische leverancier) bestaat tussen de Deelnemers en de (aanbestede) reseller. Wanneer de reseller een sub-verwerker (als onderaannemer) inschakelt voor de gegevensverwerkingen, dient de reseller door middel van een overeenkomst of een andere rechtshandeling deze sub-verwerker te verplichten minimaal hetzelfde niveau van
gegevensbescherming te bieden als de reseller biedt ten opzichte van de Deelnemer.”
Vraag 76:
“
De door de Aanbestedende Dienst gedefinieerde aansprakelijkheid onder artikel 26.4 sub d, is voor Gegadigde onacceptabel. Dit geldt temeer, nu de Aanbestedende Dienst middels deze aanbesteding Inschrijvers verplicht om verwerkersovereenkomsten aan te gaan met Deelnemers, indien er onder een Nadere Overeenkomst sprake gaat zijn van de verwerking van persoonsgegevens. Gegadigde is niet de eigenaar van de te leveren software, heeft hier geen toegang tot en verwerkt in de regel zelf dus geen persoonsgegevens middels de software, maar wordt nu wel geacht contractueel op te treden als verwerker en daarmee volledig in te staan voor Vendoren die de persoonsgegevens daadwerkelijk verwerken. Kort gezegd, de Aanbestedende Dienst vraagt Gegadigden nu om in te staan voor het risico van niet-naleving van wet- en regelgeving op het gebied van bescherming van persoonsgegevens, terwijl Gegadigde dat risico voor Vendors in de eerste plaats niet kan beheersen (want: geen eigenaar van de software en dus ook geen toegang tot de software).
De door de Aanbestedende Dienst gedefinieerde aansprakelijkheid onder artikel 26.4 sub d, is voor Gegadigde onacceptabel. Dit geldt temeer, nu de Aanbestedende Dienst middels deze aanbesteding Inschrijvers verplicht om verwerkersovereenkomsten aan te gaan met Deelnemers, indien er onder een Nadere Overeenkomst sprake gaat zijn van de verwerking van persoonsgegevens. Gegadigde is niet de eigenaar van de te leveren software, heeft hier geen toegang tot en verwerkt in de regel zelf dus geen persoonsgegevens middels de software, maar wordt nu wel geacht contractueel op te treden als verwerker en daarmee volledig in te staan voor Vendoren die de persoonsgegevens daadwerkelijk verwerken. Kort gezegd, de Aanbestedende Dienst vraagt Gegadigden nu om in te staan voor het risico van niet-naleving van wet- en regelgeving op het gebied van bescherming van persoonsgegevens, terwijl Gegadigde dat risico voor Vendors in de eerste plaats niet kan beheersen (want: geen eigenaar van de software en dus ook geen toegang tot de software).
Dit gecombineerd met de ongelimiteerde aansprakelijkheid zoals gedefinieerd in artikel 26.4 sub c, levert een disproportioneel groot risico op voor Gegadigde.
Gegadigde verzoekt de Aanbestedende Dienst met klem om een aansprakelijkheidsbeperking op te nemen voor artikel 26.4 sub c. Is de Aanbestedende Dienst hiertoe niet bereid, dan heeft dit serieuze invloed op de inschrijvingsbereidheid van Gegadigde en andere inschrijvers: geen enkele organisatie kan redelijkerwijs gevraagd worden om in te staan voor dusdanig grote risico's die niet door de eigen organisatie beïnvloed en dus beheerst kunnen worden.”
Antwoord:
“
De onder sub d opgenomen uitzondering heeft betrekking op schade als gevolg van het schenden van wet- en regelgeving op het terrein van het beschermen van persoonsgegevens. Het beschermen van natuurlijke personen bij het verwerken van persoonsgegevens is een grondrecht. Schending van dit grondrecht kan leiden tot ernstige schade bij natuurlijke personen.
De onder sub d opgenomen uitzondering heeft betrekking op schade als gevolg van het schenden van wet- en regelgeving op het terrein van het beschermen van persoonsgegevens. Het beschermen van natuurlijke personen bij het verwerken van persoonsgegevens is een grondrecht. Schending van dit grondrecht kan leiden tot ernstige schade bij natuurlijke personen.
Voor het verdelen van aansprakelijkheid voor privacyschendingen is in de ARBIT-2022 aansluiting gezocht bij de aansprakelijkheidsverdeling in de AVG. Kort gezegd komt dit neer op toedeling volgens het adagium ‘de vervuiler betaalt’. Dit volgt ook uit de AVG. Een verwerkingsverantwoordelijke is aansprakelijk, tenzij de verwerker niet heeft voldaan aan de specifiek tot verwerkers gerichte verplichtingen van de AVG/Richtlijn
gegevensbescherming politie en justitie, of buiten, dan wel in strijd met, de rechtmatige instructies van de verwerkingsverantwoordelijke heeft gehandeld (doorgaans vastgelegd in een verwerkersovereenkomst). Maximeren van aansprakelijkheid van verwerkers zou afbreuk doen aan het met de AVG beoogde doeltreffende, evenredige en afschrikkende sanctioneren van onrechtmatige verwerking van persoonsgegevens. Mede daarom bepaalt
lid 4 dat de in de leden 2 en 3 van artikel 26 ARBIT-2022 opgenomen beperkingen van aansprakelijkheid komen te vervallen bij schade door privacyschendingen.”
2.14.
SoftwareONE heeft op 10 juni 2024 en op 5 augustus 2024 (aangevuld op 16 augustus 2024) in beide aanbestedingen een klacht ingediend bij het Klachtenmeldpunt JenV. Hierbij heeft SoftwareONE er onder meer over geklaagd dat de verplichting om een verwerkingsovereenkomst te sluiten met de vendoren disproportioneel is en dat de aansprakelijkheid bij de verwerkingsovereenkomsten onvoldoende beperkt is. Bij klachtadviezen van 21 juni 2024 en 20 augustus 2024 heeft het Klachtenmeldpunt JenV de klachten van SoftwareONE ongegrond verklaard.
2.15.
Op 26 augustus 2024 heeft SoftwareONE haar klacht met betrekking tot het verplicht sluiten van een verwerkingsovereenkomst en de onbeperkte aansprakelijkheid in beide aanbestedingen voorgelegd aan de Commissie van Aanbestedingsexperts (hierna: CvAE).
2.16.
De Staat heeft in de klachtprocedure bij de CvAE geen aanleiding gezien om de uiterste inschrijftermijn van de aanbestedingen op te schorten.
2.17.
Voor de Opdracht hebben zich vier partijen (resellers) ingeschreven, SoftwareONE, Computacenter B.V. (hierna: Computacenter), Protinus IT B.V. (hierna: Protinus) en Dustin Netherlands B.V. (hierna: Dustin). In de aanbiedingsbrieven van SoftwareONE van 5 september en 10 september 2024 staat het volgende:
“
Het is ons een genoegen om u onze offerte voor bovengenoemde aanbesteding te presenteren.
Het is ons een genoegen om u onze offerte voor bovengenoemde aanbesteding te presenteren.
(...)
De aanbieding
Wij zijn van mening dat we met deze aanbieding een mooi passend voorstel doen. Wij wensen u veel succes met het analyseren van de diverse offertes en kijken met interesse uit naar uw beoordeling en feedback.
Klacht
Zoals u bekend is hebben wij aangaande de onderhavige aanbestedingsprocedure een klacht ingediend bij de Commissie van Aanbestedingsexperts. Wij handhaven onze klacht en behouden ons alle rechten voor.”
2.18.
Bij spoedadvies (met nummers 746 en 747) van 4 oktober 2024 heeft de CvAE de klacht van SoftwareONE gegrond verklaard. Hiertoe heeft de CvAE overwogen dat de Staat met het stellen van de voorwaarden afwijkt van de voorschriften 3.9 A en 3.9 D van de Gids Proportionaliteit en dat de door de Staat gegeven motivering voor het hanteren van deze voorwaarden geen (deugdelijke) motivering vormt voor de afwijking van deze voorschriften. In randnummer 5.14 van het advies heeft de CvAE het volgende overwogen:
“
Aanbesteder lijkt zich onvoldoende te hebben verdiept in de risico’s en overige gevolgen voor ondernemer die de verplicht te sluiten verwerkersovereenkomst in combinatie met de onbeperkte aansprakelijkheid voor schendingen van wet- en regelgeving op het terrein van het verwerken van persoonsgegevens met zich meebrengt in de gevallen dat ondernemer geen toegang heeft tot de betreffende persoonsgegevens en geen invloed kan uitoefenen op de verwerking daarvan.”
Aanbesteder lijkt zich onvoldoende te hebben verdiept in de risico’s en overige gevolgen voor ondernemer die de verplicht te sluiten verwerkersovereenkomst in combinatie met de onbeperkte aansprakelijkheid voor schendingen van wet- en regelgeving op het terrein van het verwerken van persoonsgegevens met zich meebrengt in de gevallen dat ondernemer geen toegang heeft tot de betreffende persoonsgegevens en geen invloed kan uitoefenen op de verwerking daarvan.”
2.19.
Bij brief van 7 oktober 2024 heeft de advocaat van SoftwareONE in beide aanbestedingsprocedures de Staat verzocht om de procedure in te trekken en – indien hij de opdracht nog wenst te verstrekken – over te gaan tot heraanbesteding.
2.20.
Bij brieven van 10 oktober 2024 heeft de Staat in beide aanbestedingsprocedures aan SoftwareONE meegedeeld dat hij voornemens is de Opdracht te gunnen aan Computacenter, Protinus en Dustin en dat SoftwareONE als vierde is geëindigd en niet voor gunning in aanmerking komt. Uit het in de brieven opgenomen overzicht volgt dat SoftwareONE heeft verloren op prijs.
2.21.
Bij berichten van 11 oktober 2024 heeft de Staat in beide aanbestedingen aan SoftwareONE meegedeeld dat hij het advies van de CvAE geen aanleiding ziet om de aanbestedingsprocedures in te trekken.
3.Het geschil
3.1.
Na verbetering van een kennelijke schrijffout in de zaak KG ZA 24-1000 vordert SoftwareONE in beide zaken, bij vonnis uitvoerbaar bij voorraad, samengevat:
I. de Staat te gebieden om de gunningsbeslissingen van 10 oktober 2024 in te trekken;
II. de Staat te verbieden de opdracht voor Perceel 2 definitief te gunnen op basis van de onderhavige Europese aanbesteding;
III. de Staat te gebieden om de aanbesteding in te trekken en de opdracht voor Perceel 2 in overeenstemming met de Aw 2012 opnieuw aan te besteden, voor zover de Staat deze opdracht nog altijd wenst te gunnen;
een en ander met veroordeling van de Staat in de proceskosten, waaronder de nakosten, te vermeerderen met de wettelijke rente.
3.2.
SoftwareONE legt aan de vorderingen het volgende ten grondslag.
De eis dat de reseller een verwerkingsovereenkomst moet sluiten met de deelnemer (als de vendor, en niet de reseller, degene is die de persoonsgegevens verwerkt bij het gebruik van software door de deelnemer) is disproportioneel. Daarnaast is ook de voorwaarde dat de reseller onbeperkte aansprakelijkheid moet aanvaarden voor schending van wet- en regelgeving op het terrein van bescherming van persoonsgegevens door de vendor of handelen in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke door de vendor disproportioneel. Daarom kunnen de gunningsbeslissingen niet in stand blijven en moet het de Staat worden verboden de opdrachten voor Perceel 2 op basis van de onderhavige aanbestedingen te gunnen. De aanbestedingen dienen te worden ingetrokken en, voorzover de Staat de opdrachten nog steeds wenst te gunnen, dient de Staat over te gaan tot heraanbesteding in overeenstemming met de Aw 2012.
3.3.
De Staat voert in beide procedures verweer waarop hierna, voor zover van belang, nader wordt ingegaan.
4.De beoordeling
Inleiding
4.1.
Met beide aanbestedingen beoogt de Staat raamovereenkomsten te sluiten met inschrijvers (resellers) die voor eigen rekening en risico software(licenties) van verschillende vendors leveren aan de deelnemers. Hierbij wenst de Staat door het sluiten van Nadere overeenkomsten tussen de betreffende deelnemer en de reseller in de vorm van een sublicentie software af te nemen. Een en ander volgt uit artikel 2 van de Raamovereenkomsten. De voorzieningenrechter volgt de Staat in het standpunt dat uit artikel 9.1 van de nadere overeenkomsten enkel volgt dat het opdrachtnemer is toegestaan zijn licentievoorwaarden, of die van ingeschakelde derden, onder voorwaarden, deel uit te laten maken van de contractuele relatie tussen de opdrachtgever en hemzelf en niet dat het is toegestaan dat er een overeenkomst tot stand komt tussen de deelnemer en de vendor. SofswareOne wordt dus niet gevolgd in haar stelling dat de opdracht ook behelst de constructie waarbij de reseller, uitsluitend als tussenschakel, zorg draagt dat de vendor het gebruiksrecht op de software levert aan de eindklant (de zogenaamde “resellersconstructie”). Deze “resellersconstructie” is, anders dan SoftwareOne heeft begrepen, dus niet toegestaan.
4.2.
Op grond van het bepaalde in paragraaf 5.4.5 van de Beschrijvende Documenten en de artikelen 2.8 en 3.8 van respectievelijk de formats productgerichte en functionele uitvraag, gelezen in het licht van de door de Staat gegeven antwoorden op de in dat verband gestelde in de nota’s van inlichtingen, rust op de reseller de verplichting verwerkersovereenkomsten te sluiten met deelnemers (eindgebruikers), indien hij producten levert waarbij persoonsgegevens worden verwerkt die afkomstig zijn van een deelnemer, óók indien de reseller zelf geen toegang heeft tot de personeelsgegevens. Daarnaast is de reseller in die gevallen verantwoordelijk voor ondertekening van een subverwerkingsovereenkomst door de vendor. Beoordeeld dient te worden of de voorwaarden die de Staat in deze aanbestedingen, uitgaande van een sublicentie-constructie, verbindt aan de levering van standaardprogrammatuur en dienstverlening van de vendors, zoals SoftwareOne stelt, disproportioneel zijn.
4.3.
Bij deze beoordeling stelt de voorzieningenrechter het volgende voorop. Aan de aanbestedende dienst komt de vrijheid toe om de uitvraag in een aanbesteding en de modaliteiten van die aanbesteding te bepalen. De grenzen van die vrijheid worden bepaald door de Aanbestedingswet 2012 (Aw), de Gids Proportionaliteit en de fundamentele beginselen van aanbestedingsrecht voor zover die daarin niet reeds zijn opgenomen. Daarbij doet het feit dat marktpartijen vrij zijn om al dan niet op een aanbesteding in te schrijven, niet af aan de verplichting van de aanbestedende dienst om de geldende regels na te leven. De vraag of de aanbestedende dienst in dit geval aan die regels, waaronder het hierna te bespreken artikel 1.10 lid 1 Aw, heeft voldaan, is niet aan het oordeel van de rechter onttrokken, ook niet door het karakter van het kort geding en de beleidsvrijheid die de Staat bij het formuleren van het voorwerp van de uitvraag heeft.
4.4.
Op grond van artikel 1.10 lid 1 Aw dient de aanbestedende dienst bij de voorbereiding en het tot stand brengen van een opdracht het proportionaliteitsbeginsel in acht te nemen. Het proportionaliteitsbeginsel strekt ertoe dat voorwaarden en criteria worden gesteld aan inschrijvers en inschrijvingen die in een redelijke verhouding staan tot het voorwerp van de opdracht. Het is aan de aanbestedende dienst om aan te tonen dat aan het proportionaliteitsbeginsel is voldaan (Kamerstukken II, 2009-2010, 32 440, nr. 3, p. 52/53). De achtergrond van het proportionaliteitsbeginsel is dat voorkomen wordt dat bepaalde ondernemers niet in aanmerking komen voor de opdracht vanwege te hoge eisen en voorwaarden en het ziet (dus) op de bevordering van de concurrentie. Hoewel in de parlementaire toelichting is opgenomen dat een rechter een aanbestedingsprocedure waarin niet is voldaan aan het proportionaliteitsbeginsel niet nietig kan verklaren (Kamerstukken II, 2009-2010, 32 440, nr. 3, p. 54) is tussen partijen niet in geschil dat de burgerlijke rechter een aanbestedende dienst kan gebieden een aanbestedingsprocedure die in strijd is met dit beginsel, te staken.
4.5.
Het proportionaliteitsbeginsel is uitgewerkt in de Gids Proportionaliteit. Voorschrift 3.9A schrijft voor dat de aanbestedende dienst het risico alloceert bij de partij die het risico het best kan beheersen of beïnvloeden. Voorschrift 3.9D schrijft voor dat de aanbestedende dienst geen aansprakelijkheid verlangt die op geen enkele manier is gelimiteerd. Daarbij moet onder meer acht worden geslagen op de risico’s die de aanbestedende dienst daadwerkelijk loopt en op de gebruikelijke aansprakelijkheidseis in de betreffende branche of voor de betreffende opdracht naar aard en omvang.
Geen rechtsverwerking
4.6.
De aanbestedende dienst heeft als meest verstrekkend verweer in beide procedures aangevoerd dat de bezwaren van SoftwareOne afstuiten op het feit dat zij heeft ingeschreven en daarmee het standpunt heeft ingenomen dat de opdracht uitvoerbaar is. De voorzieningenechter is van oordeel dat noch het feit dat SoftwareOne heeft ingeschreven op de opdrachten, noch het feit dat zij zich bij die inschrijvingen positief over de mogelijkheid tot volbrenging daarvan heeft uitgelaten, afbreuk kan doen aan het gewicht van de bezwaren die SoftwareOne tegen de aanbestedingen naar voren heeft gebracht. SoftwareOne heeft zich immers, voordat in rechte duidelijkheid was verkregen over de gegrondheid van haar bezwaren, gesteld gezien voor de vraag of zij moest inschrijven. De afweging die zij in dat verband heeft gemaakt acht de voorzieningenrechter begrijpelijk. Dat SoftwareOne vervolgens in de aanbiedingsbrieven van mening te zijn een mooi passend voorstel te doen, is evenzeer begrijpelijk omdat de inschrijvingen anders zinloos zouden zijn geweest. Bovendien heeft SoftwareOne in die aanbiedingsbrieven opnieuw haar klachten benadrukt. Daarmee en aldus heeft SoftwareOne niet haar reeds eerder geformuleerde bezwaren prijs gegeven. Anders dan de Staat heeft bepleit, heeft SoftwareOne haar rechten om haar bezwaren in kort geding te laten toetsen, niet verwerkt.
SoftwareONE heeft wel belang
4.7.
De Staat heeft zich verder op het standpunt gesteld dat SoftwareONE bij haar vorderingen geen belang heeft, omdat zij bij beide aanbestedingen als vierde is geëindigd en daarom niet voor gunning in aanmerking komt. Ook dit verweer slaagt niet. Indien in dit kort geding wordt geoordeeld dat de voorwaarden waarover SoftwareOne klaagt disproportioneel zijn, zal dat, indien de Staat beide opdrachten nog steeds wenst aan te besteden, leiden tot nieuwe, aangepaste aanbestedingsprocedures. Het is voorshands niet zonder meer aannemelijk dat alle inschrijvers de betreffende voorwaarden op dezelfde wijze in hun inschrijfprijs hebben verdisconteerd en in de nieuwe procedures met dezelfde prijzen zullen inschrijven als zij nu hebben gedaan. Indien wordt geoordeeld dat de voorwaarden disproportioneel zijn, heeft SoftwareONE daarom belang bij intrekking van de gunningsbeslissingen, zodat zij bij een eventuele heraanbesteding opnieuw kans maakt op de opdrachten.
Proportionaliteit
4.8.
De kern van het geschil in beide zaken betreft de vraag of de wijze waarop in de aanbestedingen het risico van de opdracht is verdeeld, proportioneel is. Tussen partijen is niet in geschil dat de risicoverdeling in de opdracht wordt bestreken door het proportionaliteitsbeginsel.
4.9.
Tussen partijen is voorts, terecht, niet in geschil dat bij sublicentie, in het geval de vendor, en niet de reseller, degene is die de persoonsgegevens verwerkt bij het gebruik van de software door de deelnemer, de reseller juridisch is te beschouwen als verwerker in de zin van artikel 28 van de AVG, uit dien hoofde verplicht is om een verwerkingsovereenkomst met de deelnemer te sluiten en daardoor onbeperkte aansprakelijkheid moet aanvaarden voor schendingen van de AVG bij het verwerken van persoonsgegevens. De Staat wordt niet gevolgd niet in zijn standpunt dat voorschrift 3.9A van de Gids Proportionaliteit toepassing mist. De Staat heeft in dat verband betoogd dat het sluiten van een verwerkingsovereenkomst (uitsluitend) het voldoen aan de eisen van de AVG betreft en daarmee geen betrekking heeft op risicoverdeling. Naar het oordeel van de voorzieningenrechter wordt hiermee immers feitelijk het risico voor schendingen van wet- en regelgeving op het terrein van het verwerken van persoonsgegevens bij de reseller neergelegd. Dat de Staat, zoals hij aanvoert, rechtens verplicht is die voorwaarde te stellen, maakt het voorgaande niet anders. Het feit dat deze risicoallocatie inherent is aan de door de Staat gekozen inrichting van de aanbesteding betekent immers niet dat de aanbesteding daarmee proportioneel is. Voorschrift 3.9A van de Gids Proportionaliteit is dus onverkort van toepassing.
4.10.
Vervolgens wordt toegekomen aan de vraag of de door SoftwareOne bestreden voorwaarden in strijd zijn met dat voorschrift. Naar voorlopig oordeel is dit het geval. SoftwareOne heeft in deze procedures voldoende aannemelijk gemaakt dat de reseller het risico van het niet naleven van een verwerkersovereenkomst niet of nauwelijks kan beheersen in de gevallen waarin de reseller geen toegang heeft tot de persoonsgegevens en de vendor persoonsgegevens van de deelnemer verwerkt. SoftwareOne heeft er dat verband op gewezen dat de reseller in dat geval zelf geen persoonsgegevens verwerkt, daarbij ook geen enkele feitelijke betrokkenheid heeft, geen toegang heeft tot de software en services waarop de persoonsgegevens worden bewaard en geen toegang heeft tot de persoonsgegevens die met het gebruik van de software (door de deelnemer) worden verwerkt. De reseller heeft daardoor geen controle of invloed op 1) hoe de deelnemer gebruik maakt van haar gebruiksrecht en 2) hoe de persoonsgegevens bij de vendor worden verwerkt, en dus ook niet op het naleven van de verwerkersovereenkomst.
De Staat wordt niet gevolgd in zijn standpunt dat de reseller door de opdrachtverlening aan de vendor nog steeds invloed heeft op de verwerkingsactiviteit. Het had op de weg van de Staat gelegen dit standpunt te concretiseren, maar dat heeft hij nagelaten. Naar voorlopig oordeel ligt het bepaald niet voor hand dat de reseller op basis van de opdrachtverlening alsnog feitelijk toegang verkrijgt tot, en controle kan uitoefenen op, de verwerking van de persoonsgegevens door de vendor. De reseller heeft naar verwachting immers geen expertise op dat terrein en bovendien is het zeer de vraag of een vendor met een dergelijke vergaande inmenging in zijn systemen instemt.
4.11.
Voorschrift 3.9A schrijft voor dat het risico wordt neergelegd bij de partij die het risico het best kan beheersen. Nu het gaat om de verwerking van van de Staat (en de deelnemers ten behoeve van welke de aanbestedingen zijn uitgeschreven) afkomstige persoonsgegevens, waar de reseller geen toegang toe heeft en de persoonsgegevens uitsluitend door de vendor worden verwerkt, moet de Staat (en de deelnemers) worden aangemerkt als de partij die het risico het best kan beheersen. De voorzieningenrechter neemt het oordeel van de CvAE op dit punt over. De Staat heeft daar onvoldoende tegenin gebracht.
4.12.
De voorzieningenrechter onderschrijft ook het oordeel van de CvAE dat de Staat zonder deugdelijke motivering afwijkt van voorschrift 3.9D van de Gids Proportionaliteit. Daartoe is van belang dat de reseller onbeperkt aansprakelijk is voor schendingen inzake persoonsgegevens en het risico voor dergelijke schendingen door de reseller niet of nauwelijks is te beheersen. Het argument van de Staat dat de reseller ervoor kan kiezen alleen in te schrijven met producten van vendors waarmee hij een subverwerkersovereenkomst heeft gesloten, is geen grond om van het voorschrift af te wijken. Voor de reseller is het onzeker of de onbeperkte aansprakelijkheid kan worden doorgelegd naar de vendors en bovendien is de eventuele mogelijkheid de aansprakelijkheid door te leggen geen deugdelijke motivering voor de afwijking van dit voorschrift. Ook het standpunt van de Staat dat het risico van onvoldoende verhaal van een vendor reden vormt voor het hanteren van deze voorwaarden, is geen deugdelijke motovering voor de afwijking. De Staat meent dat de reseller door de onbeperkte aansprakelijkheid zou worden gestimuleerd geen producten aan te bieden van vendors waarvan faillissement dreigt, maar heeft onvoldoende toegelicht waarom de reseller een beter zicht zou hebben op de financiële gezondheid van de vendoren. Deze motivering is eenzijdig en geeft er geen blijk van dat de Staat zich voldoende heeft verdiept in de risico’s en overige gevolgen voor de reseller welke voortvloeien uit de verplicht te sluiten verwerkersovereenkomst in combinatie met de onbeperkte aansprakelijkheid voor privacyschendingen, in het geval dat de reseller geen toegang heeft tot de desbetreffende persoonsgegevens en geen invloed kan uitoefenen op de verwerking daarvan. De Staat wordt ook niet gevolgd in het standpunt dat de CvAE er ten onrechte aan voorbij zou zijn gegaan dat de ARBIT-bepalingen wat betreft aansprakelijkheid voor privacyschendingen in overeenstemming zijn met het uitgangspunt dat het maximeren van aansprakelijkheid voor verwerkers afbreuk doet aan het met de AVG beoogde doeltreffend, evenredig en afschrikwekkend sanctioneren van onrechtmatige verwerking van persoonsgegevens. Met dit standpunt miskent de Staat dat het in deze procedures niet de vraag is of de bepalingen uit de AVG en de ARBIT juist worden toegepast, maar of de Staat bij de gekozen wijze van aanbesteden, gelet op de daaraan verbonden consequenties voor de verdeling van risico en aansprakelijkheid, proportionele voorwaarden hanteert. Dat is naar voorlopig oordeel niet het geval.
Slotsom en proceskosten
4.13.
Gelet op het voorgaande acht de voorzieningenrechter de voorwaarden dat de reseller een verwerkingsovereenkomst moet sluiten met de deelnemer en de voorwaarde dat de reseller onbeperkt aansprakelijk is voor schendingen van de AVG, indien hij producten levert waarbij persoonsgegevens worden verwerkt die afkomstig zijn van een deelnemer en de reseller zelf geen toegang heeft tot de persoonsgegevens en deze niet verwerkt, disproportioneel en daarmee in strijd met artikel 1.10 lid1 Aw. Dat betekent dat de gunningsbeslissingen in de beide aanbestedingen niet in stand kunnen blijven en
moeten worden ingetrokken en dat het de Staat moet worden verboden de opdrachten definitief te gunnen op grond van de onderhavige aanbestedingen. Het is vervolgens aan de Staat om te bepalen of en hoe hij de opdrachten in de markt wenst te zetten, zij het dat dit uiteraard dient plaats te vinden in overeenstemming met de Aw. De voorzieningenrechter ziet geen aanleiding de Staat tot dat laatste te veroordelen.
4.14.
De slotsom is dat de vorderingen van SoftwareONE in beide zaken op de hierna te vermelden wijze worden toegewezen. De Staat is in het ongelijk gesteld en moet daarom in beide zaken de proceskosten (inclusief nakosten) betalen. De proceskosten van de Staat worden in beide zaken begroot op:
- kosten dagvaarding
€
112,37
- griffierecht
€
688,00
- salaris advocaat
€
1.107,00
- nakosten
€
178,00
(plus de verhoging zoals vermeld in de beslissing)
Totaal
€
2.085,37
4.15.
De gevorderde wettelijke rente over de proceskosten wordt toegewezen zoals vermeld in de beslissing.
5.De beslissing
De voorzieningenrechter:
in beide zaken:
5.1.
veroordeelt de Staat de gunningsbeslissing van 10 oktober 2024 in te trekken en verbiedt de Staat de opdracht ten aanzien van Perceel 2 definitief te gunnen op basis van de onderhavige aanbesteding;
5.2.
veroordeelt de Staat in de proceskosten van € 2.085,37, te betalen binnen veertien dagen na aanschrijving daartoe, te vermeerderen met € 92,00 plus de kosten van betekening als de Staat niet tijdig aan de veroordelingen voldoet en het vonnis daarna wordt betekend;
5.3.
veroordeelt de Staat tot betaling van de wettelijke rente als bedoeld in artikel 6:119 BW over de proceskosten als deze niet binnen veertien dagen na aanschrijving zijn betaald;
5.4.
verklaart dit vonnis wat betreft de proceskostenveroordeling uitvoerbaar bij voorraad
5.5.
wijst af het meer of anders gevorderde.
Dit vonnis is gewezen door mr. T.F. Hesselink en in het openbaar uitgesproken op 23 december 2024.
WJ