Ongeldigverklaring van de aanmelding op de aanbestedingsprocedure blijft in stand

Wel geschikt, maar het blijkt niet uit de ingediende referentieverklaringen: ongeldigverklaring van de aanmelding op de aanbestedingsprocedure blijft in stand Op 5 augustus 2021 wees de Voorzieningenrechter van de Rechtbank Den Haag vonnis over de beslissing van de Kiesraad om de aanmelding van een gegadigde ongeldig te verklaren omdat diens geschiktheid niet bleek uit de (tekst van de) ingediende referentieverklaringen. Het na de uiterste aanmelddatum indienen van aanvullende referentieverklaringen is volgens de Voorzieningenrechter in strijd met het gelijkheidsbeginsel en daarom ontoelaatbaar. De beslissing tot ongeldigverklaring van de inschrijving blijft in stand. Het selectiedocument De Kiesraad heeft een niet-openbare Europese aanbestedingsprocedure gepubliceerd ten behoeve van de levering, het beheer en de (door)ontwikkeling van digitale hulpmiddelen voor verkiezingen. In het selectiedocument zijn kerncompetenties opgenomen, waaraan een gegadigde moet voldoen om voor gunning van de opdracht in aanmerking te komen. Het voldoen aan de kerncompetenties moet volgens het selectiedocument blijken uit de bij de aanmelding te voegen referentieverklaringen. Het niet voldoen aan de kerncompetenties is gesanctioneerd met ongeldigverklaring, evenals het niet voldoen aan de formele eisen (het tijdig indienen van de aanmelding en het bij de aanmelding voegen van alle gevraagde informatie waaronder ook de referentieverklaring). Uit het selectiedocument is met betrekking tot kerncompetentie 1 (Ontwikkelen van veilige maatwerksoftware) opgenomen: “Uit de referentie blijkt dat u aantoonbaar ervaring heeft met: (…) Onder het “ontwikkelen van veilige maatwerksoftware” wordt in deze context verstaan: (…) In het ontwikkelproces zijn aantoonbaar secure software development principes toegepast. Aanmelding Regio iT ongeldig verklaard Regio iT heeft voor kerncompetentie 1 vijf referentieverklaringen bij haar aanmelding gevoegd. Volgens de Kiesraad blijkt uit geen van deze referentieverklaringen dat in het ontwikkelproces secure software development principes (SSD) zijn toegepast en verklaart de aanmelding van Regio iT daarom ongeldig. Het geschil en het oordeel van de Voorzieningenrechter Regio iT kan zich met de ongeldigverklaring van haar aanmelding niet verenigen en betoogt dat uit de door haar ingediende referentieverklaringen wel degelijk blijkt dat zij aan kerncompetentie 1 voldoet. Zij moet in het ontwikkelproces wel SSD principes hebben toegepast aangezien zij ISO 27001 is gecertificeerd (en zich in het verlengde daarvan conformeert aan ISO 27002). In de referenties is expliciet vermeld dat Regio iT ISO 270001 gecertificeerd is. De Kiesraad had volgens Regio iT beter moeten weten, ook omdat Regio iT als zittende dienstverlener in opdracht van de Kiesraad en in lijn met de ISO 27001/2 al jarenlang SSD principes toepast. Als er al onduidelijkheid bestond, had het op de weg van de Kiesraad gelegen om een en ander te verifiëren bij Regio iT en/of de referenten om deze onduidelijkheid weg te nemen. Uit het verhandelde tijdens de procedure is het de Voorzieningenrechter duidelijk geworden dat het mogelijk is dat een ISO 27001 gecertificeerde onderneming in een klantsituatie geen SSD-principes toepast. Het beroep op de ISO-certificering is dus niet voldoende. De maatstaf is volgens de Voorzieningenrechter of uit (de tekst van) de referentieverklaringen volgt dat Regio iT bij het ontwikkelproces bij het referentieproject SSD-principes heeft toegepast. De Voorzieningenrechter volgt de motivering van de Kiesraad, inhoudende dat de zes leden van het beoordelingsteam individueel en onafhankelijk van elkaar tot de conclusie zijn gekomen dat uit de referentieverklaringen niet blijkt dat bij de referentieopdrachten in het ontwikkelproces SSD-principes zijn toegepast. De Voorzieningenrechter overweegt: “De Kiesraad heeft in dat verband aangevoerd – en Regio iT heeft dat niet weersproken – dat de kern van veilig ontwikkelen volgens SSD-principes is, dat sprake is van een interactief traject waarbij de opdrachtgever vanaf dag 1 bij diverse taken van het ontwikkeltraject is betrokken. Dat houdt in dat de opdrachtgever specifieke beveiligingseisen opstelt en dat er tussentijds meerdere momenten zijn waarop de opdrachtgever en de leverancier samen controleren of aan de opgelegde veiligheidseisen is voldaan (onder meer via “code reviews”). Volgens de Kiesraad kon in de verklaring van Smartlab niet worden gelezen dat op deze manier is ontwikkeld. Uit de verklaring volgt slechts dat er sprake is van een bestaand veiligheidsconcept dat was ontwikkeld, wat vervolgens met de firma Smartlab is geactualiseerd, aldus de Kiesraad.” Gelet op het bepaalde in het selectiedocument kan volgens de Voorzieningenrechter niet als juist worden aanvaard dat de Kiesraad bij Regio iT of bij de referenten navraag had moeten doen om te verifiëren of bij het ontwikkelproces SSD principes zijn toegepast. Het gelijkheidsbeginsel staat daaraan in de weg. Hetzelfde geldt voor de door Regio iT in het geding gebrachte aanvullende referentieverklaringen. Commentaar Twee recente vonnissen van Voorzieningenrechter van de Rechtbank Midden-Nederland[1] en de Rechtbank Limburg[2], waarin te formeel handelende aanbestedende diensten werden teruggefloten, krijgen van de Voorzieningenrechter van de Rechtbank Den Haag geen opvolging. De tekst van de aanbestedingsdocumenten, in dit geval het selectiedocument, wordt tot uitgangspunt genomen en daaruit blijkt dat het voldoen aan de kerncompetenties moet blijken uit de tijdig ingediende referentieverklaringen, op straffe van ongeldigverklaring. Het kan dus best zo zijn dat Regio iT aan de kerncompetenties voldoet – het lijkt er na lezing van het vonnis en de tevergeefs ingediende aanvullende referentieverklaringen wel op – maar dat mag niet meer baten. Mijns inziens heeft de expliciete sanctie van ongeldigverklaring Regio iT de das omgedaan. Zie ook mijn eerdere commentaar op het hiervoor aangehaalde vonnis van de Voorzieningenrechter van de Rechtbank Midden-Nederland.   [1] Rechtbank Midden-Nederland 10 februari 2021, ECLI:NL:RBMNE:2021:504. [2] Rechtbank Limburg 25 mei 2021, ECLI:NL:RBLIM:2021:4312.