033 200 30 83
Het proportionaliteitsbeginsel en verwerkersovereenkomsten bij aanbestedingen
De rechtbank Den Haag buigt zich in het vonnis tussen SoftwareOne B.V. tegen De Staat der Nederlanden over de risicoverdeling in het kader van een verwerkersovereenkomst voor inschrijvers bij een aanbestedingsprocedure.
Feiten
In april 2024 heeft de Nederlandsche staat twee verschillende Europese openbare aanbestedingsprocedures opgestart ten behoeve van het ministerie van defensie en ten behoeve van de Nederlandse staat en een aantal zelfstandige bestuursorganen omtrent de ‘levering van standaardprogrammatuur en de daaraan gerelateerde dienstverlening’. Het gunningscriterium betreft de economisch meest voordelige inschrijving, beoordeeld op basis van de beste prijs-kwaliteitverhouding. Beide aanbestedingsprocedures zijn onderverdeeld in twee percelen. De Staat beoogt per perceel één of meerdere Raamovereenkomsten aan te gaan voor de levering van de voor het desbetreffende Perceel gewenste standaardapparatuur en dienstverlening. De procedures in kwestie betreffen beiden perceel 2, dat betrekking heeft op de levering van software en bijbehorende diensten van vendors (producenten en/of fabrikanten van standaardapparatuur) anders dan Microsoft. Voor dit perceel zal de Staat de opdracht aan maximaal drie opdrachtnemers gunnen en met hen een raamovereenkomsten sluiten. Voor concrete opdrachten wordt vervolgens per uitvraag een minicompetitie gehouden tussen de drie geselecteerde opdrachtnemers. De aanbesteding is gericht op resellers/wederverkopers van software en de bijbehorende vendor-diensten.
Eiser in kwestie is zo’n software reseller, ‘SoftwareOne B.V.’, die zich voor beide aanbestedingsprocedure heeft ingeschreven, en vervolgens tevens in beide aanbestedingen een klacht heeft ingediend bij het Klachtenmeldpunt JenV. Hierbij heeft SoftwareOne onder meer geklaagd over de verplichting om met vendoren een verwerkingsovereenkomst te sluiten die volgens klager disproportioneel is en dat de aansprakelijkheid die voortvloeit uit de verwerkingsovereenkomsten in dit specifieke geval onvoldoende beperkt is. Bij klachtadviezen van 21 juni 2024 en 20 augustus 2024 heeft het Klachtenmeldpunt JenV de klachten van SoftwareOne ongegrond verklaard.
Bij brief op 10 oktober 2024 heeft de Staat medegedeeld aan SoftwareOne dat zij in beide aanbestedingsprocedures de opdracht gunt aan drie concurrenten en dat SoftwareOne als vierde is geëindigd.
SoftwareOne daagt de staat voor de Haagse rechtbank en stelt dat de eis dat de reseller een verwerkingsovereenkomst moet afsluiten met de deelnemer disproportioneel is, wanneer de vendor diegene is die de persoonsgegevens verwerkt bij het gebruik van software door de deelnemer en niet de reseller. Ook is volgens SoftwareOne de voorwaarde dat de reseller onbeperkte aansprakelijkheid moet aanvaarden voor schending van wet- en regelgeving op het gebied van privacy en gegevensbescherming door de vendor of handelen in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke door de vendor disproportioneel. Hierom zouden de gunningsbeslissingen van de Staat niet in stand kunnen blijven.
Beoordeling van de Haagse voorzieningenrechter
De aanbestedingen die door zowel het Ministerie van Defensie almede door de Nederlandse Staat zijn gedaan worden primair beheerst door de Aanbestedingswet 2012 (Aw), de Gids Proportionaliteit en de fundamentele beginselen van aanbestedingsrecht. Het enkele feit dat iemand op vrijwillige basis zich hierop kan inschrijven, doet daarbij niet af aan het voldoen aan deze geldende regels.
Het proportionaliteitsbeginsel, dat in casus centraal staat, dient door de aanbestedende dienst voorafgaand bij de voorbereiding van de opdracht in acht te worden genomen op grond van artikel 1.10 lid 1 Aw en is nader uitgewerkt in de Gids Proportionaliteit. Het proportionaliteitsbeginsel vereist dat eisen, selectie- en gunningscriteria in redelijke verhouding staan tot het doel van de opdracht. De aanbestedende dienst moet aantonen dat aan dit beginsel is voldaan. Hiermee wordt voorkomen dat onnodig hoge eisen bepaalde ondernemers uitsluiten en hiermee wordt gepoogd dat concurrentie wordt bevorderd.
Partijen zijn het erover eens dat het proportionaliteitsbeginsel van toepassing is op de risicoverdeling en partijen zijn het erover eens dat de reseller in deze casus kwalificeert als een verwerker in de zin van artikel 28 AVG. De aanbestedende dienst is daarom verplicht een verwerkingsovereenkomst met de deelnemer te sluiten en aanvaardt daarmee onbeperkte aansprakelijkheid voor eventuele schendingen van de AVG bij de verwerking van persoonsgegevens. De kern van het geschil in beide zaken is daarom of deze risicoverdeling binnen de aanbestedingen proportioneel is.
De rechter in Den Haag stelt SoftwareOne daarin in het gelijk en beslist dat er voldoende grond bestaat om aan te nemen dat de reseller het risico van niet-naleving van de verwerkersovereenkomst niet of nauwelijks kan beheersen, wanneer de reseller geen toegang heeft tot de persoonsgegevens en de vendor namens de deelnemer persoonsgegevens verwerkt. SoftwareOne heeft in voldoende mate gesteld dat de reseller geen controle of invloed heeft op hoe de deelnemer gebruik maakt van haar gebruiksrecht en hoe de persoonsgegevens bij de vendor worden verwerkt, en dus ook niet op het naleven van de verwerkersovereenkomst. Er is naar voorlopig oordeel van de rechter niet gebleken dat de reseller alsnog feitelijk toegang verkrijgt tot, en controle kan uitoefenen op, de verwerking van de persoonsgegevens door de vendor.
Voorschrift 3.9A Gids Proportionaliteit bepaalt immers dat het risico bij de partij moet liggen die dit het beste kan beheersen. Aangezien het hier gaat om verwerking van persoonsgegevens van de Staat, waarbij de reseller geen toegang heeft en de persoonsgegevens uitsluitend door de vendor worden verwerkt, dient de Staat te worden aangemerkt als de partij die het risico het beste kan beheersen. De voorzieningenrechter benadrukt dan ook dat de Staat zonder deugdelijke motivering afwijkt van voorschrift 3.9D van de Gids Proportionaliteit, door het feit dat de reseller onbeperkt aansprakelijk is voor schendingen inzake persoonsgegevens en het risico voor dergelijke schendingen door de reseller niet of nauwelijks is te beheersen. Eventuele verweren van de Staat doen hieraan niet af. De Haagse rechter stelt daarom in diens slotsom dat:
“(…) de voorwaarden dat de reseller een verwerkingsovereenkomst moet sluiten met de deelnemer en de voorwaarde dat de reseller onbeperkt aansprakelijk is voor schendingen van de AVG, indien hij producten levert waarbij persoonsgegevens worden verwerkt die afkomstig zijn van een deelnemer en de reseller zelf geen toegang heeft tot de persoonsgegevens en deze niet verwerkt, disproportioneel is(…)”