Beschikken over een ISO 27001 certificaat

Als je op de website van Stichting Koninklijk Nederlands Normalisatie Instituut (nen.nl) onder meer dit leest:

https://www.nen.nl/ict/digitale-ehtiek-en-veiligheid/cyber-privacy/informatiebeveiliging

“ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe u procesmatig met het beveiligen van informatie kunt omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen uw organisatie zeker te stellen. Denk hierbij aan het beschermen van persoons- en/of bedrijfsgegevens, bescherming tegen hackers en inbraak. Met een ISO 27001 certificering laat u zien dat u voldoet aan alle eisen rondom informatiebeveiliging. […]”

“ISO 27001 en ISO 27002 zijn nuttig voor alle organisatie die willen aantonen dat zij een set van maatregelen, processen en procedures hanteren om aan stakeholders (klanten, leveranciers, belangenverenigingen, brancheorganisatie, enz.) te laten zien dat zij serieus met informatiebeveiliging omgaan. Dit kunnen ICT-bedrijven zijn, maar ook banken, verzekeraars, overheid, zorginstellingen en andere bedrijven die met vertrouwelijke informatie omgaan, bewerken of opslaan.”

“Het ISO 27001 certificaat geeft uw klanten zekerheid dat u belang hecht aan privacy en zorgvuldig met persoonlijke gegevens omspringt. […]”

Dan kan ik mij in het voorkomend geval de algemene geschiktheidseis ‘inschrijver dient te beschikken over een ISO 27001 certificaat’ zonder nadere scope (‘reikwijdte’) in een aanbestedingsprocedure voorstellen.

En dan kan ik mij ook voorstellen, dat eiseres MOD een kort geding aanhangig heeft gemaakt in de zaak die heeft geleid tot Rechtbank Overijssel 27 november 2023, ECLI:NL:RBOVE:2023:4802 (hieronder zonder voetnoten):

https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBOVE:2023:4802

4.15.       Het betoog van MOD dat [partij] niet aan de ISO 27001-certificeringseis voldoet, omdat zij een beroep doet op het ISO 27001-certificaat van een onderaannemer dat niet aansluit bij de Opdracht, althans slechts ziet op een klein onderdeel van de Opdracht, slaagt naar het oordeel van de voorzieningenrechter niet. Daarvoor is redengevend dat het tot de discretionaire bevoegdheid van de aanbestedende dienst behoort om de aanbesteding vorm te geven binnen de aanbestedingsrechtelijke kaders. Door Rova zijn in de Aanbestedingsleidraad geen specifieke eisen aan de reikwijdte (“scope”) van het ISO 27001-certificaat gesteld. Rova heeft alleen als eis gesteld dat een inschrijver (al dan niet door een beroep te doen op een derde) moet beschikken over een ISO 27001 of ISO 27002-certificaat (of gelijkwaardig). Een verdere “scope” of specificering is niet opgenomen in de aanbestedingsstukken en kan er naar het oordeel van de voorzieningenrechter ook niet in worden gelezen. Uit het voorgaande volgt (ook) dat de door MOD ingenomen conclusie dat het gezien de aard van de Opdracht en de aard van het ISO-certificaat geen twijfel lijdt dat de volledige Opdracht door een gecertificeerde opdrachtnemer moet worden uitgevoerd, een conclusie is die naar het oordeel van de voorzieningenrechter niet kan worden getrokken. De verwijzing naar het vonnis van rechtbank ’s-Gravenhage van 25 september 2009 kan MOD in dit verband niet baten. In rechtsoverweging 3.3. wordt immers overwogen dat uit paragraaf 3.1 van het bij die aanbesteding behorend beschrijvend document kan worden afgeleid dat “de betreffende onderaannemer alle bedrijfsprocessen voor zijn rekening neemt”. Dit duidt erop dat er in die aanbesteding, in tegenstelling tot onderhavige aanbesteding, wel specifieke eisen zijn gesteld. Het beroep op het arrest van het Hof van Justitie van 7 april 2016 slaagt naar het oordeel van de voorzieningenrechter evenmin, nu, met inachtneming van hetgeen is overwogen onder 4.14 voldoende aannemelijk is dat de onderaannemer de werkzaamheden verricht waarop het ISO 27001-certificaat van deze onderaannemer betrekking heeft. De onderaannemer neemt dus deel aan de uitvoering van de Opdracht. Dat de onderaannemer slechts een gedeelte van de Opdracht uitvoert, doet aan het voorgaande niet af.

4.16.       Naar het oordeel van de voorzieningenrechter hadden alle inschrijvers, en dus ook MOD, redelijkerwijs behoren te begrijpen dat in de onderhavige aanbesteding wat betreft de certificeringseis ISO 27001 geen specifieke eisen worden gesteld. Indien zou moeten worden aangenomen dat (de reikwijdte van) de ISO 27001-certificeringseis voor MOD onduidelijk was, dan had het op haar weg gelegen om daarover tijdig vragen te stellen. Dit heeft zij nagelaten en komt voor haar rekening en risico.

Als in kwestie het bepaalde in (navolgend) artikel 2.94 lid 1 Aanbestedingswet 2012 al relevant zou zijn:

“Een ondernemer kan zich voor een bepaalde overheidsopdracht beroepen op de technische bekwaamheid en beroepsbekwaamheid van andere natuurlijke personen of rechtspersonen, ongeacht de juridische aard van zijn banden met die natuurlijke personen of rechtspersonen, mits hij aantoont dat hij kan beschikken over de voor de uitvoering van de overheidsopdracht noodzakelijke middelen.”

Dan spoort die rechtsregel namelijk niet met doel en strekking van een ISO 27001-certificering volgens Stichting Koninklijk Nederlands Normalisatie Instituut (nen.nl) voornoemd, wanneer de betreffende derde (onderaannemer) niet voor de gehele opdracht wordt ingeschakeld.

‘Als het bepaalde in artikel 2.94 lid 1 Aanbestedingswet 2012 al relevant zou zijn’?

Ja, inderdaad.

Want artikel 63 lid 1 Richtlijn 2014/24/EU luidt (slechts) als volgt:

“Met betrekking tot de in artikel 58, lid 3, bedoelde criteria inzake economische en financiële draagkracht en de in artikel 58, lid 4, bedoelde criteria inzake technische bekwaamheid en beroepsbekwaamheid kan een ondernemer zich, in voorkomend geval en voor een bepaalde opdracht, beroepen op de draagkracht van andere entiteiten, ongeacht de juridische aard van zijn banden met die entiteiten. Wat betreft de criteria inzake de onderwijs- en beroepskwalificaties in bijlage XII, deel II, onder f), of inzake de relevante beroepservaring, mogen ondernemers zich evenwel slechts beroepen op de draagkracht van andere entiteiten wanneer laatstgenoemde de werken of diensten waarvoor die draagkracht vereist is, zal verrichten. Wanneer een ondernemer zich op de draagkracht van andere entiteiten wil beroepen, toont hij ten behoeve van de aanbestedende dienst aan dat hij zal kunnen beschikken over de nodige middelen, bijvoorbeeld door overlegging van een verbintenis daartoe van deze andere entiteiten.”

En in artikel 58 lid 4 Richtlijn 2014/24/EU wordt geen melding gemaakt van ‘kwaliteitsnormen’ en ‘normen inzake milieubeheer’ die (juist) in artikel 62 Richtlijn 2014/24/EU en in de artikelen 2.96 en 2.97 Aanbestedingswet 2012 worden genoemd.

Artikel 2.94 lid 1 Aanbestedingswet 2012 noemt ook slechts ‘de technische bekwaamheid en beroepsbekwaamheid’. En artikel 2.92 lid 1 Aanbestedingswet 2012 ‘de financiële en economische draagkracht’. En dus niet ‘kwaliteitsnormen’ en/of ‘normen inzake milieubeheer’.

Het is dan ook maar de vraag, of de voorzieningenrechter in het vonnis een juist uitgangspunt hanteert met:

4.11.       Het uitgangspunt bij (Europese openbare) aanbestedingen is dat inschrijvers een beroep mogen doen op onderaannemers om te kunnen voldoen aan de geschiktheidseisen. Dat betekent dat inschrijvers niet per definitie zelf aan alle geschiktheidseisen hoeven te voldoen, zij mogen daarbij hulp van een derde inschakelen.

Maar goed, natuurlijk zijn praktisch en feitelijk ook de aanbestedingsstukken relevant:

4.13.       In het onderhavige geval heeft Rova wat betreft de informatiebeveiliging ter zake perceel 2 gevraagd om een ISO 27001-certificaat (of gelijkwaardig). Tussen partijen is niet in geschil dat dit een geschiktheidseis is. Op grond van hoofdstuk IV onder E van de Aanbestedingsleidraad is het mogelijk om ten aanzien van een geschiktheidseis een beroep te doen op de derde. Dat heeft [partij] gedaan. Zij doet namelijk een beroep het ISO 27001-certificaat van een door haar ingeschakelde onderaannemer.

Toch houd ik het gevoel van een omgekeerde wereld.

Gelet op Stichting Koninklijk Nederlands Normalisatie Instituut (nen.nl) zou ik namelijk juist zeggen, dat in het geval er geen nadere beperking van de scope van het ISO 27001 certificaat in de aanbestedingsstukken is gegeven, de (volledige) scope van het in de aanbestedingsstukken geëiste ISO 27001 certificaat betrekking heeft op de inschrijver ter zake alle diensten/oplossingen/systemen die verband houden met de uitvoering van de (gehele) opdracht.