De rechter heeft twee gunningen voor mega-softwareaanbestedingen bij het Rijk verboden. Het betreft in beide gevallen percelen voor de levering van standaardprogrammatuur en dienstverlening van niet-Microsoft-software en gerelateerde opensourcetoepassingen. Inschrijver SoftwareOne maakte bewaar tegen de AVG-voorwaarden, stapte naar de rechtbank en kreeg gelijk.
Het betreft de Europese softwareaanbestedingen voor de centrale overheid en een aantal bestuursorganen (EAP2024) en Defensie (EAP2024 MinDef). Beide tenders bestaan uit twee percelen: de levering van standaardprogrammatuur en dienstverlening van Microsoft en gerelateerde opensourcetoepassingen én die van overige standaardprogrammatuur, dienstverlening en gerelateerde opensourcetoepassingen. Het gaat om overeenkomsten die in de miljoenen euro kunnen lopen. Coördinator van deze inkoopprocedures is het Dienstencentrum Inkoopuitvoeringscentrum van het ministerie van Justitie & Veiligheid (J&V).
Klachten SoftwareOne
Bij beide aanbestedingen wonnen Computacenter, Dustin en Protinus IT het tweede perceel (‘niet-Microsoft’). De vierde inschrijver, SoftwareOne, viste twee keer achter het net en verloor in beide tenders op prijs. De licentiespecialist had gedurende de procedure al wel geklaagd over de bestekvoorwaarden ten aanzien van het toepassen van de privacywet AVG. Daarbij moest de wederverkoper verwerkingsovereenkomsten sluiten met de deelnemers aan de tenders voor de geleverde softwareproducten waarin persoonsgegevens worden verwerkt. De reseller zou daarbij dan onbeperkt aansprakelijk zijn voor eventuele schendingen van de AVG in die software terwijl die geen toegang heeft tot de persoonsgegevens van een deelnemer en deze ook niet verwerkt.
SoftwareOne vroeg aan Dienstencentrum Inkoopuitvoeringscentrum van J&V om deze voorwaarden te nuanceren, kreeg nul op het rekest, dienden daarna tot twee keer toe een officiële klacht in, waar ook niet naar werd geluisterd, en stapte uiteindelijk naar de rechter. Die oordeelde dat de voorwaarden disproportioneel zijn en verbood beide gunningen.
J&V gaat niet in hoger beroep, laat een woordvoerster weten. Er volgt een her-aanbesteding, al is de publicatiedatum nog onduidelijk. Verder onderzoekt het ministerie of en in hoeverre de uitspraak voor perceel 2 ook gevolgen heeft voor perceel 1 in de EAP2024- en EAP2024 MinDef-tenders. Wie daar de (voorlopige) winnaars zijn, wil het ministerie niet aangeven vanwege de op handen zijn her-aanbesteding.
“De reseller zou daarbij dan onbeperkt aansprakelijk zijn voor eventuele schendingen van de AVG in die software terwijl die geen toegang heeft tot de persoonsgegevens van een deelnemer en deze ook niet verwerkt.”
zo, das geregeld 😛
Past een beetje in de deze tijd..
Als de wederverkoper geen controle of invloed heeft op hoe de deelnemer gebruik maakt van haar gebruiksrecht middels verkochte licenties en hoe de persoonsgegevens bij de leverancier worden verwerkt dan kan de staat beter rechtstreeks inkopen zonder de tussenkomst van een wederverkoper die wel de lusten maar niet de lasten wil. In deze tijd van de cloud is er een verschuiving in licenties door van bezit naar gemeten gebruik te gaan met een telemetrie optie. Strategische Leveranciers Management van de Staat heeft zich meermaals uitgesproken over doorgifte van data en tot op heden zijn nog niet alle bezwaren weggenomen. Deze gelden ook voor niet-Microsoft licenties waarbij de wederverkopers toegang hebben tot deze gebruiksdata welke we niet moeten verwarren met de gebruikersdata zelf.
De wederverkoper verkrijgt dus feitelijk toegang en kan controle uitoefenen op de verwerking van de persoonsgegevens als deze niet geanonimiseerd zijn.