ECLI:NL:RBDHA:2025:22156 - Rechtbank Den Haag - Onterechte terzijdelegging inschrijving bij aanbesteding ...

Uitspraak

RECHTBANK Den Haag

Team handel-voorzieningenrechter

zaak- / rolnummer: C/09/691278 KG ZA 25-892

Vonnis in kort geding van 20 november 2025

in de zaak van

1.NEDVAN MOBILITY SOLUTIONS B.V. te Alphen aan den Rijn,

2. SIRVA B.V.te Rotterdam,

3. AGS GLOBAL SOLUTIONS - NETHERLANDS B.Vte Den Helder,

4. GOSSELIN GROUPte Antwerpen (België),

eisers,

advocaten: mrs. J.F. van Nouhuys en E.S.C. van der Hoek te Rotterdam,

tegen:

DE STAAT DER NEDERLANDEN (MINISTERIE VAN FINANCIËN, DIRECTORAAT-GENERAAL BELASTINGDIENST)te Den Haag,

gedaagde,

advocaten: mrs. J.E. Palm en A.P.M. Waaijer te Den Haag,

waarin is tussengekomen:

HARMONY RELOCATIONS B.V.te Amsterdam,

advocaat: mrs. P.J.S. de Jong-van den Bogaard en A. de Wijs te Amsterdam.

Eisers worden hierna gezamenlijk aangeduid als ‘Combinatie Nedvan’, gedaagde als ‘de Staat’ en de tussengekomen partij als ‘Harmony’.

1.De procedure

1.1.

Het verloop van de procedure blijkt uit:

- de dagvaarding van 12 september 2025;

- de akte overlegging producties van Combinatie Nedvan, met producties 1 tot en met 21;

- de incidentele conclusie tot tussenkomst subsidiair voeging van Harmony;

- de conclusie van antwoord van de Staat, met producties 1 tot en met 4B;

- de akte overlegging producties van Combinatie Nedvan, met producties 22 tot en met 25;

- de op 28 oktober 2025 gehouden mondelinge behandeling, waarbij de advocaten van partijen de zaak aan de hand van pleitnota’s hebben toegelicht.

1.2.

Vonnis is vervolgens bepaald op heden.

2.Het incident tot tussenkomst, subsidiair voeging

2.1.

Harmony heeft (primair) gevorderd te mogen tussenkomen in de procedure tussen Combinatie Nedvan en de Staat. Combinatie Nedvan en de Staat hebben ter zitting verklaard geen bezwaar te hebben tegen de tussenkomst van Harmony. Harmony is vervolgens toegelaten als tussenkomende partij, aangezien zij aannemelijk heeft gemaakt dat zij daarbij voldoende belang heeft. In een eerdere kortgedingprocedure tussen partijen over deze aanbesteding was zij de eisende partij. Verder is niet gebleken dat de tussenkomst aan een voortvarende afdoening van dit kort geding in de weg staat. Hierdoor ontstaat er ook geen strijd met de goede procesorde in het algemeen.

3.De feiten

3.1.

De Staat heeft een Europese aanbestedingsprocedure gehouden voor de opdracht ‘Internationale (boedel)verhuisdiensten voor personeel’ (hierna: de Opdracht).

Gunningscriterium is de “economisch meest voordelige inschrijving gehanteerd op basis van de beste prijs kwaliteitverhouding”. Op de aanbesteding is van toepassing de Aanbestedingswet 2012.

3.2.

De aanbesteding bestaat uit twee percelen, te weten Perceel 1 “Defensie” en Perceel 2 “Shared Service Organisatie Werken voor Nederland WereldWijd (SSO 3W), Politie en de Shared Service Organisatie Caribisch Nederland (SSO CN)”.

3.3.

Het beoogde resultaat van de aanbesteding is het sluiten van een raamovereenkomst met één dienstverlener per Perceel (hierna: Raamovereenkomst) voor de duur van 5 jaar en 3 maanden. De Raamovereenkomst heeft een maximale omvang van 6500 verhuizingen en 5000 m3 gelijktijdige langdurige opslag. De beoogde ingangsdatum van de raamovereenkomst(en) was 1 april 2025. )

3.4.

De Opdracht is omschreven in het Beschrijvend Document van 23 december 2024 (hierna: het Beschrijvend Document), met zes bijlagen.

3.5.

Twee partijen hebben een inschrijving gedaan, Combinatie Nedvan en Harmony. Bij brief van 17 maart 2025 heeft de Staat Combinatie Nedvan meegedeeld dat hij voornemens was de opdracht op percelen 1 en 2 aan Combinatie Nedvan te gunnen.

3.6.

De inschrijving van Harmony is door de Staat terzijde gelegd. In het daartegen door Harmony bij deze rechtbank aanhangig gemaakte kort geding zijn haar vorderingen afgewezen (zie voorzieningenrechter rechtbank Den Haag, 16 juni 2025, ECLI:NL:RBDHA:2025:11342).

3.7.

Bij zijn mededeling van de gunningsbeslissing heeft de Staat Combinatie Nedvan verzocht ter verificatie een aantal bewijsmiddelen over te leggen waaruit blijkt dat zij voldoet aan de in het Beschrijvend Document gestelde geschiktheidseisen. Daarbij is tevens vermeld dat als Combinatie Nedvan de genoemde bewijsmiddelen niet aanlevert of uit de verificatie blijkt dat Combinatie Nedvan niet aan de gestelde inschrijfeisen voldoet, de inschrijving niet meer voor gunning in aanmerking komt. Naast een negental documenten die moesten worden ingevuld en bijgevoegd bij verificatie, diende Combinatie Nedvan het volgende aan te leveren:

Invullen en bijvoegen voor start Raamovereenkomst

Kopie certificaat ISO 27001of gelijkwaardig of beschrijving gelijkwaardige maatregelen. Dit dient

aangeleverd te worden voor degene(n) die daadwerkelijk de werkzaamheden verricht(en) bij de uitvoering van de Raamovereenkomst.

-indien nog niet verstrekt bij verificatie –

Kopie verzekeringspolis conform UE A29 (perceel 1) en UE B60 (perceel 2) in Bijlage 1 Specificatie van de Opdracht

3.8.

Combinatie Nedvan heeft vervolgens -naast andere bescheiden- overgelegd:

- een ISO 27001:2022 certificaat van Gosselin Group;

- een ISO 27001:2013 certificaat van Sirva B.V.;

- een ISO 27001:2013 certificaat van Odin Groep B.V.

3.9.

Bij bericht van 27 maart 2025 heeft de Staat Combinatie Nedvan onder meer bericht nog stukken te missen, waaronder een ISO 27001 certificaat van Nedvan Mobility Solutions B.V. (hierna: Nedvan).

3.10.

Combinatie Nedvan heeft de Staat diezelfde dag daarop onder meer het volgende geantwoord : “(…) - ISO27001 Nedvan (onze administratie draait via AGS en PMS/NMS draait via Sirva en die zijn beiden aanwezig) (…) ”.

3.11.

De Staat heeft op 26 juni 2025 Combinatie Nedvan als volgt bericht:

“Verificatievraag 5 voor perceel 1 en 2: paragraaf 4.4.7 van het Beschrijvend document – ISO 27001:2022

13 Bij bericht van 27 maart 2025 heeft de Staat opgemerkt dat u nog niet heeft aangetoond aan paragraaf 4.4.7 van het Beschrijvend document te voldoen. Daarop heeft u bij bericht van 27 maart 2025 aangegeven dat uw administratie via AGS Global Solutions-Netherlands B.V. draait en uw PMS/NMS via Sirva B.V., alsook dat beide partijen “aanwezig” zijn.

14 Wat betreft de Staat volstaat uw reactie niet. Waar u in uw reactie lijkt te suggereren dat u niet hoeft aan te tonen aan paragraaf 4.4.7 te voldoen omdat uw combinanten AGS Global Solutions-Netherlands B.V. en Sirva B.V. reeds over het vereiste certificaat zouden beschikken, miskent u immers dat conform paragrafen 4.4.7 en 4.1 “Overzicht van bewijsstukken inzake de uitsluitingsgronden en geschiktheidseisen” van het Beschrijvend document degene die daadwerkelijk de werkzaamheden verricht bij de uitvoering van de Raamovereenkomst een ISO 27001:2022 certificaat dient over te leggen. Dat geldt derhalve ook voor u als penvoerder. Nota bene: ISO 27001:2022 is de meest recente ISO 27001 zoals vereist conform paragraaf 4.4.7 van het Beschrijvend document.

15 Bovendien merkt de Staat op dat u geen ISO 27001:2022 certificaat van AGS Global Solutions-Netherlands B.V. heeft overgelegd doch een ISO 27001:2013 certificaat van Odin Groep B.V. Dat volstaat evenmin.

16 Voorts geldt dat het door u overgelegde certificaat van Sirva B.V. een ISO 27001:2013 certificaat betreft. Ook dat volstaat niet.

17 Kunt u conform paragraaf 4.4.7 van het Beschrijvend document alsnog een geldig ISO 27001:2022 certificaat overleggen van AGS Global Solutions-Netherlands B.V.,Sirva B.V. en uzelf [Nedvan]?”

3.12.

Paragraaf 4.4.7. van het Beschrijvend Document “Kwaliteitszorgsysteem ISO 27001” luidt als volgt:

“Met het doen van een inschrijving verklaart Inschrijver dat degene die daadwerkelijk de werkzaamheden verricht (dit kan de Inschrijver zelf zijn en/of zijn of een andere entiteit) met zijn systeem van kwaliteitsborging voor de start van de looptijd van de Raamovereenkomst voldoet aan het gestelde in de meest recente ISO 27001 of een gelijkwaardig certificaat van in andere lidstaten van de Europese Unie gevestigde instanties.

Indien een Inschrijver voor gunning in aanmerking komt, dient de Inschrijver bij voorkeur bij verificatie – maar uiterlijk voor start van de looptijd van de Raamovereenkomst, na schriftelijk verzoek daartoe door Aanbestedende dienst, ten bewijze van het voldoen aan het gestelde een kopie van een geldig ISO 27001 certificaat te overleggen of een kopie van een gelijkwaardig certificaat.

Indien inschrijver niet bij inschrijving beschikt over het hierboven bedoelde (gelijkwaardige) certificaat, dient Inschrijver dit bij Inschrijving (vormvrij) te melden. Inschrijver dient in dat geval voor start van de looptijd van de Raamovereenkomst een kopie van een geldig ISO 27001 certificaat of een kopie van een gelijkwaardig certificaat te overleggen óf gelijkwaardige maatregelen te hebben getroffen en toegepast. Als Inschrijver hier niet aan voldoet, wordt hij geacht niet te voldoen aan de geschiktheidseisen. Opdrachtgever zal de Raamovereenkomst in dat geval ontbinden (zie art. 7.2 onder f Raamovereenkomst) en een nieuwe Raamovereenkomst sluiten met de Wachtkamerpartij.

3.13.

Op 4 juli 2025 heeft Combinatie Nedvan de Staat als volgt bericht:

“(…) 4) ISO 27001-certificering (…).

In reactie op uw vragen omtrent de ISO 27001-certificering, informeren wij u graag als volgt. In ons bericht van 27 maart 2025 hebben wij inderdaad aangegeven dat onze administratie via AGS Global Solutions-Netherlands B.V. verloopt, en de PMS/NMS via Sirva B.V. Sirva B.V. heeft het ISO-certificaat. AGS Global Solutions-Netherlands B.V. heeft haar administratieve afhandeling op haar beurt uitbesteed aan Odin Groep B.V. Daar vindt de gegevensverwerking feitelijk plaats en daar moet ook het ISO- certificaat zijn verleend, hetgeen het geval is.

Ook hebben wij aangegeven dat alle combinanten per saldo deze twee systemen gebruiken voor de gegevensverwerking, op grond waarvan wij ervan uitgingen dat daarmee voldoende is aangetoond dat ook de overige combinanten aan de informatieverwerkingsvereisten voldoen.

Daarbij hebben wij echter over het hoofd gezien dat u vraagt om een externe audit als voorwaarde voor het aantonen van gelijkwaardigheid. Een dergelijke audit heeft tot op heden niet plaatsgevonden bij Nedvan Mobility Solutions B.V., waardoor onze eerdere beantwoording op dit punt niet precies genoeg is. Feit is dat de combinanten in de praktijk al jarenlang op identieke wijze werken, waardoor materiaal aan de eisen van gelijkwaardigheid wordt voldaan. Wij onderkennen echter dat dit formeel gezien nu niet volstaat.

Binnen de combinatie zal worden gewaarborgd dat alle activiteiten, en met name de gegevensverwerking en bescherming, zullen vallen onder de ISO-certificaten van Sirva B.V. en Odin Groep B.V. Zolang Sirva B.V. de gegevensverwerking voor haar rekening neemt en de andere combinanten mensen en middelen ter beschikking stellen aan Sirva B.V. en onder de instructies van Sirva B.V. werken, vallen activiteiten waarvoor informatiebeveiliging geldt onder de verantwoordelijkheid van Sirva B.V. en haar ISO-certificaat.

Bij de laatste audit voor de ISO-certificering van Sirva B.V. is overigens ook getoetst aan de meest recente ISO 27001:2022-standaard. De vorige certificering betrof de versie uit 2013, waarvoor een overgangsperiode van kracht is tot 31 oktober 2025. Uit het auditrapport d.d. 26 augustus 2024 en het certificaat blijkt dat, ofschoon een heel nieuw certificaat pas einde dit jaar zal worden verleend, in de tussentijd aan de thans meest recente standaard is getoetst en eraan wordt voldaan. Momenteel bevindt Sirva B.V. zich in het proces van de afgifte van het nieuwe, driejaarlijkse certificaat dat wederom op dezelfde, nieuwste norm zal zijn gebaseerd als waarop is getoetst in 2022.

Indien de medewerkers en middelen van andere combinanten worden ingezet, geschiedt dit voorlopig altijd onder het operationeel beheer van Sirva B.V. en binnen het ISO 27001-gecertificeerde proces. Voor wat betreft de administratieve afhandeling via AGS Global Solutions-Netherlands B.V., geldt dat het is uitbesteed aan Odin Groep B.V., welke eveneens ISO-gecertificeerd is. Op deze manier achten wij de volledige informatieketen adequaat afgedekt.

Ter onderbouwing van voornoemde toelichting, leggen wij de volgende documenten over:

-Bijlage 7: ISO 27001-certificaat Sirva B.V.;

-Bijlage 8: ISO 27001-certifcaat Odin Groep B.V.; en

-Bijlage 9: Dossier Afspraken en Procedures (DAP) tussen Previder (onderdeel van Odin Groep B.V., ISO 27001-gecertificeerd) en Noble Mobility (waaronder o.a. AGS Global Solutions-Netherlands B.V en Nedvan Mobility Solutions B.V. geregistreerd staan).

Wat betreft het penvoerderschap van Nedvan Mobility Solutions B.V. geldt, wat ons betreft, dat dit uitsluitend speelde gedurende de aanbestedingsfase. Tijdens de uitvoering van de opdracht is de rol van de penvoerder beperkt, aangezien vrijwel alle relevante informatieverwerking en administratieve afhandeling plaatsvindt bij Sirva B.V. en onder het ISO-certificaat van Sirva B.V. valt.

(…)
Ten slotte willen wij er geen misverstand over laten bestaan dat, omdat alle combinanten feitelijk op dezelfde wijze werken, we dat op korte termijn ook gecertificeerd willen hebben. Dan is het niet meer nodig alle gegevens verwerking onder verantwoordelijkheid van Sirva B.V. te laten plaatsvinden en worden we binnen de combinatie flexibeler. Die kosten wilden we echter pas gaan maken nadat zeker was dat we de opdracht gewonnen hadden.”

3.14.

De Staat heeft Combinatie Nedvan op 22 juli 2025 bericht de gunningsbeslissing met betrekking tot de Percelen 1 en 2 in te trekken en de inschrijvingen van Combinatie Nedvan terzijde te leggen en deze beslissing op een later moment te motiveren.

3.15.

Bij brief van 8 augustus 2025 heeft de Staat als reden voor de intrekking van de gunningsbeslissing en de terzijdelegging van de inschrijvingen van Combinatie Nedvan gegeven dat zij niet voldoet aan paragraaf 4.4.7 van het Beschrijvend Document, de geschiktheidseis ISO 27001:2022. De Staat schrijft hierover het volgende:

- AGS Global Solutions-Netherlands B.V. en Nedvan hebben geen ISO 27001 certificaat en het certificaat van Sirva B.V. is een ISO 27001:2013-certificaat;

- het niet beschikken over het ISO 27001 certificaat had bovendien gemeld moeten worden, maar dat is niet gebeurd;

- Odin Groep B.V. is in de inschrijving van Combinatie Nedvan niet genoemd maar pas voor het eerst bij verificatie geïntroduceerd, en beschikt ook alleen over een ISO 27001:2013 certificaat.

In de brief bericht de Staat verder dat, nu de inschrijvingen van beide partijen terzijde zijn gelegd, de Staat overgaat tot intrekking van de aanbesteding (Percelen 1 en 2), maar voornemens is zo spoedig mogelijk een nieuwe uitvraag te doen. Aan Combinatie Nedvan is daarbij een termijn gegeven tot en met 12 september 2025 om een kort geding aanhangig te maken indien zij zich niet kan verenigen met de intrekkingsbeslissingen en/of de motivering daarvan.

3.16.

AGS Global Solutions-Netherlands B.V. en Nedvan doorlopen momenteel een traject ter implementatie van ISO 27001:2022. Op 13 en 14 oktober 2025 heeft BDO een interne audit uitgevoerd en op 13, 25 en 26 november 2025 zal een externe audit worden uitgevoerd door Forvis Mazars. BDO heeft van haar audit een rapport opgemaakt op 23 oktober 2025. In de begeleidende brief van BDO staat als conclusie:

Het interne auditrapport ISO 27001:2022 bevat verscheidene bevindingen, waarvoor gerichte verbeterplannen zijn opgesteld om deze punten aan te pakken en toekomstige herhaling te voorkomen. In de afgelopen periode hebben AGS Global Solutions en Nedvan Mobility Solutions duidelijk laten zien dat de inrichting van een ISMS een hoge prioriteit heeft. Dit blijkt uit de zichtbare inzet van de directie, die zowel middelen als tijd beschikbaar stelt om het ISMS succesvol te implementeren. BDO verwacht dan ook dat de externe audit voor de ISO 27001:2022 succesvol zal worden doorlopen en dat het behalen van de ISO 27001:2022 certificering voor AGS Global Solutions en Nedvan Mobility Solutions zeer haalbaar is, mits geïdentificeerde afwijkingen in het interne auditrapport met passende tijdigheid en adequaat worden geïmplementeerd (…).”

De afwijkingen betreffen:

- Clausule 5.2 & 7.5, Annex A5.1 - Ontbrekende formele vaststelling en communicatie van ISMS- documentatie - niet-kritieke afwijking;

- Clausule 6.1 - Onjuiste beoordeling van toepasselijkheid van beheersmaatregel 8.30 in de VvT - niet- kritieke afwijking;

- Clausule 9.1 - Ontbrekende technische evaluatie binnen het ISMS - niet-kritieke afwijking;

- Annex A5.2 - Rollen en verantwoordelijkheden bij informatiebeveiliging - niet-kritieke afwijking;

- Annex A5.9 - Inventarisatie van informatie en bedrijfsmiddelen - niet-kritieke afwijking;

- Annex A5.12 & 5.13 - Classificatie en labelen van informatie - niet-kritieke afwijking;

- Annex A5.15 - Toegangsbeveiliging en wachtwoordbeheer - niet-kritieke afwijking;

- Annex A5.19 & A5.20 - Leveranciersmanagement - niet-kritieke afwijking;

- Annex A5.24 t/m 5.28 - Incident management - niet-kritieke afwijking;

- Annex A5.29 & 5.30 - Continuïteit van bedrijfsvoering - niet-kritieke afwijking;

- Annex A5.32 - Intellectueel eigendom - niet-kritieke afwijking;

- Annex A5.34 - Privacy en gegevensverwijdering - niet-kritieke afwijking;

- Annex A5.37 - Gedocumenteerde bedieningsprocedures - niet-kritieke afwijking;

- Annex A8.9 - Configuratiebeheer - niet-kritieke afwijking;

- Annex A8.32 - Wijzigingsbeheer - niet-kritieke afwijking;

- Annex A5.21 & 5.22 - Leveranciersmanagement - kritieke afwijking.

3.17.

Sirva B.V. beschikt over een ISO-27001:2013 certificaat. Het audit rapport van LRQA van 26 augustus 2024 vermeldt dat Sirva B.V. de transitie van ISO 270001:2013 naar ISO 27001:2022 succesvol heeft afgerond. Sirva B.V. is in afwachting van de afgifte van het nieuwe, driejaarlijkse certificaat, dat is gebaseerd op de nieuwste norm ISO 27001:2022.

3.18.

Odin Groep B.V. heeft sinds 23 juli 2025 een ISO 27001:2022- certificaat.

4.Het geschil

4.1.

Combinatie Nedvan vordert dat de voorzieningenrechter bij vonnis uitvoerbaar bij voorraad:

- de Staat gebiedt de intrekkingsbeslissing voor Perceel 1 en Perceel 2 van de Opdracht binnen één week na dagtekening van dit vonnis, althans op een redelijke termijn, in te trekken;

- de Staat verbiedt de Aanbestedingsprocedure in te trekken op basis van de intrekkingsbeslissing;

- de Staat verbiedt Perceel 1 en Perceel 2 van de Opdracht te gunnen aan een ander dan Combinatie Nedvan, althans voor zover de Staat Perceel 1 en Perceel 2 van de Opdracht nog wenst te gunnen;

- het voorgaande op straffe van verbeurte van een dwangsom van € 50.000,00 per dag;

- met veroordeling van de Staat in de proceskosten.

4.2.

Combinatie Nedvan legt aan de vorderingen het volgende ten grondslag.
De inschrijving van Combinatie Nedvan is ten onrechte als ongeldig terzijde gesteld. Combinatie Nedvan voldoet aan de gestelde geschiktheidseis in paragraaf 4.4.7 van het Beschrijvend Document. En zelfs als dat niet zo zou zijn, dan is dat onder de voorwaarden van de aanbestedingsprocedure geen grond voor intrekking van de gunningsbeslissingen voor Perceel 1 en 2, omdat pas bij de aanvang van de raamovereenkomst hoeft te zijn voldaan aan geschiktheidseis 4.4.7 van het Beschrijvend Document, en dat moment is nog niet aangebroken.

4.3.

De Staat voert verweer waarop hierna, voor zover van belang, wordt ingegaan.

4.4.

Harmony concludeert, na wijziging van eis ter zitting,
primairtot niet-ontvankelijkheid van Combinatie Nedvan, dan wel tot afwijzing van de vorderingen van Combinatie Nedvan en vordert om de Staat te verbieden de Opdracht aan Combinatie Nedvan te gunnen, en voor zover de Staat de Opdracht nog wenst te gunnen, de Staat te gebieden om de Opdracht opnieuw aan te besteden; s
ubsidiairvordert zij een andere voorlopige voorziening te treffen die de voorzieningenrechter in goede justitie passend acht en die recht doet aan de belangen van Harmony;

een en ander met veroordeling van Combinatie Nedvan in de kosten van de procedure, te vermeerderen met de wettelijke rente.

4.5.

Op de stellingen van Harmony wordt hierna, voor zover van belang, nader ingegaan.

5.De beoordeling

5.1.

Tussen partijen is in geschil of de Staat de inschrijving van Combinatie Nedvan voor de Percelen 1 en 2 terecht terzijde heeft gesteld wegens het niet voldoen aan de geschiktheidseis inzake ISO 27001:2022 als neergelegd in paragraaf 4.4.7 van het Beschrijvend Document. Ten eerste verschillen partijen van inzicht over de vraag of alle combinanten over een ISO 27001:2022- certificaat moeten beschikken. Ten tweede is in geschil of de terzijdestelling prematuur is geschied. En ten derde twisten partijen erover of de sanctie van terzijdelegging van de inschrijving wegens het niet bij inschrijving vermelden dat niet iedere combinant over een ISO 27001:2022-certificaat beschikt disproportioneel is.

De voorzieningenrechter zal deze geschilpunten hierna beoordelen.

I. Moeten alle combinanten over een ISO 27001:2022- certificaat beschikken?

5.2.

Combinatie Nedvan stelt dat zij aan paragraaf 4.4.7 van het Beschrijvend Document voldoet en motiveert dat als volgt. In deze paragraaf staat dat het certificaat moet worden aangeleverd door degene die daadwerkelijk de werkzaamheden verricht(en) bij de uitvoering van de Raamovereenkomst. De administratie verloopt via AGS Global Solutions-Netherlands B.V. en die heeft de administratieve afhandeling op haar beurt uitbesteed aan Odin Groep B.V. Dus Odin Groep B.V. is een uitvoerder van de raamovereenkomst, en zij beschikt over een ISO 27001:2022 – certificaat. Het Nedvan Management System (NMS) en het Project Management System (PMS) verloopt via Sirva B.V. en zij is dus de andere uitvoerder van de raamovereenkomst. Ook Sirva heeft een ISO 27001-certificaat. Binnen Combinatie Nedvan zal dus worden gewaarborgd dat alle activiteiten, en met name de gegevensverwerking en bescherming, zullen vallen onder de ISO-certificaten van Sirva B.V. en Odin Groep B.V.

5.3.

De Staat stelt zich op het standpunt dat niet voldoende is dat enkele combinanten van Combinatie Nedvan over het meest recente ISO 27001-certificaat beschikken, maar dat zij allemaal over een dergelijk certificaat moeten beschikken, omdat iedere combinant eigen werkzaamheden zal verrichten onder de raamovereenkomst.

5.4.

De voorzieningenrechter overweegt als volgt.

Paragraaf 4.4.7., alinea 1, van het Beschrijvend Document bepaalt:

5.5.

De Staat heeft betoogd dat iedere combinant gecertificeerd moet zijn. De Staat verwijst er daarbij naar dat uit de inschrijving en de referenties blijkt dat iedere combinant een uitvoerende rol heeft bij de uitvoering van de werkzaamheden om (blijvend) aan de geschiktheidseisen te kunnen voldoen en dat dus iedere combinant vertrouwelijke gegevens verwerkt van de diplomaten, militairen en politiemensen die worden verhuisd. De Staat wijst er daarbij op dat de vier combinanten allemaal een eigen positie innemen en alle vier met kwetsbare informatie te maken krijgen. De drie verhuizers verwerken informatie over wat er wordt verhuisd en hebben ook de beschikking over persoonlijke informatie van de te verhuizen personen, en Nedvan beschikt als beheerder ook over kwetsbare informatie. De ratio van de eis opgenomen in paragraaf 4.4.7 is dat er op een verantwoorde en veilige manier wordt omgegaan met die vertrouwelijke gegevens. Daarbij gaat het zowel om gegevensverwerking alsook over beheersmaatregelen met betrekking tot mensen (zoals bewustwordingstrainingen en screening), fysieke beveiliging van locaties, dreigingen met betrekking tot informatiebeveiliging en ICT-gereedheid voor bedrijfscontinuïteit.

5.6.

Anders dan Combinatie Nedvan stelt, is de voorzieningenrechter van oordeel dat ook Nedvan daadwerkelijk werkzaamheden verricht in de uitvoering van de werkzaamheden. Uit haar inschrijving blijkt dat zij niet alleen als penvoerder fungeert maar ook als leider, contractbeheerder, aanspreekpunt voor opdrachtgever, en ontzorger van de opdrachtgever (zie Referenties, Prod 3, en Wens 1: Voorbereiding/Proces, Prod 4A en 4B). Nedvan beheert en optimaliseert volgens haar inschrijving de verhuizingen met het op maat ontworpen Nedvan Management Systeem (NMS) en bereidt deze voor aan de hand van een gedetailleerd proces bestaande uit zes stappen, waarbij elke stap wordt uitgevoerd en geregistreerd binnen het Project Management Systeem (PMS) van Nedvan: “Te allen tijde blijft de verhuiscoördinator van Nedvan in controle en beheert en controleert de communicatiestroom centraal zodat Belanghebbende zich ongestoord op de eigen werkzaamheden kan richten.” (zie Wens 1: Voorbereiding/Proces/ 6.Introductie Destination, Prod 4A en 4B). Hieruit wordt genoegzaam duidelijk dat Nedvan daadwerkelijk werkzaamheden verricht bij de uitvoering van de internationale verhuizingen en daardoor te maken krijgt met gevoelige informatie. Bovendien heeft de Staat er terecht op gewezen dat blijkens de overgelegde referenties de ervaring voor wat betreft beheer en contractmanagement niet bij Sirva B.V., maar bij Nedvan ligt. Zij dient daarom ook zelf over het meest recente ISO 27001-certificaat te beschikken. Voor wat betreft AGS Global Solutions-Netherlands B.V. geldt dat ook zij daadwerkelijke werkzaamheden zal verrichten, nu zij volgens de inschrijving zelfstandig de Internationale verhuizingen naar Azië en Afrika (Perceel 2) uitvoert.

5.7.

Op grond van het vorenstaande is de voorzieningenrechter van oordeel dat alle combinanten in bezit moeten zijn van het meest recente ISO 27001-certificaat. Nu vaststaat dat Nedvan noch AGS Global Solutions-Netherlands B.V. daar op dit moment over beschikt, voldoet Combinatie Nedvan op dit moment niet aan paragraaf 4.4.7. van het Beschrijvend Document.

II. Is de terzijdelegging prematuur?

5.8.

Combinatie Nedvan stelt dat omdat de vereiste ISO 27001- certificaten pas bij de start van de Raamovereenkomsten hoeven te worden overgelegd, de terzijdelegging van de inschrijving op 22 juli 2025 prematuur is. De Raamovereenkomsten zijn immers nog niet gaan lopen.

5.9.

De Staat stelt daar tegenover dat de start van de Raamovereenkomsten was voorzien op 1 april 2025 en dat Combinatie Nedvan, die nog steeds niet volledig gecertificeerd is, de certificering dus niet op tijd op orde heeft. Bovendien vindt de Staat het tegenover Harmony in strijd met het gelijkheidsbeginsel om Combinatie Nedvan heel veel extra tijd te geven om gecertificeerd te raken.

5.10.

Harmony stelt zich op het standpunt dat Combinatie Nedvan door de lange verificatie en het eerdere kort geding meer tijd heeft gekregen om alsnog aan de gestelde eisen te voldoen.

5.11.

De voorzieningenrechter overweegt als volgt.

Paragraaf 4.4.7. alinea 2 van het Beschrijvend Document bepaalt:

“Indien een Inschrijver voor gunning in aanmerking komt, dient de Inschrijver bij voorkeur bij verificatie – maar uiterlijk voor start van de looptijd van de Raamovereenkomst, na schriftelijk verzoek daartoe door Aanbestedende dienst, ten bewijze van het voldoen aan het gestelde een kopie van een geldig ISO 27001 certificaat te overleggen of een kopie van een gelijkwaardig certificaat.”

5.12.

Hieruit, alsook uit het Beschrijvend Document (pagina 5 en 22, Tabel 2: “In te dienen Bewijsstukken in het kader van de Geschiktheidseisen”) volgt dat (een kopie van) het ISO 27001-certificaat of een gelijkwaardig certificaat uiterlijk voor de start van de looptijd van de Raamovereenkomst moet worden overgelegd. Uit Bijlage 3 bij het Beschrijvend Document blijkt dat de geplande ingangsdatum van de Raamovereenkomsten (Perceel 1 en 2) 1 april 2025 was. Inmiddels is dat zeven maanden geleden en, naar Combinatie Nedvan onweersproken heeft gesteld, zal de looptijd van de Raamovereenkomsten naar verwachting niet ingaan voor 1 december 2025. Zolang de Raamovereenkomsten niet zijn aangevangen, mogen de combinanten op grond van de gestelde voorwaarden dus nog bewijs overleggen dat zij beschikken over het vereiste ISO 27001-certificaat (of een daaraan gelijkwaardig certificaat of beschrijving gelijkwaardige maatregelen). Het voor de start van de looptijd van de Raamovereenkomsten terzijde leggen van de inschrijvingen van Combinatie Nedvan wegens het ontbreken van de vereiste certificaten is derhalve prematuur.

5.13.

Voor zover de Staat en Harmony aanvoeren dat Combinatie Nedvan feitelijk meer tijd krijgt om te voldoen aan de voorwaarden, is dat inherent aan het door de Staat gekozen systeem van inschrijving en niet aan Combinatie Nedvan te wijten, zodat dit gegeven naar voorshands oordeel geen strijd met het gelijkheidsbeginsel oplevert. Noch de vertraging in de procedure door het aanspannen van een kort geding door Harmony, noch de tijd gemoeid met de verificatie kan op het conto van Combinatie Nedvan worden geschreven. Het aanspannen van dit kort geding tegen de terzijdelegging van haar inschrijving kan evenmin worden tegengeworpen aan Combinatie Nedvan. Zij heeft slechts gebruik gemaakt van de door de Staat geboden mogelijkheid om tegen de intrekking van de gunningsbeslissing en de aanbestedingsprocedure op te komen. Het aanwenden van een rechtsmiddel levert in het algemeen geen misbruik van recht op en de Staat en Harmony hebben onvoldoende aannemelijk gemaakt dat het in dit geval anders ligt.

III. Is de terzijdestelling disproportioneel?

5.14.

Voor zover de uitsluiting (mede) is gebaseerd op het niet melden bij inschrijving van het nog ontbreken van het vereiste ISO 27001-certificaat bij enkele combinanten meent Combinatie Nedvan dat het disproportioneel is om haar op basis daarvan uit te sluiten.

5.15.

De Staat heeft betwist dat dit disproportioneel is. De niet-melding leidt volgens de Staat tot ongeldigheid van de inschrijving omdat daardoor niet aan de voorwaarden van paragraaf 4.4.7 van het Beschrijvend Document wordt voldaan. Het melden is een belangrijke eis omdat de Staat wil weten waar hij aan toe is. Door de meldplicht weet de Staat dat inschrijvers de certificaten niet op orde hebben en dat het misschien ook niet op orde komt, en kan daar rekening mee worden gehouden. Daarmee wordt voorkomen dat pas bij verificatie blijkt dat niet aan de voorwaarden wordt voldaan, aldus de Staat.

5.16.

Harmony heeft zich op het standpunt gesteld dat het niet-melden een zelfstandig gebrek is dat niet voor herstel in aanmerking komt.

5.17.

De voorzieningenrechter overweegt als volgt.

Paragraaf 4.4.7. alinea 3 van het Beschrijvend Document bepaalt:

“Indien inschrijver niet bij inschrijving beschikt over het hierboven bedoelde (gelijkwaardige) certificaat, dient Inschrijver dit bij Inschrijving (vormvrij) te melden. Inschrijver dient in dat geval voor start van de looptijd van de Raamovereenkomst een kopie van een geldig ISO 27001 certificaat of een kopie van een gelijkwaardig certificaat te overleggen óf gelijkwaardige maatregelen te hebben getroffen en toegepast. Als Inschrijver hier niet aan voldoet, wordt hij geacht niet te voldoen aan de geschiktheidseisen. Opdrachtgever zal de Raamovereenkomst in dat geval ontbinden (zie art. 7.2 onder f Raamovereenkomst) en een nieuwe Raamovereenkomst sluiten met de Wachtkamerpartij.”

5.18.

De Staat heeft hiermee gekozen voor een systeem waarin tot aan de start van de looptijd van de raamovereenkomst onzekerheid kan bestaan of aan de voorwaarde van ISO 27001-certificering wordt voldaan. Voor de feitelijke gang van zaken en de beoordeling van de inschrijving maakt het geen verschil of er wel of niet een melding is gedaan. Het enkele feit dat met een melding in een eerder stadium wordt bevestigd dat onzekerheid over de ISO 27001-certificering bestaat, is onvoldoende rechtvaardiging om tot terzijdelegging van de inschrijving over te gaan in geval van niet-melding. Die sanctie is naar het oordeel van de voorzieningenrechter dan ook disproportioneel.

De voorzieningenrechter vindt verdere steun voor dit oordeel in de omstandigheid dat paragraaf 4.4.7., alinea 3, van het Beschrijvend Document niet bepaalt dat “terzijdelegging” de sanctie op niet-melding is. Uit die bepaling blijkt enkel dat als de Inschrijver, hier Combinatie Nedvan, niet voor start van de looptijd van de Raamovereenkomst een kopie van een geldig ISO 27001 certificaat overlegt (of een kopie van een gelijkwaardig certificaat óf bewijs dat gelijkwaardige maatregelen zijn getroffen en toegepast) hij wordt geacht niet te voldoen aan de geschiktheidseisen. In dat geval zal de Staat de Raamovereenkomst ontbinden.

De sanctie -ontbinding- volgt dus pas nadat voor de start van de looptijd van de Raamovereenkomst nog steeds geen ISO 27001-certificaat is overgelegd. Pas dan wordt de Inschrijver geacht niet te voldoen aan de geschiktheidseisen. Aan een (eerdere) niet-melding kan niet de conclusie worden verbonden dat een Inschrijver niet geschikt is. Terzijdelegging van de inschrijving wegens niet-melding is daarom niet aan de orde.

5.19.

Voor zover de Staat en Harmony hebben betoogd dat niet kan worden verlangd dat de Staat een overeenkomst aangaat terwijl nu al vaststaat dat bij de ingangsdatum van de Raamovereenkomst de benodigde ISO 27001 - certificaten niet kunnen worden overgelegd en de Raamovereenkomst dus vervolgens direct weer zou moeten worden ontbonden, leidt dit niet tot een ander oordeel. Het is immers de Staat zelf die de voorwaarden voor de Opdracht heeft geformuleerd. Nu uit het Beschrijvend Document volgt dat pas bij de start van de looptijd van de Raamovereenkomst daadwerkelijk vaststaat dat een inschrijver niet aan de geschiktheidseis inzake ISO-certificering voldoet en in dat geval de Raamovereenkomst wordt ontbonden, dient dienovereenkomstig te worden gehandeld.

Eindoordeel

5.20.

De conclusie op grond van het vorenstaande is dat de Staat de inschrijving van Combinatie Nedvan ten onrechte terzijde heeft gelegd. Dit maakt dat zij voor gunning van de Opdracht in aanmerking komt. Dit brengt mee dat de vordering die ertoe strekt de Staat te gebieden de beslissing tot intrekking van gunningsbeslissing en terzijdelegging van de inschrijving van Combinatie Nedvan in te trekken, zal worden toegewezen, op de hierna vermelde wijze. Gezien deze veroordeling valt niet in te zien welk belang Combinatie Nedvan (nog) heeft bij het opleggen van een verbod aan de Staat om de onderhavige aanbestedingsprocedure in te trekken op basis van de bestreden intrekkingsbeslissing. De daarop gericht vordering zal daarom worden afgewezen.

Gesteld noch gebleken is dat er een andere gegadigde is voor gunning van de Opdracht in de lopende aanbestedingsprocedure, nu de enige andere inschrijver, Harmony, is uitgesloten. Bij die stand van zaken valt evenmin in te zien welk redelijk belang Combinatie Nedvan heeft bij toewijzing van een verbod om Percelen 1 en 2 te gunnen aan een andere partij dan Combinatie Nedvan. Ook voor het opleggen van een (algemeen) verbod om te gunnen aan een andere partij dan Combinatie Nedvan bestaat geen aanleiding. Ook die vordering wordt daarom afgewezen.

Voor het opleggen van een dwangsom bestaat naar het oordeel van de voorzieningenrechter geen aanleiding, nu de Staat heeft toegezegd dat hij dit vonnis nakomt. Combinatie Nedvan heeft dit deel van de vordering ook niet nader onderbouwd.

5.21.

Uit de toewijzing van de vordering van Combinatie Nedvan ter zake de intrekking van gunningsbeslissing en de terzijdelegging van de inschrijving volgt dat de vorderingen van Harmony zullen worden afgewezen.

Proceskosten

5.22.

De Staat en Harmony zullen (samen) als de in het ongelijk gestelde partijen, worden veroordeeld in de proceskosten van Combinatie Nedvan, die worden begroot op:

- kosten dagvaarding € 119,40

- griffierecht

€

714,00

- salaris advocaat

€

1.107,00

- nakosten

€

178,00

(plus de verhoging zoals vermeld in de beslissing)

Totaal

€

2.118,00

6.De beslissing

De voorzieningenrechter:

6.1.

gebiedt de Staat de beslissing tot intrekking van de gunning voor Perceel 1 en Perceel 2 van de Opdracht en het terzijde leggen van de inschrijving van Combinatie Nedvan binnen één week na betekening van dit vonnis in te trekken;

6.2.

veroordeelt de Staat en Harmony (samen) in de proceskosten van Combinatie Nedvan, begroot op € 2.118,00, te betalen binnen veertien dagen na aanschrijving daartoe. Als de Staat en Harmony niet tijdig aan deze veroordeling voldoen en het vonnis daarna wordt betekend moet er € 92,00 extra worden betaald, plus de kosten van betekening;

6.3.

verklaart dit vonnis tot zover uitvoerbaar bij voorraad;

6.4.

wijst het meer of anders gevorderde af.

Dit vonnis is gewezen door mr. T.F. Hesselink en in het openbaar uitgesproken op 20 november 2025.

Onterechte terzijdelegging inschrijving bij aanbesteding wegens ISO 27001-certificering

Uitspraak

RECHTBANK Den Haag

1.NEDVAN MOBILITY SOLUTIONS B.V. te Alphen aan den Rijn,

1.De procedure

2.Het incident tot tussenkomst, subsidiair voeging

3.De feiten

4.Het geschil

5.De beoordeling

6.De beslissing