Uitspraak
RECHTBANK Gelderland
Civiel recht
Zittingsplaats Arnhem
Zaaknummer: C/05/458336 / KG ZA 25-370
Vonnis in kort geding van 22 december 2025
in de zaak van
de besloten vennootschap met beperkte aansprakelijkheid
THALES NEDERLAND B.V.,
gevestigd te Hengelo,
eisende partij in de hoofdzaak,
verwerende partij in het incident tot tussenkomst, althans voeging,
hierna te noemen: Thales,
advocaten: mrs. A.B.B. Gelderman en L.J. Vermeulen,
tegen
de naamloze vennootschap
VITENS N.V.,
gevestigd te Zwolle,
gedaagde partij in de hoofdzaak,
verwerende partij in het incident tot tussenkomst, althans voeging,
hierna te noemen: Vitens,
advocaat: mr. A. Stellingwerff Beintema,
waarin heeft gevorderd als tussenkomende, althans voegende partij aan de zijde van Vitens te worden toegelaten:
de besloten vennootschap met beperkte aansprakelijkheid
ILIONX GROUP B.V.,
gevestigd te Utrecht,
eisende partij in het incident tot tussenkomst, althans voeging,
hierna te noemen: Ilionx,
advocaten: mrs. J.F. van Nouhuys en E.S.C. van der Hoek.
1.De procedure
In de hoofdzaak en in het incident tot tussenkomst, althans voeging
1.1.
Het verloop van de procedure blijkt uit:
- de dagvaarding
- de producties 1 tot en met 14 van de zijde van Thales
- de vervangende productie 10 van de zijde van Thales
- de aanvullende productie 15 van de zijde van Thales
- de akte overlegging producties met producties 1 tot en met 6 van de zijde van Vitens
- de akte overlegging producties met producties 1 tot en met 6 van de zijde van Vitens
- de incidentele conclusie van tussenkomst, althans voeging van de zijde van Ilionx
- de mondelinge behandeling van 8 december 2025, waarvan door de griffier aantekeningen zijn gemaakt
- de pleitnota van Thales
- de pleitnota van Vitens
- de mondelinge behandeling van 8 december 2025, waarvan door de griffier aantekeningen zijn gemaakt
- de pleitnota van Thales
- de pleitnota van Vitens
- de pleitnota van Ilionx.
1.2.
Ten slotte is vonnis bepaald op heden.
2.De feiten
2.1.
Vitens is het grootste drinkwaterbedrijf van Nederland. Op 13 maart 2025 heeft Vitens een Europese niet-openbare aanbestedingsprocedure aangekondigd voor een zogenaamd Managed Security Operations Center (MSOC). Deze procedure kent een selectie- en een inschrijffase.
2.2.
In de selectiefase is door Vitens de Selectieleidraad met bijbehorende documenten beschikbaar gesteld voor geïnteresseerde ondernemingen. De Selectieleidraad vermeldt voor zover thans van belang het volgende:
‘(…)
2 OPDRACHTOMSCHRIJVING
2.1
Aanleiding en visie
Vitens stelt in haar Strategisch Informatiebeveiligingsbeleid dat digitale kanalen en middelen worden ingezet om dichtbij de klant te kunnen zijn, door middel van het beschikbaar stellen van informatie en mogelijkheden aan de klant om zijn of haar wensen met betrekking tot onze diensten klantvriendelijker te maken. In de aansturing van de productiemiddelen wordt ook veelvuldig gebruik gemaakt van de digitale kanalen. In gevallen dat deze digitale middelen of kanalen niet beschikbaar zijn, er misbruik van wordt gemaakt of de informatie niet juist is, kan Vitens ernstige schade lijden. Toegang tot (klant)informatie en systemen kan de bedrijfsvoering of drinkwaterlevering in gevaar brengen. Bescherming in het digitale speelveld is derhalve van cruciaal belang.
Sinds 2018 maakt Vitens gebruik van een managed Security Operations Center oplossing. De daartoe gesloten overeenkomst met een aanbieder loopt af. Vitens zoekt een nieuwe leverancier van een managed SOC dienst.
2.2
Doel van de aanbesteding
Het doel is het contracteren van een Managed SOC dienstverlener en het in eerste instantie converteren van de reeds bestaande dienst ‘as is’ naar de nieuwe dienstverlener, zodanig dat de vitale Vitens ICT Infrastructuur 24/7 adequaat wordt gemonitord. Na de implementatie volgt de doorontwikkeling naar de gewenste ‘to be’ situatie. (…)
(…) Deze Opdracht wordt gegund aan de Inschrijver die de economisch meest voordelige Inschrijving, zijnde de Inschrijving met de beste prijs-kwaliteitverhouding, heeft uitgebracht.
Door middel van deze aanbesteding wenst Vitens haar huidige oplossing voor geavanceerde security monitoring in eerste instantie 1 op 1 te vervangen, om deze samen met Opdrachtnemer verder uit te bouwen. Daarbij staan het tijdig detecteren van (pogingen tot) schade door moedwillige verstoring, uitval of misbruik van kritieke systemen in de domeinen Procesautomatisering (PA), Kantoorautomatisering (KA) en Laboratorium (LAB) centraal, waarbij tijdig gereageerd kan worden om schade te voorkomen of te minimaliseren en te herstellen.
(…)
2.3
Onderwerp van de Opdracht
Vitens bereikt de huidige security monitoring capaciteit door gebruik te maken van een Managed Security Operations Center (SOC) en wil dit in de toekomst verder uitbouwen. Vitens verwacht dat het SOC innovatieve en geavanceerde detectie middelen inzet, en zich hiermee onderscheidt van enkel traditionele SIEM- en rule-based detectie, waardoor er meer toegevoegde waarde gecreëerd wordt en tegelijkertijd het risico voor Vitens verlaagt naar een minimaal acceptabel niveau.
(…)
2.3.1
Scope van de Opdracht
De volgende diensten behoren tot de scope van de Opdracht:
2.3.1.1 Functionele scope Managed SOC
Voor het monitoren en detecteren van en reageren op bedreigingen en potentiële cybersecurity incidenten verwacht Vitens een managed Security Operations Center (managed SOC) dienstverlening, welke naadloos aansluit op de infrastructuur van Vitens. Vitens en de aanbieder zullen partners worden bij deze dienstverlening, waarbij de aanbieder aansluit op de relevante bestaande procedures voor de effectieve operatie van het managed SOC.
Vitens wil haar security monitoring inrichten door middel van een Hybride model, waarin functies gedeeltelijk worden uitbesteed aan het managed SOC. Vitens heeft in de afgelopen jaren interne capaciteit ontwikkeld binnen het Security Operations team, om adequate incident response te kunnen geven aan gedetecteerde incidenten door het managed SOC en haar interne security systemen. Deze verdeling van verantwoordelijkheden is schematisch weergegeven in Figuur 1, waar de oranje kleur behoort tot het managed SOC, en de blauwe kleur aan Vitens.
(…)’
2.3.
Vitens heeft in de selectiefase een vragenronde georganiseerd, waarin geïnteresseerde partijen vragen over de opdracht aan Vitens konden voorleggen. De gestelde vragen met de daarop door Vitens gegeven antwoorden in de selectiefase zijn opgenomen in een eerste Nota van Inlichtingen (NvI). Deze NvI vermeldt voor zover thans van belang het volgende:
‘(…)
Vraag 23. Kan Vitens nader toelichten welke diensten er specifiek afgenomen wenst te worden van de Inschrijver? Denk hierbij aan NDR, EDR, XDR, SIEM
[Security Information and Event Management Systeem, vzr], Vulnerability Management, en meer.
[Security Information and Event Management Systeem, vzr], Vulnerability Management, en meer.
Antwoord: Al deze diensten/producten worden reeds afgenomen bij bestaande leveranciers. De inschrijver zal met deze bestaande tooling integreren om Vitens 24/7 te kunnen bewaken op cyber dreigingen. Aansluiten op de tooling voor bijvoorbeeld alerting en verrijking, maar ook om incident triage uit te voeren door de security analist van de inschrijver.
(…)
Vraag 47. Bijlage 1 Pagina 8 – Paragraaf 2.3 “Onderwerp van de Opdracht”: Wordt er in Elastic gebruik gemaakt van ML? Of juist geleund op de andere platformen?
Antwoord: Elastic wordt op dit moment gebruikt voor analyse & forensische doeleinden zonder ML. In de toekomst willen we de Elastic Security module wel gaan gebruiken en hierin zitten technieken als ML en AI.
Vraag 48. Bijlage 1 Pagina 8 – Paragraaf 2.3 “Onderwerp van de Opdracht”: Hoeveel tijd (in maanden of jaren) en welke mate van complexiteit (bijvoorbeeld in termen van integratie-uitdagingen, resource-inzet, of aanpassingen aan de hybride IT/OT-omgeving) heeft Vitens geïnvesteerd in het gebruik van het Elastic platform als primaire SIEM-oplossing voor security monitoring, inclusief eventuele lessen die zijn geleerd met betrekking tot de implementatie en operatie in uw specifieke infrastructuur (KA, PA, LAB en cloud)?
Antwoord: Vitens gebruikt sinds 2019 Elastic als centraal logging platform voor de gehele on-prem omgeving. Vanuit Elastic maar ook vanuit andere security producten krijgt Vitens alerts over mogelijke incidenten.
(…)’
2.4.
Thales heeft op 22 april 2025 een verzoek tot deelname ingediend. Op 1 mei 2025 is zij door Vitens geselecteerd om deel te nemen aan de inschrijffase. Ook Ilionx heeft een verzoek tot deelname ingediend en ook zij is door Vitens geselecteerd voor deelname aan de inschrijffase. In het kader van de inschrijffase heeft Vitens (onder meer) de Offerteaanvraag inclusief bijlagen ter beschikking gesteld, waaronder het Programma van Eisen (PvE). De scope van de opdracht is in de Offerteaanvraag niet gewijzigd ten opzichte van de Selectieleidraad. Verder bepaalt eis 5 van het PvE dat
“de managed SOC dienstverlening van opdrachtnemer dient te integreren met het Elastic platform van opdrachtgever teneinde de logbronnen aanwezig in de infrastructuur van opdrachtgever te kunnen ontsluiten.”.
“de managed SOC dienstverlening van opdrachtnemer dient te integreren met het Elastic platform van opdrachtgever teneinde de logbronnen aanwezig in de infrastructuur van opdrachtgever te kunnen ontsluiten.”.
2.5.
Op 16 juni 2025 heeft vervolgens een zogenaamde Pre-Bid meeting plaatsgevonden. De namens Vitens op schrift gestelde presentatie die tijdens deze bijeenkomst is verzorgd, vermeldt onder meer het volgende:
‘(…)
Algemene Scope
24x7 managed SOC dienstverlening voor de gehele Vitens infrastructuur
Integratie met bestaande monitoring/logging tooling binnen Vitens
(…)
(…)
(…)’
2.6.
In de periode na afloop van de Pre-bid meeting heeft Vitens geïnteresseerde partijen opnieuw de gelegenheid geboden vragen over de opdracht aan Vitens voor te leggen. De vragen met de daarop door Vitens gegeven antwoorden in de inschrijffase zijn opgenomen in een tweede NvI. Deze NvI vermeldt voor zover thans van belang het volgende:
‘ (…)
1. Heeft Vitens haar huidige SIEM in eigen beheer of ligt het beheer bij de huidige MSSP?
Antwoord: De SIEM/monitoring tooling binnen het Vitens landschap wordt zelf beheerd, met als uitzondering het Elastic platform, welke door een derde partij wordt beheerd (niet de huidige mssp).
(…)
99. Op dit moment is het niet duidelijk hoe de kosten binnen Criterium 3 zijn opgebouwd. Zou het mogelijk zijn om een uitsplitsing te maken tussen de kosten voor SIEM-beheer en NDR-beheer, zodat Vitens beter inzicht krijgt in de herkomst van de kosten?
Antwoord: Nee dit is niet mogelijk, er zijn voor aanbieder geen kosten te verwachten voor SIEM- en NDR beheer. Vitens heeft SIEM en NDR in eigen beheer.
(…)’
2.7.
Thales en Ilionx hebben vervolgens, naast enkele andere uitgenodigde partijen, op de opdracht ingeschreven. De beoordelingscommissie van Vitens heeft alle ontvangen inschrijvingen daarna beoordeeld. Deze beoordeling heeft ertoe geleid dat Vitens bij brief van 18 juli 2025 aan partijen heeft medegedeeld dat zij voornemens is de opdracht te gunnen aan Thales, waarbij aan de inschrijving van Thales in totaal 865,43 punten zijn toegekend en aan de inschrijving van Ilionx 839,29 punten. Op 30 juli 2025 heeft vervolgens een verificatiegesprek plaatsgevonden tussen (een afvaardiging van) Thales en Vitens. Uitkomst van dit gesprek was dat de inschrijving van Thales voldoet aan de door Vitens gestelde eisen en wensen en dus geldig is.
2.8.
Enige tijd later, bij brief van 17 september 2025, heeft Vitens voor zover thans van belang het volgende aan Thales bericht:
‘(…)
Op 18 juli 2025 hebben wij u medegedeeld dat Vitens voornemens is de aanbestede opdracht ‘Managed Security Operations Center’ te gunnen aan Thales Nederland.
Binnen de gestelde standstill-termijn is Ilionx Group B.V. hiertegen in kort geding opgekomen. Naar aanleiding van de in de dagvaarding opgenomen standpunten heeft Vitens intern onderzoek verricht. Daaruit is gebleken dat de beoordeling en toekenning van de scores per criterium niet is geschied conform hetgeen is bekend gemaakt in de Offerteaanvraag.
Vitens heeft dan ook besloten om de op 18 juli 2025 medegedeelde gunningbeslissingen in te trekken en opnieuw een consensusbespreking te beleggen waarin per criterium één score (10, 7, 4 en 1) conform de per criterium in de Offerteaanvraag bekend gemaakt ‘Wijze van beoordelen’ wordt toegekend.
(…)’
2.9.
Nadat de nieuwe consensusbespreking heeft plaatsgevonden, heeft Vitens Thales bij brief van 30 september 2025 op de hoogte gesteld van haar nieuwe voorlopige gunningsbeslissing. Deze brief luidt voor zover thans van belang als volgt:
‘(…)
Vitens heeft (…) besloten om de op 18 juli 2025 medegedeelde gunningsbeslissing in te trekken en opnieuw een consensusbespreking te beleggen waarin per criterium één score (10, 7, 4 en 1) conform de per criterium in de Offerteaanvraag bekend gemaakt ‘Wijze van beoordelen’ is toegekend.
Deze opnieuw uitgevoerde consensusbespreking heeft plaatsgevonden op 19 september 2025. Hierbij bericht ik u dat naar aanleiding van deze herbeoordeling Vitens voornemens is de voornoemde opdracht te gunnen aan
Ilionx Group B.V.. Deze inschrijving is in de herbeoordeling als de inschrijving met de beste prijs-kwaliteitsverhouding beoordeeld.
Ilionx Group B.V.. Deze inschrijving is in de herbeoordeling als de inschrijving met de beste prijs-kwaliteitsverhouding beoordeeld.
(…)
De ranking van de inschrijvers die een geldige inschrijving hebben uitgebracht is als volgt:
1. Ilionx Group B.V., 880 punten
2. Thales Nederland, Huizen, 856 punten
(…)’
2.10.
Thales kan zich niet in de uitkomst van de tweede voorlopige gunningsbeslissing vinden. Thales heeft haar bezwaren tegen het nieuwe gunningsvoornemen aan Vitens kenbaar gemaakt en tussen deze partijen is daarover daarna gecorrespondeerd. Dit heeft er (tot op heden) niet toe geleid dat Vitens haar nieuwe gunningsvoornemen heeft gewijzigd.
3.Het geschil
In de hoofdzaak
3.1.
Thales vordert bij vonnis, uitvoerbaar bij voorraad:
primair
I Vitens te gebieden de tweede voorlopige gunningsbeslissing in te trekken, de aanbestedingsprocedure te staken en gestaakt te houden en Vitens te gebieden, voor zover zij de opdracht voor een MSOC, al dan niet inclusief een SIEM, nog wenst aan te besteden, een nieuwe aanbestedingsprocedure te organiseren;
subsidiair
II Vitens te gebieden de tweede voorlopige gunningsbeslissing in te trekken;
III Vitens te gebieden om de inschrijvingen binnen zeven dagen na het vonnis, althans binnen een redelijke termijn, opnieuw te laten beoordelen, bij voorkeur door een nieuwe beoordelingscommissie;
IV Vitens te gebieden om een nieuwe derde voorlopige gunningsbeslissing te nemen naar aanleiding van de herbeoordeling van de inschrijvingen;
meer subsidiair
V zodanige maatregelen te treffen, die de voorzieningenrechter op zijn plaats acht en recht doet aan de belangen van Thales;
primair, subsidiair en meer subsidiair
VI alles op straffe van verbeurte van een dwangsom ten laste van Vitens en ten gunste van Thales van € 1.000.000,00 ineens indien Vitens niet aan het vonnis voldoet, althans een door de voorzieningenrechter in goede justitie te bepalen dwangsom;
VII Vitens te veroordelen in de proceskosten, te vermeerderen met wettelijke rente.
3.2.
Vitens voert verweer en concludeert tot afwijzing van de vorderingen.
3.3.
Op de stellingen van partijen zal hierna, voor zover voor de beoordeling van dit geschil van belang, worden ingegaan.
In het incident tot tussenkomst, althans voeging
3.4.
Ilionx vordert bij vonnis, uitvoerbaar bij voorraad:
in het incident tot tussenkomst, althans voeging
I primair Ilionx toe te staan tussen te komen in het rechtsgeding tussen Thales en Vitens;
II subsidiair Ilionx toe te staan zich te voegen aan de zijde van Vitens in het rechtsgeding tussen Thales en Vitens;
in de hoofdzaak
III Thales niet-ontvankelijk te verklaren in haar vorderingen, althans deze af te wijzen; en voor zover nodig,
IV Vitens te verbieden Ilionx, waaraan nu een voornemen tot gunning is uitgesproken, te passeren voor gunning van de opdracht, voor zover Vitens nog wenst te gunnen;
in het incident en in de hoofdzaak
V Thales te veroordelen in de proces- en nakosten, te vermeerderen met wettelijke rente.
3.5.
Thales voert verweer tegen de gevorderde tussenkomst en refereert zich wat betreft de voeging aan het oordeel van de voorzieningenrechter.
3.6.
Vitens heeft geen bezwaar tegen de gevorderde tussenkomst.
3.7.
Op de stellingen van partijen zal hierna, voor zover voor de beoordeling van dit geschil van belang, worden ingegaan.
4.De beoordeling van het geschil
In het incident tot tussenkomst, althans voeging
4.1.
Ilionx vordert als partij te mogen tussenkomen in het geding tussen Thales en Vitens. Namens Thales is bezwaar gemaakt tegen de tussenkomst, omdat uit de incidentele conclusie tot tussenkomst volgens haar niet blijkt wat de gronden zijn van de door Ilionx ingestelde vorderingen. Hoewel die gronden inderdaad niet direct uit de conclusie zijn af te leiden, is de voorzieningenrechter van oordeel dat dit niet aan Ilionx als tussenkomende partij kan worden tegengeworpen. Ilionx had voorafgaand aan de zitting slechts beperkt toegang tot het procesdossier, waarin overigens in het geheel (nog) geen inhoudelijke reactie op de dagvaarding zat van Vitens. Welke precieze standpunten Thales en Vitens ter zitting zouden innemen en welke onderdelen daarvan relevant zouden zijn voor de vorderingen en verweren van Ilionx, waren haar op voorhand - ten tijde van het opstellen van de incidentele conclusie - dan ook nog niet duidelijk. Tegen die achtergrond kan ook niet worden geconcludeerd dat Thales door het niet (volledig) vermelden van de gronden van de vordering tot tussenkomst door Ilionx onredelijk in haar belangen is geschaad. Wat wel vaststaat is dat Ilionx voldoende belang heeft om als tussenkomende partij in het geding te komen, omdat zij de partij is aan wie Vitens voornemens is de opdracht te gunnen. Daarom zal de tussenkomst worden toegestaan.
4.2.
Thales en Vitens zullen als de in het ongelijk gestelde partijen in de proceskosten in het incident worden veroordeeld. Deze kosten worden tot op heden begroot op nihil.
In de hoofdzaak
4.3.
De spoedeisendheid van de vorderingen vloeit voldoende voort uit de aard daarvan.
4.4.
Thales vordert primair een gebod voor Vitens om de tweede voorlopige gunningsbeslissing in te trekken, de aanbestedingsprocedure te staken en gestaakt te houden en tot heraanbesteding over te gaan voor zover zij de opdracht nog wenst te gunnen. Thales legt aan deze vorderingen in de eerste plaats ten grondslag dat de scope van de opdracht niet voor alle partijen helder is. Volgens Thales volgt uit de aanbestedingsdocumenten en de toelichting daarop van Vitens dat Vitens zelf beschikt over een zogenaamd Security Information and Event Management Systeem (SIEM), zodat een SIEM geen deel uitmaakt van de scope van de opdracht en geïnteresseerde partijen deze dienst niet in hun aanbieding hoeven mee te nemen. Nu uit de door Vitens verrichte beoordeling(en) blijkt dat Vitens zich op het standpunt stelt dat zij (nog) niet over een SIEM beschikt en het al dan niet aanbieden van een SIEM door inschrijvers heeft meegewogen in de beoordeling van de inschrijvingen, heeft Vitens volgens Thales in strijd gehandeld met zowel het transparantiebeginsel als het beginsel van gelijke behandeling en kan op basis van de huidige aanbestedingsprocedure niet tot rechtmatige gunning van de opdracht worden overgegaan. Indien van meet af aan voor iedereen duidelijk was geweest dat Vitens nog niet beschikt over een SIEM en deze dienst dus onderdeel van de aangeboden werkwijze zou moeten vormen, had dit enerzijds een andere kring van geïnteresseerde ondernemers opgeleverd waaruit Vitens haar selectie had moeten maken. Volgens Thales heeft het al dan niet kunnen werken met een eigen SIEM anderzijds een groot effect op de inhoud van de inschrijvingen en de mogelijke winnaar van de aanbestedingsprocedure, omdat met een eigen SIEM eenvoudiger en daardoor goedkoper kan worden gewerkt.
In de tweede plaats stelt Thales dat de beoordeling van de inschrijvingen evidente onjuistheden bevat, met als gevolg dat (ook) de tweede voorlopige gunningsbeslissing niet in stand kan blijven en tot gunning van de opdracht aan Ilionx kan leiden.
4.5.
Vitens voert verweer en voert in dat verband aan dat zij in de aanbestedingsstukken heel duidelijk heeft gemaakt welke producten zij zelf gebruikt en welke producten zij in het kader van de opdracht uitvraagt. Volgens Vitens was helder dat de winnende inschrijver zijn aangeboden oplossing met de bestaande tooling van Vitens moet integreren. Welke werkwijze de uiteindelijk gecontracteerde dienstverlener bij de uitvoering van zijn dienstverlening hanteert, is echter aan hemzelf. Dat geldt volgens Vitens ook voor de keuze van tooling die hij inzet, zolang het aanbod maar binnen het PvE past. Vitens begrijpt niet hoe Thales in de veronderstelling kon verkeren dat vanuit Vitens SIEM-tool geanalyseerde data beschikbaar zou worden gesteld. Uit de omstandigheid dat Vitens kenbaar heeft gemaakt 8.500 events per seconde aan te leveren, had voor Thales duidelijk moeten, althans behoren te zijn dat dit ruwe data betreft en dat is volgens Vitens ook tijdens de Pre-Bid Meeting kenbaar gemaakt. Vitens stelt zich op het standpunt dat de scope van de opdracht helder is, zodat geen grond bestaat voor heraanbesteding.
Voor zover er wel onduidelijkheid over zou bestaan, voert Vitens aan dat Thales geen rechtens te respecteren belang heeft bij haar vorderingen. Thales is volgens Vitens niet geschaad door de beweerdelijke fout. De inschrijvingen zijn eerst individueel beoordeeld, waarna is vergeten die scores om te zetten naar een consensusscore. De beoordelingscommissie heeft die fout hersteld, door elke inschrijving op elk element uitgebreid te bespreken en uiteindelijk te komen tot een consensusscore. Een hogere score op bepaalde onderdelen zal de uitkomst van de aanbesteding niet anders maken, omdat Thales daarmee nog altijd niet de hoogste totaalscore zal behalen zodat een noodzaak tot heraanbesteding, althans herbeoordeling van de inschrijvingen niet aan de orde is.
4.6.
Ilionx voert verweer en voert in dat verband aan dat Thales een verkeerde betekenis toekent aan de term SIEM. Volgens Ilionx heeft Vitens gevraagd om een managed-SOC waarbij de dienstverlener gebruik moet maken van zijn eigen geavanceerde technieken en systemen om bedreigingen te detecteren bij het verwerken van ruwe loggingsdata. Hoe die managed-SOC er technisch uit gaat zien is op zichzelf niet relevant, omdat het om het functionele eindresultaat gaat. Dat die eigen geavanceerde technieken en systemen onderdelen bevatten die ook als een SIEM-oplossing zouden kunnen worden aangemerkt, doet volgens Ilionx dan ook niet ter zake. Ilionx stelt zich op het standpunt dat zij op goede gronden als (voorlopig) winnende inschrijver is geëindigd, zodat geen grond bestaat voor toewijzing van de vorderingen van Thales.
4.7.
De bovenstaande standpunten van partijen doen allereerst de vraag rijzen welke diensten en producten Vitens in het kader van de door haar georganiseerde niet-openbare aanbestedingsprocedure nu eigenlijk heeft uitgevraagd. In hoofdstuk 2.3 van de Selectieleidraad is het onderwerp van de opdracht bepaald. Vitens verwacht een managed Security Operations Center dat naadloos aansluit op de infrastructuur van Vitens. Hoe deze managed-SOC eruit moet zien, is niet concreet omschreven en in die zin stuurt Vitens aan op een functioneel eindresultaat waarbij vrijheid bestaat voor de inschrijvers om hun aanbieding naar eigen inzicht vorm te geven. Daar is op zichzelf niets mis mee. Om een dergelijke aanbieding te kunnen doen, moet voor de inschrijvers echter wel duidelijk zijn welke situatie daarbij als uitgangspunt dient te worden gehanteerd. Eén van de in dat verband relevante onderdelen is het antwoord op de vraag of van de infrastructuur van Vitens deel uitmaakt een software tool voor detectie zoals een zogenaamde SIEM, waaruit voor de uiteindelijk gecontracteerde dienstverlener geanalyseerde data beschikbaar komt zodat het inzetten van een eigen beveiligingsdetectiemiddel door de aanbieder overbodig is, of dat vanuit Vitens enkel ruwe data wordt verstrekt die nog door de dienstverlener zelf moet worden geanalyseerd. Geconstateerd moet worden dat partijen daarover van mening verschillen. Daarmee rijst de vraag of de aanbestedingsstukken, gelezen tegen de achtergrond van de aanbestedingsprocedure en hoe die is verlopen, naar objectieve maatstaven gemeten ruimte laten voor verschillende interpretaties.
4.8.
Geconstateerd moet worden dat in de aanbestedingsdocumenten op meerdere plekken het onderdeel SIEM voorkomt. Zo wordt gesproken over ElasticSIEM, enkel SIEM en/of het Elasticplatform. Daarbij is van belang dat voor alle inschrijvers wel helder was dat dit zogenaamde Elastic platform aanwezig was bij Vitens (zoals onder andere genoemd in bijlage 2 bij de Selectieleidraad), maar Elastic kan zowel data kan loggen als ook kan er een SIEM van Elastic kan worden afgenomen. In de Selectieleidraad wordt hier verder niet op in gegaan.Uit de NvI in de selectiefase blijkt vervolgens dat namens geïnteresseerde partijen vragen zijn gesteld over de (al dan niet aanwezigheid van een) SIEM. Op de vraag of Vitens kan toelichten welke diensten zij specifiek wenst af te nemen van de inschrijver, waarbij gedacht kan worden aan (onder andere) SIEM, antwoordt Vitens dat deze dienst reeds wordt afgenomen bij bestaande leveranciers en dat de inschrijver met deze bestaande tooling moet integreren. Op de vraag hoeveel tijd en welke mate van complexiteit Vitens heeft geïnvesteerd in het gebruik van het Elastic platform als primaire SIEM-oplossing, antwoordt Vitens dat zij vanuit Elastic maar ook vanuit andere security producten alerts krijgt over mogelijke incidenten. Ook in de NvI in de inschrijffase komen vragen over SIEM terug. Op de vraag of Vitens haar huidige SIEM in eigen beheer heeft of niet, antwoordt Vitens dat de SIEM/monitoring tooling binnen het Vitens landschap zelf wordt beheerd, met als uitzondering het Elastic platform, dat door een derde partij wordt beheerd. Op de vraag of het mogelijk is om een uitsplitsing te maken tussen de kosten voor SIEM-beheer en NDR-beheer, antwoordt Vitens dat dat niet mogelijk is, omdat er voor de aanbieder geen kosten te verwachten zijn voor SIEM- en NDR-beheer;
‘Vitens heeft SIEM en NDR in eigen beheer.’
‘Vitens heeft SIEM en NDR in eigen beheer.’
4.9.
Het onderdeel SIEM is ook tijdens de Pre-Bid Meeting aan de orde gekomen. Dat volgt uit de op schrift gestelde presentatie die tijdens die bijeenkomst namens Vitens is verzorgd. Op één van de sheets staat bij incidentafhandeling Elastic genoemd en op de volgende sheet wordt gesproken over logmanagement en SIEM, waarbij Elasticsearch wordt genoemd en Elastic SIEM als toekomstbeeld. Wat dit nu concreet betekent voor de scope van de opdracht, kan uit de sheets niet zonder meer worden afgeleid. Dat tijdens de Pre-Bid Meeting voor zover nodig alle duidelijkheid zou zijn verschaft, is in ieder geval niet aannemelijk.
4.10.
Vitens stelt nu dat helder was dat zij geen gebruik maakt van de security-module van Elastic die een SIEM modaliteit bevat, maar uit het voorgaande blijkt dat zij daarin niet kan worden gevolgd. Er zit licht tussen de informatie in de aanbestedingsstukken die vanuit de aanbestedende dienst zijn verstrekt over de voor de opdracht benodigde detectiemiddelen om data uit het Elastic platform van Vitens te kunnen integreren en analyseren. Terwijl aan de ene kant wordt geantwoord dat er een SIEM-oplossing is en Vitens SIEM in eigen beheer heeft, wordt aan de andere kant aangegeven dat SIEM behoort tot het toekomstbeeld.
4.11.
In dat kader is verder nog van belang dat tussen partijen vaststaat dat er verschillende beveiligingsdetectiesystemen/ software tools beschikbaar zijn en dat dus niet per se een systeem met SIEM nodig is om het in de aanbestedingsstukken benoemde functionele resultaat te bereiken. Maar door in de aanbestedingsstukken meerdere keren een SIEM te noemen en ook met zoveel woorden aan te geven dat Vitens SIEM in eigen beheer heeft zonder een definitie te geven van wat Vitens onder SIEM verstaat, was voor de behoorlijk geïnformeerde en normaal oplettende inschrijvers niet duidelijk wat uitgangspunt was. Het had op de weg van Vitens gelegen om precies, duidelijk en ondubbelzinnig te schrijven wat de scope van de opdracht is en dat heeft zij nagelaten. Zij heeft onduidelijkheid gecreëerd over de aanwezigheid van een systeem voor detectie en analyse bij haarzelf en meer in het bijzonder over SIEM. Daardoor hebben de inschrijvers de opdracht verschillend geïnterpreteerd.
4.12.
Thales en Ilionx hebben daardoor de inschrijving in ieder geval verschillend benaderd. Uit de opmerkingen van Ilionx ter zitting kan overigens worden afgeleid dat ook zij niet goed wist wat Vitens met de gelogde data doet. Ook bij haar lijkt er aldus verwarring te zijn geweest. Zij meende echter dat zij zelf de verstrekte data toch nog wel moest analyseren en detecteren, juist omdat die verdere informatie ontbrak en een dubbelcheck in elk geval niet was verboden.
4.13.
Al met al is de conclusie Vitens heeft gehandeld in strijd met het transparantiebeginsel. Het lijkt er op dat zij zelf niet steeds duidelijk voor ogen heeft dat zij een functionele oplossing heeft gevraagd en dat daar niet per se SIEM voor nodig is en dat zij door haar antwoorden op de vragen inschrijvers op het verkeerde been heeft gezet. De motivering in de herbeoordeling getuigt daar ook van. Ilionx biedt namelijk naar eigen zeggen een totaaloplossing met elementen die ook als een SIEM kunnen worden beschouwd, terwijl Vitens haar bij de tweede voorlopige gunningsbeslissing prijst om de uitgebreide demo van het SIEM platform. Uit de omstandigheid dat namens Vitens ter zitting in eerste termijn werd betoogd dat het voor alle partijen duidelijk was dat Vitens op dit moment niet over een SIEM beschikt, dit in de (nabije) toekomst graag anders ziet, maar inschrijvers hoe dan ook voor de gehele contractsduur een eigen SIEM-oplossing moesten aanbieden waarmee ruwe data kan worden geanalyseerd, waar zij dat in tweede termijn feitelijk losliet en het standpunt innam dat in het geheel geen SIEM als onderdeel van de oplossing is uitgevraagd en dat het aan de inschrijvers zelf was om hun aanbieding naar eigen inzicht vorm te geven, lijkt ook te volgen dat Vitens op dit punt zelf nog steeds op twee gedachten hinkt.
4.14.
Bij deze stand van zaken komt de voorzieningenrechter tot het voorshands oordeel dat het op basis van de aanbestedingsdocumenten en de nadere toelichting van partijen niet voor iedere behoorlijk geïnformeerde en normaal oplettende inschrijver duidelijk was of een beveiligingsdetectiemiddel zoals SIEM deel uitmaakt van de infrastructuur van Vitens. Dit betekent dat voor deze categorie inschrijvers evenmin duidelijk was welke situatie bij de inschrijving als uitgangspunt had te gelden en daarmee wat nu concreet de scope van de opdracht was. Op basis daarvan is geen sprake van een heldere bepaling omtrent de omvang van de opdracht, maar van een bepaling die voor meerdere uitleg vatbaar is. Thales heeft voldoende gemotiveerd onderbouwd dat dit in de eerste plaats invloed heeft gehad op de wijze waarop zij haar inschrijving heeft vormgegeven. Niet in geschil is dat Thales geen software-tool voor detectie heeft aangeboden, omdat zij in de veronderstelling verkeerde dat Vitens een SIEM-oplossing in eigen beheer had en haar werkwijze daarmee moest integreren. Ter zitting is namens Thales benadrukt dat indien zij had geweten dat dit laatste niet het geval was, zij had ingeschreven met haar eigen tool waarmee zij eenvoudiger en goedkoper kan werken. Thales heeft voldoende aannemelijk gemaakt dat zij in dat geval een lagere prijs had aangeboden en dat ook de kwalitatieve onderdelen van haar inschrijving anders zouden zijn ingericht. Namens Thales is verder voldoende aannemelijk gemaakt dat de opdracht een andere kring van (potentieel) geïnteresseerde inschrijvers had aangesproken indien voor alle partijen duidelijk was geweest dat Vitens niet reeds over een SIEM-tool beschikt.
4.15.
Dit alles leidt tot de slotsom dat de bepaling ten aanzien van de scope van de opdracht in strijd is met het transparantiebeginsel en het beginsel van gelijke behandeling. Daarmee kleeft er een fundamenteel gebrek aan de aanbestedingsprocedure, met als gevolg dat deze niet als zodanig in stand kan blijven. Dit leidt ertoe dat Vitens reeds op deze grond zal worden geboden de tweede voorlopige gunningsbeslissing in te trekken en de aanbestedingsprocedure te staken en gestaakt te houden. Voor zover Vitens de opdracht voor een Managed-SOC, al dan niet inclusief een SIEM of andere software-tool voor detectie, nog wenst te gunnen, zal tot heraanbesteding moeten worden overgegaan. Nu de primaire vorderingen van Thales worden toegewezen, wordt niet toegekomen aan haar subsidiair en meer-subsidiair ingestelde vorderingen. De overige door partijen aangevoerde grondslagen, stellingen en verweren die (met name) zien op de wijze van beoordelen van de inschrijvingen en de inhoudelijke beoordelingen op zichzelf kunnen in het midden blijven en behoeven geen bespreking meer.
4.16.
De voorzieningenrechter ziet geen aanleiding aan de veroordelingen van Vitens een dwangsom te verbinden zoals door Thales is gevorderd, omdat de ervaring is dat Vitens veroordelende vonnissen pleegt na te komen en dit namens Vitens ook nu weer ter zitting met zoveel woorden is toegezegd.
4.17.
Toewijzing van de primaire vorderingen van Thales heeft tot gevolg dat de door Ilionx ingestelde vordering in de hoofdzaak strekkende tot een verbod voor Vitens Ilionx te passeren voor gunning van de opdracht, voor zover zij de opdracht nog wenst te gunnen, zal worden afgewezen.
4.18.
Vitens en Ilionx zijn in het ongelijk gesteld en moeten daarom de proceskosten (inclusief nakosten) betalen. De proceskosten van Thales worden begroot op:
- kosten van de dagvaarding
€
119,40
- griffierecht
€
714,00
- salaris advocaat
€
1.107,00
- nakosten
€
178,00
(plus de verhoging zoals vermeld
in de beslissing)
Totaal
€
2.118,40
4.19.
De gevorderde wettelijke rente over de proceskosten wordt toegewezen zoals vermeld in de beslissing.
4.20.
De veroordeling wordt (deels) hoofdelijk uitgesproken. Dat betekent dat iedere veroordeelde kan worden gedwongen het hele bedrag te betalen. Als de één (een deel) betaalt, hoeft de ander dat (deel van het) bedrag niet meer te betalen.
5.De beslissing
De voorzieningenrechter
in het incident tot tussenkomst
5.1.
staat Ilionx toe als tussenkomende partij in het geding tussen Thales en Vitens,
5.2.
veroordeelt Thales en Vitens in de proceskosten in het incident, tot de uitspraak van dit vonnis begroot op nihil,
in de hoofdzaak
5.3.
gebiedt Vitens de tweede voorlopige gunningsbeslissing in te trekken, de aanbestedingsprocedure te staken en gestaakt te houden en, voor zover Vitens de opdracht voor een MSOC, al dan niet inclusief een SIEM of andere software-tool voor detectie, nog wenst aan te besteden, een nieuwe aanbestedingsprocedure te organiseren,
5.4.
verstaat het bepaalde onder 5.3. als afwijzing van de vorderingen in de hoofdzaak van Ilionx,
5.5.
veroordeelt Vitens en Ilionx hoofdelijk in de proceskosten van € 2.118,40, te betalen binnen veertien dagen na aanschrijving daartoe, te vermeerderen met € 92,00 plus de kosten van betekening als Vitens en Ilionx niet tijdig aan de veroordelingen voldoen en het vonnis daarna wordt betekend,
5.6.
veroordeelt Vitens en Ilionx hoofdelijk tot betaling van de wettelijke rente als bedoeld in artikel 6:119 BW over de proceskosten als deze niet binnen veertien dagen na aanschrijving zijn betaald,
5.7.
verklaart dit vonnis uitvoerbaar bij voorraad,
5.8.
wijst het meer of anders door Thales gevorderde af.
Dit vonnis is gewezen door mr. D.T. Boks en in het openbaar uitgesproken in tegenwoordigheid van de griffier mr. E.H.J. Krijnen op 22 december 2025.
!NIET VERWIJDEREN, PLAATS VOOR HANDTEKENING SECRETARIS!
!NIET VERWIJDEREN, PLAATS VOOR HANDTEKENING RECHTER!
!NIET VERWIJDEREN, PLAATS VOOR STEMPELS!