Door de steeds verdergaande digitalisering van onze maatschappij komt de nadruk steeds meer te liggen op ICT en ICT-systemen. Het is dan ook niet verwonderlijk dat de praktijk van aanbestedingen van ICT-diensten en ICT-producten en van (geschillen over) ICT-contracten de laatste jaren een grote vlucht heeft genomen.
In veel gevallen gaat alles goed en is de afnemer (aanbestedende dienst) tevreden over de diensten/producten van de leverancier. Soms gaat het echter mis, bijvoorbeeld omdat er toch een hack kan plaatsvinden en/of omdat data verloren gaat, waardoor schade ontstaat.
Verantwoordelijkheid
Vaak komt dan de vraag op of de leverancier verantwoordelijk is voor de ontstane situatie en aansprakelijk voor de door de afnemer (aanbestedende dienst) geleden schade. Bij een dergelijke vraag wordt natuurlijk eerst gekeken naar de contracten en daarin genoemde bijlagen (waaronder algemene voorwaarden). Daarin is, als het goed is, beschreven welke verplichtingen de leverancier heeft voor bijvoorbeeld beveiliging, back-up en monitoring en onder welke omstandigheden de leverancier voor welke schade tot welk bedrag aansprakelijk is.
Als een contract is gesloten naar aanleiding van een aanbesteding, dan spelen vaak ook de aanbestedingsstukken zoals het bestek/Programma van Eisen (PvE), de nota’s van inlichtingen (NvI’s) en de inschrijving van de leverancier een belangrijke rol. Deze stukken zijn over het algemeen bijlagen bij het contract en daarin is vaak meer in detail beschreven welke verplichtingen de leverancier heeft c.q. waaraan de door hem geleverde producten en diensten moeten voldoen en dus wat de afnemer (aanbestedende) dienst mag verwachten.
Specifieke situaties
Toch zien wij in de praktijk dat er nog veel situaties zijn die niet specifiek zijn beschreven in de contracten en/of de aanbestedingsdocumentatie. Het is ook ondoenlijk om in het PvE uitputtend alle mogelijke situaties en de verantwoordelijkheden van de leverancier in die situaties te beschrijven. Nog daargelaten dat het maar de vraag is of er voldoende technische expertise in huis is om goed te beschrijven wat de leverancier precies moet doen en op welke wijze. Het kan nuttig zijn om aan te sluiten bij algemene (ISO/NEN) normen, maar ook die beschrijven meestal geen specifieke situaties.
Zorgplicht
Er zal dus altijd een aantal situaties zijn waarvan op basis van de contracten en aanbestedingsstukken niet duidelijk is wat precies de verantwoordelijkheid is van de leverancier en waarvan niet duidelijk is of de leverancier aansprakelijk is als die situatie zich voordoet. Voor die categorieën situaties zou mogelijk een beroep gedaan kunnen worden op de zorgplicht van de ICT-leverancier. Contracten voor ICT-producten en ICT-diensten kwalificeren vaak als overeenkomst van opdracht. Op grond van artikel 7:401 BW is de leverancier daarom in het algemeen gehouden om bij zijn werkzaamheden de zorg van een goed opdrachtnemer in acht nemen. Het gaat er dan om wat een redelijk handelend en bekwaam vakgenoot in een specifieke situatie zou doen. Dat is een algemene verplichting die op zich weinig houvast biedt en die uiteindelijk door de rechter op basis van de specifieke omstandigheden van het betreffende geval zal worden ingevuld.
Bijzondere zorgplicht
De laatste jaren heeft zich in de jurisprudentie naast de hiervoor beschreven contractuele algemene verplichting op diverse vlakken ook een buitencontractuele (bijzondere) zorgplicht ontwikkeld voor leveranciers die een aanmerkelijke voorsprong in kennis en/of deskundigheid hebben ten opzichte van hun afnemers. Een bekend voorbeeld zijn de financiële instellingen (als deskundigen) en de discussies over (en hun rol in de advisering over) rentederivaten. Ook voor ICT-leveranciers wordt, vanwege hun (over het algemeen) voorsprong voor wat betreft technische kennis, in de rechtspraak steeds vaker een bijzondere zorgplicht aangenomen. Wij publiceerden daarover al eens een aantal blogs.
Ook de bijzondere zorgplicht zal echter geen garantie zijn dat een leverancier uiteindelijk in een specifieke situatie verantwoordelijk én aansprakelijk zal zijn als een hack plaatsvindt en/of data verloren gaat.
Allereerst geldt ook voor de bijzondere zorgplicht dat deze uiteindelijk door de rechter zal worden ingevuld aan de hand van de specifieke omstandigheden van het geval. Dat betekent dat pas achteraf, bij het oordeel van de rechter, duidelijk wordt of de leverancier in een bepaalde situatie verantwoordelijk was.
Daarnaast zou mogelijk discussie kunnen bestaan over de vraag of de bijzondere zorgplicht van de ICT-leverancier wel een rol kan spelen in geschillen over contracten die zijn gesloten naar aanleiding van een aanbesteding. In een vonnis van mei 2023, in een zaak die draaide om een hack bij de Gemeente Hof van Twente, heeft de rechtbank Overijssel (ECLI:NL:RBOVE:2023:1731), bijvoorbeeld opgemerkt dat het maar de vraag is of naast de prestaties die in aanbestedingsstukken zijn beschreven nog andere eisen gesteld kunnen worden aan de leverancier op basis van de bijzondere zorgplicht. Volgens de rechtbank Overijssel zou de uitleg van een overeenkomst aan de hand van de CAO-norm (waarbij de bewoordingen van die bepalingen, gelezen in het licht van de gehele tekst van de aanbestedingstukken, in beginsel van doorslaggevende betekenis zijn) en het transparantiebeginsel daardoor ondergraven kunnen worden.
Hierbij moet wel bedacht worden dat het hier gaat om een vraag die de rechtbank zichzelf stelt en die vervolgens niet wordt beantwoord, omdat de rechtbank meent dat als er al een bijzondere zorgplicht zou gelden deze niet is geschonden. De rechtbank geeft geen oordeel. Verder moet bedacht worden dat het hier gaat om een uitspraak in eerste aanleg én dat in de literatuur kritisch is gereageerd op deze overweging, met name omdat het transparantiebeginsel niet in de weg lijkt te staan aan een algemene (voor iedereen kenbare) bijzondere zorgplicht en het afwijzen van deze bijzondere zorgplicht in aanbestedingscontracten mogelijk zal leiden tot (on-Nederlands en mogelijk onwenselijk) uitgebreide aanbestedings- en contractstukken.
In alle gevallen lijkt het echter niet verstandig om volledig te vertrouwen op de onvoorspelbare en onzekere bijzondere zorgplicht. Het is aan te raden om, waar mogelijk, de verplichtingen van de leverancier zo duidelijk en gedetailleerd mogelijk te beschrijven in de aanbestedingsstukken om discussies te voorkomen. Waar dat niet mogelijk is, zou gewerkt kunnen worden met algemene (ISO/NEN) normen en bijvoorbeeld een contractuele zorgplicht waarmee een algemeen minimumniveau van dienstverlening wordt vastgelegd.