Eind 2020 is een nieuwe versie van de GIBIT-voorwaarden gelanceerd. Op 14 mei 2021 is daaraan de GIBIT-Toolbox toegevoegd. De afkorting GIBIT staat sinds die datum dan ook voor zowel Gemeentelijke Inkoop bij IT Toolbox (GIBIT-Toolbox) als voor Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT-voorwaarden). Aanleiding om in deze opennoot de toolkit en de gewijzigde voorwaarden te behandelen om de praktijkjurist die gemeenteaanbestedingen begeleidt, op weg te helpen. Na een korte schets van het verleden, wordt de inhoud van de Toolbox behandeld, gevolgd door de belangrijkste wijzigingen in de GIBIT-voorwaarden.
1 Geschiedenis
De GIBIT-voorwaarden zijn geboren uit onvrede over de Algemene Rijksvoorwaarden bij IT, de ARBIT.[1] De gemeenten, verenigd in de Vereniging Nederlandse Gemeenten (VNG), zijn van mening dat de ARBIT voor hen onvoldoende passend waren en dat daarom een eigen set inkoopvoorwaarden nodig was. Het is onhandig voor de praktijkjurist dat hierdoor meerdere sets algemene inkoopvoorwaarden voor de overheid zijn ontstaan, terwijl de noodzaak voor de lezer niet echt duidelijk wordt.
In 2016 zag de eerste versie van de GIBIT-voorwaarden[2] het licht. De bedoeling was om dicht bij de tekst van de ARBIT te blijven, maar dat is niet echt gelukt. Gek genoeg zijn er in de GIBIT-voorwaarden elementen terug te vinden uit een voorloper van de ARBIT, namelijk de uit de jaren negentig stammende BiZa-modellen. In eerste instantie leken de GIBIT-voorwaarden dan ook eerder een stap terug in de tijd. Daar is nu in positieve zin wel iets aan veranderd.
2 De vernieuwde aanpak: een toolbox
De GIBIT-Toolbox[3] bestaat uit een online overeenkomstengenerator, de Gemeentelijk ICT-kwaliteitsnormen, een Stappenplan aansprakelijkstelling leverancier, een Rekenblad Schade Aansprakelijkheid, een online Forum en informatiegroep en – tot slot – de GIBIT-voorwaarden zelf.
Overeenkomstengenerator
Met de overeenkomstengenerator heeft de VNG gehoor gegeven aan geluiden van zowel inkopers bij gemeenten als ICT-leveranciers. Een probleem bij het hanteren van algemene inkoopvoorwaarden, zeker in aanbestedingen, is dat inkopers het vaak niet aandurven om af te wijken van die inkoopvoorwaarden. Ze missen de kennis (of tijd) om te beoordelen of in een specifiek geval er voor een aanbesteding aanleiding bestaat om af te wijken. Zelfs als alle mogelijke aanbieders tijdens het aanbestedingsproces gemotiveerd vragen of de aanbestedende dienst wil overwegen af te wijken, zie je in de praktijk toch dat dit zonder motivering wordt afgewezen. Om mee te kunnen doen aan de aanbesteding, moeten leveranciers dan clausules accepteren waarmee zij disproportionele risico’s lopen. Dit leidt in de praktijk tot disproportionele contracten, waarbij de door de overheid gestelde eisen niet in verhouding staan tot de uit te voeren opdracht. Daarmee overtreed een aanbestedende dienst het proportionaliteitsbeginsel, een van de vier basisprincipes van de aanbestedingswet 2012.[4]
De contractengenerator geeft hier meer flexibiliteit. De generator is bedoeld om de (hoofd-) overeenkomst voor ICT-diensten op te stellen. Bij het gebruik van de contractengenerator krijgt een gemeente middels meerkeuzevragen op een aantal plekken concrete afwijkingsmogelijkheden van de GIBIT-voorwaarden en vrije ruimte om afwijkingen in te voeren.
De VNG zegt daar op haar site zelf het volgende over: “Door niet alleen de GIBIT-voorwaarden, maar de volledige GIBIT-Toolbox tot standaard te verklaren, wordt duidelijk dat de GIBIT niet in alle gevallen ‘van A tot Z’ hoeft te worden toegepast. In veel situaties is het juist wenselijk om ervan af te wijken. Het kan immers zo zijn dat bepaalde vangnetbepalingen in de GIBIT niet relevant zijn, of juist aanscherping behoeven. Bovendien is het voorstelbaar dat het in sommige gevallen niet proportioneel is om bepaalde waarborgen of verantwoordelijkheden van leveranciers te verlangen. Niet-toepassingsgericht gebruik van de GIBIT-voorwaarden kan er ten slotte toe leiden dat op een uitvraag minder of geen aanbiedingen van leveranciers volgen.[5]”
Hiermee hebben inkopers meer houvast voor mogelijke afwijkingen en wordt de benodigde flexibiliteit geboden. Leveranciers die zich de GIBIT-Toolbox eigen maken, kunnen bij hun voorstellen voor afwijking rekening houden met de afwijkingen in de generator èn achterhalen waar de ruimte zit voor vrije tekst. Zo kunnen leveranciers gerichter vragen stellen. Ook zorgt de generator ervoor dat er daadwerkelijk een compleet contract wordt gegenereerd. Iets dat nogal eens ontbreekt in de praktijk: het “contract” bestaat dan alleen uit de aanbestedingsstukken, de inschrijving en de algemene voorwaarden, waardoor het een zoekplaatje wordt wat nu eigenlijk de gemaakte afspraken zijn.
Geïnteresseerde leveranciers kunnen een account aanvragen voor toegang tot de GIBIT-Toolbox, ook zonder dat zij meedoen aan een concrete aanbesteding.[6] Zo kunnen leveranciers vast kennismaken met de generator zonder de tijdsdruk van een daadwerkelijke aanbesteding.
Gemeentelijke ICT-kwaliteitsnormen
De gemeentelijke ICT-kwaliteitsnormen maken automatisch deel uit van de overeenkomst als de GIBIT-voorwaarden worden gehanteerd. De kwaliteitsnormen geven technische uitleg en standaarden die gemeenten gebruiken. Het dient ook als informatiedocument voor leveranciers over het ‘applicatielandschap[7]’ van de gemeenten. Dit is een gedefinieerd begrip in de GIBIT-voorwaarden. Een leverancier doet er goed aan dit document te bestuderen en er waar nodig vragen over te stellen. Immers, conform art. 6.1 behoort het voldoen aan de kwaliteitsnormen tot het “Overeengekomen gebruik” zoals gedefinieerd in de GIBIT-voorwaarden. Daarnaast draait de leverancier conform art. 5.5 van de GIBIT-voorwaarden op voor alle kosten als tijdens implementatie blijkt dat er een aanpassing op het applicatielandschap nodig is die hij niet voorzien had. De toepassing van de kwaliteitsnormen in samenhang met de GIBIT-voorwaarden legt daarmee een aanzienlijk risico voor onvoorziene interoperabiliteitsproblemen bij de leverancier.
Stappenplan aansprakelijkstelling leverancier
Het stappenplan is een beetje een vreemde eend in de bijt. Het stappenplan zegt zelf dat het een vereenvoudigde weergave van de wet is. Het lijkt daarmee meer een hulpmiddel voor een jurist die zijn examen Burgerlijk recht niet meer scherp voor ogen heeft, dan een tool om tot betere contracten te komen tussen gemeenten en ICT-leveranciers. Waarom het in de toolkit zit, is mij dan ook niet duidelijk.
Rekenblad Schade Aansprakelijkheid
Met het Rekenblad Schade Aansprakelijkheid kan geïnventariseerd worden hoeveel (mogelijke) schade er geclaimd kan worden als er iets misgaat bij de uitvoering van de overeenkomst. Met dit rekenblad zouden partijen kunnen inschatten of er reden is om de aansprakelijkheidsclausule aan te passen.
Ik vraag mij af of dit in de praktijk werkt. Immers, juist als een leverancier op een zeer risicovol project inschrijft, waar de kans op mislukking en dus schade groter is, zal hij zijn aansprakelijkheid meer willen beperken. Een leverancier staat niet te trappelen om te beginnen aan een project waarmee hij potentieel zijn bedrijf op het spel zet, zijn werknemers in gevaar brengt en al zijn andere klanten niet meer kan bedienen als het mis gaat. Dit geldt zeker met contracten waarop de marges klein zijn. In een aanbesteding wordt meestal naar de laagste prijs gezocht, dus veel risicopremie kan de leverancier niet in zijn offerte verwerken. Zorgvuldige leveranciers die geen onaanvaardbare risico’s nemen, zullen er zonder de aanpassing van de exoneratie uit de GIBIT-voorwaarden voor kiezen om niet in te schrijven. Of een gemeente bereid is de exoneratie aan te passen bij risicovolle projecten is de vraag. Overigens specificeert het Rekenblad Schade Aansprakelijkheid een lijst met schadeposten die limitatief was opgenomen in de GIBIT-voorwaarden uit 2016. Die lijst is verdwenen uit de versie in 2020. Navraag bij de VNG leert dat het Rekenblad Schade Aansprakelijkheid in een volgende versie wordt aangepast.
Afwijkingen mogelijk
De GIBIT-Toolbox is door de VNG vastgesteld als gemeentelijke standaard in de zin van ‘pas toe of leg uit’. Een vereniging als de VNG kan haar leden niet zomaar dwingen om bepaalde standaarden te gebruiken. Door de GIBIT-Toolbox op deze manier vast te stellen, wil de VNG ervoor zorgen dat zo veel mogelijk gemeenten wel gebruik gaan maken van de standaardisatiemiddelen die hun via de GIBIT-Toolbox worden aangereikt of anders dienen te motiveren waarom zij afwijken.
Er blijft door het ‘pas toe of leg uit-principe’ wel degelijk ruimte om een afwijkende set voorwaarden te gebruiken of een ander contract dan de tekst die met de generator gemaakt kan worden. Het zal in de praktijk voor een leverancier echter niet makkelijk zijn om inkopers daarvan te overtuigen, omdat inkopers dan intern hun nek moeten uitsteken en moeten uitleggen waarom afwijking van de GIBIT-Toolbox gerechtvaardigd is.
Een interessante constatering is altijd dat gemeenten wel gezamenlijk mogen optrekken en standaarden met elkaar mogen afspreken en afdwingen. Als leveranciers op deze manier samen zouden optrekken, overtreden zij al snel de Mededingingswet.[8]
3 Belangrijkste wijzigingen
Er zijn veel kleine en grotere wijzigingen doorgevoerd in de GIBIT-voorwaarden. Hier worden een paar belangrijke wijzigingen nader uitgewerkt.
Tenzij-clausules
De GIBIT-voorwaarden zitten vol met “tenzij-clausules”. Dit zijn clausules die beginnen met woorden als “Tenzij in de overeenkomst uitdrukkelijk anders is bepaald, zal leverancier zorgdragen voor …”. Als er dus, als voorbeeld, niet expliciet in de hoofdovereenkomst staat dat er GEEN onderhoud wordt afgenomen, dan heeft de gemeente conform art. 8.1 recht op onderhoud, ook als dat niet zou zijn uitgevraagd in de aanbesteding. Voor de duidelijkheid zal een leverancier deze tenzij-clausules dus uitdrukkelijke uitgesloten willen zien. Echter, de contractengenerator bevat voor deze “tenzij-clausules” geen ‘wel van toepassing/niet van toepassing-optie’. Bij het doorlopen van de generator kruist de gebruiker de onderwerpen aan waarover hij afspraken wil maken. Als er geen onderhoud is uitgevraagd, zal hij het hoofdstuk ‘onderhoud’ niet aankruisen en komt er ook niets over onderhoud in de overeenkomst. Daarmee is onderhoud dus ook niet uitdrukkelijk uitgesloten en zou een gemeente alsnog - gratis - onderhoud kunnen eisen. Dit is mijns inziens een omissie in de contractengenerator. Het leidt ertoe dat een leverancier moet uitleggen dat hij de tenzij-clausules toch expliciet uitgesloten wil zien, om later niet alsnog met een leveringsplicht geconfronteerd te worden, terwijl daartoe geen optie in de generator zit. Dan komt het aan op de ‘vrije tekst’ en dat kan weer tot allerlei weigeringen, fouten en onduidelijkheden leiden. Het risico bij onduidelijkheden over “tenzij-clausules” ligt door de formulering bij de leverancier, terwijl hij in een aanbesteding weinig invloed heeft op de tekst van de overeenkomst. De VNG heeft toegezegd hieraan te werken om ervoor te zorgen dat er op een of andere manier wel vanzelf tekst in de overeenkomst staat die de niet uitgevraagde diensten expliciet uitsluit.
Onderhoud ten dele anders geformuleerd
Met betrekking tot onderhoud is de tekst aangepast zodat een leverancier niet voor elke storing hoeft te komen opdraven, maar slechts voor die storingen die ook (aantoonbaar) met zijn geleverde prestatie te maken hebben. Ook is de verplichting om te blijven voldoen aan wet- en regelgeving zo aangepast dat die alleen ziet op het overeengekomen gebruik. De belangrijkste winst geldt voor derdenprogrammatuur: Voor onderhoud op derdenprogrammatuur wordt aangesloten bij de omschrijving van de derde leverancier. Zo wordt voorkomen dat een leverancier tot meer onderhoud verplicht is dan zijn toeleverancier hem levert. Hiermee wordt beter bij de bestaande praktijk aangesloten.
Intellectuele eigendom op maatwerk
De verplichting om intellectuele eigendom (IE) op maatwerk over te dragen aan de gemeente is gehandhaafd in artikel 13. Gelukkig is de (optionele) eis vervallen dat die IE-rechten vervolgens weer door de leverancier moesten worden teruggekocht als de gemeente daarom verzocht. Waarom gemeenten de standaard IE-overdracht op maatwerk wel handhaven is onduidelijk. Gemeenten hebben er vaak niets aan, en het is buitengewoon onhandig (en dus kostenverhogend) voor leveranciers. Als er een volledig nieuw product van de grond af wordt ontwikkeld, waarop een gemeente vervolgens zelf verder wil ontwikkelen, is IE-overdracht begrijpelijk, alhoewel ook dan niet nodig. Een ruim geformuleerd licentierecht zou volstaan. Meestal gaat het echter om een deel maatwerkfunctionaliteit op bestaande standaardsoftware. Op die extra functionaliteit zal een gemeente niet snel zelf onderhoud of doorontwikkeling kunnen doen wanneer zij niet ook de rechten op die standaardsoftware heeft. Ook een andere reden voor overdacht van IE, namelijk het verkrijgen van concurrentievoordeel, zal bij gemeenten geen rol spelen. Het nadeel voor leveranciers is dat bij IE-overdracht ook geen kleinere stukjes code hergebruikt kunnen worden uit bestaande codebibliotheken, of naderhand toegevoegd kunnen worden aan die bibliotheken. Elke regel moet opnieuw geschreven worden. Dat kost meer tijd, en dus geld. Het eisen van IE-overdracht bij dit soort veel voorkomend maatwerk is daarom geen efficiënt gebruik van gemeenschapsgeld. Een brede licentie, waar nodig ook op de broncode, volstaat.
Natuurlijk kan het voorkomen dat overdracht echt gewenst is. Die afwijking op de regel kan dan beter als optie in de contractengenerator worden opgenomen, dan standaard in de inkoopvoorwaarden.
De verplichting om – gratis – een automatische licentie te leveren aan andere gemeenten op aanvullend maatwerk is verwijderd (art. 12.3 jo 17.5). Dit waren voor leveranciers onwerkbare clausules en het is dan ook goed dat die zijn aangepast.
Aansprakelijkheid
De aansprakelijkheidsclausule (artikel 13) is drastisch gewijzigd. Helaas wordt nog steeds aangehaakt bij een schadevergoeding per gebeurtenis, een begrip waarmee in de IT, anders dan in de fysieke wereld, niet goed gewerkt kan worden. De lijst met schadeposten is wel verwijderd. Dat maakt de clausule overzichtelijker. De schadevergoeding is beperkt tot tien keer de jaarvergoeding per gebeurtenis met een maximum van twintig keer de jaarvergoeding per jaar. Weliswaar is dit een extreem hoog en niet marktconform maximumbedrag, dat ook al snel buiten de standaard verzekerde bedragen zal vallen, maar er is nu in ieder geval een maximumbedrag opgenomen. Een ander pluspunt is dat in de overeenkomstengenerator ruimte gemaakt is om het maximumbedrag aan te passen op de specifieke overeenkomst.
Boetes voor verwerking van persoonsgegevens
Tot slot is er een wijziging doorgevoerd met betrekking tot het doorschuiven van boetes die zijn opgelegd door toezichthouders. In de versie van 2016 stond dat de leverancier de gemeente diende te vrijwaren tegen alle boetes van toezichthouders. Hier is met name gedacht aan boetes van de Autoriteit Persoonsgegevens in verband met verwerking van persoonsgegevens. Het doorschuiven van boetes aan toeleveranciers in overeenkomsten gebeurt veelvuldig sinds de invoering van de Algemene verordening gegevensbescherming (AVG). Daarbij worden vaak wat merkwaardige keuzes gemaakt. Ten eerste worden boetes vaak in de definitie van schade opgenomen en vervolgens als schade doorberekend aan leveranciers. Boetes zijn bedoeld als straf. Als je die vervolgens eenvoudig als schade doorschuift, dan blijft er weinig over van het punitieve karakter van een boete.[9] Ten tweede wordt de clausule vaak zo geformuleerd dat ook boetes verhaald kunnen worden die zijn opgelegd voor een fout van de afnemer zelf, maar die wel te maken heeft met een toerekenbare tekortkoming van de leverancier. Neem nu de boete voor het Hagaziekenhuis.[10] Die boete werd opgelegd omdat er 1) onvoldoende beveiligd was (geen 2-factor authentication toegepast) en 2) intern in de logbestanden onvoldoende gecontroleerd werd of medewerkers dossiers raadpleegden waar ze niets in te zoeken hadden. Het eerste zou ook een toerekenbare tekortkoming kunnen zijn van de leverancier, maar het tweede niet. Er is één boete opgelegd voor beide feiten gezamenlijk. Stel nu dat het aan de leverancier zou zijn toe te rekenen dat de beveiliging niet afdoende was, dan had de boete in zijn geheel doorgelegd kunnen worden, omdat de boete te maken heeft met de toerekenbare tekortkoming, terwijl de leverancier er weinig aan kan doen dat de logbestanden door het ziekenhuis onvoldoende gecontroleerd werden. Daarnaast zijn boetes gebaseerd op de ‘omzet’ van de afnemer en kunnen deze bij recidive verhoogd worden. Dit zijn beiden factoren waar de leverancier geen invloed op heeft.
De tekst waarbij boetes van toezichthouders integraal doorgeschoven kunnen worden, is genuanceerd. Een verschil is dat het nu niet meer om een vrijwaring, maar om het vervallen van de beperking van aansprakelijkheid. Verder kunnen boetes slechts worden verhaald in geval de boete ook rechtstreeks aan de leverancier opgelegd had kunnen worden, maar niet is opgelegd. Ook moet de leverancier vroegtijdig geïnformeerd worden en in staat gesteld worden om verweer te voeren. Dit zou moeten voorkomen dat boetes, of gedeelten daarvan, kunnen worden doorgeschoven voor feiten die niet in de risicosfeer van de leverancier liggen. Ook kan hij verweer voeren om niet voor een voldongen feit gesteld te worden.
4 Tot slot
De VNG heeft met de nieuwe GIBIT-voorwaarden en toolkit een mooie stap gezet naar meer evenwichtige IT-contracten bij gemeenten. Natuurlijk blijven het inkoopvoorwaarden die veel risico’s bij leveranciers leggen, maar in samenhang met de contractgenerator is er meer ruimte voor maatwerk per aanbesteding. Ook heeft de VNG een permanente dialoog opgezet voor belanghebbenden. Leveranciers kunnen hier aanschuiven en meepraten over verbetering van het aanbestedingsproces en de toolkit. Tot slot kunnen leveranciers algemene klachten, suggesties of verkeerd gebruik, desgewenst ook anoniem, delen met VNG via de branche-organisatie NLdigital. Nu is het zaak dat gemeenten de toolkit ook daadwerkelijk gaan gebruiken en de voorwaarden waar nodig flexibel toepassen en de permanente dialoog gebruiken om tot betere aanbestedingen te komen.
5 Eindnoten
[1] De eerste versie van de ARBIT stamt uit 2010 en is gepubliceerd in de Staatscourant: stcrt-2010-11138. Nieuwe versies stammen uit 2014, 2016 en 2018. De nieuwste versie is te vinden op: PIANOo.nl, inclusief bijbehorende modelcontracten en toelichting.
[2]Gemeentelijke Inkoopvoorwaarden bij IT, versie 2016, VNGrealisatie.nl.
[3] Zie Gemeentelijke Inkoop bij IT Toolbox (GIBIT), VNGrealisatie.nl, voor links naar alle documenten.
[4] De andere principes uit de aanbestedingswet 2012 zijn non-discriminatie, het gelijkheidsbeginsel en transparantie. Zie ook de Gids proportionaliteit 2e herziening, januari 2020, met name Voorschrift 3.9.D.
[5]Gemeentelijke Inkoop bij IT Toolbox (GIBIT), VNGrealisatie.nl.
[6] Belanghebbenden kunnen een account voor toegang tot de contractengenerator aanvragen via Gibit@vng.nl.
[7] Applicatielandschap is in artikel 1 gedefinieerd als: ”het geheel van interne en externe systemen, software, databanken, koppelingen, apparatuur, ICT-infrastructuur en hulpmiddelen die voor de Opdrachtgever de geautomatiseerde informatievoorziening vormt waarbinnen de ICT Prestatie ingepast wordt.”
[8] Zie onder andere de leidraad van de ACM over samenwerking tussen concurrenten, paragraaf 3.4 over algemene voorwaarden.
[9] Overigens is de Hoge Raad van mening dat boetes wel contractueel mogen worden doorgelegd, zie HR 11 december 2015, ECLI:NL:HR:2015:3568 waar het ging om het contractueel doorschuiven van boetes uit de Wav. De Hoge Raad overweegt in onderdeel 3.6 dat een dergelijk verhaalsbeding als zodanig niet onaanvaardbaar afbreuk doet aan het doel of de strekking van de Wav.
[10]Besluit tot het opleggen van een bestuurlijke boete en een last onder dwangsom, Brief Autoriteit Persoonsgegevens, 18 juni 2019.