Advies 314:Mag een ISAE 3402 rapport gevraagd worden of is dit een disproportionele eis? Gelijkwaardigheid certificaten.
Europese openbare procedure voor een raamovereenkomst voor ICT-diensten. De opdracht is verdeeld in drie percelen. De klacht betreft perceel 1 (Infrastructure as a Service). In het Programma van Eisen en Wensen staan de volgende twee eisen: (i) de inschrijver beschikt over een ISAE 3402 Type II rapport van maximaal 1 jaar oud (of gelijkwaardig) en (ii) de inschrijver is in staat jaarlijks een ISAE 3402 rapoort (of gelijkwaardig) af te geven. Geklaagd wordt dat de eerste eis als geschiktheidseis niet in het Programma van Eisen thuis hoort, dat de twee eisen disproportioneel zijn, dat de eisen voor gelijkwaardige certificeringen niet bekend gemaakt zijn, de inschrijving van klager ten onrechte terzijde is gelegd aangezien zij over een volgens haar gelijkwaardig ISO 27001 certificaat beschikt en dat de motivering van de gunningsbeslissing onvoldoende is.
De Commissie constateert dat de eerste eis inderdaad een geschiktheidseis is en derhalve in de aankondiging bekend gemaakt had moeten worden. Echter, door het opnemen van de eis in het Programma van Eisen en Wensen is klager naar het oordeel van de Commissie niet benadeeld, zodat dit klachtonderdeel ongegrond wordt verklaard.
De Commissie overweegt op dat de gewraakte eisen op zich zinvol zijn, aangezien daardoor accountants bepaalde onderzoeken niet meer hoeven uit te voeren, wat een kostenbesparing kan opleveren. Echter, dat neemt niet weg dat bij de gevraagde dienstverlening (Infrastructure as a Service) de opdrachtnemer weliswaar verantwoordelijk is voor de beschikbaarheid van de gehoste applicaties, maar niet verantwoordelijk is voor het beheer van die applicaties. Op de correctheid van de werking van die applicaties kan de opdrachtnemer dus geen invloed uitoefenen. Daarmee is de zware eis van een ISAE 3402 Type II-rapport onvoldoende relevant voor de gevraagde dienstverlening en zijn de gewraakte eisen naar het oordeel van de Commissie disproportioneel.
De klacht over gebrek aan transparantie bij het beschrijven van de eisen wordt ongegrond verklaard wegens een niet proactieve houding van klager in d einlichtingenronde. Ten overvloede overweegt de Commissie dat het toevoegen van "of gelijkwaardig" zonder verdere toelichting op zich toelaatbaar is.
Omtrent het ISO 27001 certificaat overweegt de Commissie dat dit wel tot op zekere hoogte vergelijkbaar is, maar anders dan klager stelt niet gelijkwaardig is met een ISAE 3402 Type II rapport, zodat dit klachtonderdeel ongegrond wordt verklaard.
De Commissie is wel van oordeel dat beklaagde in de mededeling van de gunningsbeslissing niet kon volstaan met de mededeling dat de in de inschrijving van klager genoemde rapporten ISO 9001 en ISO 27001 niet gelijkwaardig zijn aan een ISAE 3402 Type II rapport, maar dat zij klager meer inzicht had moeten verschaffen in de redenen waarom de bedoelde rapporten niet gelijkwaardig zijn. Het laatste klachtonderdeel wordt derhalve gegrond verklaard.