Inkoopvoorwaarden GIBIT 2023

Toelichting per artikel GIBIT 2023

I. Algemeen deel

Artikel 1. Begrippen

In dit artikel zijn de diverse centrale begrippen uit de GIBIT gedefinieerd. Deze begrippen worden niet afzonderlijk toegelicht, doch worden besproken bij de verschillende artikelen waar ze worden gebruikt.

In algemene zin kan worden opgemerkt dat gepoogd is de begrippen abstract en beschrijvend te houden en zeer terughoudend te zijn met het opnemen van inhoudelijke keuzes in de begrippen. De GIBIT-voorwaarden blijven generiek, abstract van karakter. Ze moeten immers op een veelheid aan situaties van toepassing kunnen zijn.

Er is overwogen het begrip ‘kosten’ toe te voegen (bijvoorbeeld om helder te hebben wat het tarief is bij meerwerk). Uiteindelijk is daar toch niet voor gekozen, aangezien in de praktijk veelal afspraken daarover zullen zijn gemaakt in de Overeenkomst. En bij gebreke van die afspraken zullen onder de kosten de reguliere commerciële tarieven worden verstaan (gelijk zo de wet). Een definitie voegt dan niets toe.

In de GIBIT wordt om de wederpartij van de leverancier aangeduid als “Opdrachtgever”. Hiervoor is gekozen omdat de GIBIT behalve door gemeenten zelf, ook gebruikt kan worden door gemeentelijke samenwerkingsverbanden of andere (al dan niet aan de gemeente gelieerde) instanties. In deze toelichting wordt daarom ook steeds over “Opdrachtgever” gesproken.

De wijzigingen in de begrippen van de GIBIT-versie 2023 ten opzichte van de versie 2020 zijn de volgende:

• *

  Acceptatie: Aan het artikel is een verwijzing naar artikel 9.10 (over impliciete acceptatie) toegevoegd. Dit is gebeurd in reactie op feedback van leveranciers.

• *

  Aflevering: Het begrip Aflevering is toegevoegd. Dit komt terug in het eveneens nieuw toegevoegde artikel 5 over transport, eigendom en risico van Producten. Hiervoor is gekozen omdat de GIBIT tot op heden niet zo veel aandacht had voor fysieke producten. Het begrip is overgenomen uit de ARBIT.

• *

  Algoritmische toepassing: Het begrip Algoritmische toepassing is toegevoegd. Dit komt terug in het eveneens nieuw toegevoegde artikel 13 over dergelijke toepassingen. Zie de toelichting aldaar.

• *

  Bestek: Het begrip Bestek is toegevoegd. Het is een in aanbestedingsprocedures veel gebruikt begrip. Het gebruik van het begrip vergroot de herkenbaarheid en uniformiteit van documenten. Het begrip is overgenomen uit de ARBIT.

• *

  Dienstverlening op Afstand: Het oude begrip Hosting is hernoemd tot het begrip Dienstverlening op Afstand. Ter verheldering zijn er ook de woorden “(zoals cloud, ASP, SaaS, PaaS)” aan toegevoegd. Inhoudelijk gezien is er geen sprake van een wijziging; alle vormen van cloud, ASP, SaaS en PaaS zouden immers al onder de oude definitie van Hosting hebben gevallen. Op Dienstverlening op Afstand (voorheen: Hosting) is het be- paalde in hoofdstuk III van toepassing.

• *

  GIBIT 2023: De definitie van GIBIT 2023 is toegevoegd. Het doel is vooral te verhelderen dat met het begrip GIBIT voortaan altijd de gehele toolbox wordt bedoeld, niet slechts de inkoopvoorwaarden. Het is bekend dat dit begrip verder niet terugkomt in de tekst.

• *

  ICT Prestatie: Het woord zaken is door Producten veranderd in de definitie van ICT Prestatie. Inhoudelijk gezien is geen wijziging beoogd. De praktijk leerde evenwel dat de juridische begrippen “zaken” en “goederen” bij menig lezer tot verwarring leidde.

• *

  Inkoopvoorwaarden: Het begrip Inkoopvoorwaarden is toegevoegd, parallel aan het toevoegen van het begrip GIBIT 2023.

• *

  Maatwerkprogrammatuur: De definitie van Maatwerkprogrammatuur is iets verfijndDoor de introductie van de nummers (i) en (ii) wordt het onderscheid tussen een zelfstandig programma enerzijds en aanpassingen of configuraties van Standaardprogrammatuur anderzijds wat zuiverder gemaakt. Verder is toegevoegd dat ook configuraties onder het begrip Maatwerkprogrammatuur kunnen vallen.

• *

  Product: Het begrip Product is toegevoegd. Overal waar “zaak” stond is dit vervangen door Product. Inhoudelijk gezien is daarmee geen wijziging beoogd (nu het Product immers gedefinieerd is als een zaak). De ervaring leerde echter dat het juridische begrip ‘zaak’ bij niet-juristen wel eens tot verwarring leidden. Het begrip is overgenomen uit de ARBIT.

• *

  Programmatuur: Aan de definitie van Programmatuur is toegevoegd dat daaronder ook is te verstaan de te leveren Koppelingen.

• *

  Service Levels: Aan het begrip Service Levels is bij de vermelding van de voorbeelden toegevoegd een norm voor Beschikbaarheid. Materieel gezien is dit geen wijziging, nu het een niet-limitatieve opsomming is en was.

• *

  Update: Aan de definitie van Update is toegevoegd dat de naamgeving of nummering niet relevant is voor de vraag of sprake is van een Update. Materieel gezien is dat geen wijziging, nu ook onder de oude definitie naamgeving of nummering niet relevant was. Het benadrukt evenwel dat leveranciers niet van afspraken over toekomstig onderhoud kunnen afwijken louter op grond van andere naamgeving of nummering.

• *

  Vergoeding: Het begrip Vergoeding is iets verruimd. In de nieuwe definitie kan daaronder ofwel de overeengekomen prijs, ofwel de feitelijk betaalde prijs worden verstaan. Dit is met name ingegeven door de praktijk, waarbij initieel kleine opdrachten soms uitgroeien tot grotere opdrachten. Het is dan niet onredelijk dat de aansprakelijkheid – waarbij het begrip Vergoeding wordt gebruikt – als het ware ‘mee-ademt’ met de feitelijke omvang van de opdracht.

   

Artikel 2. Toepasselijkheid

Dit artikel geeft enkele algemene regels omtrent de toepasselijkheid van de GIBIT. Daarbij wordt onder ICT Prestatie verstaan de totale leveringsomvang van te leveren producten en diensten en gebruiksrechten.

Artikel 2.1 bepaalt dat de GIBIT niet alleen van toepassing is op de ICT Prestaties uit de Overeenkomst, maar ook op daarmee – eventueel in de toekomst overeen te komen – samenhangende ICT Prestaties. Hiermee wordt beoogd te voorkomen dat op latere, aanvul- lende, overeenkomsten opeens een andere set voorwaarden van toepassing zou zijn. Hiervan kan uiteraard worden afgeweken; de voorwaarden zijn een vangnet.

Let wel: er is niet beoogd leveranciers voor alle toekomstige opdrachten bij voorbaat aan de GIBIT te binden. Het beding heeft alleen betrekking op overeenkomsten die samenhangen met een overeenkomst waarbij de toepasselijkheid van de GIBIT reeds bedongen is. Een voorbeeld is dat op een later moment alsnog een onderhoudsovereenkomst wordt afgesloten terwijl die oorspronkelijk niet tot de overeenkomst behoorde. Deze betreffende onderhouds- overeenkomst valt dan onder de voorwaarden van de GIBIT. Opdrachtgevers dienen er dus op bedacht te zijn voorafgaand aan het sluiten van een overeenkomst – dus al in de fase van een offerteaanvraag/aanbesteding – de GIBIT van toepassing te verklaren. Zodoende wordt geborgd dat vanaf het begin de GIBIT als voorwaarden geldt, ook voor aanvullende overeen- komsten die op een later moment worden afgesloten.

Artikel 2.2 ziet op de indeling van de GIBIT in drie hoofdstukken. Het algemene hoofdstuk I is altijd van toepassing; de overige hoofdstukken met bepalingen over privacy, beveiliging, archiefbeheer en Dienstverlening op Afstand zijn van toepassing naar gelang de aard van de te leveren producten/diensten (aanvullend).

Artikel 2.3 is opgenomen om algemene voorwaarden van leveranciers van de hand te wijzen, ook wanneer daar later naar verwezen wordt. Doel van deze bepaling is te voorkomen dat de GIBIT niet van toepassing is in het geval leveranciers eigen voorwaarden van toepassing ver- klaren. De bepaling hangt samen met het bepaalde in artikel 6:225 lid 3 BW. Daarin staat – in de kern – dat de algemene voorwaarden die als eerste van toepassing zijn verklaard van toe- passing blijven, tenzij bij het van toepassing verklaren van een tweede set algemene voor- waarden de eerste set uitdrukkelijk van de hand is gewezen. Het is overigens de vraag of het bepaalde in dit artikel voldoet aan het uitdrukkelijkheidsvereiste als bedoeld in artikel 6:225 lid 3 BW. Opdrachtgevers dienen er dus altijd alert op te zijn dat leveranciers in het aanbod geen eigen voorwaarden van toepassing verklaren.

Artikel 2.4 is opgenomen om bij eventuele ongeldigheid van een bepaling uit de GIBIT:

• 1.

  te voorkomen dat dit effect heeft op de overige bepalingen van de GIBIT; en

• 2.

  partijen te verplichten nieuwe afspraken te maken waarbij doel en strekking van de oorspronkelijke bepaling in acht worden genomen.

Artikel 2.5 bepaalt dat de overeenkomst prevaleert op hetgeen in de GIBIT is bepaald, terwijl de nadere overeenkomst en eventuele voorwaarden voor Derdenprogrammatuur dan weer prevaleren op deze documenten. Het is een zeer belangrijke bepaling. Dit hangt samen met het abstracte karakter van de GIBIT en het feit dat de GIBIT een vangnet is. Voor de goede orde: in de overeenkomst tussen Opdrachtgever en Leverancier kan van iedere bepaling

in de GIBIT worden afgeweken. Dat in de GIBIT bij sommige bepalingen uitdrukkelijk wordt verwezen naar de overeenkomst en in andere bepalingen niet, is hiervoor niet relevant.

De verwijzingen naar de overeenkomst zijn in voorkomend geval louter opgenomen om extra aandacht te vestigen op de mogelijkheid om af te wijken. Ten opzichte van 2020 is in de versie 2023 duidelijk gemaakt dat bij eventuele innerlijke tegenstrijdigheid in de Inkoopvoorwaarden, de specifieke hoofdstukken (II en III) prevaleren op het algemene hoofd- stuk (hoofdstuk I).

Artikel 2.6 bepaalt dat de wet als vangnet van toepassing is. Het contractenrecht is in de kern nagenoeg volledig regelend recht. De wet geeft aldus de ‘default’, tenzij partijen anders overeenkomen. In de rechtspraktijk blijkt evenwel verschillend geoordeeld te worden over wat het bestaan van een contract betekent voor die aspecten van het regelend recht waar partijen geen expliciete keuze hebben gemaakt: blijft dan de genoemde ‘default’ van kracht, of geldt juist slechts het contract? Om aan die onduidelijkheid een einde te maken bepalen de Inkoopvoorwaarden dat het regelend recht in beginsel van toepassing blijft.

Artikel 2.7 bepaalt ten slotte dat wijzigingen op de GIBIT schriftelijk overeengekomen moeten zijn. Ook is bepaald dat wijzigingen slechts voor de in artikel 2.1 bedoelde overeen- komst gelden. De gedachte is dat voor ieder project opnieuw moet worden bezien welke bepalingen al dan niet relevant zijn.

Artikel 3. Totstandkoming overeenkomst

In dit artikel komt de zorgplicht van de leverancier duidelijk naar voren. Deze zorgplicht voor leveranciers geldt hoe dan ook op grond van de wet en de rechtspraak (vgl. artikel 7:17 lid 5 BW in het kader van koop, artikel 7:401 BW bij opdrachten, de mededelingsplichten op grond van 6:228 BW, etc.). Vaak is echter niet duidelijk wat precies onder deze abstracte zorgplicht wordt verstaan. Die wordt daarom hier in artikel 3 nader ingevuld.

Zoals hierna nader zal worden toegelicht, probeert de GIBIT met de regeling omtrent de risicoanalyse een genuanceerde balans te zoeken in de belangen van partijen. De regeling voorkomt dat partijen hun heil moeten zoeken in niet heel scherp afgebakende begrippen als “zorgplichten” en geeft juist een heldere regeling met een in beginsel voorzienbaar risico.

De GIBIT vult de zorgplicht voor wat betreft de voorfase van contracteren nader in. De leverancier moet zich namelijk niet alleen goed op de hoogte stellen van relevante informatie over Opdrachtgever en het voorgenomen project (artikel 3.2/3.3), maar daar vervolgens ook wat mee doen door deze informatie te vertalen in het aanbod en de risicoanalyse (artikel 3.4/3.5). Van de leverancier wordt in feite verwacht dat hij voldoet aan het “ken uw klant” en “ken uw product” principe. Doordat de Leverancier de Opdrachtgever moet waarschuwen voor eventueel gesignaleerde risico’s, wordt bovendien bewerkstelligd dat Opdrachtgever vooraf weet met welke risico’s rekening gehouden moet worden.

Aan artikel 3.4, dat gaat over het aanbod van de Leverancier, is toegevoegd dat de leverancier ook risico’s die hij voorziet benoemt en bij Producten specificeert of deze nieuw, refurbished of tweedehands zijn. Het eerste is niets meer dan een ‘spreekplicht’ (vrij vertaald: “indien u iets weet, zeg het dan”). Het gaat uitdrukkelijk niet om een nader onderzoek of iets dergelijks (het gaat om reeds voorziene risico’s). De tweede toevoeging kan worden gezien als een specificatieplicht. In een tijd waarin ICT-producten steeds vaker gerecycled worden – hetgeen vanuit milieuoverwegingen in beginsel alleen maar toe te juichen is – is het voor gemeenten wel van belang te weten wat ze inkoopt.

De gedachte is dat de inventarisatie van risico’s zo meer naar voren wordt gehaald en beide partijen beter weten waar ze aan beginnen en vroegtijdig maatregelen kunnen treffen.

De aard en omvang van de risicoanalyse zal per opdracht verschillen. Bij kleine opdrachten of projecten is denkbaar dat de inventarisatie nauwelijks iets om het lijf heeft en bij wijze van spreken beperkt blijft tot het door de leverancier uitdrukkelijk wijzen op de systeemeisen en navraag doen naar gebruik van bij de leverancier bekende incompatibele combinaties van hard- en software; bij grote opdrachten en projecten zal hier meer van beide partijen gevergd worden. Het is niet per se noodzakelijk dat er onderzoek bij Opdrachtgever op locatie plaats- vindt. Een leverancier die zijn eigen product kent en ervaring heeft met het implementeren daarvan, weet welke informatie vereist is voor het kunnen doen van een goed aanbod en welke valkuilen in dat aanbod dienen te worden geadresseerd (althans behoort dit te weten).

Bij zeer risicovolle en complexe projecten ligt het voor de hand separaat advies in te winnen over de risico’s, hetzij bij de leverancier zelf als afzonderlijke (deel)opdracht, hetzij bij een derde partij.

Steeds moet worden bedacht dat de risicoanalyse een invulling is van de precontractuele zorgplicht. Deze analyse gaat dus ook niet verder dan wat er redelijkerwijs precontractueel van een leverancier mag worden verwacht. Juist een leverancier die zijn eigen product kent, kan in voorkomend geval er tijdig voor waarschuwen (en ook goed uitleggen) dat een goede risicoanalyse dusdanig veel tijd en moeite kost dat het in dat specifieke geval niet redelijk is dit te beschouwen als onderdeel van de offertefase.

Hierbij moet ook benadrukt worden dat Opdrachtgever gehouden is om medewerking te verlenen aan de risicoanalyse, door redelijkerwijs gevraagde informatie aan te leveren (artikel 3.3). Laat Opdrachtgever dit na, dan komt zij voor die verplichting in (schuldeisers)verzuim.

Dat zou overigens ook zonder expliciete tekst in de GIBIT het geval zijn geweest. Bij een der- gelijk gebrek aan medewerking door Opdrachtgever kan van de leverancier niet meer worden verwacht dan dat deze zijn aanbod doet op basis van de wel beschikbare informatie. Leveranciers doen er zodoende goed aan te documenteren, en liefst te expliciteren, op basis van welke informatie zij hun aanbod doen. Dit maakt voor beide partijen duidelijk wat de basis voor de samenwerking vormt. Het belangrijkste gevolg van de schending van voor- noemde “ken uw klant”- en “ken uw product”-principes is dat Opdrachtgever aanspraak kan maken op vergoeding van de tijdens de implementatie noodzakelijke, maar niet vooraf ken- baar gemaakte aanpassingen aan de eigen ICT-omgeving.

In theorie zou een gemeente de Overeenkomst ook kunnen ontbinden zodra blijkt dat de leverancier te kort is geschoten in het doen van een passend aanbod. Juist omdat de GIBIT al de hiervoor beschreven oplossing voor die situatie bevat, gericht op voortgang van het project, en Opdrachtgevers bij het uitoefenen van bevoegdheden ook steeds de redelijkheid en billijkheid in acht dienen te nemen, ligt ontbinding in die situatie echter niet voor de hand.

Dit maakt de regeling in de GIBIT ook genuanceerd en zeker niet alleen in het belang van Opdrachtgevers.

Afhankelijk van de waarde van de opdracht en/of het eigen beleid van gemeenten kan het zijn dat een opdracht aanbesteed wordt. De aanbestedingswetgeving beperkt de ruimte voor leveranciers om zelf bij Opdrachtgevers tijdens het aanbestedingsproces navraag te doen.

Dit wordt erkend in artikel 3.5 van de GIBIT.

Met “schriftelijk” in artikel 3.6 is wordt bedoeld “geschreven”, niet “op papier”. Elektronische communicatie is dus ook toegestaan.

Artikel 4. Uitvoering overeenkomst

Uitgangspunt van GIBIT is dat termijnen niet fataal zijn, behoudens:

• a.

  overeengekomen einddata voor de primaire Implementatie; en

• b.

  overeengekomen data voor Implementatie of levering van Updates/Upgrades in verband met de inwerkingtreding van wijzigingen in wet- en regelgeving.

Met de wijziging wordt beter aangesloten bij de systematiek van de wet. Ook wordt zo onderkend dat het op voorhand aannemen dat alle termijnen fataal zijn veelal een juridische fictie is waar in de praktijk niet aan wordt vastgehouden (maar die, omdat het is afgesproken, wel tot onzekerheid leidt).

Artikel 4.3 biedt de ruimte om de in artikel 3 bedoelde risicoanalyse op een later moment uit te voeren. Dit geeft leveranciers de ruimte om niet al in de offertefase veel energie in de risicoanalyse te hoeven steken. Het risico dat in deze latere fase onacceptabele risico’s naar voren komen, wordt afgedekt door het recht van Opdrachtgever om in die situatie (tegen vergoeding van gemaakte kosten) de overeenkomst te ontbinden. Leveranciers hebben dit recht niet. Hier is expliciet voor gekozen: immers, van een leverancier mag verwacht worden dat hij reeds bij de eerste aanbieding (voordat de risicoanalyse is uitgevoerd) een goed beeld heeft van de risico’s aan zijn kant ten aanzien van het leveren van de ICT Prestatie.

In artikel 4.4 is uitdrukkelijk bepaald dat Opdrachtgever alle verplichtingen die uit de overeenkomst voortvloeien zal naleven. Strikt genomen is de bepaling overbodig, omdat dit ook al uit de wet en de overeenkomst voortvloeit. De bepaling heeft vooral een belangrijke signaalfunctie, zowel richting gemeenten als leveranciers. Voor gemeenten is van belang dat zij zich terdege realiseren dat het van belang is dat de – bijvoorbeeld in het Implementatieplan gemaakte afspraken over de te verrichten werkzaamheden ook (tijdig) worden nagekomen.

Wij wijzen er volledigheidshalve op dat bij schending van deze medewerkingsplicht leveranciers zich (ook eerst achteraf) kunnen beroepen op opschorting. In dit geval komt Opdrachtgever in schuldeisersverzuim en kan de leverancier (dus) niet meer zelf in verzuim geraken. Adequate medewerking verlenen door Opdrachtgever is dus van cruciaal belang. Wel is het zo dat gelet op de wettelijke zorgplicht die op leveranciers rust, waarschijnlijk van leveranciers mag worden verwacht dat zij Opdrachtgever waar nodig tijdig aansporen tot het nakomen van de (medewerkings)verplichtingen.

Artikel 5. Transport, eigendom en risico van Producten

De versie 2020 bevatte slechts één artikel over transport, eigendom en risico van Producten: artikel 4.4 (oud) over het transportrisico. Vandaar dat artikel 5 is toegevoegd. Dit zijn veelal procedurele afspraken die voor zich spreken, de inhoud is grotendeels overgenomen van artikel 6 en 7 ARBIT.

In artikel 5.5 komt het oude artikel 4.4 terug (in andere bewoordingen): het risico gaat eerst bij Aflevering over op de Opdrachtgever.

In artikel 5.6 is bewust afgeweken van de ARBIT: waar de ARBIT veronderstelt dat sprake is van eigendomsoverdracht, geeft GIBIT slechts randvoorwaarden voor het geval eigendoms- overdracht is overeengekomen. Dit aangezien in de praktijk Producten steeds vaker niet worden verkocht, maar onder een andere titel ter beschikking worden gesteld.

Artikel 6. Implementatie ICT Prestatie

De GIBIT gaat ervan uit dat de leverancier de implementatie verzorgt. De implementatie is daarbij bewust ruim gedefinieerd (zie artikel 1) en gaat uit van het beheerst en projectmatig inrichten en in gebruik nemen van de ICT Prestatie in de organisatie en het inpassen ervan binnen de bestaande informatievoorziening. Dit laatste uiteraard binnen de kaders van het Overeengekomen gebruik. De implementatie leidt dus niet tot wijzigingen van de gemaakte afspraken over de te leveren functionaliteit.

Het maakt hierbij – in abstracto – niet uit of sprake is van de implementatie van een on premise- of een SaaS-prestatie. In beide gevallen zullen immers – in meer of mindere mate – stappen moeten worden gezet om tot ingebruikname van de ICT Prestatie te (kunnen) komen. De aard van de implementatiewerkzaamheden zal uiteraard wel verschillen.

In artikel 6 komt het vroegtijdig adresseren van risico’s aan de orde. Artikel 6.1 bepaalt dat de implementatie overeenkomstig het implementatieplan plaatsvindt en artikel 6.2 bepaalt dat het opstellen van een dergelijk plan altijd verlangd kan worden. Artikel 6.3 geeft bovendien aan welke onderwerpen in een dergelijk plan opgenomen moeten worden. Het idee is dat het in belang van beide partijen is vooraf – en niet pas gaandeweg het project – goed na te denken over al datgene dat noodzakelijk is om de implementatie tot een succes te maken.

Overigens zullen in de praktijk niet alle in het artikel 6.3 genoemde onderwerpen voor ieder project van belang zijn. Om die reden staat tussen haakjes vermeld “steeds voor zover van toepassing”.

Artikel 6.4 geeft een regeling over de afhankelijkheid van derde partijen bij de ketentesten en bepaalt dat de regelingen over het tijdig betrekken van derde partijen van overeenkomstige toepassing voor de gehele implementatie.

In artikel 6.5 komt de in artikel 3 en 4 bedoelde risicoanalyse terug. Hierin is opgenomen dat aanpassingen aan het Applicatielandschap van Opdrachtgever die noodzakelijk zijn maar vooraf niet-voorzien waren, doch gelet op de zorgplicht van leverancier achteraf wel voorzienbaar waren geweest, voor rekening van de leverancier komen. Het artikel vormt in zoverre de “proof of the pudding” van (de kwaliteit van) de eerdergenoemde risicoanalyse ten aanzien van de inpasbaarheid van de aangeboden oplossing bij Opdrachtgever. Het artikel is alleen van toepassing op aanpassingen aan het Applicatielandschap die de leverancier had kunnen of behoren te voorzien. Het artikel probeert in zoverre te voorkomen dat leveranciers die willens en wetens een onvolledig of ondoordacht aanbod doen bij de gunning voordeel halen en later “beloond” worden met meerwerkopdrachten.

Het artikel is bovendien alleen van toepassing op aanpassingen aan het Applicatielandschap die voor de Implementatie (en daarmee dus voor het Overeengekomen gebruik) noodzakelijk zijn. Het artikel vormt dus ook zeker geen vrijbrief voor gemeenten om op kosten van leveranciers allerlei niet aan de Implementatie gerelateerde onderdelen van het Applicatielandschap te laten upgraden, of om verderstrekkende verbeteringen te verlangen dan die noodzakelijk zijn voor de Implementatie. Voor verdergaande aanpassingen maakt Opdrachtgever nieuwe/ separate afspraken. Indien in de praktijk blijkt dat het voor gemeenten aantrekkelijk is om

bij de aanpassing in het Applicatielandschap verder te gaan dan het voor de Overeenkomst strikt noodzakelijke, dan ligt het voor de hand dat partijen daarover separate afspraken maken (bijv. een afzonderlijk upgrade project met een korting).

Artikel 6.6 ziet op de bereidheid van de leverancier om later alsnog of nogmaals aan de implementatie gerelateerde werkzaamheden te verrichten. Te denken valt hierbij aan een na inbedrijfsstelling of livegang alsnog uit te voeren conversie, het na livegang alsnog aanleggen van extra koppelingen of het na livegang alsnog verzorgen van (aanvullende) trainingen.

Dit artikel is versimpeld ten opzichte van 2020. Waar voorheen op voorhand al vastlag tegen welke tarieven meerwerk wordt verricht, en bovendien verondersteld werd dat er altijd een (implementatie)plan opgesteld moet worden voor dat meerwerk, worden nog slechtsenige (proces)afspraken vastgelegd over het tot stand komen van afspraken over dergelijk meerwerk. Bij aanbestede opdrachten is het overigens zaak te toetsen of een dergelijke aanvullende opdracht niet leidt tot een wezenlijke wijziging van de opdracht.

Artikel 7. Afhankelijkheid van en afstemming met derde partijen

In artikel 7 zijn de reeds bestaande regelingen over de afhankelijkheid van derde partijen verder uitgewerkt. Het artikel ziet op de afhankelijkheid van derde partijen die geen hulppersoon zijn van een van de Partijen (artikel 7.1). Partijen zijn immers zelf verantwoordelijk voor de door hen betrokken hulppersonen. Het gaat in dit artikel juist om van Partijen onafhankelijke derden, zoals leveranciers van andere ICT Prestaties die gekoppeld moeten worden aan de onderhavige ICT Prestatie of van eigenaren van gebouwen indien apparatuur daar geïnstalleerd moet worden (om twee uiteenlopende voorbeelden te noemen).

In artikel 7.2 wordt vastgelegd welke partij in de basis moet vaststellen en aan de andere partij moet melden (‘aan de bel moet trekken’) indien van dergelijke afhankelijkheid sprake is. Meer dan een signaleringsplicht is dit niet. De gedachte is dat bij Dienstverlening op Afstand het de Leverancier is die bij uitstek weet of sprake is van dergelijke afhankelijkheid, terwijl bij overige dienstverlening het meer voor de hand ligt die taak bij de gemeente te leggen nu de gemeente het eigen Applicatielandschap het best zal (behoren te) kennen. Dit laatste laat de plicht voor een leverancier tot het in het primaire aanbod signaleren van risico’s onverlet (zie artikel 3.4).

In artikel 7.3 ligt vervolgens vast dat over een aantal genoemde onderwerpen nadere afspraken moeten worden gemaakt. Het doel van de bepaling is vooral om die afspraken zo vroegtijdig mogelijk te maken en verrassingen achteraf te voorkomen. Zie in dat kader ook artikel 7.5: uitgangspunt is dat de derde partij ook op voorhand al bij het overleg worden betrokken en dat ook met hen op voorhand al afspraken worden gemaakt.

Artikel 7.6 bevat een genuanceerde regeling over hoe om te gaan met blokkerende doch niet aan leverancier maar aan een derde partij toerekenbare kwesties. In de kern ziet dit artikel op (i) een overlegplicht indien zich kwestie voordoen waarbij de ICT Prestatie niet conform werkt, terwijl de oorzaak daarvoor niet bij leverancier ligt (maar bij derde partijen, of de gemeente zelf); en (ii) de erkenning dat Leverancier in een dergelijke situatie gewoon recht heeft op datgene dat is afgesproken omtrent de gevolgen van Acceptatie (in de praktijk veelal: betaling). Dit gaat in tegenstelling tot de versie 2020 niet langer alleen om een ketentest, maar ook om een Acceptatieprocedure. Onder sub i) stond voorheen dat Acceptatie geacht werd plaats- gevonden te hebben, er staat nu dat er geacht wordt geen sprake te zijn van een Gebrek. Hiervoor is gekozen om meer de nadruk te leggen op de betreffende blokkerende situatie (die dan dus niet kwalificeert als Gebrek). Dit in de gedachte: ‘het Gebrek moet worden opgelost, we zoeken in onderling overleg wel uit wie daarvoor wat moet doen en wie ervoor betaalt.’

Artikel 8. Gemeentelijke ICT-kwaliteitsnormen, Interoperabiliteitseisen, normen en standaarden

Een van de doelen van de GIBIT is te komen tot een hogere kwaliteit van de informatie- voorziening van gemeenten en van de ICT-producten en diensten die daar deel van uitmaken. Ook wenst de GIBIT gestandaardiseerde gegevensuitwisseling te stimuleren zodat informatie goed, veilig en betrouwbaar gedeeld kan worden en processen ketengericht kunnen worden uitgevoerd. Dit komt terug in artikel 8.

Artikel 8 schrijft voor dat de ICT Prestatie moet voldoen aan Gemeentelijke ICT-kwaliteits- normen (het document met verplichte normen) alsmede de aanvullend voorgeschreven normen.

VNG Realisatie geeft aan voor bepaalde soorten/typen applicaties of ICT producten/diensten welke normen gelden. Het verplichtende karakter van die normen komt terug in artikel 8.1 onder i. Ondanks de genoemde verplichting is het aan te raden om te implementeren normen en standaarden specifiek te benoemen in de uitvraag. Dit geldt zeker waar (juiste) implementatie van een norm of standaard belangrijk is voor het slagen van een verwervings- traject. Zowel Opdrachtgevers – die zo wordt gedwongen na te denken over (het belang van) normen en standaarden voor een specifiek project, en leveranciers – die specifiek wordt gewezen op het belang daarvan, zijn hierbij gebaat.

De set van verplichte normen en standaarden wordt periodiek door VNG/VNG Realisatie gepubliceerd. Binnen de set vallen alleen normen en standaarden die verplicht zijn binnen het werkingsgebied van gemeenten, van gemeentelijke samenwerkingsverbanden of voor ketens waarin gemeenten opereren. Het betreft open standaarden en normen waarbij leveranciers bij de vaststelling zijn betrokken.

Verplicht zijn normen en standaarden die een wettelijk kader hebben en standaarden op de lijst van open standaarden zoals vastgesteld en gepubliceerd door het bureau Forum Standaardisatie (ook wel de gangbare standaarden en/of standaarden op de pas-toe-of- leg-uit lijst) en standaarden die als landelijke gemeentelijke standaard of norm door VNG/VNG Realisatie zijn vastgesteld. Het betreft normen en standaarden die de volgende ICT-kwaliteitsgebieden afdekken (tussen haakjes staan ter verduidelijking voorbeelden van betreffende normen en standaarden):

• *

  Architectuur (GEMMA);

• *

  Interoperabiliteit (NEN3610, Stuf, SUWIML, Digikoppeling, iWMO);

• *

  Beveiliging (Baseline Informatiebeveiliging Gemeenten);

• *

  Dataportabiliteit;

• *

  Metadatering (TMLO);

• *

  Toegankelijkheid (Webrichtlijnen);

• *

  Archivering (NEN-ISO 15489-1 NL);

• *

  Infrastructuur (Generieke Digitale Infrastructuur, aansluiten op Stelsel van Basisregistraties);

• *

  Documentatie;

• *

  E-facturering.

Standaarden of versies van standaarden die nog in ontwikkeling zijn, vallen buiten de GIBIT. De standaarden en/of nieuwe versies dienen formeel te zijn vastgesteld en een status te hebben van “in gebruik” of een soortgelijke betekenis. De set van toe te passen normen zal op www.gibit.nl worden vermeld. Artikel 8.1 onder ii) geeft Opdrachtgever de ruimte om ook aan andere normen als eis op te nemen. Deze eisen dienen dan in bijvoorbeeld een Programma van Eisen of offerteaanvraag gespecificeerd te worden.

Veel normen en standaarden schrijven voor dat bepaalde preventieve testen worden uitgevoerd zodat aangetoond wordt dat aan de betreffende norm wordt voldaan. Artikel 8.2 bepaalt dat deze testen moeten worden uitgevoerd voorafgaand aan de implementatie. In tegenstelling tot de versie 2020 hoeven deze preventieve testen niet langer op een omgeving van Leverancier te worden uitgevoerd, doch slechts op een omgeving die niet voor productieve doeleinden van de gemeente wordt gebruikt. Dit geeft ruimte de preventieve testen elders te doen, zelfs bij de gemeente zelf of bij een andere gemeente. De gedachte is dat het tot een goed ontwikkelproces behoort dat de leverancier zijn eigen product grondig test op de kwaliteitsaspecten (o.a. technische inpasbaarheid en interoperabiliteit) die voor de klant niet goed te beoordelen zijn, alvorens het product aan klanten ter beschikking te stellen. Tevens bepaalt artikel 8.2 dat de leverancier op verzoek moet aantonen dat de ICT Prestatie aan de normen voldoet middels het overleggen van of verwijzen naar een positief testrapport.

Op grond van artikel 8.3 is het opnieuw preventief testen niet noodzakelijk indien de testen onder vergelijkbare omstandigheden op dezelfde versie van het product, van de norm en van de testset al eens succesvol zijn doorlopen. Dit maakt dat het artikel over de preventieve testen met name bij nieuwe producten, nieuwe versies van producten of producten die nog niet in een vergelijkbare context zijn gebruikt relevant is.

Artikel 8.4 benoemt (volledigheidshalve) dat gedurende de Acceptatieprocedure wordt getoetst in hoeverre de ICT Prestatie aan de normen voldoet. Strikt genomen volgt dit al uit het gegeven dat het voldoen aan de normen tot het “Overeengekomen gebruik” hoort.

Artikel 8.5 bepaalt dat eventuele koppelingen met andere systemen gedurende de Acceptatieprocedure moeten worden getest op correcte interoperabiliteit. Veel applicaties werken immers alleen goed in de context van koppelingen met andere applicaties. Dat is voor de eindgebruiker echter vaak niet goed zichtbaar, maar wel essentieel voor veilige en betrouwbare informatieketens.

Artikel 9. Acceptatie

In artikel 9 is de acceptatieprocedure beschreven.

Het is in het belang van beide partijen dat vooraf helder is op welke wijze de acceptatie- procedure zal verlopen. Vandaar ook dat reeds in artikel 6.3 ix) is bepaald dat, als onderdeel van het Implementatieplan, moet worden vastgelegd op welke wijze de acceptatieprocedure wordt uitgevoerd. Er zal echter niet altijd een implementatieplan zijn. Ook is denkbaar dat het implementatieplan ten aanzien van de acceptatietest geen of onvoldoende uitgewerkte afspraken bevat. Vandaar dat artikel 9.1 bepaalt dat op verzoek van Opdrachtgever alsnog een schriftelijk testprotocol wordt opgesteld. De verwijzing naar artikel 6.2 is bedoeld om aan te geven dat de leverancier penvoerder is van het plan (als meest deskundige) en voor het opstellen van het plan geen afzonderlijke vergoeding in rekening mag brengen.

De overige bepalingen van artikel 9 moeten worden gezien zijn “vangnetbepalingen”. Deze artikelen geven de kaders voor zover er in de Overeenkomst of in een ander bovenliggend document geen meer specifieke afspraken over de Acceptatieprocedure zijn gemaakt.

Het geheel van deze bepalingen beschrijft de Acceptatieprocedure.

Artikel 9.2 geeft in de kern aan wat er tijdens testen gebeurt. We lichten de elementen puntsgewijs toe:

• *

  Er wordt getest op Gebreken, dus op het niet voldoen aan het Overeengekomen gebruik. Er wordt uitdrukkelijk niet getest op aspecten van de ICT Prestatie die niet overeengekomen zijn (dat zou immers ook niet toerekenbaar zijn aan leverancier). Wel wordt getest op het begrip Overeengekomen gebruik welke ruimer is dan sec datgene wat in een programma van eisen staat (o.a. vanwege de in artikel 3 verwoorde zorgplicht);

• *

  De resultaten van de Acceptatieprocedure worden schriftelijk vastgelegd in een testverslag. Dit verslag zal door partijen worden ondertekend. De gedachte is dat discussie achteraf over de uitkomsten van de acceptatietest op deze wijze tot een minimum wordt beperkt;

• *

  Leverancier dient een planning af te geven voor het herstel van geconstateerde Gebreken. Die planning dient conform artikel 9.3 te passen binnen de algehele planning van het project;

• *

  Na het herstel van de Gebreken legt de leverancier de ICT Prestatie opnieuw ter Acceptatie voor. Er volgt dan wederom een acceptatieprocedure conform de hiervoor beschreven uitgangspunten.

Artikel 9.3 is hiervoor al kort aangestipt. Het artikel bepaalt dat herstel van tijdens het testen geconstateerde Gebreken niet mag leiden tot vertraging. Het is dus aan de leverancier – mede gelet op zijn rol als penvoerder van het aanbod (artikel 3), het implementatieplan (artikel 6) en/of het testprotocol (artikel 9.1) – om op voorhand een realistische planning te hanteren met voldoende ruimte voor herstel van eventueel geconstateerde Gebreken.

Daarnaast is ten opzichte van de versie 2020 aan dit artikel toegevoegd dat het tot de zorg- plicht van Leverancier behoort de voortgang van de implementatie te bewaken en zo nodig de gemeente te waarschuwen of zelfs aan te manen. Deze zorgplicht is gebaseerd op bestaande rechtspraak (vgl. o.m. ECLI:NL:GHSHE:2015:4428, r/o 3.8.4).

Artikel 9.4 verklaart de eerdergenoemde genuanceerde regeling bij afhankelijkheid van derde partijen van overeenkomstige toepassing.

In artikel 9.5 staan de verschillende scenario’s bij het niet slagen van de acceptatieprocedure vermeld:

• 1.

  ontbinding van de Overeenkomst; of

• 2.

  het alsnog kosteloos laten herstellen van de Gebreken; of

• 3.

  onder een nadere voorwaarde accepteren waarbij geldt dat indien niet aan de voorwaarde wordt voldaan alsnog direct kan worden ontbonden.

Deze drie smaken geven Opdrachtgevers veel flexibiliteit in hoe om te gaan met eventuele gebreken:

• 1.

  indien kernaspecten van de ICT Prestatie niet goed zijn dan ligt ontbinding voor de hand;

• 2.

  bij kleine gebreken ligt kosteloos herstel voor de hand; en

• 3.

  bij het niet tijdig opleveren van onderdelen van de Prestatie die voor Opdrachtgever pas in de toekomst relevant worden, ligt voorwaardelijke acceptatie voor de hand (namelijk acceptatie onder de voorwaarde dat de ICT Prestatie wel correct is geïmplementeerd op de datum dat de nu ontbrekende onderdelen voor Opdrachtgever relevant worden).

In de GIBIT is er bewust voor gekozen na twee testrondes direct te kunnen ontbinden, zonder nadere ingebrekestelling. De gedachte is dat twee kansen om de overeengekomen prestatie te leveren in beginsel voldoende moet zijn. Bovendien wordt hiermee het preventief en zorgvuldig testen gestimuleerd.

Hierbij moet worden aangetekend dat van Opdrachtgever in een acceptatieprocedure wordt verlangd dat hij zowel alle noodzakelijke medewerking verleent aan de acceptatieprocedure, als zijn eigen verplichtingen nakomt (zoals vastgelegd in het Implementatieplan en/of test- protocol). Doet Opdrachtgever dat niet, dan kan de leverancier zich op opschorting beroepen en komt Opdrachtgever in schuldeisersverzuim te verkeren. Zie ook de toelichting bij artikel 4.4. Verkeert Opdrachtgever in schuldeisersverzuim, dan komt hem uiteraard geen recht op ontbinding toe. Dit laatste volgt uit de wet en de GIBIT wijkt hier (bewust) niet vanaf.

In artikel 9.6 is bepaald dat er niet mag worden ontbonden wegens gebreken die eerst in de tweede testronde worden geconstateerd, terwijl deze ook eerder in de acceptatieprocedure geconstateerd hadden kunnen worden. Dit dwingt gemeenten om de acceptatieprocedure serieus te nemen en de aandacht te geven die deze verdient.

Artikel 9.7 geeft partijen de ruimte om eventueel overeen te komen dat bepaalde gebreken buiten de staande planning worden hersteld.

Artikel 9.8 bepaalt uitdrukkelijk dat Gebreken die niet in de weg staan aan productieve ingebruikname, geen grond kunnen vormen voor niet-Acceptatie. De gedachte van de bepaling is dat een project niet op een formaliteit zou moeten worden afgekeurd, maar alleen op gebreken die daadwerkelijk relevant/wezenlijk zijn voor Opdrachtgever. Dat laat overigens onverlet dat ook die minder relevante gebreken alsnog moeten worden hersteld. De levering van die betreffende functionaliteit is immers wel overeengekomen.

Artikel 9.9 bepaalt dat indien er deelleveringen hebben plaatsgevonden, dat dan na de laat- ste deellevering er ook nog een integrale Acceptatieprocedure plaatsvindt. Hiermee wordt uitdrukkelijk erkend dat bij ICT Prestaties de delen correct kunnen functioneren (voor zover te beoordelen als losstaand onderdeel), doch de som der delen niet, terwijl het Opdrachtgever uiteraard om de som der delen (de totale ICT Prestatie) te doen is.

Artikel 9.10 geeft ten slotte een vermoeden van acceptatie aan indien de ICT Prestatie voor productieve doeleinden in gebruik is genomen, tenzij die vroegtijdige ingebruikname ver- band houdt met vertragingen of tekortschieten aan de zijde van Leverancier. Het is denkbaar dat een gemeente bij vertraagde levering de ICT Prestatie noodgedwongen wel in gebruik moet nemen (bijv. omdat er anders geen ICT in huis is om een nieuwe wet te ondersteunen), maar dat wil daarmee niet zeggen dat Opdrachtgever de ICT Prestatie (dus) ook geaccep- teerd heeft. Als Opdrachtgever echter zelf op voorhand bewust afziet van het houden van een Acceptatieprocedure en de ICT Prestatie vervolgens voor productieve doeleinden in gebruik neemt, dan aanvaardt ze daarmee impliciet dat de ICT Prestatie bij levering mogelijk nog Gebreken bevat, die vervolgens in het kader van Onderhoud (artikel 10) geadresseerd zullen (kunnen/moeten) worden.

Artikel 10. Onderhoud en ondersteuning

Uitgangspunt van de GIBIT is dat na de acceptatie de onderhoudsfase volgt. De GIBIT biedt een (abstract) kader voor de onderhoudsfase. Dit kader wordt in de praktijk veelal nader uitgewerkt in de overeenkomst of een afzonderlijke onderhoudsovereenkomst/SLA.

Vanwege het belang van blijvend goed functionerende ICT systemen is er bewust voor gekozen om standaard te bepalen dat de leverancier Onderhoud verricht (artikel 10.1) en dat dit Onderhoud standaard alle in artikel 10.3 genoemde vormen van onderhoud omvat. Uiteraard is het ook mogelijk dat in de overeenkomst juist wordt bepaald dat leverancier geen onderhoud verricht, of slechts een deel van de in artikel 10.3 genoemde vormen van onderhoud.

In artikel 10.2 wordt het “vangnet” karakter van de GIBIT wederom benadrukt. De bepalingen in de GIBIT gelden als basis, maar in de Overeenkomst of SLA kan hiervan worden afgeweken. De GIBIT bevat weinig concrete normen ter zake van Onderhoud, behoudens enkele abstracte eisen (die hierna worden toegelicht). De concrete door de Leverancier na te leven normen (service levels) zullen dan ook in de Overeenkomst of SLA moeten worden opgenomen.

Bovendien zullen allerlei praktische aspecten rondom het verlenen van Onderhoud nader moeten worden ingevuld (zoals hoe en waar een Gebrek gemeld moet worden). In veel gevallen is een dergelijke overeenkomst of SLA dan ook noodzakelijk.

In artikel 10.4 is het uitgangspunt benoemd dat onderhoud zo min mogelijk verstorend moet zijn voor de bedrijfsprocessen van Opdrachtgever. Er is bewust gekozen niets te bepalen over de precieze tijden waarop onderhoud wel/niet mag plaatsvinden, aangezien dat te zeer afhankelijk is van de precieze aard van de ICT Prestatie en de processen waarin deze wordt gebruikt. Bij in bulk verricht onderhoud is afstemming immers niet altijd even goed mogelijk. In afwijking van de versie 2020 is de plicht om verstorend onderhoud vooraf aan te kondigen afgezwakt tot een inspanningsplicht dit “zo mogelijk” tijdig vooraf aan te kondigen. Dit om de ruimte te bieden spoedonderhoud zonder aankondiging te doen.

Artikel 10.5 bepaalt dat de leverancier in ieder geval bereikbaar moet zijn op werkdagen tussen 09.00 en 17.00 uur. Dit is een minder groot tijdvak dan in de versie 2020. Er is bewust gekozen voor de term bereikbaar, zonder te specificeren welk kanaal of communicatiemiddel hierbij gebruikt moet worden. Dit laat leveranciers voldoende ruimte om dit zelf in te richten (telefoon, e-mail, chat, etc.).

Artikel 10.6 geeft aan dat alle storingen gemeld kunnen worden, ook niet-toerekenbare sto- ringen.

Artikel 10.7 is nieuw, maar brengt materieel niets nieuws mee. Er is enkel verduidelijkt wat “gebruikersondersteuning” precies inhoudt.

Artikel 10.8 vult de hiervoor beschreven gedachte in: alle storingen (in brede zin) kunnen worden gemeld. Indien het gemelde niet kwalificeert als tekortkoming kunnen partijen in overleg gaan over eventueel als meerwerk te verrichten aanvullende werkzaamheden.

Te denken valt hierbij aan de situatie dat een medewerker van Opdrachtgever in strijd met instructies van de leverancier belangrijke instellingen in de ICT Prestatie heeft gewijzigd, of dat door toedoen van een niet aan Leverancier toerekenbare virusuitbraak er allerlei herstelwerkzaamheden moeten worden verricht. Volledigheidshalve zij opgemerkt dat het hier een herstelpoging betreft (nu immers sprake is van een niet aan Leverancier toereken- bare situatie).

Artikel 10.9 hangt samen met het “vangnet”-karakter van de GIBIT. Het bepaalt dat leverancier bereid moet zijn een nadere SLA te sluiten. Een specifieke eis aan die SLA is dat er service levels in kunnen worden opgenomen en dat aan het niet halen van service levels maatregelen zijn verbonden. Welke maatregelen dat zijn, zal van geval tot geval nader moeten worden ingevuld. Het is voor Opdrachtgever van belang dat de maatregel voldoende prikkel voor de leverancier geeft tot nakoming en bovendien iets oplevert waar Opdrachtgever ook iets aan heeft.

In artikel 10.10 en 10.11 is bepaald dat ontbinding van de overeenkomst(en) in ieder geval mogelijk is bij het herhaald niet halen van de service levels. Deze bepaling is opgenomen om uit de discussie te blijven of het niet halen van een service level altijd kwalificeert als tekortkoming en/of de discussie of dergelijke omissies altijd de ontbinding van de overeenkomst rechtvaardigen. Bovendien is bepaald dat bedongen maatregelen de overige rechten van gemeenten onverlet laten. Dit om te voorkomen dat een in de SLA bedongen sanctie op grond van de wet zou gelden als gefixeerde schadevergoeding (artikel 6:92 lid 2 BW).

Ten opzichte van de versie 2020 is de bepaling enerzijds iets strenger gemaakt en anderzijds ook verlicht. Het is strenger in die zin dat is toegevoegd dat er ook ontbonden kan worden indien de Service Levels 3x niet worden gehaald in een periode van 6 aaneengesloten meet- periodes. Vrij vertaald betekent dit dat ontbonden kan worden indien een half jaar lang om de maand dezelfde Service Levels niet gehaald worden en een gesprek de zorgen van de gemeente niet wegneemt. In zo’n situatie is het serviceniveau structureel onder de maat en niet betrouwbaar, hetgeen de ontbinding rechtvaardigt.

Tegelijkertijd is het artikel ook verlicht, in die zin dat als alternatief voor ontbinding ook de optie is toegevoegd dat de gemeente om een verbeterplan kan vragen. Aangezien gemeenten bij de contracttoepassing de redelijkheid en billijkheid in acht zullen moeten nemen (vgl. o.a. artikel 6:2 BW) en zelfs uit publiekrecht voortvloeiende normen (vgl. artikel 3:14 BW), zal dit in de praktijk betekenen dat gemeenten niet altijd en ‘zomaar’ voor de zwaarste vorm van ontbinding zullen mogen kiezen.

In artikel 10.12 zijn enkele eisen opgenomen ten aanzien van het preventief en innovatief onderhoud. Het is voor gemeenten van groot belang dat blijvend wordt voldaan aan wet- en regelgeving, dat de interoperabiliteit gewaarborgd blijft en dat zij er niet in functionaliteit op achteruit gaat. Ook veiligheidsadviezen uitgebracht door NCSC of anderszins publiekelijk uitgebracht moeten zo spoedig mogelijk worden opgevolgd en risico’s moeten zo spoedig mogelijk zullen worden gemitigeerd. De wijze waarop dit gebeurt is uitdrukkelijk aan Leverancier gelaten (zie ook woorden ‘of anderszins’). Voorop staat echter dat (het gebruik van) de ICT Prestatie veilig moet zijn, hetgeen bepaald geen onredelijke eis lijkt.

Voor leveranciers is dit een zware eis, maar voor gemeenten is het een belangrijke eis. Vrijwel alle gemeentelijke producten, diensten, processen en informatieketens zijn immers op de een of andere manier gerelateerd aan het voldoen aan wet- en regelgeving. Door verdergaande digitalisering heeft dat effect op de kwaliteitseisen aan ICT-producten en diensten. De GIBIT gaat er derhalve vanuit dat de leverancier, als gespecialiseerde aanbieder van bepaalde programmatuur om bepaalde wetgeving te ondersteunen, veel beter dan Opdrachtgever in staat is (zou moeten zijn) om wijzigingen in wetgeving tijdig te vertalen naar de benodigde (technische) aanpassingen in de ICT Prestatie. Volledigheidshalve is ook bepaald dat de verplichting ziet op de voor het Overeengekomen gebruik relevante Wet- en regelgeving (en dus niet alle denkbare wetgeving). De kosten voor die aanpassingen liggen in beginsel besloten in de onderhoudsvergoeding. Let op: het ondersteunen van volstrekt nieuwe wetgeving valt veelal niet onder het “Overeengekomen gebruik” (en daarmee het Onderhoud) en valt dus niet binnen de verplichting van dit artikel. Dit ligt vast in artikel 11.3, zie ook de toelichting aldaar.

Artikel 10.13 geeft het kader voor de installatie van updates en upgrades. Uitgangspunt is dat Opdrachtgever in beginsel zelf de installatie van updates en upgrades verzorgt. In het artikel is niettemin bepaald dat leverancier dit op verzoek (en tegen vergoeding) kan doen. In dat geval zijn ook de bepalingen omtrent implementatie en acceptatie van toepassing.

In artikel 10.14 is getracht een genuanceerde regeling te treffen voor het weigeren van de installatie van nieuwe Updates of Upgrades. Enerzijds heeft Opdrachtgever het recht die installatie te weigeren, anderzijds worden de verplichtingen van de leverancier in het kader van Onderhoud wat gerelativeerd indien Opdrachtgever besluit aangeboden Updates of Upgrades niet (direct) te installeren. In dit geval is Leverancier nog slechts gehouden is gebruikersondersteuning te blijven verlenen (behoudens Gebreken die nog niet zijn verholpen in Updates of Upgrades). Als Opdrachtgever 18 maanden of meer achterloopt bij het installeren van Updates of Upgrades, mag leverancier de (aantoonbare) meerkosten voor het onderhoud doorberekenen aan Opdrachtgever.

In artikel 10.15 is opgenomen dat de leverancier in beginsel standaard rapporteert over de nakoming van de service levels. Partijen kunnen hierover nadere afspraken maken. Artikel

10.16 bepaalt vervolgens dat Opdrachtgever na ontvangst van de rapportage zal beoordelen in hoeverre de leverancier de gemaakte afspraken naleeft. Eventueel kan op grond van artikel 25 hierbij een derde partij (auditor) worden ingeschakeld.

In artikel 10.17 is bepaald dat voor onderhoud van Derdenprogrammatuur afwijkende bepalingen van toepassing zijn, mits deze vooraf tijdig kenbaar zijn gemaakt. De afwijkende bepalingen zullen in veel gevallen worden bepaald door de voorwaarden van de recht- hebbende op die Derdenprogrammatuur. De gedachte hierbij is dezelfde als die bij de hele regeling omtrent Derdenprogrammatuur: omdat op grond van de wet (Auteurswet) voor iedere wijziging in programmatuur (zoals bij onderhoud) de toestemming van de recht- hebbende nodig is, en dus de leverancier bij gebreke van die toestemming helemaal geen onderhoud kan en mag leveren, is het niet redelijk niettemin onderhoudsverplichtingen in de GIBIT op te nemen.

Artikel 10.18 vormt het sluitstuk van het vangnetkarakter van de GIBIT inzake onderhoud. Het bepaalt namelijk dat indien er initieel geen of slechts deels Onderhoud is overeengekomen, dat leverancier dan bereid moet zijn om op verzoek later alsnog Onderhoud te gaan verrichten of de bestaande overeenkomst inzake Onderhoud uit te breiden. Uiteraard geschiedt dit alles tegen een nader overeen te komen vergoeding. Het belang voor Opdrachtgever is er met name in gelegen dat hij zeker weet dat hij altijd alsnog tot het afnemen van onderhoud kan overgaan.

Artikel 11. Vergoeding, facturatie en betaling

In artikel 11.2 is een iets andere benadering gekozen dan de ARBIT doet. Waar de ARBIT uitgaat van volledige voorfinanciering door de leverancier, kiest de GIBIT ervoor een deel van de betalingen achter te houden tot na acceptatie (doorgaans 30%). Over de resterende 70% moeten afspraken worden gemaakt in de Overeenkomst.

Dit in de gedachte dat het onredelijk is het gehele financiële risico van het project bij de leverancier te leggen, doch tegelijkertijd voldoende (financiële) prikkel voor de leverancier over te houden om tot correcte implementatie te komen. Tegelijkertijd is het evenmin redelijk om als gemeente al te betalen voor diensten die nog niet kunnen worden gebruikt.

Deze afspraken leiden tot de volgende verdeling:

• a.

  van eenmalige vergoedingen wordt 30% achtergehouden tot Acceptatie (dus bijv. 30% van de eenmalige implementatiekosten), over de overige 70% worden afspraken gemaakt;

• b.

  periodieke vergoedingen zijn eerst verschuldigd vanaf Acceptatie van het betreffende deel van de ICT Prestatie, doch worden vanaf dan vooruitbetaald (dus bijv. jaarlijkse abonnementsvergoedingen);

• c.

  de vergoeding voor Derdenprogrammatuur wordt volledig betaald bij levering, mits is voldaan aan de vereisten van artikel 22.1.

Eenmalige vergoedingen zijn alle vergoedingen die niet periodiek zijn. Een eenmalige vergoeding kan ook gespreid worden betaald. Veelal zal in de overeenkomst nader zijn uitgewerkt op welke wijze betaling van de eenmalige vergoedingen plaatsvindt. Zo kunnen partijen bijvoorbeeld een betaalschema met elkaar afspraken. De GIBIT verplicht echter niet tot een dergelijke uitwerking.

Periodieke vergoedingen zijn vergoedingen die op geregelde tijden en met een zekere regelmaat verschuldigd zijn. In de overeenkomst zal zijn bepaald wat de overeengekomen betalingsfrequentie is. Te denken valt hierbij aan maandelijkse, driemaandelijkse of jaarlijkse vergoedingen. In de GIBIT is bepaald dat periodieke vergoedingen bij vooruitbetaling verschuldigd zijn. Hiermee wordt aansluiting gezocht bij de gebruikelijke werkwijze van veel leveranciers (de GIBIT is hier dus leveranciersvriendelijk). Tegelijkertijd ligt ook vast dat de periodieke vergoeding eerst vanaf (deel)Acceptatie verschuldigd is.

De gedachte daarachter is eenvoudig: het is onredelijk om vooruit te betalen voor een prestatie terwijl nog onzeker is of deze voldoet aan de overeengekomen eisen (dan wel kan worden gebruikt). Dat zullen leveranciers wellicht als minder vriendelijk ervaren, maar dat is niet terecht. Het is immers een normaal ondernemersrisico om als leverancier eerst zelf in te kopen en later pas door eigen klanten betaald te worden.

Hierbij zij aangetekend dat artikel 9.3 (over het zonder vertraging doorlopen van de Acceptatieprocedure) voor beide partijen geldt en dat ingebruikname voor productieve doeleinden acceptatie impliceert (zie artikel 9.10). Dit zijn beide nuanceringen die de eventuele vrees van leverancier voor langdurige voorfinanciering sterk kunnen temperen. Verder wordt aangetekend dat onderhoudsvergoedingen, die veelal periodiek zullen zijn, op grond van artikel 10.1 eerst na Acceptatie verschuldigd zijn nu het onderhoud niet eerder start.

Er wordt vooruitbetaald voor de diensten in de komende periode (niet voor de gehele contracttermijn). Dat betekent dat uiterlijk op de in de overeenkomst bepaalde datum, althans uiterlijk bij het intreden van die nieuwe periode, moet zijn betaald. Eerder kan de leverancier ook geen betaling afdwingen (vgl. artikel 6:39 BW).

De GIBIT erkent voorts dat bij Derdenprogrammatuur de leverancier veelal zelf direct moet betalen. Dat is een inkooprelatie waarbij de leverancier, naar de aard van Derdenprogrammatuur (in feite monopolies), veelal geen enkele onderhandelingspositie heeft (anders dan bij de inkoop van andere producten en diensten). Vandaar dat bij Derdenprogrammatuur geen sprake is van het achterhouden van een deel van de vergoeding maar betaling na levering geschiedt. Overigens, dit geldt enkel voor Derdenprogrammatuur die conform artikel 22 vooraf aan Opdrachtgever kenbaar is gemaakt. De gedachte daarachter is dat zodoende verrassingen worden voorkomen, nu artikel 22 tot transparantie vooraf verplicht.

Het moment van levering van Derdenprogrammatuur is hierbij overigens het moment waarop de Opdrachtgever de feitelijke macht over die Derdenprogrammatuur zou kunnen uitoefenen (vgl. het Burgerlijk Wetboek). Of wat praktischer uitgedrukt: het moment waarop Opdrachtgever van de software gebruik kan maken. Uiteraard kan in de Overeenkomst een ander moment worden overeengekomen (zoals het moment van tenaamstelling van licenties).

De uitgestelde opeisbaarheid is niet van toepassing indien er geen Acceptatieprocedure wordt uitgevoerd. In samenhang met de regel dat ingebruikname voor productieve doeleinden in beginsel kwalificeert als Acceptatie, geeft dit Leveranciers zo in de praktijk voldoende houvast dat er tijdig betaald wordt. Zo nodig kan Leverancier de Opdrachtgever in gebreke stellen om alsnog tot het doorlopen van de Acceptatieprocedure over te gaan.

Een belangrijke tegemoetkoming is artikel 11.3. Zoals hiervoor beschreven wordt van de leverancier als gespecialiseerde aanbieder verwacht dat zij in beginsel in staat moet zijn aan de gestelde eisen inzake het onderhoud te kunnen voldoen. Onder omstandigheden kan dit echter onbillijk uitpakken. De bewijslast hiervoor ligt bij Leverancier. Dit is een reactie op vragen over de kosten voor het verwerken van wijzigingen in wet- en regelgeving, met name in relatie tot ingrijpende stelstelwijzigingen of (te laat aangekondigde) ingrijpende wijzigingen in de eisen die aan de ICT Prestatie worden gesteld. Het komt daarbij mede aan op de vraag in hoeverre de Leverancier, als zorgvuldig en professioneel handelende partij, de wetswijzigingen had kunnen of althans behoren te voorzien. Die vraag is in abstracto in deze voorwaarden niet te beantwoorden; vandaar ook dat de GIBIT slechts een bewijsverdelingsregel bevat.

In artikel 11.4 wordt verhelderd dat de randvoorwaarden nog steeds gelden: meerwerk wordt gemeld, de Opdrachtgever moet akkoord geven, en de afgesproken tarieven gelden.

Artikel 11.5 geeft de mogelijkheid in de Overeenkomst nadere eisen te stellen ten aanzien van de factuur. Toegevoegd ten opzichte van de versie 2020 is dat facturen binnen drie maanden na het opeisbaar worden van de betreffende werkzaamheden dienen te worden verstuurd. De gedachte is dat laat factureren moet worden voorkomen; dat is in het belang van beide partijen. De termijn van drie maanden is echter niet haalbaar voor gemeentes die een fiscaal jaar moeten afsluiten. Daarom is bepaald dat alle facturen voor werkzaamheden in een bepaald jaar vóór 6 januari van het daarop volgende jaar naar de gemeente moet worden verstuurd. Aangezien dit moment niet voor alle gemeenten passend zal zijn, of een strikte vervaltermijn niet voor alle gemeenten noodzakelijk zal zijn, is nog eens benadrukt dat afwijken in de bovenliggende overeenkomst mogelijk is.

Artikel 11.6 stelt als standaard betaaltermijn 30 dagen.

Artikel 11.7 bepaalt dat er standaard elektronisch moet worden gefactureerd conform de daarvoor geldende standaard.

In artikelen 11.8 en 11.9 zijn regelingen omtrent prijsverhogingen doorgevoerd. Hoofdregel is dat alleen de prijsstijging uit de dienstenprijsindex, groep J62 (althans J6202) gevolgd mogen worden (artikel 11.8). Vanwege het begrotingsproces van gemeenten is opgenomen dat prijs- indexaties ruim van tevoren (één maand) moeten worden aangekondigd. Er wordt steeds vergeleken met de index van 12 maanden daarvoor. Zodoende wordt ook minder relevant dat op het moment van indexeren wellicht nog niet de jaarindexcijfers gepubliceerd zullen zijn.

Opnieuw wordt hier de nuance gezocht ten aanzien van Derdenprogrammatuur: hier mogen niet voorzienbare prijsstijgingen aan gemeenten worden doorbelast mits deze aantoonbaar worden gemaakt. Prijsverlagingen moeten ook doorgevoerd worden (artikel 11.9), maar hier- voor gelden geen andere regels meer dan voor prijsverhogingen.

Er is in artikel 11.10 een bepaling toegevoegd over onvoorziene aanzienlijke kostprijs- verhogende omstandigheden. Het artikel voorziet in een overlegverplichting en geeft daarbij op voorhand drie opties: (i) prijsverhoging betalen, (ii) ICT Prestatie beperken of (iii) Overeenkomst beëindigen tegen vergoeding van de daarmee gemoeide kosten (dat laatste gelet op de verwijzing naar artikel 24.6). Met het artikel wordt voorkomen dat bij onvoorziene omstandigheden de gang naar de rechter is vereist (vgl. artikel 6:258 BW).

De lat hierbij ligt vrij hoog; het gaat om excessen. Het gaat bij dit artikel bijvoorbeeld om dermate ingrijpende situaties dat continuïteit van dienstverlening en/of bedrijfsvoering aantoonbaar in het geding komt. Het toelaten van een grote prijsverhoging is weliswaar een discretionaire bevoegdheid van de gemeenten (en geen verplichting), maar gelet op de algemene beginselen van behoorlijk bestuur kan van een gemeente wel worden verwacht dat zij hier redelijk en behoorlijk in handelt.

Het artikel geeft bovendien op voorhand aan tot welk percentage een kostenstijging geacht wordt voor risico van leverancier te zijn (<10%); dat geeft partijen op voorhand al enige zekerheid. Het is immers niet de bedoeling om zaken als extra indexatie te regelen in dit artikel. Overigens gelden de vereisten uit de Aanbestedingswet hiervoor onverkort, en dan met name de regeling omtrent onvoorziene kosten uit artikel 2.163e Aanbestedingswet 2012. De mogelijkheid van substantiële prijsverhoging moet dan ook worden toegepast binnen de kaders die door de Aanbestedingswet worden gegeven.

Artikel 11.11 bepaalt dat vergoedingen die gerelateerd zijn aan wijzigingen onderhevige getallen die zijn gerelateerd aan Opdrachtgever, slechts éénmaal per jaar worden bijgesteld en wel op 1 januari, tenzij anders overeengekomen. De gedachte is dat hierdoor prijs- schommelingen gedurende de looptijd worden beperkt. Uiteraard kan in de overeenkomst een andere afspraak worden gemaakt.

Artikel 11.12 bepaalt ten slotte dat hetgeen in dit artikel omtrent Derdenprogrammatuur is bepaald alleen geldt voor zover leverancier heeft voldaan aan hetgeen in artikel 22.1 is bepaald. Artikel 22.1 bepaalt dat leverancier de relevante Derdenprogrammatuur uitdrukkelijk in zijn aanbod moet specificeren. Met andere woorden: indien leverancier verzaakt de relevante Derdenprogrammatuur te specificeren, dan geniet hij ook niet de voordelen van genuanceerde betalingsregeling zoals verwoord in dit artikel (en wordt dus ook bij die programmatuur 70% bij ingebruikname en 30% bij integrale acceptatie betaald).

Artikel 12. Garanties

In dit artikel worden in het eerste lid diverse garanties vermeld. Het is vaste rechtspraak dat wat partijen beogen met garanties een kwestie is van uitleg. In het geval van de GIBIT is het belangrijkste beoogde gevolg vermeld in artikel 12.2, namelijk dat indien Opdrachtgever een garantie inroept, het dan aan Leverancier is om aan te tonen dat dit beroep onterecht is. Het artikel bevat in zoverre een bewijslastverdeling.

De meeste garanties spreken voor zich en zien er met name op dat de leverancier ervoor instaat dat hij levert wat is overeengekomen. Aan de lijst garanties is ten opzichte van de versie 2020 de garantie toegevoegd om voorgeschreven modificaties op Producten zo spoedig mogelijk door te voeren (in situaties van onveilige producten).

De garantie onder iv hangt samen met het belang van gemeenten om desnoods op een later moment alsnog Onderhoud af te kunnen nemen. Het is daarvoor noodzakelijk dat de gele- verde ICT Prestatie daadwerkelijk nog onderhouden wordt. In dit artikel geeft de leverancier de garantie dat dit in ieder geval twee jaar na Acceptatie nog het geval is.

Er is geen garantie meer over het inpassen in het Applicatielandschap van Opdrachtgever. Het inpassen in het Applicatielandschap komt immers reeds terug in het aanbod en de daarbij horende risicoanalyse en bij het Onderhoud. Steeds geldt dat de eis van inpasbaarheid slechts geldt voor zover de Leverancier met dat Applicatielandschap bekend is. Er rust zodoende ook een plicht op Opdrachtgever om Leverancier te informeren over wijzigingen in dat Applicatielandschap.

Naar aanleiding van diverse opmerkingen van met name leveranciers is in artikel 12.3 toegevoegd wat er in de Inkoopvoorwaarden onder een garantie is te verstaan. Dit is gedaan aangezien het vaste rechtspraak is dat wat onder een garantie is te verstaan afhangt van de partijbedoeling, terwijl die partijbedoeling regelmatig niet zal blijken bij het gebruik van de Inkoopvoorwaarden in formele inkoopprocessen als een aanbesteding. Zodoende ontstaat onzekerheid over de betekenis/interpretatie van begrippen als ‘garantie’ en ‘garanderen’.

Dat klemt temeer nu in de juridische literatuur soms wordt gesteld dat aan de begrippen verstrekkende consequenties zijn verbonden. In de Inkoopvoorwaarden is met de begrippen slechts de resultaatsverbintenis met de genoemde bewijslastverdeling mee bedoeld, verder niets. Opnieuw een aanpassing ten faveure van de leveranciers (die bevreesd zijn voor voornoemde verstrekkende uitleg).

Artikel 13. Algoritmische toepassingen

Gemeenten zien steeds meer gebruik van algoritmen en de maatschappelijk vragen over dergelijk gebruik neemt ook toe. Er is ook allerlei (concept)wetgeving over het onderwerp in aantocht. Vandaar dat de GIBIT enkele (minimale) eisen stelt aan dergelijke toepassingen. Het is denkbaar – en onder omstandigheden ook wenselijk – dat in het bovenliggende contract de eisen nader worden uitgewerkt. De eisen beperken zich vooralsnog tot de volgende basis-/kerneisen.

In het eerste lid zijn eisen gesteld aan (de kwaliteit van) de Algoritmische toepassing: een rechtmatige dataverwerking, gestructureerde en neutrale dataverwerking en nauwkeurigheid. In het tweede lid is een gebruiksbeperking op de verwerkte data opgenomen: geen gebruik voor eigen doeleinden, tenzij volledig geanonimiseerd. Hiermee wordt enerzijds bedrijfs- vertrouwelijke en privacygevoelige informatie beschermd, doch anderzijds erkend dat een algoritme ‘input’ nodig heeft om verrijkt te worden.

Aangezien een algoritme in de praktijk regelmatig een ‘black box’ is, terwijl de gemeente als actor in een democratische rechtstaat het eigen handelen juist zal moeten kunnen verantwoorden is aan lid 3 toegevoegd dat leverancier zowel in algemene zin als in een specifiek geval moet kunnen uitleggen/verantwoorden hoe het algoritme werkt of waarom het tot een bepaalde beslissing is gekomen. Dat hoeft niet zo ver te gaan dat leverancier het algoritme prijs hoeft te geven (het belang van bescherming van bedrijfsvertrouwelijke informatie wordt onderkend), maar wel zo ver dat in voorkomend geval de beslissing in rechte toetsbaar wordt. Dat laatste is immers een basisbeginsel van de democratische rechtstaat.

Gelet daarop is ook in lid 4 opgenomen dat de gemeente de informatie over de werking met derden (zoals de rechtbank) mag delen. Om diezelfde reden is ook in artikel 13.5 opgenomen dat het bestaande controle-/auditrecht ook van toepassing is op de Algoritmische toepassing (strikt genomen is de bepaling welhaast overbodig, want dat controlerecht zag toch al op nakoming van alle verplichtingen).

Artikel 14. Documentatie en informatie

Het eerste lid van dit artikel bepaalt dat leverancier documentatie dient te leveren. Ook stelt het artikel enkele eisen aan de documentatie, zowel in lid 1, lid 2 als lid 3.

Documentatie wordt hier in brede zin gebruikt: het artikel ziet zowel op het gebruik van de geleverde ICT Prestatie (sub i, sub iii), op het documenteren van de door Leverancier gemaakte instellingen (sub ii), op het kunnen uitvoeren van de acceptatietesten (sub iv) en op het beheren van de ICT Prestatie (sub v). Daarbij kan voor het nakomen van sub v de GEMMA Softwarecatalogus (www.softwarecatalogus.nl) deels worden gebruikt.

Om leveranciers voldoende flexibiliteit te geven, is bepaald dat alleen de documentatie gericht op eindgebruikers in het Nederlands gesteld dient te zijn. Overige documentatie mag ook in het Engels zijn opgesteld.

Artikel 14.4 ziet op het tijdig aanleveren van de documentatie. Het artikel bepaalt in algemene zin dat leverancier de documentatie moet updaten zodra blijkt dat deze niet langer juist is. Het initiatief tot een update kan zowel bij de Leverancier zelf liggen als bij Opdrachtgever.

Artikel 15. Productmanagement

Het is voor gemeenten van belang tijdig op de hoogte te zijn en blijven omtrent de ontwikkelingen van de ICT Prestatie. Vandaar dat in dit artikel is opgenomen dat Opdrachtgever tijdig over de roadmap wordt geïnformeerd (artikel 15.1) en toegang krijgt tot organen/platformen waar ervaringen met en informatie over de ICT Prestatie wordt uitgewisseld (artikel 15.2).

Beide aspecten staan los van eventueel overeengekomen onderhoud.

De bepalingen omtrent uitbreidingen op bestaande programmatuur die op maat zijn en op kosten van een gemeente zijn ontwikkeld, zijn geschrapt. Deze regeling werd in de praktijk als te complex ervaren. Het uitgangspunt is en blijft wel dat de rechten op Maatwerk toekomen aan de Opdrachtgever. Met die rechten in de hand kunnen gemeenten voor de verschillende situaties een passende regeling treffen.

Artikel 16. Aansprakelijkheid

Het onderwerp aansprakelijkheid leidt vaak tot verhitte discussies tussen gemeenten en leveranciers. De ervaring leert echter ook dat die discussies niet altijd terecht zijn:

• a.

  Enerzijds dienen gemeenten zich te realiseren dat het aan hen is om een proportioneel contractueel kader te hanteren. Met de GIBIT is gepoogd hiertoe een aanzet te geven, door een aansprakelijkheidsmaximum te hanteren dat in relatie staat tot de opdrachtwaarde (idem ARBIT). Dit laat onverlet dat het in voorkomend geval passend kan zijn van dit kader af te wijken.

• b.

  Anderzijds dienen leveranciers zich te realiseren dat hun tekortschieten kan leiden tot grote schades bij gemeenten en dat het zodoende niet onredelijk is dat gemeenten verlangen dat leveranciers die – door hen veroorzaakte – schade te vergoeden en dat leveranciers hiervoor over passende verzekeringen beschikken. Ook mag van leveranciers worden verwacht dat zij hun bedrijfsvoering zo hebben ingericht dat een incident niet direct tot disproportioneel grote schades of schades onder een groot deel of alle klanten van die leveranciers leidt.

• c.

  Beide partijen dienen zich verder te realiseren dat naast de bepalingen in de GIBIT het Burgerlijk Wetboek (en andere wetgeving) onverkort van toepassing is, tenzij daar in de GIBIT uitdrukkelijk van is afgeweken. Dit houdt o.m. in dat de regels uit boek 6 titel 1 afdeling 10 (over schadevergoeding) van toepassing zijn, waaronder begrepen de daarin opgenomen regels omtrent schadebegroting, causaliteit, eigen schuld, etc. Zo kan Opdrachtgever pas schade claimen als er sprake is van een tekortkoming of onrechtmatig handelen van de leverancier en geen schade claimen voor zover zij daar zelf debet aan is of voor zover de schade in onvoldoende causaal verband staat tot de tekortkoming van de leverancier. Anders dan dus wel eens wordt geroepen in onderhandelingen is van onbe- perkte aansprakelijkheid zeker geen sprake (maar beperkt door de kaders van het BW).

In de aansprakelijkheidsclausule wordt onderscheid gemaakt tussen enerzijds persoons- en zaakschade en anderzijds overige schade. Het onderscheid tussen deze twee schadesoorten sluit aan bij verzekeringen die in de markt worden aangeboden. Er wordt zodoende uitdrukkelijk ook geen onderscheid gemaakt tussen directe en indirecte schade. Dit onderscheid komt in de Nederlandse wet niet voor en het is (daarmee) vaak onduidelijk wat er precies met het onderscheid wordt bedoeld. Bij onduidelijkheid is geen van de partijen gebaat. Soms wordt met indirecte schade gedoeld op schade die in onvoldoende causaal verband staat tot de tekortkoming; de eis van causaal verband is echter al een algemene regel van Nederlands schadevergoedingsrecht (zie hiervoor).

De overige schade staat in relatie tot de omvang van de Jaarvergoeding. Het begrip Jaarvergoeding is gedefinieerd in artikel 1. Het gaat in de kern om een jaargemiddelde van de (oorspronkelijke voorziene) totale vergoeding gezien over de (oorspronkelijk beoogde) duur van het project. In de praktijk zal die totale prijs veelal deels zijn gebaseerd op eenmalige vergoedingen, periodieke vergoedingen of vergoedingen op nacalculatiebasis. Om voor beide partijen helderheid te bieden is bepaald dat de hoogte van die vergoedingen moet worden berekend aan de hand van de initieel beoogde looptijd en de initiële begrotingen. Beide partijen weten zo – voorafgaand aan het sluiten van het contract – wat de omvang van de maximale aansprakelijkheid in voorkomend geval zal zijn. Er is bewust niet gekozen voor een dynamischer definitie, aangezien dat in de praktijk alleen maar tot onzekerheid zou leiden. Partijen dienen er aldus wel op bedacht te zijn dat bij majeure wijzigingen onder een bestaande Overeenkomst (voor zover aanbestedingsrechtelijk toegestaan), het waarschijnlijk passend is het aansprakelijkheidsregime bij te stellen.

Ten opzichte van de versie 2020 is de maximale aansprakelijkheid (fors) verlaagd van tienmaal de Jaarvergoeding per gebeurtenis naar tweemaal de Jaarvergoeding per gebeurtenis.

De maximale totale aansprakelijkheid per jaar is bovendien met dezelfde factor verlaagd van twintigmaal tot viermaal de Jaarvergoeding. Uiteraard blijft onverlet – ongeacht dit ‘vangnet’ – dat gemeenten altijd proportionele afspraken zullen moeten maken. Andere afspraken zijn dus ook denkbaar.

Veel leveranciers hebben tijdens de consultatie (uitdrukkelijk) gevraagd om naast een beperking van aansprakelijkheid per gebeurtenis, ook een algehele beperking van aansprakelijkheid op te nemen. De werkgroep heeft deze verzoeken kritisch en enigszins terughoudend beoordeeld. Dergelijke afspraken kunnen namelijk tot effect hebben dat er in bepaalde situaties voor de leverancier weinig prikkel tot nakoming meer is (bij een absoluut maximum is de leverancier immers niet meer aansprakelijk zodra door eerdere claims dat maximum al is ‘volgelopen’). Vandaar dat uiteindelijk ervoor is gekozen om de maximale aansprakelijkheid te beperken voor steeds de periode van één kalenderjaar. Het daarop volgende jaar staat de spreekwoordelijke teller weer op nul (een schone lei). Dit sluit ook aan bij de systematiek die verzekeraars hanteren. Het belang van Leveranciers is bovendien gediend met de bepaling dat samenhangende gebeurtenissen worden aangemerkt als één gebeurtenis. De werkgroep meent dat hiermee een gebalanceerde benadering is gekozen die beide belangen dient: enerzijds voor gemeenten een reëel en voldoende hoog maximum waar voldoende prikkel tot nakoming vanuit gaat en anderzijds voor leveranciers een absoluut jaarlijks maximum dat daarmee ook beter voorzienbaar en verzekerbaar is.

In het vijfde lid is een genuanceerde regeling getroffen over uitzonderingen op de aansprakelijkheidsregeling, waarbij oog wordt gehouden voor de Gids Proportionaliteit. In de kern zijn hier alle gebruikelijke uitzonderingen op de beperking van aansprakelijkheid samengebracht. Het beperken voor dood of letsel (sub i) en bij opzet of grove schuld (sub ii) wordt algemeen onaanvaardbaar geacht. Het schenden van IE-rechten (sub iii) ligt naar zijn aard volledig in de risicosfeer van de leverancier, aangezien Opdrachtgever (die slechts objectcode geleverd krijgt) niet in de positie is om te kunnen controleren of de leverancier enige rechten schendt. Daarbij komt dat de leverancier al gerechtigd is zelf in te grijpen om die schade te beperken (zie artikel 20). De uitzondering op de beperking voor de verwerking van persoonsgegevens in sub iv is genuanceerd. In de ARBIT is gekozen voor een onbeperkte aansprakelijkheid

bij tekortkomingen in verband met de verwerking van persoonsgegevens. Dat lijkt in veel gevallen echter niet proportioneel. Daarom is in de GIBIT in sub iv opgenomen dat er slechts geen beperking geldt voor boetes die ook aan verwerker hadden kunnen worden opgelegd (om zo te benadrukken dat de boete moet zien op handelingen in de risicosfeer van Leverancier liggen) en onder de voorwaarde dat Leverancier tijdig wordt geïnformeerd over onderzoek door de toezichthouder en wordt betrokken bij het voeren van verweer tegen de boete.

Daarbij kan bijvoorbeeld worden gedacht aan de situatie waarin leverancier een slechte beveiliging heeft en de gemeente daardoor een datalek ondervindt: de gemeente kan beboet worden voor het datalek, maar dat ligt buiten haar macht. Het is in zo’n geval onbillijk als de leverancier zich vervolgens kan beroepen op het aansprakelijkheidsmaximum.

Er staat overigens uitdrukkelijk “wordt betrokken bij” het verweer voeren tegen de boete en niet iets als “afstemmen”. Het is immers in ultimo aan Opdrachtgever zelf om te bepalen of en zo ja hoe verweer tegen een aan Opdrachtgever opgelegde boete wordt gevoerd.

Tegenover die partijautonomie staat wel dat het naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn om enerzijds wel de boete op de Leverancier te willen verhalen doch anderzijds niet diezelfde Leverancier in staat stellen verweer te voeren tegen (het aan Leverancier toe te rekenen deel van) die boete. Dat zou een soort ‘blanco cheque’-situatie zijn en dat is niet de bedoeling. In dat licht moet deze genuanceerde set aan randvoorwaarden dan ook worden gezien.

Artikel 17. Verzekering

In artikel 17 is bepaald dat leverancier voldoende zekerheid moet bieden voor verhaal, hetzij via een verzekering, hetzij anderszins. Er is bewust voor gekozen een verzekering niet dwingend voor te schrijven. Er zijn immers legio manieren denkbaar waarop het risico voor gemeenten dat de leverancier in voorkomend geval geen verhaal biedt, afgedekt kan worden (moedergarantie, bankgarantie, derdenrekening, etc.).

In het tweede lid is een minimumdekking opgenomen. Deze dekking correspondeert met de maximale aansprakelijkheid zoals dit in het vorige artikel is bepaald.

Artikel 18. Geheimhouding

Artikel 18 regelt een wederkerige geheimhoudingsverplichting. In het eerste lid is bepaald dat beide partijen alle informatie waarvan zij het vertrouwelijke karakter (behoren te) kennen geheim zullen houden, met een (nieuwe) uitzondering voor onderaannemers, aandeelhouders, accountants, professionele adviseurs, en dergelijke. Partijen worden ook uit de geheimhouding ontheven voor zover dit noodzakelijk is op grond van een wettelijk voorschrift, onderzoek van een toezichthouder of gerechtelijke procedures.

In het tweede lid is de minimale geheimhoudingstermijn opgenomen. In voorkomend geval zal deze moeten worden verlengd, naar gelang de aard van de gegevens. Voor persoonsgegevens geldt hoe dan ook de termijn die in de verwerkersovereenkomst is opgenomen.

In het derde lid is opgenomen dat beide partijen de geheimhouding ook zullen opleggen aan door hen ingeschakeld personeel en hulppersonen.

Voor transparantie binnen de overheid is in het vierde lid toegevoegd dat de inhoud van overeenkomsten gedeeld mag worden binnen gemeenten, tussen gemeenten en met relevante samenwerkingspartners.

De GIBIT is zodoende meer in lijn met bijvoorbeeld wetgeving omtrent openbaarheid van bestuur.

Artikel 18.5 bepaalt dat vertrouwelijke gegevens op verzoek moeten worden teruggeven. Het zesde lid ten slotte stelt voor alle partijen een boete op het schenden van de geheim- houdingsplicht. Er is een boete opgenomen omdat het begroten van de schade bij schending van de geheimhouding in de praktijk veelal niet eenvoudig is. Zodoende zou iedere prikkel tot het geheim houden van vertrouwelijke informatie zonder boetebeding kunnen ontbreken (bij niet te begroten schade volgt immers toch geen schadeclaim). De boete is ten opzichte van de versie 2020 verlaagd van 4 keer de vergoeding naar € 10.000,- per overtreding.

Ter voorkoming van misverstanden is in de GIBIT 2023 toegevoegd dat samenhangende overtredingen worden aangemerkt als één overtreding en dat reeds betaalde boetes in mindering worden gebracht op de uiteindelijke schadevergoeding.

Artikel 19. Overmacht

Het eerste lid van dit artikel herhaalt in feite wat er in de wet omtrent overmacht staat.

Het tweede lid expliceert dat bepaalde omstandigheden in ieder geval niet als overmacht worden gekwalificeerd. De in dit lid genoemde omstandigheden komen dus voor risico van de leverancier.

Ten aanzien van uitval van nuts- en telecomvoorzieningen is een genuanceerde regeling getroffen. In beginsel kwalificeert uitval van dergelijke diensten als overmacht. De GIBIT erkent daarmee dat leveranciers dergelijke diensten zelf ook inkopen en daarbij veelal niet in de positie zijn om een bepaald niveau van dienstverlening af te dwingen. Van overmacht is echter geen sprake indien de storing door leverancier zelf is veroorzaakt of wanneer is overeengekomen dat leverancier de nuts- of telecomvoorzieningen beschikbaar diende te houden. Ter illustratie van dit laatste: voor een cloud-/ASP-dienst betekent dit veelal dat het de leverancier wel kan worden aangerekend als zijn eigen verbinding naar het publieke internet toe uitvalt (dit is dan geen overmacht), maar niet indien er op het publieke internet of bij de provider van Opdrachtgever storingen zijn die maken dat er geen gebruik kan worden gemaakt van de cloud-/ASP-dienst.

In artikel 19.3 is bepaald dat leverancier enig door overmacht genoten voordeel dient te vergoeden, met inachtneming van de beperking van aansprakelijkheid. De gedachte is eenvoudig: leverancier zou niet rijker moeten worden van een overmachtssituatie.

De bepaling is overgenomen uit de ARBIT.

Artikel 20. Intellectuele eigendom

De GIBIT 2023 sluit aan bij het in de markt gebruikelijke onderscheid tussen standaard en maatwerk: in beginsel rusten de rechten op standaardprestaties bij de Leverancier, en de rechten op Maatwerkprogrammatuur bij de Opdrachtgever. Bij Maatwerkprogrammatuur wordt specifiek voor Opdrachtgever iets ontwikkeld. Het ligt dan voor de hand dat Opdrachtgever ook de beschikking krijgt over de rechten en de broncodes van dat werk. Dat is dan ook in artikel 20.4 bepaald.

Voor de overige ICT Prestaties geldt dat daarop een gebruiksrecht wordt verleend. Dit komt in artikel 20.3 naar voren. De duur van de gebruiksrechten verschilt naar gelang de aard van de vergoeding: bij periodieke vergoedingen is de duur van het gebruiksrecht gelijk aan de looptijd van de overeenkomst, bij overige vergoedingen is sprake van een eeuwigdurend gebruiksrecht. De koppeling aan de duur van de overeenkomst (en niet: aan de betaal- frequentie) bij periodieke vergoedingen is bewust; voorkomen moet worden dat het niet tijdig betalen automatisch tot verval van het gebruiksrecht leidt. Deze abstracte omschrijving sluit zodoende ook aan bij een veelheid aan licentiemodellen die in de praktijk voorkomt.

Welk licentiemodel in concrete gevallen wordt gehanteerd, zal volgen uit de (bovenliggende) overeenkomst die partijen sluiten. Wel ligt – mede op verzoek van leveranciers – op voorhand vast dat een licentie in principe niet het recht omvat om zelf exploitatiehandelingen te verrichten. Het woord ‘exploitatiehandelingen’ is zeer breed en is in de IE-literatuur ook gebruikelijk. Niettemin is ten opzichte van de versie 2020 zekerheidshalve nog toegevoegd dat gemeenten (dus) ook niet bevoegd zijn sub-licenties te verstrekken of rechten over te dragen (tenzij toegestaan).

In lid 6 en 7 is geborgd dat Opdrachtgever gebruik kan blijven maken van de voor hem relevante functionaliteit bij claims van derden dat de gebruikte ICT Prestatie inbreuk maakt op hun rechten. In lid 8 is bepaald dat bij een aansprakelijkstelling door de betreffende derde, Opdrachtgever de overeenkomst ook moet kunnen ontbinden. Deze laatste bepaling is met name bedoeld om de schade voor Opdrachtgever te kunnen beperken.

Opdrachtgever moet een aansprakelijkstelling immers in de administratie opnemen en heeft zodoende een (boekhoudkundige) prikkel om de (vermeende) inbreuk zo snel mogelijk te (kunnen) staken. In de praktijk zal vermoedelijk weinig een beroep worden gedaan op lid 8 en zal met name de (meer praktisch gerichte) benadering van lid 6 en 7 relevant zijn.

De mogelijkheid de overeenkomst te ontbinden na een beweerde schending van intellectuele eigendomsrechten door derden in lid 8 (zie ook 16.5) is opgenomen vanwege de potentieel grote gevolgen van zo’n claim. Opdrachtgever kan als gevolg daarvan worden geconfronteerd met onder andere beslaglegging op alle inbreukmakende zaken, waaronder computers waarop inbreukmakende software is geïnstalleerd. De (beweerde) rechthebbende kan boven- dien schade claimen voor gederfde licentievergoedingen. Dat voor ontbinding een bewering volstaat, en geen in rechte vastgestelde schending het intellectueel eigendom (IE) nodig is, heeft ermee te maken dat de kosten (zie hierboven) bij een voortdurende schending van

IE-rechten zeer snel kunnen oplopen, terwijl juridische procedures om de schending definitief vast te stellen zeer lang kunnen lopen.

Artikel 20.9 bepaalt ten slotte dat de garanties en vrijwaringen wegens IE-inbreuken niet van toepassing zijn indien deze betrekking hebben op werken die de gemeente aan de leverancier ter beschikking heeft gesteld of door de gemeente zelf doorgevoerde wijzigingen in de programmatuur van de leverancier.

Artikel 21. Toegang tot data en autorisaties

Het is voor Opdrachtgevers van groot belang dat zij toegang blijven houden tot de met de ICT Prestatie verwerkte data (hun eigen data). Opdrachtgevers wensen de betreffende gegevens ook buiten de door de leverancier geleverde prestatie en/of voor andere doeleinden en in andere processen en systemen te kunnen gebruiken, zoals business intelligence toepassingen of big data analyses voor managementinformatie en/of in bedrijfssystemen die deel uitmaken van de proces- en informatieketen.

Dit artikel bepaalt in lid 1 dat Leverancier Opdrachtgever in staat moet stellen die toegang te allen tijde te verkrijgen, onverminderd het Overeengekomen gebruik. Hiermee wordt verduidelijkt dat het recht op toegang tot data en instellingen los staat van de features van de ICT Prestatie. Uiteraard is denkbaar dat de ICT Prestatie zelf qua features al helemaal voorziet in de behoefte van de gemeente, in welk geval de gemeente geen belang heeft bij een beroep op dit artikel, maar als dat niet of slechts deels het geval mocht blijken te zijn dan blijft een beroep op dit artikel dus mogelijk. Wel is toegevoegd dat de op te vragen gegevens louter de specifiek voor gemeente verwerkte gegevens betreft. Dit in reactie op opmerkingen van leveranciers dat er steeds vaker in multitenant omgevingen wordt gewerkt.

De wijze waarop Leverancier invulling geeft aan het toegangsrecht, is open gelaten. In lid 2 zijn slechts enkele voorbeelden opgenomen. In de praktijk kan leverancier ook op andere wijzen aan de verplichting uit lid 1 voldoen.

Het laatste lid bepaalt dat het gebruik van de gegevens door Opdrachtgever voor eigen rekening en risico is. Wel moet de leverancier Opdrachtgever waarschuwen indien het verlenen van toegang ertoe leidt dat bepaalde beveiligingen worden omzeild (lid 3).

Opdrachtgever kan zo een geïnformeerde keuze maken over het gebruik van de data.

Artikel 22. Derdenprogrammatuur

In de GIBIT is een afzonderlijke regeling opgenomen voor Derdenprogrammatuur. Dit begrip is gedefinieerd in artikel 1. Er wordt gedoeld op programmatuur van externe leveranciers die niet gelieerd zijn aan de leverancier en op de ontwikkeling waarvan de leverancier verder ook geen invloed heeft. Er kan worden gedacht aan programmatuur van partijen als Microsoft, Oracle, Adobe, Google, IBM, HP, SAP, etc. Overigens zou ook bepaalde open source programmatuur onder deze definitie kunnen vallen.

De regeling van artikel 22 is opgenomen omdat erkend wordt dat leveranciers veelal geen invloed hebben op de kwaliteit/functionaliteit van deze Derdenprogrammatuur, noch op de voorwaarden waaronder deze Derdenprogrammatuur op de markt wordt gebracht. Dit hangt samen met de wettelijke regeling omtrent het auteursrecht, waaruit (in de kern) volgt dat het exclusief aan de rechthebbende is om te bepalen of, en zo ja onder welke voorwaarden, software op de markt komt en onder welke voorwaarden deze software vervolgens mag worden gebruikt.

Om diezelfde reden is er uitdrukkelijk geen regeling opgenomen omtrent ‘derdenapparatuur’ of iets dergelijks. Het wettelijke regime bij fysieke zaken (zoals hardware) is namelijk anders dan bij software. Uitgangspunt bij de koop van roerende zaken is immers dat de verkrijger vrij is die zaken te gebruiken en weer door te verkopen, terwijl die vrijheid wettelijk gezien niet bestaat bij software. Een verkoper van gebrekkige zaken zal normaalgesproken ook de achter- liggende toeleverancier daar in rechte op kunnen aanspreken (regres hebben op zijn leverancier).

In lid 1 zijn diverse informatieverplichtingen rondom Derdenprogrammatuur opgenomen. De gedachte is dat Opdrachtgever zo een geïnformeerd besluit kan nemen over het al dan niet accepteren van het gebruiken van die Derdenprogrammatuur en de daaraan verbonden die voorwaarden. Die voorwaarden prevaleren namelijk op hetgeen elders in de overeenkomst is bepaald (artikel 2.5). Er is uitdrukkelijk ruimte geboden om voor alle informatie over en in verband met Derdenprogrammatuur naar externe vindplaatsen te verwijzen (zoals de documentatie of een online vindplaats). Dit geeft de leveranciers veel meer flexibiliteit om de informatie over Derdenprogrammatuur snel, schaalbaar en flexibel te bieden.

Hoewel de ervaring leert dat veel Derdenprogrammatuur ook bij andere leveranciers te krijgen is, of wellicht al eerder door Opdrachtgever is aangeschaft, achten we het geen onderdeel van de zorgplicht van Leverancier om Opdrachtgever actief te informeren over de mogelijkheid om Derdenprogrammatuur elders te betrekken.

Op grond van sub iv in het eerste lid moet de leverancier ook de eventuele afhankelijkheid van Derdenprogrammatuur in het aanbod specificeren. De ervaring leert dat bij discussies over bijvoorbeeld performance (te) snel wordt gewezen op programmatuur van derden. Door vooraf te worden geïnformeerd over die afhankelijkheid, kan Opdrachtgever ook op dit punt een geïnformeerde keuze maken. Bovendien wordt zo oneigenlijk gebruik van dit argument voorkomen.

In het tweede lid is bepaald dat de leverancier tijdig Updates en Upgrades moet uitbrengen teneinde de compatibiliteit met Derdenprogrammatuur te blijven borgen. Hierbij kan bijvoor- beeld gedacht worden aan de situatie dat de ICT Prestatie niet meer functioneert na een update van de Derdenprogrammatuur, of de situatie dat de Derdenprogrammatuur zelf (om wat voor reden dan ook) niet langer functioneert.

Het bepaalde in lid 3 en 4 vormt het sluitstuk van de afhankelijkheid van Derdenprogrammatuur. Vrij vertaald staat hier dat een leverancier vrijuit gaat indien een gebrek in de door hemzelfde geleverde prestatie (veelal: software) wordt veroorzaakt door een fout in de Derdenprogrammatuur, tenzij hij die laatstgenoemde fout had behoren te kennen en eromheen had kunnen werken. Eventueel overeengekomen service levels e.d. gelden dus in dat geval ook niet. Wel moet de leverancier er dan alsnog zo snel mogelijk alles aan doen om het probleem zo snel mogelijk op te lossen (lid 4).

De leverancier kan niet van deze (royale) uitzondering op de onderhoudsverplichtingen profiteren indien hij niet de hiervoor gespecificeerde informatie heeft gegeven (lid 5). De leverancier schiet in dat geval in beginsel bovendien tekort in de nakoming van de betreffende verplichtingen. Dat zou in principe een ontbinding of mogelijk vernietiging (wegens dwaling) van de overeenkomst kunnen rechtvaardigen. Wel moet dan steeds van geval tot geval bezien worden hoe zwaar dat achterhouden van de betreffende informatie door de leverancier in concreto heeft meegewogen.

In het zesde lid is opgenomen dat zowel de licentie- als de onderhoudsvoorwaarden van de Derdenprogrammatuur prevaleren op overige voorwaarden, mits deze overeenkomstig de voorwaarden van artikel 22 kenbaar zijn gemaakt.

In het nieuwe artikel 22.7 wordt een uitzondering op dit regime gemaakt voor Dienstverlening op Afstand. Artikel 22 is oorspronkelijk in de versie 2016 geschreven met de on premise-situatie in het achterhoofd. Bij een on premise-situatie wordt de software geïnstalleerd op lokale apparatuur en is het uitvoeren van het programma al een auteursrechtelijk relevante handeling waarvoor een licentie is vereist (vgl. artikel 45i Auteurswet). In die situatie wordt dus zowel de software van de leverancier als de Derdenprogrammatuur (bijv. een SQL-server) geïnstalleerd en heeft de gemeente voor beide pakketten een licentie nodig. Aangezien die licentie in de praktijk niet onderhandelbaar is (noch voor leverancier, noch voor gemeente), onderkennen artikel 22 en 2.5 dat die licentievoorwaarden dan prevaleren. Leverancier mag deze dan direct doorzetten naar de opdrachtgever. Bovendien erkent artikel 22 dat Gebreken die worden veroorzaakt door bugs in die Derdenprogrammatuur geen (toerekenbare) Gebreken zijn, doch dat leverancier dan wel zo snel mogelijk een oplossing moet bedenken.

Bij Dienstverlening op Afstand (cloud, SaaS) is de situatie een hele andere. De software wordt dan geïnstalleerd op de server van de leverancier. Het is de leverancier die (door het uitvoeren ervan) verveelvoudigingshandelingen verricht en die (dus) een licentie nodig heeft. Waar bij de on premise-situatie het de gemeente zelf is die een licentie nodig heeft op die Derdenprogrammatuur (zoals een SQL-server), is het bij Dienstverlening op Afstand een interne kwestie voor de leverancier geworden om over de juiste licenties te beschikken.

De gemeente koopt eenvoudigweg een totaalpakket als dienst. De gemeente ziet niet welke Derdenprogrammatuur wordt gebruikt, en gebruikt deze software zelf ook niet. Zij gebruikt immers alleen het pakket van de leverancier.

Artikel 23. Vervanging personeel

Het artikel over vervanging van personeel is nieuw ingevoegd. Het is overgenomen uit de ARBIT, met dien verstande dat het verbod om personeel te vervangen behoudens toestemming niet is overgenomen. De bepalingen zijn procedureel van aard, en spreken veelal voor zich.

Artikel 24. Opschorting, opzegging en ontbinding

De GIBIT geeft enkele aanvullende regels op de wettelijke regels omtrent opschorting, opzegging en ontbinding. De overige wettelijke regels blijven dus bestaan.

Het gaat hier om drie juridisch onderscheiden middelen/situaties, die in de kern hier op neerkomen:

• *

  opschorten = pauzeren. De overeenkomst blijft bestaan, maar een der partijen pauzeert het eigen werk, in reactie op gedrag van de andere partij. De meest bekende situatie is die waarbij eerst de ene partij verplichtingen niet nakomt, in reactie waarop de andere partij daarmee samenhangende verplichtingen pauzeert (vgl. artikel 6:262 BW). Denk hierbij aan het pauzeren van het werk in reactie op het uitblijven van tijdige betaling.

• *

  opzegging = stoppen. De overeenkomst wordt opgezegd en partijen gaan uit elkaar, zonder schadeclaims. Dit kan alleen tegen het einde van de looptijd. Vroegtijdige opzeg- ging leidt tot schadeplichtigheid. Bij duurrelaties of zeer grote afhankelijkheid is het denk- baar dat een extra lange opzegtermijn in acht moet worden genomen.

• *

  ontbinding = terugdraaien + schadevergoeding. De overeenkomst komt ten einde en de gevolgen van de overeenkomst worden zoveel mogelijk ongedaan gemaakt. Dat betekent praktisch dat de geleverde goederen weer terug worden geleverd en dat het geld terug wordt betaald. Waar teruglevering onmogelijk is, wordt gekeken wat de waarde van de prestatie was voor de ontvanger. Die waarde kan uiteenlopen van de betaalde vergoedingen tot 0. Bij een ontbinding kan de schade die wordt geleden wegens het tekortschieten en wegens het ontbinden op de wederpartij worden verhaald. Ontbinden kan alleen indien de wederpartij tekortschiet in de nakoming of indien zich een andere ontbindingsgrond voor- doet. Ontbinden kan ook gedeeltelijk.

De aanvullingen zijn opgenomen in het belang van Opdrachtgever. Zo is een beroep van de leverancier op opschorting aan banden gelegd (artikel 24.1). Opdrachtgever is immers veelal in grote mate afhankelijk van de leverancier, terwijl het normale wettelijke systeem de leverancier vrij laagdrempelig toestaat zich op opschorting te beroepen. Bij een mogelijk beroep op opschorting moet Leverancier voorafgaand waarschuwen voor de consequenties daarvan. Dit is een nadere invulling van de (toch al geldende) zorgplicht en overigens vooral ook fatsoenlijk.

In artikel 24.2 is bepaald dat overeenkomsten voor bepaalde tijd in beginsel niet tussentijds kunnen worden opgezegd en dat overeenkomsten voor onbepaalde tijd in beginsel altijd kunnen worden opgezegd met inachtneming van de vermelde opzegtermijnen. De bepaling houdt verband met het bepaalde in artikel 7:408 BW.

In artikel 24.3 is bepaald dat samenhangende overeenkomsten – ondanks die samenhang – selectief kunnen worden opgezegd tegen het einde van de actuele looptijd. Hierbij kan bijvoorbeeld gedacht worden aan het opzeggen van de onderhoudsovereenkomst, terwijl de overeenkomst voor Dienstverlening op Afstand doorloopt. De bepaling kan overigens ook worden gelezen als selectief verlengen. Het artikel is vooral bedoeld om eventuele twijfel weg te nemen over de vraag of de overeenkomsten vanwege die samenhang per se gelijk- tijdig verlengd dan wel opgezegd zouden moeten worden. Het artikel ziet uitdrukkelijk niet op vroegtijdige opzegging.

In de artikelen 24.4 en 24.5 is bepaald dat Opdrachtgever de overeenkomst(en) moet kunnen opzeggen bij fusie, uitbesteding en de verplichte overstap naar landelijke voorzieningen. De gedachte bij al deze bepalingen is dat Opdrachtgever zonder een dergelijke bevoegdheid in voorkomend geval niet van bestaande overeenkomsten af zou kunnen en aldus zou moeten blijven betalen voor dienstverlening die voor hem van geen waarde meer is. In artikel 24.6 is bepaald dat de leverancier gerechtigd is om – kort samengevat – de daardoor geleden schade bij Opdrachtgever in rekening te brengen. Bij die schadeberekening moet rekening worden gehouden met mogelijke hernieuwde inzet van productiemiddelen door leverancier. Dit om te voorkomen dat leverancier voor hetzelfde productiemiddel zowel een schadevergoeding van Opdrachtgever ontvangt, als (bij een andere klant) daarmee opnieuw winst realiseert.

In de artikelen 24.9-24.13 zijn de verschillende ontbindingsgronden nader uitgewerkt.

Naast de wettelijke gronden voor ontbinding, zijn hier ook de gebruikelijke gronden (zoals faillissement leverancier) aan toegevoegd. Verder is voorzien in ontbinding bij een vernietiging van een overeenkomst op grond van de Aanbestedingswet en bij langdurige overmacht.

Nieuwe ontbindingsgronden zijn het schenden van sanctiewetgeving en facultatieve uitsluitingsgronden in de zin van de Aanbestedingswet. Daarnaast is toegevoegd dat de overeenkomst ontbonden kan worden indien het voortzetten ervan in strijd komt met grondrechten en de rechtsstaat. Hiermee wordt tegemoetgekomen aan de Agenda Digitale Grondrechten en aan de uitgangspunten van MVO. Om willekeur en rechtsonzekerheid ten aanzien van de laatste ontbindingsgrond te voorkomen, ligt de bewijslast dat voortzetting van de overeenkomst onaanvaardbaar zou zijn bij de gemeente. Deze ontbindingsgrond is slechts bedoeld voor de meest extreme gevallen.

Het gaat hier stuk voor stuk om situaties waarbij het in redelijkheid niet van Opdrachtgever kan worden gevergd om de Overeenkomst voort te zetten. Uiteraard is het bij inroepen van al deze ontbindingsgronden aan Opdrachtgever om te bewijzen dat deze gronden zich daadwerkelijk voordoen. Opdrachtgevers die zich ten onrechte op ontbinding beroepen zijn bovendien aansprakelijk jegens de Leverancier. Van de door sommige Leveranciers gevreesde “gemakkelijke escape” is dan ook bepaald geen sprake.

In alle gevallen is rondom ontbinding niet afgeweken van het wettelijk uitgangspunt dat in beginsel ongedaanmaking van geleverde prestaties plaatsvindt (waaronder terugbetaling van betaalde vergoedingen). Dat is gedaan omdat diezelfde wet ook als uitgangspunt kent dat voor zover de geleverde prestaties van waarde zijn geweest, de vergoeding ter hoogte van die waarde verschuldigd blijft. De wet is zodoende al (zeer) genuanceerd. Zo zal het bijvoorbeeld bij ontbinding wegens faillissement van de leverancier bepaald niet voor de hand liggen om ook vergoedingen uit het verleden terugbetaald te krijgen, nu daar immers prestaties tegenover hebben gestaan die van waarde zullen zijn geweest.

Verder is ook niet afgeweken van het normale wettelijke uitgangspunt dat ontbinding niet mogelijk is bij schuldeisersverzuim aan de zijde van Opdrachtgever.

Artikel 25. Controlerecht en medewerking audits bij Opdrachtgever

Dit artikel ziet op twee verschillende (en niet-gerelateerde) soorten controles/audits: enerzijds het door Opdrachtgever controleren van leverancier (lid 1-5) en anderzijds het medewerking verlenen van leverancier aan audits die bij Opdrachtgever worden uitgevoerd (lid 6).

Opdrachtgever is gerechtigd om een onafhankelijke derde te laten controleren of leverancier de overeengekomen verplichtingen nakomt (lid 1). Ook mag de juistheid van de factureren worden onderzocht (lid 1).

Er is in het kader van de redelijkheid toegevoegd dat de controle moet zien op de nakoming van wezenlijke verplichtingen. Om diezelfde reden is ook toegevoegd dat een controle alleen gerechtvaardigd is indien er gerede twijfel is over de nakoming door de leverancier, of indien er een ander gerechtvaardigd belang voor Opdrachtgever is. Ook moet de aanleiding voor een controle kenbaar worden gemaakt. Dit stelt leverancier in staat om informatie ter beschikking te stellen en zodoende mogelijk de aanleiding voor de controle weg te nemen. Ook is in lid 2 opgenomen dat eerst om de generieke TPM moet worden gevraagd, alvorens een controle mag plaatsvinden. Ten slotte dient de controle binnen een redelijke termijn plaats te vinden en is de auditor aan geheimhouding gebonden.

De leverancier moet aan de controle alle redelijkerwijs te verwachten medewerking verlenen (lid 3). De kosten voor de controle zijn voor Opdrachtgever, tenzij de deskundige relevante tekortkomingen van leverancier constateert (lid 4). Deze laatste regel maakt dat een gemeente terughoudend en prudent zal omspringen met het aantal uit te voeren controles. In lid 4 is ten opzichte van de versie 2020 toegevoegd dat de plicht om toegang te verlenen slechts geldt voor zover dat redelijkerwijs mogelijk is. Zo is het bijvoorbeeld niet zonder meer mogelijk voor de Leverancier om toegang te verlenen tot locaties van haar toeleveranciers.

Opdrachtgever zelf kan ook onderworpen zijn aan audits. Het kan in dat kader relevant zijn om meer informatie te kunnen verschaffen over de gebruikte ICT prestaties. Veelal zal Opdrachtgever die informatie zonder medewerking van de leverancier kunnen verschaffen. Er zijn echter omstandigheden denkbaar waarbij medewerking van de leverancier nood- zakelijk is. Voor die omstandigheden bepaalt lid 6 dat de leverancier alle medewerking zal verlenen aan een dergelijke audit.

Artikel 26. Exit-plan, overstap, beperkte voortzetting, overdracht en verlengd gebruik

Artikel 26 vormt het sluitstuk op de “life cycle” benadering van de GIBIT. Dit artikel beschrijft diverse situaties waarbij Opdrachtgever de ICT Prestatie niet langer gebruikt en wat er (in voorbereiding daarop) in dat geval dient te gebeuren voor een soepele overstap.

In artikel 26.1 is vastgelegd dat partijen op verzoek van Opdrachtgever over zullen gaan tot het opstellen van een exit-plan, en er kan verlangd worden om een bestaand plan bij te werken. Een actueel plan is immers in het belang van beide partijen. Het artikel ziet louter op het opstellen van het plan als zodanig. In het plan kunnen één of meer van de in de volgende artikelleden beschreven opties nader worden uitgewerkt. Duidelijk is dat het bepaalde in de Inkoopvoorwaarden als vangnet is bedoeld; idealiter stellen partijen een specifieker plan op.

De eerste optie die in dit kader wordt beschreven is dat van de overstap naar een soortgelijke ICT-Prestatie (artikel 26.3-26.5). Dit scenario ziet op de overstap op een ander systeem, of de overdracht van het beheer van het bestaande systeem aan een ander. De leverancier wordt verplicht om daaraan mee te werken. Doel is een vendor lock-in situatie te voorkomen.

Een exit kan onder omstandigheden complex zijn. Het verdient dan aanbeveling om de exit voorafgaand eens te evalueren / testen. Dit om te voorkomen dat zodra het moment werkelijk daar is er opeens onvoorziene omstandigheden opduiken. Leverancier kan voor het evalueren vergoedingen in rekening brengen.

De tweede optie die wordt beschreven is het verkrijgen van nieuwe licenties voor beperkt gebruik (artikel 26.6-26.8). De gedachte is dat de bestaande (ruime) licenties niet langer nodig zijn, maar Opdrachtgever middels beperktere versies van (nieuwe) software of beperkte licenties op de bestaande software (bijv. alleen inzagerechten, geen gebruik van de software) in ieder geval nog een basis kan borgen om bij bepaalde data te kunnen.

In de basis geldt voor alle exit-werkzaamheden dat deze betaald worden verricht (zie artikel

26.4 en toelichting hiervoor). In afwijking daarop bepaalt dit artikel dat bij een beëindiging wegens toerekenbaar tekortschieten de diensten kosteloos worden verricht. Indien de overeenkomst is beëindigd wegens toerekenbaar tekortschieten van leverancier, staat vast dat sprake is van aansprakelijkheid van leverancier. Zodoende is deze bepaling in feite een vorm van schadevergoeding in natura. Ook de eenmalige vernietiging van gegevens dient zonder kosten te worden verricht. Dit is niet onredelijk, nu Leverancier de gegevens toch al zou moeten vernietigen. Leverancier heeft immers geen grond meer de gegevens na beëin- diging onder zich te houden en zou mogelijk aansprakelijk zijn indien de gegevens wel lang worden bewaard. Beide punten stonden reeds in de versie 2020. De bewoording is wel veranderd ten gunste van Leverancier: voorheen kon al bij een toerekenbare tekortkoming dit artikel worden ingeroepen, nu moet de overeenkomst wel beëindigd zijn.

De derde optie die wordt geboden is dat de ICT Prestatie wordt overgedragen aan een gemeenschappelijke regeling of andere publieke entiteit (artikel 26.8). Dit artikel geldt in aanvulling op het bepaalde in artikel 24.4. Laatstgenoemde artikel biedt een grond om de overeenkomst op te zeggen, artikel 26.8 biedt een grond om de overeenkomst over te dragen. Aangezien bij overdracht allerlei werkzaamheden zullen moeten worden verricht is de bepaling in artikel 26 opgenomen. Dit maakt immers dat het exit-plan van artikel 26.1 van toepassing is op deze werkzaamheden.

Overdracht is niet altijd mogelijk bij Derdenprogrammatuur. Dit artikel betreft slechts een verheldering; een verbod tot overdracht staat veelal toch al in de betreffende licentievoorwaarden en die voorwaarden prevaleerden reeds boven andere afspraken.

Ten slotte wordt in algemene zin bepaald dat (kort gezegd) gedurende de uitvoering van de exit-werkzaamheden de overeenkomst van kracht blijft c.q. verlengd wordt onder gelijke voorwaarden (artikel 26.9). Dit om te voorkomen dat Opdrachtgever in een situatie terecht- komt waarbij hij tijdelijk geen enkel systeem heeft (geen oud systeem meer, maar ook nog geen nieuw systeem). Ook hier is op voorhand de situatie rondom de verlenging van het gebruik van Derdenprogrammatuur geadresseerd.

Artikel 27. Toepasselijk recht en geschillen

In artikel 27 is bepaald dat de overeenkomst wordt beheerst door Nederlands Recht, dat het Weens Koopverdrag niet van toepassing is en dat geschillen zullen worden beslecht door de rechter in het arrondissement van de Opdrachtgever.

Er is bewust gekozen voor de overheidsrechter en niet voor arbitrage. Afwegingen hierbij zijn o.m. kosten en de openbaarheid van de zitting. Het is voor overheidsorganen van belang dat publiekelijk verantwoording wordt afgelegd over de besteding van belastinggeld. Het past in dat kader niet om geschillen standaard middels (in beginsel) geheime en veelal kostbare arbitrageprocedures af te doen.

Het is wel denkbaar dat in voorkomend geval (alsnog) voor arbitrage gekozen wordt. Partijen zullen daar dan – bij contractering of achteraf – overeenstemming over moeten zien te bereiken. Met name de specifieke deskundigheid van de arbiters kan in dat kader een relevante afweging zijn.

II. Privacy, beveiliging en archivering

In dit hoofdstuk zijn enkele specifieke artikelen opgenomen over privacy, beveiliging en archivering. Het hoofdstuk is van toepassing zodra er gegevens met de ICT Prestatie worden verwerkt. Dat zal heel vaak het geval zijn, maar zeker niet altijd (bijv. niet bij verkoop hardware).

Artikel 28. Verwerkersrelatie

De GIBIT gaat uit van de Standaardverwerkersovereenkomst voor Opdrachtgevers van de VNG, althans een tussen partijen specifiek overeengekomen verwerkersovereenkomst.

Deze wordt in artikel 28 van toepassing verklaard. In de definitie van Verwerkersovereenkomst (zie artikel 1) ligt vast over welk document het gaat. De rangordebepaling van artikel 28 in de versie 2020 is geschrapt nu de Verwerkersovereenkomst in de algemene rangordebepaling is opgenomen.

Artikel 29. Informatiebeveiliging

Artikel 29 ziet specifiek op beveiliging. Het artikel heeft enerzijds het karakter van een garantie, in de zin dat leverancier er op grond van het eerste lid voor in moet staan dat de Opdrachtgever met de ICT Prestatie kan voldoen aan in de Kwaliteitsnormen opgenomen beveiligingsnorm, althans een andere overeengekomen norm van informatiebeveiliging (lid 1).

Anderzijds bevat het artikel ook een verplichting in die zin dat als de ICT Prestatie door de leverancier beheerd of verricht wordt, dat de leverancier er dan voor moet zorgen dat de ICT Prestatie feitelijk aan die norm voldoet (lid 2). Om praktische redenen is ervoor gekozen (in beginsel) dezelfde beveiligingsnorm te hanteren als die van toepassing is op de verwerking van persoonsgegevens.

Het derde lid bepaalt dat de leverancier er voor in staat dat ingeschakeld personeel zich aan de normen houdt. Hier is ruimte opgenomen voor het hanteren van normen van gelijkwaardig beschermingsniveau, om zodoende meer ruimte te beien voor situaties van uitbesteding.

Nieuw in de GIBIT 2023 zijn artikelen 29.4 en 29.5. Op de Leverancier rust een verplichting tot het maken van back-ups, en er is een rapportageplicht voor beveiligingsincidenten. Een dergelijke plicht bestaat reeds onder de Verwerkersovereenkomst; het is voor gemeenten echter van belang ook over andersoortige veiligheidsincidenten geïnformeerd te worden.

Materieel gezien is het overigens nauwelijks een wijziging te noemen, want iedere gedegen norm voor informatiebeveiliging veronderstelt een goede rapportagestructuur en het werken conform beveiligingsnormen was reeds een eis.

In het zesde lid is uitdrukkelijk bepaald dat informatie over de getroffen beveiligingsmaatregelen vertrouwelijk is. Uiteraard moet dit artikel niet zo worden gelezen dat het de Leverancier verbiedt om haar algemene beveiligingsmaatregelen kenbaar te maken aan anderen, zoals andere klanten. Hiervoor is een uitzondering gemaakt. De specifiek voor de gemeente aangebrachte beveiligingsmaatregelen vallen wel onder de geheimhoudingsplicht.

Artikel 30. Archivering

Typerend voor de overheidsmarkt is de gebondenheid aan de Archiefwet. In dit artikel zijn daarom enkele randvoorwaarden opgenomen. Het eerste lid bepaalt dat de leverancier zorg moet dragen voor het aantoonbaar beheren en beschermen van de bewaarde gegevens overeenkomstig daartoe in Gemeentelijke ICT-kwaliteitsnormen gestelde eisen. Het tweede lid bepaalt dat de leverancier gegevens overeenkomstig de in die normen gestelde termijnen moet bewaren. Het derde lid bepaalt dat de leverancier de archiefbescheiden moet kunnen migreren naar archiefsystemen van Opdrachtgever, overeenkomstig Gemeentelijke ICT- kwaliteitsnormen. Het artikel zal in de praktijk enige overlap (kunnen) vertonen met het in artikel 26 beschreven deel van het Exit-scenario. Het vierde lid is opgenomen omdat denkbaar is dat de leverancier de enige partij is die feitelijk over de archiefbescheiden beschikt.

Het artikel stelt buiten alle twijfel dat leverancier die gegevens moet (terug)leveren aan Opdrachtgever bij opschorting, opzegging of ontbinding van de overeenkomst. Het is de leverancier dus niet toegestaan die gegevens te “gijzelen”. Ook hier geldt dat er enige over- lap is met het in artikel 26 beschreven Exit-scenario.

Voor de volledigheid zij er op gewezen dat de bewaarplicht voor de Leverancier alleen geldt gedurende de looptijd van de Overeenkomst (artikel 30.2). Van Leverancier kan (en mag) immers niet gevergd worden archiefbescheiden te bewaren, zonder dat daar een overeenkomst aan ten grondslag ligt. Opdrachtgever dient er wel op bedacht te zijn dat de bewaartermijnen onder de Archiefwet mogelijk langer zijn dan de looptijd van de Overeenkomst. Zij zal dan ook tijdig vooraf, bijvoorbeeld middels het hiervoor beschreven Exit-scenario of via de regeling omtrent toegang tot data als beschreven in artikel 21, de nodige maatregelen moeten treffen om zodoende naleving van de Archiefwet te borgen. Na afloop van de looptijd van de Overeenkomst kan dat niet langer van de Leverancier worden gevergd.

III. Dienstverlening op Afstand

In dit hoofdstuk zijn enkele specifieke artikelen opgenomen voor het geval de ICT Prestatie (mede) Dienstverlening op Afstand omvat. Het begrip “Dienstverlening op Afstand” is bewust abstract en vrij breed gedefinieerd (zie artikel 1). Het omvat niet alleen de dienst- verlening die klassiek onder “hosting” wordt verstaan, maar alle dienstverlening op afstand (zoals Cloud, SaaS, etc.).

Artikel 31. Algemeen

In het eerste lid is de verplichting opgenomen om alle voor Dienstverlening op Afstand noodzakelijke gegevens aan Opdrachtgever ter beschikking te stellen.

Indien voor gebruik van de ICT Prestatie een webbrowser is vereist, bepaalt artikel 31.2 dat de ICT Prestatie correct dient te functioneren in recente en nog ondersteunde versies van gangbare webbrowsers. Daarnaast moet de ICT Prestatie zo zijn ingericht dat er geen single- point-of-failure is bij meerdere klanten. Het gaat hierbij om de gevallen waarin de applicatie zo is ingericht dat er automatisch een link tussen verschillende klanten is. Denk bijvoorbeeld aan de situatie waarin voor meerdere klanten dezelfde server wordt gebruikt, een klant deze server overbelast, en de andere klanten hun applicatie vervolgens niet kunnen gebruiken.

Dit is in reactie op situaties waarbij leverancier (veel te) lichtvaardig denken over het echt veilig en verantwoord inrichten van een multi-tenant omgeving.

In het vierde lid is het recht op opschorting verder aan banden gelegd. In artikel 24.1 is al bepaald dat opschorting eerst is toegestaan na het sturen van een ingebrekestelling.

De afhankelijkheid van Opdrachtgever van de leverancier bij Dienstverlening op Afstand is veelal niettemin zo groot, dat die waarborg nog onvoldoende kan zijn. Een beroep op opschorting bij Dienstverlening op Afstand betekent immers veelal de facto het volledig frustreren van de bedrijfsvoering van Opdrachtgever (hij kan dan immers niet meer bij zijn gegevens en/of zijn software). Vandaar dat de norm voor een beroep op opschorting bij Dienstverlening op Afstand is aangescherpt.

Artikel 32. Acceptatieprocedure

Er is een nieuw artikel over de Acceptatieprocedure ingevoegd, om zo – in aanvulling op het al bestaande artikel over Acceptatie – de typische kenmerken van een acceptatieprocedure in een cloud/SaaS-omgeving te adresseren.

Lid 1 bepaalt dat de acceptatie in een van de productieomgeving afgescheiden omgeving plaatsvindt. Dat zal in veel on premise situaties overigens ook zo zijn, bij Dienstverlening op Afstand is op voorhand duidelijk dat werken met afzonderlijke omgevingen een must is.

In lid 2 wordt onderkend dat een testomgeving niet altijd volledig vergelijkbaar hoeft te zijn met de productieomgeving. Vrij vertaald: het is denkbaar dat de testomgeving ‘lichter’ is, zolang dat maar geen afbreuk doet aan het nut van de Acceptatieprocedure.

Typerend aan Dienstverlening op Afstand is dat deze via internet wordt verleend. Het is zodoende begrijpelijk dat leveranciers zich gedwongen zien bepaalde vormen van onderhoud voortdurend, en ook al tijdens de fase van Implementatie, te verrichten. Bij dienstverlening via internet zullen veiligheidsupdates e.d. immers geïnstalleerd moeten worden. In de praktijk ontstaat er dan evenwel soms ruis of daarmee dan (dus) de volledige onderhoudsfase al begonnen is of niet. Vandaar het bepaalde in het derde lid: dergelijk onderhoud dat noodzakelijk is gelet op de aard van de dienstverlening valt onder de Implementatie, niet onder het Onderhoud.

Artikel 33. Opgeslagen gegevens

Dit artikel houdt verband met de aansprakelijkheid van leverancier voor gehoste gegevens en de wettelijke vrijwaring (artikel 6:196c BW). Uit de wet zou kunnen worden afgeleid dat de leverancier gerechtigd is gehoste gegevens prompt te verwijderen indien er een claim komt dat bepaalde informatie onrechtmatig is opgeslagen. Het artikel regelt dat het uitgangspunt is dat Opdrachtgever eerst over dergelijke claims wordt geïnformeerd (lid 2) en over dergelijke claims altijd overleg met Opdrachtgever plaatsvindt, tenzij de spoedeisendheid maakt dat dergelijk overleg niet kan worden afgewacht (lid 3).

Artikel 34. Onderhoud en Beschikbaarheid

Dit artikel geeft enige aanvullende bepalingen over het onderhoud van de via Dienstverlening op Afstand aangeboden ICT Prestatie. Het artikel geeft een basis beschikbaarheidslevel van 98% per maand op werkdagen tussen 09.00 en 17.00 uur (lid 2). In alle gevallen geldt uiteraard dat het basisniveaus zijn; de Inkoopvoorwaarden zijn immers bedoeld als vangnet. In de praktijk zullen veelal andere afspraken over bereikbaarheid en Beschikbaarheid worden gemaakt.

In lid 3 is bepaald dat bij Dienstverlening op Afstand de installatie van Upgrades en Updates door de leverancier wordt verzorgd. Dit zal bij Dienstverlening op Afstand veelal eigen zijn aan de aard van dienstverlening. Het artikel moet dan ook vooral worden gezien in samenhang met het bepaalde in artikel 10, waar juist stond dat Opdrachtgever in beginsel zelf de installatie verzorgt (hetgeen bij Dienstverlening op Afstand veelal niet mogelijk zal zijn).

In lid 4 is bepaald dat Opdrachtgever bij gestandaardiseerde Dienstverlening op Afstand niet het recht heeft de installatie van Updates en Upgrades te weigeren. Hiermee wordt erkend dat die diensten veelal op gelijke wijze voor een veelvoud aan klanten wordt aangeboden en dat het aldus noodzakelijk is steeds mee te gaan in de ontwikkelingen die voor alle klanten gelden. Aan dit artikel is de plicht toegevoegd om vooraf te informeren over Updates en Upgrades die downtime veroorzaken. Ook is de plicht toegevoegd actuele documentatie ter beschikking te stellen bij Updates en Upgrades.

Artikel 35. Periodieke derdenverklaring

Nieuw toegevoegd is de plicht tot het verstrekken van een periodieke derdenverklaring (TPM). Die TPM ziet uitdrukkelijk slechts op de generieke aspecten van de dienstverlening, niet op klantspecifieke afspraken (zie lid 2). De Inkoopvoorwaarden sluiten met deze eis aan bij diverse normen en aanbevelingen waaruit volgt dat bij Dienstverlening op Afstand een dergelijke TPM vereist is. Dat dergelijke TPM’s ook in Nederland veel voorkomen blijkt bijvoorbeeld wel uit een site als www.isae3402.nl. Een leverancier wordt niet verplicht om zowel een TPM als een certificering te overleggen.

Artikel 36. Waarborgen continuïteit

Bij Dienstverlening op Afstand gelden er specifieke continuïteitsrisico’s. De via de Dienstverlening op Afstand aangeboden software en de daarmee verwerkte gegevens staan immers buiten de deur. Dat betekent dat bij faillissement van de leverancier en/of diens toeleverancier(s), Opdrachtgever zowel in juridische als in praktische zin niet (onverkort) meer bij zijn eigen data kan. Artikel 36 erkent dit risico en bepaalt dat partijen daarover preventief, dus voordat de feitelijke faillissementssituatie zich voordoet (!), aanvullende afspraken kunnen maken. Het artikel geeft enkele voorbeelden van mogelijke afspraken die in dat kader gemaakt kunnen worden. Opdrachtgevers worden er met klem op gewezen dat deze afspraken alleen zin hebben indien daar ook voor faillissement daadwerkelijk uitvoering aan wordt gegeven.

Toelichting op de wijzigingen op de GIBIT 2020-2023

In dit document wordt een toelichting van de wijzigingen tussen de GIBIT 2020 en GIBIT 2023 per artikel gegeven. In principe wordt iedere wijziging toegelicht, met dien verstande dat veelvoorkomende wijzigingen (zoals zoek/vervang wijzigingen) slechts één keer worden toegelicht. Ook spel- en grammaticaverbeteringen worden niet toegelicht.

Artikel 1, aanhef

Het onderscheid tussen de Inkoopvoorwaarden enerzijds (het betreffende document) en de GIBIT anderzijds (de toolbox waar de Inkoopvoorwaarden onderdeel van uit maken) wordt in de aanhef al gemaakt.

Ook wordt – ter voorkoming van ruis – ditmaal uitgewerkt dat begrippen zowel in enkelvoud als in meervoud in de Inkoopvoorwaarden voorkomen.

Artikel 1.1

Aan het artikel is een verwijzing naar artikel 9.10 (over impliciete acceptatie) toegevoegd. Dit is gebeurd in reactie op feedback van leveranciers.

Artikel 1.3

Het begrip Aflevering is toegevoegd. Dit komt terug in het eveneens nieuw toegevoegde artikel 5 over transport, eigendom en risico van Producten. Hiervoor is gekozen omdat de GIBIT tot op heden niet zo veel aandacht had voor fysieke producten. Het begrip is overgenomen uit de ARBIT.

Artikel 1.4

Het begrip Algoritmische toepassing is toegevoegd. Dit komt terug in het eveneens nieuw toegevoegde artikel 13 over dergelijke toepassingen. Zie de toelichting aldaar.

Artikel 1.7

Het begrip Bestek is toegevoegd. Het is een in aanbestedingsprocedures veel gebruikt begrip. Het gebruik van het begrip vergroot de herkenbaarheid en uniformiteit van documenten. Het begrip is overgenomen uit de ARBIT.

Artikel 1.11

Het oude begrip Hosting is hernoemd tot het begrip Dienstverlening op Afstand. Ter verheldering zijn er ook de woorden “(zoals cloud, ASP, SaaS, PaaS)” aan toegevoegd. Inhoudelijk gezien is er geen sprake van een wijziging; alle vormen van cloud, ASP, SaaS en PaaS zouden immers al onder de oude definitie van Hosting hebben gevallen. Op Dienstverlening op Afstand (voorheen: Hosting) is het bepaalde in hoofdstuk III van toepassing.

Artikel 1.17

De definitie van GIBIT 2022 is toegevoegd. Het doel is vooral te verhelderen dat met het begrip GIBIT voortaan altijd de gehele toolbox wordt bedoeld, niet slechts de inkoopvoorwaarden. Het is bekend dat dit begrip verder niet terugkomt in de tekst.

Artikel 1.18

Het woord zaken is door Producten veranderd in de definitie van ICT Prestatie. Inhoudelijk gezien is geen wijziging beoogd. De praktijk leerde evenwel dat de juridische begrippen “zaken” en “goederen” bij menig lezer tot verwarring leidde.

Artikel 1.20 (oud)

Het begrip Jaarvergoeding is per abuis geschrapt. Dit moet worden hersteld.

Artikel 1.21

Het begrip Inkoopvoorwaarden is toegevoegd. Zie verder de toelichting bij artikel 1.17.

Artikel 1.24

Het begrip Jaarvergoeding was weggevallen. Deze is teruggeplaatst.

Artikel 1.26

De definitie van Maatwerkprogrammatuur is iets verfijnd. Door de introductie van de nummers (i) en

(ii) wordt het onderscheid tussen een zelfstandig programma enerzijds en aanpassingen of configuraties van Standaardprogrammatuur anderzijds wat zuiverder gemaakt. Verder is toegevoegd dat ook configuraties onder het begrip Maatwerkprogrammatuur kunnen vallen.

Artikel 1.33

Het begrip Product is toegevoegd. Overal waar “zaak” stond is dit vervangen door Product. Inhoudelijk gezien is daarmee geen wijziging beoogd (nu het Product immers gedefinieerd is als een zaak). De ervaring leerde echter dat het juridische begrip ‘zaak’ bij niet-juristen wel eens tot verwarring leidden. Het begrip is overgenomen uit de ARBIT.

Artikel 1.34

Aan de definitie van Programmatuur is toegevoegd dat daaronder ook is te verstaan de te leveren Koppelingen.

Artikel 1.36

Aan het begrip Service Levels is bij de vermelding van de voorbeelden toegevoegd een norm voor Beschikbaarheid. Materieel gezien is dit geen wijziging, nu het een niet-limitatieve opsomming is en was.

Artikel 1.39

Aan de definitie van Update is toegevoegd dat de naamgeving of nummering niet relevant is voor de vraag of sprake is van een Update. Materieel gezien is dat geen wijziging, nu ook onder de oude definitie naamgeving of nummering niet relevant was. Het benadrukt evenwel dat leveranciers niet van afspraken over toekomstig onderhoud kunnen afwijken louter op grond van andere naamgeving of nummering.

Artikel 1.41

Het begrip Vergoeding is iets verruimd. In de nieuwe definitie kan daaronder ofwel de overeengekomen prijs, ofwel de feitelijk betaalde prijs worden verstaan. Dit is met name ingegeven door de praktijk, waarbij initieel kleine opdrachten soms uitgroeien tot grotere opdrachten. Het is dan niet onredelijk dat de aansprakelijkheid – waarbij het begrip Vergoeding wordt gebruikt – als het ware ‘mee-ademt’ met de feitelijke omvang van de opdracht.

Artikel 2.2

Aan dit artikel is ter verheldering toegevoegd dat de hoofdstukken II en III aanvullend op hoofdstuk I1 van toepassing zijn. Materieel is dit geen wijziging (er stond immers al dat hoofdstuk I altijd van toepassing is en wanneer de hoofdstukken II en III van toepassing zijn). Niettemin leert de ervaring dat de praktijk hier soms vragen over had.

Artikel 2.3

Aan dit artikel is – volledigheidshalve – toegevoegd dat algemene voorwaarden of bedingen van leverancier ook niet van toepassing zijn wanneer daar later naar verwezen wordt. Het is een reactie op de praktijk van enkele leveranciers om altijd naar dergelijke voorwaarden en bedingen te verwijzen.

Artikel 2.5

De rangordebepaling is veel uitgebreider (en daarmee ook genuanceerder) geworden. Voorheen werd slechts onderscheid gemaakt tussen de Inkoopvoorwaarden en de Overeenkomst. In de huidige versie is een rangorde gemaakt met onderscheid in allerlei soorten documenten. Ook is duidelijk gemaakt dat bij eventuele innerlijke tegenstrijdigheid in de Inkoopvoorwaarden, de specifieke hoofdstukken (II en III) prevaleren op het algemene hoofdstuk (hoofdstuk I). De voorwaarden voor Derdenprogrammatuur prevaleren op alle andere documenten voor wat betreft deze Derdenprogrammatuur.

Artikel 2.6

Het contractenrecht is in de kern nagenoeg volledig regelend recht. De wet geeft aldus de ‘default’, tenzij partijen anders overeenkomen. In de rechtspraktijk blijkt evenwel verschillend geoordeeld te worden over wat het bestaan van een contract betekent voor die aspecten van het regelend recht waar partijen geen expliciete keuze hebben gemaakt: blijft dan de genoemde ‘default’ van kracht, of geldt juist slechts het contract? Om aan die onduidelijkheid een einde te maken bepalen de Inkoopvoorwaarden dat het regelend recht in beginsel van toepassing blijft.

Artikel 3.4

Aan het artikel over het aanbod van de Leverancier is toegevoegd dat de leverancier ook risico’s die hij voorziet benoemt en bij Producten specificeert of deze nieuw, refurbished of tweedehands zijn. Het eerste is niets meer dan een ‘spreekplicht’ (vrij vertaald: “indien u iets weet, zeg het dan”). Het gaat uitdrukkelijk niet om een nader onderzoek of iets dergelijks (het gaat om reeds voorziene risico’s). De tweede toevoeging kan worden gezien als een specificatieplicht. In een tijd waarin ICT- producten steeds vaker gerecycled worden – hetgeen vanuit milieuoverwegingen in beginsel alleen maar toe te juichen is – is het voor gemeenten wel van belang te weten wat ze inkoopt.

Artikel 5

De 2020 versie van de Inkoopvoorwaarden bevatte slechts één artikel over transport, eigendom en risico van Producten: artikel 4.4 (oud) over het transportrisico.

Vandaar dat artikel 5 is toegevoegd. De inhoud is grotendeels overgenomen van artikel 6 en 7 ARBIT. In artikel 5.5 komt het oude artikel 4.4 terug (in andere bewoordingen). In artikel 5.6 is bewust afgeweken van de ARBIT: waar de ARBIT veronderstelt dat sprake is van eigendomsoverdracht, geeft GIBIT slechts randvoorwaarden voor het geval eigendomsoverdracht is overeengekomen. Dit aangezien in de praktijk Producten steeds vaker niet worden verkocht, maar onder een andere titel ter beschikking worden gesteld.

Artikel 6.4

Dit artikel verwijst naar het nieuwe artikel 7, zie de toelichting bij dat artikel.

Artikel 6.6

Dit artikel over aanvullende werkzaamheden is versimpeld. Waar voorheen op voorhand al vastlag tegen welke tarieven meerwerk wordt verricht, en bovendien door de verwijzing naar artikel 5 verondersteld werd dat er altijd een (implementatie)plan opgesteld moet worden voor dat meerwerk, worden nog slechts enige (proces)afspraken vastgelegd over het tot stand komen van afspraken over dergelijk meerwerk.

Artikel 7

In de 2020 versie van de GIBIT was reeds een voorziening opgenomen omtrent de afhankelijkheid van derde partijen. Deze stond wat ‘verdekt’ verwerkt in het oude artikel 6.6 en 6.7 en deze artikelen werden vervolgens in het artikel over implementatie en in het artikel over acceptatie van overeenkomstige toepassing verklaard. Dat werd niet als overzichtelijk ervaren.

Daar komt nog eens bij dat de ervaring leert dat het Applicatielandschap in de loop der jaren steeds complexer en omvangrijker is geworden en dat zodoende de afhankelijkheid van derde partijen steeds groter is geworden. Het belang voor een goede voorziening hiervoor is dus toegenomen.

Vandaar dat in deze versie van de Inkoopvoorwaarden de al bestaande regeling verder is uitgewerkt in dit artikel 7.

Het artikel ziet op de afhankelijkheid van derde partijen die geen hulppersoon zijn van een van de Partijen (artikel 7.1). Partijen zijn immers zelf verantwoordelijk voor de door hen betrokken hulppersonen. Het gaat in dit artikel juist om van Partijen onafhankelijke derden, zoals leveranciers van andere ICT Prestaties die gekoppeld moeten worden aan de onderhavige ICT Prestatie of van eigenaren van gebouwen indien apparatuur daar geïnstalleerd moet worden (om twee uiteenlopende voorbeelden te noemen).

In artikel 7.2 wordt vastgelegd welke partij in de basis moet vaststellen en aan de andere partij moet melden (‘aan de bel moet trekken’) indien van dergelijke afhankelijkheid sprake is. Meer dan een signaleringsplicht is dit niet. De gedachte is dat bij Dienstverlening op Afstand het de Leverancier is die bij uitstek weet of sprake is van dergelijke afhankelijkheid, terwijl bij overige dienstverlening het meer voor de hand ligt die taak bij de gemeente te leggen nu de gemeente het eigen Applicatielandschap het best zal (behoren te) kennen. Dit is een aanpassing ten faveure van de leveranciers; in de 2020-versie stond immers nog dat in beginsel verantwoordelijkheid voor coördinatie en dergelijke altijd bij de leverancier ligt. Dit laatste laat de plicht voor een leverancier tot het in het primaire aanbod signaleren van risico’s onverlet (zie artikel 3.4).

In artikel 7.3 ligt vervolgens vast dat over een aantal genoemde onderwerpen nadere afspraken moeten worden gemaakt. Ook dit is een aanpassing ten faveure van de leveranciers: waar in de 2020-versie immers nog stond dat op leverancier de plicht tot tijdig betrekken en coördineren van

werkzaamheden van derde partijen ligt (artikel 6.6 oud), is in de onderhavige versie slechts een plicht opgenomen tot overleg en tot het maken van afspraken over ieders verantwoordelijkheid in relatie tot die derde partijen (zie artikel 7.3 sub ii, iii en iv). Het doel van de gehele bepaling is vooral om die afspraken zo vroegtijdig mogelijk te maken en verrassingen achteraf te voorkomen. Zie in dat kader ook artikel 7.5: uitgangspunt is dat de derde partij ook op voorhand al bij het overleg worden betrokken en dat ook met hen op voorhand al afspraken worden gemaakt.

Artikel 7.6 is het oude artikel 6.7 en bevat slechts enkele wijzigingen die verband houden met het meer generieke karakter dat het artikel heeft gekregen. Het bevat daarmee dus ook nog steeds de, genuanceerde, regeling over hoe om te gaan met blokkerende doch niet aan leverancier maar aan een derde partij toerekenbare kwesties. In de kern ziet (en zag) dit artikel op (i) een overlegplicht indien zich kwestie voordoen waarbij de ICT Prestatie niet conform werkt, terwijl de oorzaak daarvoor niet bij leverancier ligt (maar bij derde partijen, of de gemeente zelf); en (ii) de erkenning dat Leverancier in een dergelijke situatie gewoon recht heeft op datgene dat is afgesproken omtrent de gevolgen van Acceptatie (in de praktijk veelal: betaling). De wijzigingen zijn heel beperkt. In de aanhef wordt niet langer alleen van een ketentest gesproken, maar ook van een Acceptatieprocedure. Dat is materieel gezien geen wijziging, want artikel 7.4 oud GIBIT 2020 verklaarde artikel 6.7 oud al van overeenkomstige toepassing bij een Acceptatieprocedure. Onder sub i) stond voorheen dat Acceptatie geacht werd plaatsgevonden te hebben, er staat nu dat er geacht wordt geen sprake te zijn van een Gebrek. Hiervoor is gekozen om meer de nadruk te leggen op de betreffende blokkerende situatie (die dan dus niet kwalificeert als Gebrek (*)). Onder sub ii) is niets meer gewijzigd dan het toevoegen van de woorden “de ketentest of”. Onder sub iii) was reeds de plicht opgenomen om te komen tot overleg, de enige wijziging is dat voor de partij die het initiatief tot dat overleg moet nemen wordt verwezen naar lid 2.

(*) Voor de goede orde (voor de puristen onder de juristen): strikt genomen is hier een specifieke overmacht- situatie uitgeschreven. Het gaat immers om de situatie dat een Gebrek optreedt (=niet voldoen aan Overeengekomen gebruik), terwijl het intreden van dat Gebrek niet aan leverancier toerekenbaar is (denk bijvoorbeeld aan de situatie dat het koppelvlak van een andere leverancier niet aan de specificaties blijkt te voldoen). Om te voorkomen dat alsdan een patstelling ontstaat, voorzien de Inkoopvoorwaarden op voorhand in een overlegverplichting. Dit in de gedachte: het Gebrek moet worden opgelost, we zoeken in onderling overleg wel uit wie daarvoor wat moet doen en wie ervoor betaalt.

Artikel 8.2

Dit artikel is aangepast ten faveure van de leveranciers. De preventieve testen hoeven niet langer op een omgeving van Leverancier worden uitgevoerd, doch slechts op een omgeving die niet voor productieve doeleinden van de gemeente wordt gebruikt. Dit geeft ruimte de preventieve testen elders te doen, zelfs bij de gemeente zelf of bij een andere gemeente. Het testrapport hoeft bovendien niet langer standaard doch slechts op verzoek te worden overgelegd.

Artikel 8.3

Ook dit artikel is aangepast ten faveure van de leveranciers. Leveranciers hebben de ruimte te verwijzen naar een openbare vindplaats voor testrapportages (zoals een online portal).

Artikel 8.5

De tekst van deze bepaling is wat versimpeld en de terminologie is consistenter gebruikt.

Artikel 9.3

Aan dit artikel is toegevoegd dat het tot de zorgplicht van Leverancier behoort de voortgang van de implementatie te bewaken en zo nodig de gemeente te waarschuwen of zelfs aan te manen. Deze zorgplicht is gebaseerd op bestaande rechtspraak (vgl. o.m. ECLI:NL:GHSHE:2015:4428, r/o 3.8.4).

Artikel 10.4

Dit artikel is aangepast ten faveure van de leveranciers. Waar voorheen er stond dat het moment van het verrichten van Onderhoud in overleg wordt bepaald, zijn nu nog slechts de randvoorwaarden opgenomen dat Onderhoud zo min mogelijk verstorend moet zijn. Dit is gebeurd in reactie op kritiek van leveranciers dat in bulk verricht onderhoud niet met individuele klanten afgestemd kan worden. Ook is de plicht om verstorend onderhoud vooraf aan te kondigen afgezwakt tot een inspanningsplicht dit “zo mogelijk” tijdig vooraf aan te kondigen. Dit om de ruimte te bieden spoedonderhoud zonder aankondiging te doen.

Artikel 10.5

De tijden van minimale bereikbaarheid zijn verminderd. Dit artikel is aangepast ten faveure van de leveranciers.

Artikel 10.7

Er is toegevoegd wat er onder gebruikersondersteuning is te verstaan. Dit is materieel gezien nauwelijks een wijziging te noemen, nu immers al was opgenomen dat gebruikersondersteuning onder het onderhoud valt en de hier gegeven definitie beperkt is.

Artikel 10.10

Dit artikel is enerzijds iets strenger gemaakt en anderzijds ook verlicht.

Het is strenger in die zin dat is toegevoegd dat er ook ontbonden kan worden indien de Service Levels 3x niet worden gehaald in een periode van 6 aaneengesloten meetperiodes. Vrij vertaald betekent dit dat ontbonden kan worden indien een half jaar lang om de maand dezelfde Service Levels niet gehaald worden en een gesprek de zorgen van de gemeente niet wegneemt. In zo’n situatie is het serviceniveau structureel onder de maat en niet betrouwbaar, hetgeen de ontbinding rechtvaardigt.

Tegelijkertijd is het artikel ook verlicht, in die zin dat als alternatief voor ontbinding ook de optie is toegevoegd dat de gemeente om een verbeterplan kan vragen. Aangezien gemeenten bij de contracttoepassing de redelijkheid en billijkheid in acht zullen moeten nemen (vgl. o.a. artikel 6:2 BW) en zelfs uit publiekrecht voortvloeiende normen (vgl. artikel 3:14 BW), zal dit in de praktijk betekenen dat gemeenten niet altijd en ‘zomaar’ voor de zwaarste vorm van ontbinding zullen mogen kiezen.

Artikel 10.12

Aan dit artikel is toegevoegd dat (i) veiligheidsadviezen uitgebracht door NCSC of anderszins publiekelijk uitgebracht zo spoedig mogelijk zullen worden opgevolgd en (ii) dat risico’s zo spoedig mogelijk zullen worden gemitigeerd. De wijze waarop dit gebeurt is uitdrukkelijk aan Leverancier gelaten (zie ook woorden ‘of anderszins’). Voorop staat echter dat (het gebruik van) de ICT Prestatie veilig moet zijn, hetgeen bepaald geen onredelijke eis lijkt.

Artikel 10.15

Deze bepaling is wat eenvoudiger verwoord. Verder is de plicht tot afspraken over inhoud en frequentie van rapportage afgezwakt tot een optie daartoe.

Artikel 11.2

Het artikel bevatte al de bepaling dat in veel gevallen 30% van de overeengekomen vergoedingen eerst opeisbaar zijn na integrale Acceptatie. Aan het artikel is toegevoegd dat over de resterende 70% afspraken moeten worden gemaakt in de Overeenkomst. Dat is materieel gezien geen wijziging; ook onder de vorige versie moesten (logischerwijs) over de resterende 70% afspraken worden gemaakt. De toevoeging is louter ter verheldering / als signaal bedoeld. Er is overigens overwogen de bepaling heel anders op te zetten met allerlei betalingsschema’s en dergelijke, maar dat bleek uiteindelijk te casuïstisch en (dus) niet te passen bij generieke abstracte voorwaarden als de onderhavige Inkoopvoorwaarden.

Artikel 11.4

De tekst dat meerwerk wordt verricht tegen de overeengekomen dan wel gebruikelijke tarieven is verplaatst van artikel 5.6 oud naar dit artikel.

Artikel 11.5

Toegevoegd is dat facturen binnen drie maanden na het opeisbaar worden van de betreffende werkzaamheden dienen te worden verstuurd. De gedachte is dat laat factureren moet worden voorkomen; dat is in het belang van beide partijen. De termijn van drie maanden is echter niet haalbaar voor gemeentes die een fiscaal jaar moeten afsluiten. Daarom is bepaald dat alle facturen voor werkzaamheden in een bepaald jaar vóór 6 januari van het daarop volgende jaar naar de gemeente moet worden verstuurd. Aangezien dit moment niet voor alle gemeenten passend zal zijn, of een strikte vervaltermijn niet voor alle gemeenten noodzakelijk zal zijn, is nog eens benadrukt dat afwijken in de bovenliggende overeenkomst mogelijk is.

Artikel 11.8

Vanwege het begrotingsproces van gemeenten is opgenomen dat prijsindexaties ruim van tevoren (één maand) moeten worden aangekondigd. Verder is de te hanteren index veranderd naar het jaarcijfer van de index J62, althans J6202.

Artikel 11.9

Dit artikel is aangepast ten faveure van de leveranciers. Diverse leveranciers wezen erop dat het niet consequent is dat prijsverlagingen voor Derdenprogrammatuur direct moesten worden doorgevoerd, maar dat prijsverhogingen alleen per 1 januari mochten worden doorgevoerd. Dat onderscheid is komen te vervallen.

Artikel 11.10

Er is een artikel toegevoegd over onvoorziene aanzienlijke kostprijsverhogende omstandigheden. Het artikel voorziet in een overlegverplichting en geeft daarbij op voorhand drie opties: (i) prijsverhoging betalen, (ii) ICT Prestatie beperken of (iii) Overeenkomst beëindigen tegen vergoeding van de daarmee gemoeide kosten (dat laatste gelet op de verwijzing naar artikel 24.6). Met het artikel wordt voorkomen dat bij onvoorziene omstandigheden de gang naar de rechter is vereist (vgl. artikel 6:258 BW).

De lat hierbij ligt vrij hoog; het gaat om excessen. Het gaat bij dit artikel bijvoorbeeld om dermate ingrijpende situaties dat continuïteit van dienstverlening en/of bedrijfsvoering aantoonbaar in het geding komt.

Het toelaten van een grote prijsverhoging is weliswaar een discretionaire bevoegdheid van de gemeenten (en geen verplichting), maar gelet op de algemene beginselen van behoorlijk bestuur kan van een gemeente wel worden verwacht dat zij hier redelijk en behoorlijk in handelt.

Het artikel geeft bovendien op voorhand aan tot welk percentage een kostenstijging geacht wordt voor risico van leverancier te zijn (<10%); dat geeft partijen op voorhand al enige zekerheid. Het is immers niet de bedoeling om zaken als extra indexatie te regelen in dit artikel. Overigens gelden de vereisten uit de Aanbestedingswet hiervoor onverkort, en dan met name de regeling omtrent onvoorziene kosten uit artikel 2.163e Aanbestedingswet 2012. De mogelijkheid van substantiële prijsverhoging moet dan ook worden toegepast binnen de kaders die door de Aanbestedingswet worden gegeven.

Artikel 12.1

Aan de lijst garanties is de garantie toegevoegd om voorgeschreven modificaties op Producten zo spoedig mogelijk door te voeren (bijv. in situaties van onveilige producten).

Artikel 12.3

Naar aanleiding van diverse opmerkingen van met name leveranciers is toegevoegd wat er in de Inkoopvoorwaarden onder een garantie is te verstaan. Dit is gedaan aangezien het vaste rechtspraak is dat wat onder een garantie is te verstaan afhangt van de partijbedoeling, terwijl die partijbedoeling regelmatig niet zal blijken bij het gebruik van de Inkoopvoorwaarden in formele inkoopprocessen als een aanbesteding. Zodoende ontstaat onzekerheid over de betekenis/interpretatie van begrippen als ‘garantie’ en ‘garanderen’. Dat klemt temeer nu in de juridische literatuur soms wordt gesteld dat aan de begrippen verstrekkende consequenties zijn verbonden. In de Inkoopvoorwaarden is met de begrippen slechts de resultaatsverbintenis met de genoemde bewijslastverdeling mee bedoeld, verder niets. Opnieuw een aanpassing ten faveure van de leveranciers (die bevreesd zijn voor voornoemde verstrekkende uitleg).

Artikel 13

Gemeenten zien steeds meer gebruik van algoritmen en de maatschappelijk vragen over dergelijk gebruik neemt ook toe. Er is ook allerlei (concept)wetgeving over het onderwerp in aantocht. Vandaar dat de GIBIT enkele (minimale) eisen stelt aan dergelijke toepassingen. Het is denkbaar – en onder omstandigheden ook wenselijk – dat in het bovenliggende contract de eisen nader worden uitgewerkt. De eisen beperken zich vooralsnog tot de volgende basis-/kerneisen. In het eerste lid zijn eisen gesteld aan (de kwaliteit van) de Algoritmische toepassing: een rechtmatige dataverwerking, gestructureerde en neutrale dataverwerking en nauwkeurigheid. In het tweede lid is een gebruiksbeperking op de verwerkte data opgenomen: geen gebruik voor eigen doeleinden, tenzij volledig geanonimiseerd. Hiermee wordt enerzijds bedrijfsvertrouwelijke en privacygevoelige informatie beschermd, doch anderzijds erkend dat een algoritme ‘input’ nodig heeft om verrijkt te worden. Aangezien een algoritme in de praktijk regelmatig een ‘black box’ is , terwijl de gemeente als actor in een democratische rechtstaat het eigen handelen juist zal moeten kunnen verantwoorden is aan lid 3 toegevoegd dat leverancier zowel in algemene zin als in een specifiek geval moet kunnen uitleggen/verantwoorden hoe het algoritme werkt of waarom het tot een bepaalde beslissing is gekomen. Dat hoeft niet zo ver te gaan dat leverancier het algoritme prijs hoeft te geven (het belang van bescherming van bedrijfsvertrouwelijke informatie wordt onderkend), maar wel zo ver dat in voorkomend geval de beslissing in rechte toetsbaar wordt. Dat laatste is immers een basisbeginsel van de democratische rechtstaat. Gelet daarop is ook in lid 4 opgenomen dat de gemeente de informatie over de werking met derden (zoals de rechtbank) mag delen. Om diezelfde reden is ook opgenomen dat het bestaande controle-/auditrecht ook van toepassing is op de Algoritmische toepassing (strikt genomen is de bepaling welhaast overbodig, want dat controlerecht zag toch al op nakoming van alle verplichtingen).

Artikel 16.4

In dit artikel is de maximale aansprakelijkheid (fors) verlaagd van tienmaal de Jaarvergoeding per gebeurtenis naar tweemaal de Jaarvergoeding per gebeurtenis. De maximale totale aansprakelijkheid per jaar is bovendien met dezelfde factor verlaagd van twintigmaal tot viermaal de Jaarvergoeding.

Uiteraard blijft onverlet – ongeacht dit ‘vangnet’ – dat gemeenten altijd proportionele afspraken zullen moeten maken. Andere afspraken zijn dus ook denkbaar.

Artikel 18.1

De huidige geheimhoudingsclausule liet het theoretisch niet toe om informatie te delen met onderaannemers, aandeelhouders, accountants, professionele adviseurs, etc. Daarom is hiervoor een uitzondering gemaakt.

Artikel 18.4

Voor transparantie binnen de overheid is toegevoegd dat de inhoud van overeenkomsten gedeeld mag worden binnen gemeenten, tussen gemeenten en met relevante samenwerkingspartners. Deze regeling was eerder ook in de GIBIT 2016 opgenomen.

Artikel 18.5

Het boeteregime is aanmerkelijk versoberd. De boete is verlaagd van 4x de Vergoeding naar

€ 10.000,- per overtreding. Ook is opgenomen dat reeds betaalde boetes in mindering worden gebracht op de uiteindelijke schadevergoeding.

Artikel 19.3

Toegevoegd is dat leverancier enig door overmacht genoten voordeel dient te vergoeden, met inachtneming van de beperking van aansprakelijkheid. De gedachte is eenvoudig: leverancier zou niet rijker moeten worden van een overmachtssituatie. De bepaling is overgenomen uit de ARBIT.

Artikel 20.3

In het artikel stond reeds dat het Gebruiksrecht dat gemeenten verkrijgen niet voorziet in het recht zelf exploitatiehandelingen te verrichtten. Het woord ‘exploitatiehandelingen’ is zeer breed en is in de IE-literatuur ook gebruikelijk. Niettemin is zekerheidshalve nog toegevoegd dat gemeenten (dus) ook niet bevoegd zijn sub-licenties te verstrekken of rechten over te dragen (tenzij toegestaan). Een verduidelijking ten faveure van de leveranciers dus.

Artikel 20.4

De bepaling is iets vereenvoudigd.

Artikel 21

Aan dit artikel is in de aanhef het ‘onverminderd het Overeengekomen gebruik’ toegevoegd om duidelijk te maken dat het recht op toegang tot data en instellingen los staat van de features van de ICT Prestatie. Uiteraard is denkbaar dat de ICT Prestatie zelf qua features al helemaal voorziet in de behoefte van de gemeente (in welk geval de gemeente geen belang heeft bij een beroep op dit artikel), maar als dat niet of slechts deels het geval mocht blijken te zijn dan blijft een beroep op dit artikel dus mogelijk. Wel is toegevoegd dat de op te vragen gegevens louter de specifiek voor gemeente verwerkte gegevens betreft. Dit in reactie op opmerkingen van leveranciers dat er steeds vaker in multi-tenant omgevingen wordt gewerkt.

Artikel 22.1

Dit artikel is aangepast ten faveure van de leveranciers. Er is uitdrukkelijk ruimte geboden om voor alle informatie over en in verband met Derdenprogrammatuur naar externe vindplaatsen te verwijzen (zoals de documentatie of een online vindplaats). Dit geeft de leveranciers veel meer flexibiliteit om de informatie over Derdenprogrammatuur snel, schaalbaar en flexibel te bieden.

Artikel 22.7

Artikel 22 biedt enkele nuanceringen op de normale afspraken bij Derdenprogrammatuur. In lid 7 is hierop een uitzondering gemaakt bij Dienstverlening op Afstand. De gedachte hierachter is de volgende.

Artikel 22 is oorspronkelijk geschreven met de on premise situatie in het achterhoofd (de tekst stond immers al in GIBIT2016). Bij een on premise situatie wordt de software geïnstalleerd op lokale apparatuur en is het uitvoeren van het programma al een auteursrechtelijk relevante handeling waarvoor een licentie is vereist (vgl. artikel 45i Auteurswet). In die on premise situatie wordt dus zowel de software van de leverancier als de Derdenprogrammatuur (bijv. een SQL-server) geïnstalleerd en heeft de gemeente voor beide pakketten een licentie nodig. Aangezien die licentie in de praktijk niet onderhandelbaar is (noch voor leverancier, noch voor gemeente), onderkent artikel 22 dat die licentievoorwaarden dan prevaleren. Leverancier mag deze dan direct doorzetten naar de opdrachtgever. Bovendien erkent artikel 22 dat Gebreken die worden veroorzaakt door bugs in die Derdenprogrammatuur geen (toerekenbare) Gebreken zijn, doch dat leverancier dan wel zo snel mogelijk een oplossing moet bedenken (‘om de bugs heen moet werken’, zie artikel 22.4).

Bij Dienstverlening op Afstand (cloud, SaaS) is de situatie een hele andere. De software wordt dan geïnstalleerd op de server van de leverancier. Het is de leverancier die (door het uitvoeren ervan) verveelvoudigingshandelingen verricht en die (dus) een licentie nodig heeft. Waar bij de on premise situatie het de gemeente zelf is die een licentie nodig heeft op die Derdenprogrammatuur (zoals een SQL-server), is het bij Dienstverlening op Afstand een interne kwestie voor de leverancier geworden om over de juiste licenties te beschikken. De gemeente koopt eenvoudigweg een totaalpakket als dienst. De gemeente ziet niet welke Derdenprogrammatuur wordt gebruikt, en gebruikt deze software zelf ook niet. Zij gebruikt immers alleen het pakket van de leverancier.

De werkgroep heeft kennisgenomen van de eerste reacties op deze uitzondering.

Er bestaat in de markt een wens om “lijsten” van Derdenprogrammatuur te ontvangen, zodat partijen weten met welke voorwaarden zij rekening moeten houden. In de overeenkomst kan een dergelijke verplichting worden opgelegd, maar dit is niet in het “vangnet” opgenomen. Dit brengt namelijk een aanzienlijke last met zich: die lijsten moeten opgesteld en beheerd worden, en roepen bovendien weer nieuwe vragen op (hoe bijvoorbeeld om te gaan met Derdenprogrammatuur die niet op die lijst staat, maar hier volgens een partij wel op zou moeten staan?).

Het is niet passend om dit in abstracte Inkoopvoorwaarden te regelen. Dit soort vraagstukken moet van geval tot geval worden geadresseerd, vandaar dat toegevoegd is dat in de Overeenkomst kan worden afgeweken. Zodoende kan in de Overeenkomst heel concreet worden vastgelegd met welke Derdenprogrammatuur partijen van doen hebben en voor welke het regime van artikel 22 geldt en voor welke niet.

Artikel 23

Het artikel over vervanging van personeel is nieuw ingevoegd. Het is overgenomen uit de ARBIT, met dien verstande dat het verbod om personeel te vervangen behoudens toestemming niet is overgenomen. Dat werd te eenzijdig geacht door de werkgroep.

Artikel 24.1

Aan het artikel over opschorting is toegevoegd dat de leverancier bij een mogelijk beroep op opschorting voorafgaand moet waarschuwen voor de consequenties daarvan. Dit is een nadere invulling van de (toch al geldende) zorgplicht en overigens vooral ook fatsoenlijk.

Artikel 24.11

Aan dit artikel zijn als ontbindingsgrond toegevoegd het schenden van sanctiewetgeving en facultatieve uitsluitingsgronden in de zin van de Aanbestedingswet. Daarnaast is toegevoegd dat de overeenkomst ontbonden kan worden indien het voortzetten ervan in strijd komt met grondrechten en de rechtsstaat. Hiermee wordt tegemoetgekomen aan de Agenda Digitale Grondrechten en aan de uitgangspunten van MVO. Om willekeur en rechtsonzekerheid ten aanzien van de laatste ontbindingsgrond te voorkomen, ligt de bewijslast dat voortzetting van de overeenkomst onaanvaardbaar zou zijn bij de gemeente. Deze ontbindingsgrond is slechts bedoeld voor de meest extreme gevallen.

Artikel 24.14

De samenhang met de bepaling omtrent exit is verhelderd.

Artikel 25

Het controlerecht is op enkele punten aangepast ten faveure van de leverancier. Zo is zowel aan lid 2 als 3 toegevoegd dat de aanleiding voor een controle kenbaar moet worden gemaakt. Dit stelt leverancier in staat om informatie ter beschikking te stellen en zodoende mogelijk de aanleiding voor de controle weg te nemen. Ook is in lid 2 opgenomen dat eerst om de generieke TPM moet worden gevraagd, alvorens een controle mag plaatsvinden. In lid 4 is toegevoegd dat de plicht om toegang te verlenen slechts geldt voor zover dat redelijkerwijs mogelijk is. Zo is het bijvoorbeeld niet zonder meer mogelijk voor de Leverancier om toegang te verlenen tot locaties van haar toeleveranciers.

Artikel 26.1

De scope van het artikel is iets verbreed: er kan niet alleen verlangd worden een exit-plan op te stellen, doch ook om een bestaand plan bij te werken. Een actueel plan lijkt in het belang van beide partijen.

Artikel 26.2

Het artikel geeft een rangorde voor de documenten die afspraken over de exit (kunnen) bevatten. Duidelijk is dat het bepaalde in de Inkoopvoorwaarden als vangnet is bedoeld; idealiter stellen partijen een specifieker plan op.

Artikel 26.3

Een exit kan onder omstandigheden complex zijn. Het verdient dan aanbeveling om de exit voorafgaand eens te evalueren / testen. Dit om te voorkomen dat zodra het moment werkelijk daar is er opeens onvoorziene omstandigheden opduiken. Leverancier kan voor het evalueren vergoedingen in rekening brengen (zie artikel 26.4).

Artikel 26.4

In de vorige versie van de GIBIT stond reeds dat de exit-werkzaamheden tegen de reguliere tarieven van leverancier worden verricht. In die versie stond ook dat het bepaalde in de Overeenkomst prevaleert op het bepaalde in de Inkoopvoorwaarden. Het was dus al zo dat de meer specifieke afspraken over tarieven voor exit-werkzaamheden leidend zijn. Dat laatste is thans wat explicieter verwoord in dit artikel. Materieel gezien geen wijziging dus.

Artikel 26.6

Dit artikel vermeldt welke maatregelen er in ieder geval in het kader van een overstap naar een soortgelijke (opvolgende) ICT Prestatie verlengd kunnen worden. De bewoording is slechts veranderd en het accent op het exit-plan wordt ook hier wat meer gelegd.

Artikel 26.7

In de basis geldt voor alle exit-werkzaamheden dat deze betaald worden verricht (zie artikel 26.4 en toelichting hiervoor). In afwijking daarop bepaalt dit artikel dat bij een beëindiging wegens toerekenbaar tekortschieten de diensten kosteloos worden verricht. Indien de overeenkomst is beëindigd wegens toerekenbaar tekortschieten van leverancier, staat vast dat sprake is van aansprakelijkheid van leverancier. Zodoende is deze bepaling in feite een vorm van schadevergoeding in natura. Ook de eenmalige vernietiging van gegevens dient zonder kosten te worden verricht. Dit is niet onredelijk, nu Leverancier de gegevens toch al zou moeten vernietigen. Leverancier heeft immers geen grond meer de gegevens na beëindiging onder zich te houden en zou mogelijk aansprakelijk zijn indien de gegevens wel lang worden bewaard. Beide punten stonden reeds in de GIBIT2020. De bewoording is wel veranderd ten gunste van Leverancier: voorheen kon al bij een toerekenbare tekortkoming dit artikel worden ingeroepen, nu moet de overeenkomst wel beëindigd zijn.

Artikel 26.9

Aan het artikel over de beperkte voortzetting is ter verheldering toegevoegd dat de voortzetting in beginsel onder gelijke voorwaarden plaatsvindt.

Artikel 28.2

De rangordebepaling van artikel 28 is geschrapt nu de Verwerkersovereenkomst in de algemene rangordebepaling is opgenomen.

Artikel 29.4

Dit artikel introduceert een back-up verplichting voor Leverancier.

Artikel 29.5

Dit artikel introduceert een rapportageplicht voor beveiligingsincidenten. Een dergelijke plicht bestaat reeds onder de Verwerkersovereenkomst; het is voor gemeenten echter van belang ook over andersoortige veiligheidsincidenten geïnformeerd te worden. Materieel gezien is het overigens nauwelijks een wijziging te noemen, want iedere gedegen norm voor informatiebeveiliging veronderstelt een goede rapportagestructuur en het werken conform beveiligingsnormen was reeds een eis.

Artikel 29.6

De huidige geheimhoudingsclausule liet het niet toe om haar algemene beveiligingsmaatregelen kenbaar te maken aan anderen, zoals andere klanten van Leverancier. Hiervoor is een uitzondering gemaakt. De specifiek voor de gemeente aangebrachte beveiligingsmaatregelen vallen wel onder de geheimhoudingsplicht.

Artikel 31.2

In dit artikel is nieuw toegevoegd dat indien voor gebruik van de ICT Prestatie een webbrowser is vereist, dat de ICT Prestatie correct dient te functioneren in recente en nog ondersteunde versies van gangbare webbrowsers. Zolang de ICT Prestatie zich conformeert aan standaarden zal dit geen onoverkomelijke eis zijn.

Artikel 31.3

In dit artikel is de eis opgenomen dat de omgeving zodanig moet zijn ingericht dat incidenten bij andere klanten geen nadelige invloed kunnen hebben op de ICT Prestatie. Dit is in reactie op situaties waarbij leverancier (veel te) lichtvaardig denken over het echt veilig en verantwoord inrichten van een multi-tenant omgeving.

Artikel 32

Er is een nieuw artikel over de Acceptatieprocedure ingevoegd, om zo – in aanvulling op het al bestaande artikel over Acceptatie – de typische kenmerken van een acceptatieprocedure in een cloud/SaaS-omgeving te adresseren.

Lid 1 bepaalt dat de acceptatie in een van de productieomgeving afgescheiden omgeving plaatsvindt. Dat zal in veel on premise situaties overigens ook zo zijn, bij Dienstverlening op Afstand is op voorhand duidelijk dat werken met afzonderlijke omgevingen een must is.

In lid 2 wordt onderkend dat een testomgeving niet altijd volledig vergelijkbaar hoeft te zijn met de productieomgeving. Vrij vertaald: het is denkbaar dat de testomgeving ‘lichter’ is, zolang dat maar geen afbreuk doet aan het nut van de Acceptatieprocedure.

Typerend aan Dienstverlening op Afstand is dat deze via internet wordt verleend. Het is zodoende begrijpelijk dat leveranciers zich gedwongen zien bepaalde vormen van onderhoud voortdurend, en ook al tijdens de fase van Implementatie, te verrichten. Bij dienstverlening via internet zullen veiligheidsupdates e.d. immers geïnstalleerd moeten worden. In de praktijk ontstaat er dan evenwel soms ruis of daarmee dan (dus) de volledige onderhoudsfase al begonnen is of niet. Vandaar het bepaalde in het derde lid: dergelijk onderhoud dat noodzakelijk is gelet op de aard van de dienstverlening valt onder de Implementatie, niet onder het Onderhoud.

Artikel 34.2

Vanwege de innerlijke consistentie zijn de tijden voor Beschikbaarheid gelijkgesteld met de tijden voor bereikbaarheid van de helpdesk. In alle gevallen geldt uiteraard dat het basisniveaus zijn; de Inkoopvoorwaarden zijn immers bedoeld als vangnet. In de praktijk zullen veelal andere afspraken over bereikbaarheid en Beschikbaarheid worden gemaakt.

Artikel 34.4

Aan dit artikel is de plicht toegevoegd om vooraf te informeren over Updates en Upgrades die downtime veroorzaken. Ook is de plicht toegevoegd actuele documentatie ter beschikking te stellen bij Updates en Upgrades.

Bij nader inzien lijkt de toegevoegde waarde van beide wijzigingen laag, gelet op wat er reeds in artikel 10.4 en artikel 14 is opgenomen. Het lijkt meer voor de hand te liggen eventueel de bestaande artikelen nog iets bij te werken dan om deze nieuwe artikelen te behouden.

Artikel 35

Nieuw toegevoegd is de plicht tot het verstrekken van een periodieke derdenverklaring (TPM). Die TPM ziet uitdrukkelijk slechts op de generieke aspecten van de dienstverlening, niet op klantspecifieke afspraken (zie lid 2). De Inkoopvoorwaarden sluiten met deze eis aan bij diverse normen en aanbevelingen waaruit volgt dat bij Dienstverlening op Afstand een dergelijke TPM vereist is. Dat dergelijke TPM’s ook in Nederland veel voorkomen blijkt bijvoorbeeld wel uit een site als www.isae3402.nl.

Daarnaast is in dit artikel “en/of” enkele keren vervangen door “of”. Dit om te voorkomen dat een leverancier zowel een TPM als een certificering moet overleggen.