Omstreden DigiD-aanbesteding gaat door

Het bedrijf Golden Bytes had juist de kortgedingrechter gevraagd om een aanbesteding rond het afleveren van SMS-berichten opnieuw te laten doen. Dit was volgens het bedrijf nodig, omdat er nagenoeg geen beveiligingseisen in de eisen staan, terwijl dat in 2006 wel het geval was.

De SMS-berichten worden voor het grootste gedeelte gebruikt als extra beveiliging voor het inloggen op DigiD. De code die wordt toegestuurd kan eenmalig worden gebruikt voor het aanmelden.

Geen harde technische eisen

Al staan er in het pakket van eisen geen harde vragen om te voldoen aan bepaalde criteria, toch betekent dat niet dat het versturen van SMS-berichten minder goed beveiligd zal zijn. Zo verhaalde de landsadvocaat tijdens de zitting al over eisen die wel in het contract staan en het feit dat onder andere uit de beschikbaarheidsverplichting een reeks aan maatregelen zouden volgen.

"Volgens hem [de staat - redactie] voorziet de te gunnen opdracht in het kader van OT2010 wel degelijk in handhaving van het huidige veiligheidsniveau en is op sommige punten zelfs sprake van verzwaring", stelt de magistraat. "Als gevolg van een meer functionele beschrijving van de minimumeisen zijn de veiligheidseisen in vergelijk tot OT2006, waarbij was gekozen voor een technische insteek, bij OT2010 alleen anders geformuleerd."

Geen extra klus voor zelfde beveiliging

De vrees dat de nieuwe winnaar (Club Message) via de achterdeur veel van de huidige beveiliging tegen een meerprijs mag toevoegen, is volgens de rechter ook onjuist: "Verder moet worden aangenomen dat Clubmessage B.V. zich ervan bewust is dat voor de door haar ingeschreven - winnende - prijs een veiligheidsniveau zal moeten worden geleverd dat minimaal gelijk is aan dat van OT2006."

Daar zal dit bedrijf zich aan moeten houden, want de rechter stelt ondubbelzinnig dat bij extra betaling voor dezelfde beveiliging Golden Bytes B.V. het recht heeft een schadeclaim in te dienen. Dat de eisen dan niet gecommuniceerd zijn maakt daarbij niet uit: "In dat geval heeft de Staat - daarna gevraagd - op de zitting aangegeven bij Clubmessage B.V. niet te hebben geïnformeerd of zij dat aldus heeft begrepen, omdat volgens hem geen reden is daaraan te twijfelen."

Kippenhok

Overigens betekent dat niet dat er geen extra geld met beveiliging te verdienen is. Zo kunnen eisen rond beveiliging veranderen en werk dat daaruit voortvloeit mag wel onderhands worden gegund. Juist daarvoor is Golden Bytes bang, omdat zij erop wijzen dat nu alleen op prijs wordt gekozen.

Het bedrijf stelde tijdens de zitting dat iedereen met een server in een kippenhok aan de eisen van de Staat zou kunnen voldoen. Dat komt doordat uptime weinig over de bescherming zegt. Daarbij stelde de advocaat van Golden Bytes dat als een server uit een kippenhok wordt gestolen en binnen twee uur wordt vervangen de uptime gewoon wordt gehaald.