Twee sleutels voor één aanbesteding — waarom eHerkenning niet genoeg is

Het is 16:20. De inschrijvingstermijn voor het rioleringscontract sluit om 17:00. Bram heeft net ontdekt dat zijn PKIoverheid-certificaat vorig jaar is verlopen. Hij kan inloggen op TenderNed. Het uploaden lukt. Maar de inschrijving ondertekenen: dat lukt niet.

De volgende dag belt hij de aanbestedende dienst. Die is vriendelijk maar helder. De kluis is geopend. Zijn aanbieding zit er niet in.

Dit is niet een ongeluk. Het is een begripsverwarring die al jaren terugkeert.

Twee systemen, één misverstand

TenderNed werkt met twee heel verschillende digitale identiteitsinstrumenten. Ze lijken verwant. Ze zijn het niet.

eHerkenning is het inlogmiddel voor bedrijven op overheidsdiensten. U gebruikt het om in te loggen op TenderNed, om documenten te uploaden, vragen te stellen, en aanmeldingen in te dienen. Niveau EH3 volstaat voor de meeste handelingen binnen het platform.

Een gekwalificeerde elektronische handtekening is iets anders. Dat is een persoonsgebonden digitaal certificaat waarmee u documenten rechtsgeldig ondertekent. In Nederland zijn dat het PKIoverheid-certificaat en het EU Qualified-certificaat. Deze handtekening heeft op grond van artikel 2.52a Aanbestedingswet 2012 en de eIDAS-verordening (Verordening (EU) Nr. 910/2014) dezelfde rechtskracht als een handgeschreven handtekening.

Rijkswaterstaat formuleert het expliciet in haar aandachtspunten: “eHerkenning (de login voor bedrijven op websites van de overheid) is niet hetzelfde als eSigning (wettelijk/rechtsgeldig digitaal ondertekenen).”

U kunt dus prima ingelogd zijn op TenderNed, uw documenten hebben klaarstaan, en toch een ongeldige inschrijving indienen.

Wat er concreet moet worden ondertekend

Elke PDF moet afzonderlijk worden ondertekend. Niet de bundel. Niet de map. Elk document apart.

Dat is geen formalisme. Het is de manier waarop een gekwalificeerde handtekening werkt: de handtekening is cryptografisch gekoppeld aan de inhoud van precies dat bestand op dat moment. Een overkoepelende handtekening op een gecombineerde upload biedt die garantie niet.

Wat betekent dat in de praktijk bij een aanbesteding van gemiddelde omvang?

Inschrijfbiljet. UEA. Plan van aanpak. Kwaliteitscertificaten. Referentielijst. Elk apart ondertekend, elk afzonderlijk geüpload.

Dat kost geen uren. Maar het kost wel voorbereiding.

De natte handtekening als valkuil

In 2017 deed een consortium mee aan een aanbesteding van Rijkswaterstaat via TenderNed. De aanbestedingsstukken waren duidelijk: inschrijving uitsluitend met een gekwalificeerde elektronische handtekening, beveiligingsniveau IV, PKIoverheid of EU Qualified.

Een van de combinanten had zijn digitale handtekening niet op tijd aangevraagd. De oplossing leek pragmatisch: documenten uitprinten, met de hand ondertekenen, inscannen, per e-mail insturen en het origineel bezorgen bij Rijkswaterstaat.

De inschrijving werd ongeldig verklaard.

De voorzieningenrechter was helder: een inschrijving die niet op de voorgeschreven wijze is ingediend, is ongeldig. Dat het consortium eerder op dezelfde manier stukken had ingediend zonder gevolg, deed er niet toe. Er was geen herstelmogelijkheid.

Het probleem was niet de handtekening zelf. Het was de timing van de aanvraag.

Het certificaat aanvragen: eerder dan u denkt

Een PKIoverheid-persoonsgebonden certificaat vraagt u aan bij een erkende Certificate Service Provider (CSP). Logius beheert de lijst van toegestane leveranciers. Het proces bestaat uit twee fasen: registratie van de organisatie als abonnee, en daarna de feitelijke certificaataanvraag, inclusief persoonlijke verificatie van de tekenbevoegde.

Reken op één tot twee weken. Bij sommige leveranciers is een spoedprocedure beschikbaar, maar die is niet gegarandeerd.

Het certificaat is persoonsgebonden. U kunt het niet overdragen. Als de tekenbevoegde wisselt, begint het proces opnieuw.

Vraag het certificaat aan zodra u weet dat u wilt inschrijven. Niet een week voor de deadline.

Combinaties: drie keer zo complex

Inschrijven als combinatie vertienvoudigt het risico op een fout in de ondertekening.

Elke combinant moet een eigen UEA invullen. Dat UEA moet, als de aanbestedende dienst dat vereist, worden ondertekend door een tekenbevoegde vertegenwoordiger van die combinant. Met een persoonsgebonden certificaat. Groepscertificaten worden niet geaccepteerd.

Bovendien staat er bij aanmeldingen of inschrijvingen als combinatie vaak alleen de naam van één onderneming in TenderNed. U moet de organisatienaam handmatig aanpassen naar de naam van de combinatie. Doet u dat niet, dan wordt bij gunning de naam van de verkeerde onderneming vermeld. TenderNed-documentatie waarschuwt: na publicatie is dat niet meer te corrigeren.

Het is meerdere niveaus van administratieve coördinatie tegelijk. Wie tekent wat, met welk certificaat, in welke volgorde, voor welk document. Bij één combinant die zijn certificaat heeft laten verlopen, staat de hele inschrijving op losse schroeven.

De kluis en het vier-ogenprincipe

TenderNed gebruikt een digitale kluis. Na de sluitingstermijn kunnen alleen geautoriseerde medewerkers van de aanbestedende dienst die kluis openen, en dat alleen samen. Twee personen moeten tegelijk ingelogd zijn en allebei een TAN-code invoeren. Dit is het vier-ogenprincipe.

Dat systeem heeft een consequentie die u als inschrijver moet kennen: als u uw inschrijving indient nadat de sluitingstermijn is verstreken, zit die inschrijving niet in de kluis. Punt. Er is geen alternatieve ingang.

De enige uitzondering is een TenderNed-storing die aantoonbaar niet aan de inschrijver is te wijten. In dat geval geldt een vaste procedure: de sluitingstermijn wordt met minimaal 24 uur uitgesteld, en de aanbestedende dienst communiceert dat via het berichtenplatform. Maar dan moet u wel al ingelogd zijn en de melding ontvangen.

Dien uw inschrijving in vóór de deadline. Niet precies op tijd. Ervoor.

Wat dit vraagt

Bid-voorbereiding in TenderNed is een logistiek proces dat niets overlaat aan de avond van sluiting. De certificaten moeten aanwezig zijn. De tekenbevoegden moeten beschikbaar zijn. Elk document moet individueel ondertekend worden. Bij een combinatie: per combinant.

Sommige teams werken met een gedeelde map en een bestand dat Inschrijfbiljet_definitief_v3_GETEKEND.pdf heet. Wat ze niet altijd bijhouden: of het certificaat waarmee dat bestand is ondertekend nog geldig is. Of de tekenbevoegde die tekende nog bij de KVK staat ingeschreven met die bevoegdheid.

Een systeem als Steinlog houdt die status bij op de plek waar de documenten leven. Maar het principe is breder: de handtekeninglogistiek is deel van de inschrijving, niet een stap erna.

Samengevat

eHerkenning: inloggen op TenderNed. Geen handtekeningmiddel.

PKIoverheid-certificaat of EU Qualified: rechtsgeldig ondertekenen. Persoonsgebonden. Twee weken aanvraagtijd.

Elk PDF-document: apart ondertekend.

Combinatie: elke combinant een eigen UEA, eigen handtekening, eigen certificaat.

Deadline: vroeg indienen. Niet op het laatste moment.

De rechter herstelt geen gemiste handtekeningdeadlines.