De Vey Mestdagh: “Een te groot aantal PPS projecten loopt onnodig gevaar daar waar het over software gaat”

14 augustus 2019
Kennisbank

Michel Klompmaker

Onlangs spraken wij met  Dr. mr. C.N.J. de Vey Mestdagh, directeur Research & Development van het Software Borg Instituut over een niet zo’n gemakkelijk onderwerp, namelijk over “Embedded data en software in onroerende zaken”.  Als jurist en onderzoeker is hij soms verbaasd hoe bepaalde contracten tussen overheid en de private sector tot stand gekomen zijn. We spraken met hem over enkele concrete voorbeelden zoals het gerechtsgebouw in Breda en over over iets anders namelijk de (exploitatie-) risico’s van een faillissement van een grote partij, waarbij als voorbeeld Imtech ter sprake komt. De contractvormen en de wijze van samenwerking in het kader van publiek private samenwerking, afgekort PPS, was het onderwerp van gesprek.

Risk & Compliance Platform Europe: U wilt graag het voorbeeld van de gang van zaken rond het gerechtsgebouw in Breda bespreken.

De Vey Mestdagh: “Dat klopt. U herinnert zich ongetwijfeld nog dat op 14 september 2018 ons staatshoofd het nieuwe gerechtsgebouw in Breda geopend heeft. Het gebouw meet ongeveer 33.000 vierkante meter en verschaft huisvesting en facilitaire voorzieningen aan de rechtbank Zeeland-West-Brabant (locatie Breda), het arrondissementsparket Zeeland-West-Brabant en de Raad voor de Kinderbescherming Breda. Voor zover niets bijzonders. De ruimtelijke concentratie en centralisatie van werk blijkt nog steeds het dominerende organisatiemodel te zijn, ondanks de inherent solitaire werkwijze van vele magistraten, de mogelijkheden en het wijdverbreide gebruik van moderne communicatietechnologie en de decentralisatie van de informatieverwerking door het gebruik van digitale netwerken. Er is daarom ook circa 8.000 vierkante meter parkeerruimte beschikbaar, waarvan een groot deel voor de 850 gerealiseerde werkplekken nodig zal zijn.”

Risk & Compliance Platform Europe: “Akkoord, tot zover niets bijzonders toch?

De Vey Mestdagh:  “Akkoord, maar wat wel bijzonder is en de nodige juridische vragen oproept, is de contractvorm en de wijze van samenwerking. Het gaat om een zogenaamde Design Build Finance Maintain Operate (DBFMO) contract in het kader van Publiek-Private Samenwerking (PPS). Een DBFMO-contract omvat het ontwerpen (Design), bouwen (Build), financieren (Finance), onderhouden (Maintain) en exploiteren (Operate) van een huisvesting- of infrastructuurproject. PPS in dit verband betekent dat de overheid slechts de gewenste resultaten beschrijft en een consortium van ondernemingen de verantwoordelijkheid voor het ontwerp, de ontwikkeling en realisatie, het onderhoud en de exploitatie op zich neemt. De kosten kunnen worden gespreid over verschillende exploitatieonderdelen voor een periode die, zoals in het geval van Breda, wel 30 jaar kan bestrijken. De totale kosten bedragen in het hiervoor beschreven project circa 172 miljoen euro. De voordelen zijn duidelijk. De opdrachtgever kan zich concentreren op een beschrijving van het gewenste resultaat en spreidt het financiële risico over een langere periode.”

Risk & Compliance Europe: Maar hoe zit het dan met de risico’s voor de continuïteit van het bedrijfsproces?

De Vey Mestdagh: “Onderdeel van een DBFMO-contract is zoals gezegd het exploiteren van het project gedurende een lange periode. De exploitatie zal onder andere het toegangssysteem, het beveiligingssysteem, de communicatie-infrastructuur, de liften, het parkeersysteem, het klimaatsysteem en het verlichtingssysteem en vaak ook het kantinesysteem omvatten. Vrijwel al deze systemen zijn kritisch in de zin dat ze moeten functioneren om het bedrijfsproces in stand te kunnen houden. Zij vormen bovendien het meest dynamische, onderhoudsgevoelige deel van het project. Het variërende feitelijk gebruik en de veranderende feitelijke behoeften van de gebruikers van het project bepalen de exploitatie. Daarom worden al deze systemen aangestuurd met computers waarop software draait die kan reageren op het feitelijk gebruik en instelbare gebruikersbehoeften. Dit betekent dat hun functioneren ook afhankelijk is van gebruiks- en gebruikersdata. Misschien even ter toelichting: het systeem reageert op gebruiksdata en de gebruikersdata vormen de parameters van het systeem. De ontwikkeling van het gebruik vereist dat de software en de parameters van deze systemen geregeld zullen moeten worden bijgesteld en onderhouden.”

Risk & Compliance Platform Europe: Maar er kan toch nog van alles fout gaan?

De Vey Mestdagh: “Inderdaad, in de praktijk kan het wel eens fout gaan. Zo betekende het faillissement van Imtech in 2015 dat een van de partners in het consortium van de bouw van de Noord-Zuidlijn wegviel, waardoor de aansprakelijkheid voor de totale waarde van het project, circa 300 miljoen euro, plotseling volledig op de schouders van de andere partner VolkerWessels kwam te liggen. Hierdoor liep het project vertraging op en namen de afbreukrisico’s aanzienlijk toe.”

Risk & Compliance Platform Europe: En wat is het belang van de broncode in dit verband? 

De Vey Mestdagh: “De continuïteit en de kwaliteit van het functioneren van de huisvesting en infrastructuur zoals in het voorbeeld van Breda  moeten daarom worden gegarandeerd. Deze zijn zoals we hebben gezien afhankelijk van de beschikbaarheid van specifieke data en software en het goed functioneren en onderhoudbaar zijn van de software. Veel van deze software zal bovendien systeemafhankelijk zijn, fabrikanten leveren veelal hun eigen operating systemen en applicaties, zodat zij niet direct kunnen worden vervangen door concurrerende software. Dit betekent, dat als een of meer van de leveranciers of de exploitanten die deel uitmaken van het consortium om de een of andere reden moten afhaken het consortium en uiteindelijk zelfs de opdrachtgever zal moeten kunnen beschikken over zowel de data als de broncode van de software om de exploitatie te kunnen voortzetten en doorlopend onderhoud te kunnen blijven plegen.”

Risk & Compliance Platform Europe: Graag dan nu wat meer uitleg over “Embedded data” en de juridische status van software.

De Vey Mestdagh: “Gegevens en software die functioneel zijn geïntegreerd in de hiervoor beschreven exploitatiesystemen noemen we embedded data en software. Om de hierboven beschreven risico’s van discontinueren te kunnen beheersen, moet duidelijk zijn wie de beschikkingsrechten op deze data en software heeft en of er ook feitelijk over deze data en software beschikt kan worden. Als de leverancier of exploitant bijvoorbeeld failliet gaat, moet het consortium of zelfs de opdrachtgever niet alleen rechtmatig gebruik kunnen maken van de data en software en voor het onderhoud ook de broncode van de software, maar daar ook feitelijk toegang toe moeten hebben. Het laatste is niet vanzelfsprekend, omdat data en software niet altijd onderdeel hoeven uit te maken van lokale systemen, maar zich ook op externe systemen kunnen bevinden. Voor wat betreft de voor het onderhoud vereiste broncode is dit zelfs altijd het geval. Een discontinuerende leverancier of exploitant of een faillissementscurator zal niet altijd bereid zijn of zelfs verplicht zijn deze data, software en broncode beschikbaar te stellen.”

Risk & Compliance Platform Europe: Hoe kan men dit dan veiligstellen?

De Vey Mestdagh: ” Het veiligstellen van de continuïteit van de exploitatie en het onderhoud in PPS-projecten vereist een volledige juridische analyse van de eigendoms- en beschikkingsrechten van embedded data en software. Elk PPS-project behoort een dergelijk titelonderzoek te omvatten. Als de beschikkingsrechten in het geval van discontinueren van de leverancier en/of de exploitant te kort blijken te schieten, dan moet dit juridisch worden geremedieerd voordat de exploitatie- en onderhoudsfase aanbreekt. Het consortium en de opdrachtgever moeten niet alleen rechtmatig maar ook feitelijk kunnen beschikken over de data en de software. Feitelijk beschikken betekent dat een kopie van de data en de software (broncode) moet worden gedeponeerd bij een onafhankelijke derde, die deze in geval van onvermogen of onwil van de leverancier en/of de exploitant aan het consortium en/of de opdrachtgever kan uitleveren. Het depot moet vooraf inhoudelijk en technisch worden gecontroleerd, zodat zeker is dat de gedeponeerde data en software ook actueel en bruikbaar zijn. In een te groot aantal PPS-projecten zijn deze voorzieningen nog niet getroffen.”

Het interview met de heer Kees de Vey Mestdagh is tot stand gekomen dankzij een eerder van zijn hand gepubliceerd artikel met als titel “Embedded data en software in onroerende zaken”, zoals dat op de website van Software Borg Instituut te vinden is.



Plaats uw reactie

Your email address will not be published. Required fields are marked *