Bepaalde overheidsopdrachten kunnen risico’s inhouden op vlak van spionage of sabotage door buitenlandse mogendheden die andere geopolitieke belangen nastreven dan ons land. Denk bijvoorbeeld aan overheidsopdrachten voor het installeren en beheren van camera’s, het leveren van scanners voor de douane en politie of het leveren van zonne-omvormers. De leden van het Coördinatie Comité Inlichtingen en Veiligheid (CCIV) hebben daarom, in samenspraak met de Dienst Overheidsopdrachten van de FOD Kanselarij van de Eerste Minister, een ‘Quickscan’ en een ‘Toolbox’ uitgewerkt om aanbesteders te sensibiliseren en te helpen omgaan met deze problematiek. Beide instrumenten zijn opgenomen in de Omzendbrief van 11 september 2023 die in werking trad en in het Belgisch staatsblad werd gepubliceerd op 25 oktober 2023.[1] De instructies zijn gericht aan federale overheden, maar ook voor andere aanbesteders kunnen de instrumenten nuttig zijn.

1.             Quickscan

  1. Indien er bij het opstarten van een overheidsopdracht vermoedens of twijfels over risico’s voor de nationale veiligheid bestaan, dient de Quickscan (bijlage II bij de omzendbrief) te worden toegepast. De Quickscan bestaat uit een beknopte vragenlijst en bijhorende toelichting om na te gaan of een overheidsopdracht wel degelijk een potentieel risico vormt voor de nationale veiligheid. Het antwoord daarop zal sterk afhangen van de sector en het type product of dienst dat geleverd wordt, de aanbestedende overheid en de opdrachtnemer. Bij kritieke sectoren en kritieke infrastructuur[2] en bij zogenaamde Aanbesteders van Essentiële Diensten (AED)[3]treden bijvoorbeeld sneller risico’s voor de nationale veiligheid op.

2.              Toolbox

  1. Als uit de Quickscan blijkt dat er mogelijk risico’s zijn, of dat er aanvullend onderzoek nodig is, wordt geadviseerd om een bijkomende risicoanalyse uit te voeren. Vervolgens kan op basis van deze risicoanalyse worden nagegaan welke maatregelen idealiter dienen te worden geïmplementeerd om de geïdentificeerde risico’s maximaal te reduceren en beheersbaar te maken. De omzendbrief biedt daartoe een uitgebreide gids om de ‘Toolbox’ van beschikbare maatregelen die, afhankelijk van het geval, aangewend kunnen worden, nader toe te lichten (bijlage I van de Omzendbrief). Denk bijvoorbeeld aan eisen inzake toegangsrecht/uitsluitingsgronden, kwalitatieve selectie, bijzondere uitvoeringsvoorwaarden enz.
  2. De Toolbox is onderverdeeld in vier hoofdstukken. De centrale vraag in het eerste hoofdstuk is of de overheidsopdracht valt onder de “gewone” wet overheidsopdrachten, dan wel de wet Defensie en Veiligheid.[4] De wet Defensie en Veiligheid is bijvoorbeeld van toepassing wanneer de overheidsopdracht wordt geplaatst op defensie- en veiligheidsgebied en betrekking heeft op de levering van militair of gevoelig materiaal. Deze wet bevat meer uitsluitingsgronden die specifiek geschikt zijn om de veiligheid te beschermen. Zo kan bijvoorbeeld een kandidaat of inschrijver worden uitgesloten wanneer deze niet kan garanderen dat de gegevens worden beveiligd. Indien nodig kan de opdracht zelfs beperkt worden tot bedrijven uit de Europese Economische Ruimte, en kunnen derde landen uitgesloten worden.
  3. In het tweede hoofdstuk worden een aantal tools besproken waarvoor geen bijzondere motivering in verband met essentiële veiligheidsbelangen vereist is. Een doordachte keuze van plaatsingsprocedure, de toepassing van uitsluitingsgronden, een terdege onderzoek naar abnormale prijzen, eisen inzake de oorsprong van producten en materialen, NDA’s, GDPR-overeenkomsten, enz. kunnen reeds van aard zijn om het veiligheidsrisico te doen dalen
  4. Ingeval de voormelde tools echter niet zouden volstaan om het geïdentificeerde veiligheidsrisico beheersbaar te maken, worden in het derde hoofdstuk tools aangereikt waarvoor een afwijking van de wetgeving overheidsopdrachten wordt ingeroepen, waarbij wél een bijzondere motivering inzake essentiële veiligheidsbelangen vereist is.
  5. Tenslotte wordt in het vierde hoofdstuk ingezoomd op een aantal “flankerende” wetgevende initiatieven die vanuit een andere invalshoek worden gehanteerd, maar evenzeer een positief effect kunnen hebben op de problematiek van spionage en sabotage. In dat rijtje passen onder meer de Verordening voor de screening van buitenlandse directe investeringen (“Foreign direct investments Regulation” in het Engels, ook wel: “FDI”).[5], de Verordening van 14 december 2022 betreffende buitenlandse subsidies die de interne markt verstoren (in het Engels “Foreign Subsidies Regulation”, ook wel: “FSR”)[6] en de Cyber Resilience Act (ook wel: CRA)[7].
  6. De volledige omzendbrief vindt u hier.

[1] Omzendbrief FOD Kanselarij van de eerste minister van 11 september 2023 betreffende het reduceren van veiligheidsrisico’s in het kader van overheidsopdrachten, lekken van gevoelige informatie en spionage, BS 25 oktober 2023.

[2] Kritieke infrastructuur: “installatie, systeem of een deel daarvan, van federaal belang, dat van essentieel belang is voor het behoud van vitale maatschappelijke functies, de gezondheid, de veiligheid, de beveiliging, de economische welvaart of het maatschappelijk welzijn, en waarvan de verstoring van de werking of de vernietiging een aanzienlijke weerslag zou hebben doordat die functies ontregeld zouden raken” (Art. 3, 4 Wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren).

[3] Aanbieder van essentiële diensten: “een publieke of private entiteit die actief is in België in een van de sectoren opgenomen in bijlage I bij deze wet, die aan de criteria bedoeld in artikel 12, § 1, voldoet en die als dusdanig is aangewezen door de sectorale overheid” (Art. 6, 11 Wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid).

[4] Wet inzake overheidsopdrachten en bepaalde opdrachten voor werken, leveringen en diensten op defensie- en veiligheidsgebied, BS 1 februari 2012.

[5] Verordening (EU) 2019/452 van het Europees Parlement en de Raad van 19 maart 2019 tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie, Pb.L. 79/1.

[6] Verordening (EU) 2022/2560 van het Europees Parlement en de Raad van 14 december 2022 betreffende buitenlandse subsidies die de interne markt verstoren, Pb.L. 330/1

[7] Voorstel (Comm.) voor een Verordening (EU) 2022/0272 van het Europees Parlement en de Raad van 15 september 2022 betreffende horizontale cyberbeveiligingsvereisten voor producten met digitale elementen en tot wijziging van Verordening (EU) 2019/1020, COM(2022) 454 final, 2022/0272(COD).