Aanbesteden in overeenstemming met de AVG
Vanaf 25 mei 2018 moeten decentrale overheden voldoen aan de regels van de AVG. Privacywetgeving is van toepassing wanneer persoonsgegevens worden verwerkt. Decentrale overheden zullen als aanbestedende diensten in het kader van aanbestedingen worden aangemerkt als de verwerkingsverantwoordelijke; zij stellen immers het doel van en de middelen voor de verwerking van persoonsgegevens vast. Het verwerken van persoonsgegevens is alleen toegestaan wanneer dit voldoet aan de verwerkingsbeginselen uit de AVG. Voor deze verwerking is dus een grondslag nodig. Aanbestedende diensten mogen alleen persoonsgegevens publiceren op internet (via TenderNed of een ander aanbestedingssysteem) als de aanbestedende dienst uitdrukkelijke toestemming heeft van de betrokkenen of de openbaarmaking van de gegevens noodzakelijk is om redenen van algemeen belang. Daarbij maakt het ook verschil of de persoonsgegevens een bijzondere categorie van persoonsgegevens betreffen. Aan de verwerking van bijzondere persoonsgegevens worden strengere eisen gesteld. Het kan bijvoorbeeld wettelijk vastgelegd zijn dat toestemming van de betrokkenen bij een bepaalde verwerking van persoonsgegevens niet volstaat.
Overigens mogen aanbestedende diensten privacygevoelige informatie verstrekken als de uitvoerder van de opdracht deze informatie nodig heeft ‘voor de uitvoering van de publiekrechtelijke taak of een taak in het kader van de uitoefening van het openbaar gezag’. Kortom: de persoonsgegevens mogen worden gedeeld met de opdrachtnemer die de opdracht gaat uitvoeren, voor zover de informatie noodzakelijk is om aan deze taak te kunnen voldoen.
Wat betreft het bewaren van aanbestedingsstukken, geldt dat er in artikel 84 lid 2 Richtlijn 2014/24 een algemene bewaarverplichting van drie jaar opgenomen. Voor een uitgebreide beschrijving van deze verplichtingen kunt u deze praktijkvraag raadplegen.
Privacygevoelige aanbestedingen
Privacy-issues zijn met name aan de orde bij aanbestedingen in het sociaal domein. Bij de uitvoering van sociale wetgeving, zoals de Jeugdwet, de Wet maatschappelijke ondersteuning (Wmo 2015) en de Participatiewet, verwerken gemeenten vaak gevoelige gegevens. Ook werken gemeenten in de uitvoering van hun taken in het sociaal domein vaak samen met betrokken instanties, wat om extra zorgvuldigheid vraagt in het kader van Europese privacywetgeving.
Daarnaast spelen privacyvraagstukken ook een belangrijke rol bij de aanbestedingen van ICT-dienstverlening. Op grond van privacywetgeving moeten betrokken partijen -veelal de ICT-dienstverlener en de decentrale overheid- een verwerkersovereenkomst afsluiten. In het kader van ICT-dienstverlening zal er immers meestal sprake zijn van een dienst waarbij persoonsgegevens worden verwerkt ten behoeve van de verwerkingsverantwoordelijke. Volgens de privacywetgeving moet er in dat geval tussen de betrokken partijen een verwerkersovereenkomst worden afgesloten. In het Programma van Eisen of de overeenkomst van opdracht wordt vaak onvoldoende aandacht besteed aan deze afspraken. Het is echter niet altijd mogelijk om na gunning deze afspraken alsnog te maken, vanwege mogelijke strijdigheid met het leerstuk van de wezenlijk wijziging. Het kan daarom raadzaam zijn om de concept-verwerkersovereenkomst als ‘knock out-criterium’ op te nemen. Dit houdt in dat het een mininumeis is waaraan bij de uitvoering van de opdracht minimaal aan moet worden voldaan.
Tips & tricks voor privacy bij aanbesteden
De AVG verplicht organisaties een gegevensbeschermingseffectbeoordeling te doen wanneer zij een verwerking doen die een groot privacyrisico oplevert voor de rechten en vrijheden van de betrokkenen. Dit wordt ook wel een Data Protection Impact Assessment (DPIA) genoemd. Een DPIA heeft tot doel voorafgaand aan de verwerking inzage in de risico’s te krijgen, waardoor een organisatie passende maatregelen kan nemen om deze risico’s zoveel mogelijk uit te sluiten of te verkleinen. Door een DPIA voorafgaand aan een aanbesteding uit te voeren, wordt voorkomen dat een reeds aanbesteed project aangepast moet worden als gevolg van de uitkomst van de DPIA.
De aanbestedende dienst moet bij het verwerken van persoonsgegevens nagaan of technieken als pseudonimisering, anonimisering en het gebruik van metadata kunnen voorkomen dat persoonsgegevens worden vrijgegeven. Het verwerken van persoonsgegevens volgens de AVG-regelgeving kan daarnaast worden gewaarborgd door het stellen van eisen aan de beveiliging van persoonsgegevens door te verwijzen naar ISO- en NEN-normen. De rechtbank Noord-Nederland heeft in 2020 geoordeeld over het opvragen van personeelsgegevens bij aanbestedingen in het sociaal domein. Hier schreef Europa Decentraal eerder dit nieuwsbericht over.
In het geval er een noodzaak bestaat om bepaalde gegevens aan de leverancier te verstrekken, is het aan te bevelen een niet-openbare procedure te volgen, de betrokkenen om toestemming te vragen voor de verwerking of de gegevens onder geheimhouding vrij te geven. Het is verder verstandig om bij de voorbereiding van een aanbesteding privacyspecialisten te betrekken om schendingen van het privacyrecht te voorkomen.
De bescherming van privacy en veiligheid vormt niet per definitie een reden om geen aanbestedingsprocedure te volgen. Dat heeft het Hof van Justitie bepaald in de Commissie tegen Oostenrijk (C-187/16). Het Hof gaf aan dat, ten aanzien van aanbestedingen, de lidstaat moet aantonen dat bepaalde veiligheidsbelangen niet beschermd konden worden wanneer er wel gebruik wordt gemaakt van een aanbestedingsprocedure.