Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

Aanbesteden in overeenstemming met de privacyregelgeving

7 mei 2018Aanbestedingen, Informatiemaatschappij

Bij het aanbesteden van overheidsopdrachten door decentrale overheden dient er rekening te worden gehouden met het waarborgen van privacy. Hoe zorgt u ervoor dat er wordt voldaan aan de transparantieverplichtingen zonder dat er onnodig privacygevoelige informatie publiek kenbaar wordt gemaakt? En hoe kan er bij aanbestedingen worden voldaan aan de eisen uit de Algemene verordening gegevensbescherming?

Verwerken van persoonsgegevens bij aanbesteden

Op het moment dat persoonsgegevens worden verwerkt, is de privacywetgeving van toepassing. Degene die het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt wordt aangemerkt als verwerkingsverantwoordelijke. Vaak zal dit in het geval van aanbestedingen de aanbestedende dienst zijn. Het doel van het verstrekken van informatie in de aanbestedingsdocumenten is partijen in staat te stellen om een goed beeld te vormen van de opdracht en een passende inschrijving te doen. Het publiceren van persoonsgegevens op internet (via TenderNed of een ander aanbestedingssysteem) is niet toegestaan, tenzij de aanbestedende dienst uitdrukkelijke toestemming heeft van de betrokkenen of de openbaarmaking van de gegevens noodzakelijk is om redenen van algemeen belang. Daarbij maakt het ook verschil of de persoonsgegevens een bijzondere categorie van persoonsgegevens betreffen. Aan de verwerking van bijzondere persoonsgegevens worden strengere eisen gesteld. Het kan bijvoorbeeld wettelijk vastgelegd zijn dat toestemming van de betrokkenen bij een bepaalde verwerking van persoonsgegevens niet volstaat.

Privacygevoelige aanbestedingen

Privacy-issues zijn met name aan de orde bij aanbestedingen in het sociaal domein. Bij de uitvoering van sociale wetgeving, zoals bijvoorbeeld de Participatiewet en het verwezenlijken van social return on investment komen ondernemers immers in aanraking met het verwerken van persoonsgegevens van mensen met een afstand tot de arbeidsmarkt. Daarnaast kan een integrale aanpak tussen verschillende betrokken instanties in het kader van zorg en ondersteuning op gespannen voet staan met de Europese privacyregelgeving.

Privacyvraagstukken spelen ook een belangrijke rol bij de aanbesteding van ICT-dienstverlening. In het geval van ICT-dienstverlening zal er veelal sprake zijn van een dienst waarbij persoonsgegevens worden verwerkt ten behoeve van de verwerkingsverantwoordelijke. Volgens de privacywetgeving moet er in dat geval tussen de betrokken partijen een verwerkersovereenkomst worden afgesloten. In het Programma van Eisen of de overeenkomst van opdracht wordt vaak onvoldoende aandacht besteed aan deze afspraken. Het is echter niet altijd mogelijk om na gunning deze afspraken alsnog te maken vanwege mogelijke strijdigheid met het leerstuk van de wezenlijk wijziging. Het kan daarom raadzaam zijn om de concept-verwerkersovereenkomst als “knock out-criterium” op te nemen.

In overeenstemming met de AVG

Vanaf 25 mei 2018 moeten decentrale overheden voldoen aan de regels van de Algemene verordening gegevensbescherming (AVG). Aanbestedingen voldoen aan de AVG wanneer persoonsgegevens volgens de verwerkingsbeginselen worden verwerkt. Hieronder wordt een aantal voorwaarden genoemd:

  • Het is niet toegestaan om in het kader van een aanbesteding persoonsgegevens uit te vragen wanneer het doel waar de gegevens voor worden uitgevraagd ook op een andere manier kan worden bereikt, bijvoorbeeld door het stellen van objectieve eisen. Het verwerken van persoonsgegevens moet met andere woorden noodzakelijk zijn voor het doel waarvoor de gegevens worden gebruikt.
  • Het is niet toegestaan om de persoonsgegevens na verwerking voor een bepaald doel ook te gebruiken voor een ander doel, zonder dat de decentrale overheid daar een rechtsgrond, zoals toestemming, voor heeft.
  • Persoonsgegevens mogen alleen worden verwerkt voor zover de verwerking rechtmatig, behoorlijk en transparant is. Lees hierover meer op onze website.
  • Persoonsgegevens moeten op een passende technische en organisatorische manier worden beveiligd.
  • Persoonsgegevens mogen niet langer worden opgeslagen dan noodzakelijk is voor de doeleinden waarvoor zij zijn verzameld.

Overigens mogen aanbestedende diensten privacygevoelige informatie verstrekken als de uitvoerder van de opdracht deze informatie nodig heeft ‘voor de uitvoering van de publiekrechtelijke taak of een taak in het kader van de uitoefening van het openbaar gezag’. Kortom: de persoonsgegevens mogen worden gedeeld met de opdrachtnemer die de opdracht gaat uitvoeren, voor zover de informatie noodzakelijk is om aan deze taak te kunnen voldoen.

Tips & tricks

De AVG verplicht organisaties een gegevensbeschermingseffectbeoordeling te doen wanneer zij een verwerking doen die een groot privacyrisico oplevert voor de rechten en vrijheden van de betrokkenen. Dit wordt ook wel een Data Protection Impact Assessment (DPIA) genoemd. Een DPIA heeft tot doel voorafgaand aan de verwerking inzage in de risico’s te krijgen, waardoor een organisatie passende maatregelen kan nemen om deze risico’s zoveel mogelijk uit te sluiten of te verkleinen. Door een DPIA voorafgaand aan een aanbesteding uit te voeren, wordt voorkomen dat een reeds aanbesteed project aangepast moet worden als gevolg van de uitkomst van de DPIA.

De aanbestedende dienst moet bij het verwerken van persoonsgegevens nagaan of technieken als pseudonimisering, anonimisering en het gebruik van metadata kunnen voorkomen dat persoonsgegevens worden vrijgegeven. Het verwerken van persoonsgegevens volgens de AVG-regelgeving kan daarnaast worden gewaarborgd door het stellen van eisen aan de beveiliging van persoonsgegevens door te verwijzen naar ISO- en NEN-normen.

In het geval er een noodzaak bestaat om bepaalde gegevens aan de leverancier te verstrekken, is het aan te bevelen een niet-openbare procedure te volgen, de betrokkenen om toestemming te vragen voor de verwerking of de gegevens onder geheimhouding vrij te geven. Het is verder verstandig om bij de voorbereiding van een aanbesteding privacyspecialisten te betrekken om schendingen van het privacyrecht te voorkomen.

Indien u een vraag heeft over privacyaspecten bij aanbesteden, kunt u een vraag indienen via onze helpdesk.

Door:

Marieke Merkus & Juliëtte Fredriksz, Europa decentraal

Meer informatie:

Aanbestedingen, Europa decentraal
De nieuwe privacywet: de Algemene verordening gegevensbescherming, Europa decentraal
Thema pagina privacy, Europa decentraal
Verwerken van persoonsgegevens, Europa decentraal

X