Aanbesteding van ICT-dienstverlening

Privacy-issues zijn met name van belang bij de aanbesteding van ICT-dienstverlening. Denk hierbij aan de uitbesteding van het werkplekbeheer, de uitbesteding van onderhoud- en support of hostingdiensten.

Bij aanbestedingen waarbij ICT-dienstverlening wordt uitbesteed is het van belang dat reeds in het bestek/Programma van eisen wordt vastgelegd aan welke eisen de dienstverlening van de verwerker moet voldoen. Daarvoor is het van belang dat de aanbestedende dienst allereerst voor zichzelf helder heeft aan welke wettelijke verplichtingen de aanbestedende dienst als “verwerkingsverantwoordelijke” moet voldoen. Denk bijvoorbeeld aan wettelijke verplichtingen ten aanzien van beveiliging.

Een ander voorbeeld is de verplichting de wettelijke bewaartermijnen na te leven. Ook hiervoor geldt dat de aanbestedende dienst ervoor zorg dient te dragen dat de verwerker deze verplichtingen (ook) naleeft. De aanbesteder blijft immers verantwoordelijk voor de gegevensverwerkingen, ook al voert zij deze niet zelf uit. Ook het onderwerp datalekken is een onderwerp dat niet mag ontbreken bij het maken van afspraken met verwerkers.

Verwerkersovereenkomst

Ten aanzien van de afspraken met verwerkers gaat het in de praktijk vaak mis. Wat gebeurt er? In het bestek/Programma van Eisen wordt vaak onvoldoende aandacht besteed aan deze afspraken. Het is niet mogelijk om na gunning deze afspraken alsnog te maken. Dit is immers in strijd met de aanbestedingswetgeving. Het is ook niet mogelijk géén verwerkersovereenkomst te sluiten. Dit is weer in strijd met de privacywetgeving.

Het is daarom van groot belang dat bij het formuleren van het bestek/Programma van Eisen voldoende aandacht wordt besteed aan de eisen waar de verwerker aan moet voldoen. Het kan zelfs zeer raadzaam zijn om de concept verwerkersovereenkomst als “knock out-criterium” op te nemen.

Vragen?

Voor vragen neemt u contact op met Natascha van Duuren, advocaat/partner IT, IE & Privacy