Aanbestedingen en privacy. Een lastige combinatie? (deel 1)

De toezichthouder (Autoriteit Persoonsgegevens) tikte in 2017 een aanbestedende dienst op de vingers wegens schending van de privacywetgeving. De VNG had bij de aanbesteding van leerlingenvervoer op Tenderned persoonsgegevens van kinderen met een zorgvraag of beperkingen gepubliceerd. Het ging hierbij om namen, adresgegevens, telefoonnummers, geboortedata, schoollocaties, maar ook om zogenaamde bijzondere persoonsgegevens zoals een aanduiding van de beperking(en) van de kinderen. De Autoriteit Persoonsgegevens wees de VNG erop dat het verwerken van persoonsgegevens noodzakelijk moet zijn voor het doel waarvoor ze worden gebruikt. In dit geval had het doel ook op een andere manier kunnen worden bereikt, bijvoorbeeld door het stellen van objectieve eisen aan de kwaliteit van de vervoersmiddelen (bijvoorbeeld dat de vervoersmiddelen ruimte voor rolstoelen moeten hebben) en vaardigheid van de chauffeur (zoals de vaardigheid de leerlingen te helpen met in- en uitstappen).

De reden dat aanbestedende diensten met privacy worstelen is dat degenen die binnen een aanbestedende dienst verantwoordelijk zijn voor inkoop en aanbestedingen, veelal geen of onvoldoende kennis hebben van het privacyrecht. Bovendien werkt de afdeling die verantwoordelijk is voor privacy vaak gescheiden van de afdeling die verantwoordelijk is voor aanbestedingen en is er weinig tot geen communicatie of samenwerking tussen deze afdelingen. Dit leidt in de praktijk tot de nodige problemen die bij een juiste voorbereiding en samenwerking voorkomen hadden kunnen worden.

Heeft u vragen over aanbestedingen en privacy, neemt u dan contact op net Natascha van Duuren.

In de komende blogs uit deze serie staan de volgende onderwerpen centraal:

Deel 2: Wanneer is de AVG van toepassing?

Deel 3: Aanbesteding van ICT-dienstverlening

Deel 4: Stel een team samen