Aanbestedingen en privacy. Een lastige combinatie? (deel 2)

Op het moment dat persoonsgegevens worden verwerkt, is de privacywetgeving van toepassing en dient te worden voldaan aan de eisen die in de wetgeving worden gesteld. Persoonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Denk bijvoorbeeld aan naam, adres en geboortedatum, maar ook locatiegegevens en identificatienummers kunnen persoonsgegevens zijn. Het verwerken daarvan omvat vrijwel elke handeling met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, bewaren, wijzigen, gebruiken en ook verwijderen. Degene die het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt wordt aangemerkt als verwerkingsverantwoordelijke. Vaak zal dit de aanbestedende dienst zijn. In het navolgende zal er vanuit worden gegaan dat de aanbestedende dienst de verwerkingsverantwoordelijke is.

De wet bepaalt wat wel en niet is toegestaan met betrekking tot de verwerking van persoonsgegevens. Zo mag een aanbestedende dienst als verwerkingsverantwoordelijke alleen persoonsgegevens verwerken als dat noodzakelijk is voor een bepaald doel. Op dit punt ging de VNG dus over de schreef (zie blog 1 in deze reeks). Voorts geldt dat de aanbestedende dienst de gegevens vervolgens niet mag gebruiken voor een ander doel en mogen deze alleen worden verwerkt voor zover de gegevens ‘ter zake dienend en niet bovenmatig’ zijn. Persoonsgegevens mogen bovendien niet langer worden bewaard dan noodzakelijk is. Ook dienen persoonsgegevens goed beveiligd te worden. Aanbestedende diensten dienen daarvoor passende technische en organisatorische maatregelen te nemen.

Naast deze verplichtingen voor aanbestedende diensten die als verwerkingsverantwoordelijke kwalificeren, bevat de wet rechten die door betrokkenen moeten kunnen worden uitgeoefend. Zo hebben betrokkenen recht op informatie over het gebruik van hun gegevens en kunnen zij inzage en correctie van hun gegevens verlangen. De aanbestedende dienst zal ervoor moeten zorgen dat deze rechten daadwerkelijk uitgeoefend kunnen worden.

Het komt steeds vaker voor dat de aanbestedende diensten de verwerking van persoonsgegevens uitbesteden aan derde partijen. Deze derde partijen worden “verwerkers” genoemd. Een voorbeeld van een verwerker is een hostingprovider. Op grond van de wet is de verwerkingsverantwoordelijke verplicht met deze partij een verwerkersovereenkomst te sluiten. In deze overeenkomst moet onder meer worden vastgelegd voor welke doeleinden de persoonsgegevens mogen worden verwerkt, welke beveiligingsmaatregelen de verwerker moet nemen en op welke manier de verwerkingsverantwoordelijke kan controleren of de afspraken ook echt nageleefd worden door de verwerker.

Betrokkenen hebben het recht hun gegevens over te (laten) zetten van de ene organisatie naar de ander. In dit kader hebben betrokkenen het recht om hun persoonsgegevens in een standaardformaat te ontvangen of het recht te eisen dat de oude verwerkingsverantwoordelijke hun gegevens direct doorstuurt naar de nieuwe. Bovendien hebben betrokkenen the right to be forgotten (‘het recht op vergetelheid’). Als er voor de verwerkingsverantwoordelijke geen redelijke gronden zijn om de persoonsgegevens te verwerken, kan een betrokkene in beginsel totale verwijdering van zijn persoonsgegevens uit het systeem van de verwerkingsverantwoordelijke eisen. Die zal er bovendien voor moeten zorgen dat de gegevens ook bij eventuele andere organisaties aan wie hij de persoonsgegevens heeft doorgegeven, worden verwijderd. Bij aanbestedingen van de levering of ontwikkeling van software, is het van belang dat de aanbestedende dienst de uitvraag zo formuleert dat zij zeker weet dat zij de beschikking krijgt over software die het ook technisch en praktisch mogelijk maakt dat de rechten kunnen worden uitgeoefend. Dit zijn eisen die niet mogen ontbreken in het bestek/Programma van Eisen.

De AVG verplicht organisaties een gegevensbeschermingseffectbeoordeling te doen wanneer zij een verwerking doen die een groot privacy risico oplevert. De PIA heeft als doel inzage in de risico’s te krijgen, waardoor een organisatie passende maatregelen kan nemen om deze risico’s zoveel mogelijk uit te sluiten of te verkleinen. In 2013 heeft Nederland ICT al bepleit om een PIA nog voor een aanbesteding uit te voeren, zodat de uitkomst van een PIA niet leidt tot een aanpassing van plannen en daarmee kosten van een al aanbesteed project.

Ook de model-PIA voor de Rijksdienst zegt: “Een PIA moet in een vroegtijdig stadium van de beleidsontwikkeling worden uitgevoerd. Op dat moment is het mogelijk om met open vizier na te denken over de effecten en bestaat er nog voldoende gelegenheid om de uitgangspunten van het voorstel zonder grote nadelige consequenties te herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project.”

Punt is wel dat in de fase voor de aanbesteding een PIA niet product- of dienstspecifiek kan zijn. Er zijn op dat moment immers meerdere aanbieders van producten of diensten die voornemens zijn mee te dingen naar de opdracht. Het is dus de vraag in hoeverre een PIA in deze fase alle privacyrisico’s gedetailleerd in kaart kan brengen.

Organisaties zijn verplicht gegevens te beschermen middels privacy by design (ontwerp) en privacy by default (standaardinstellingen). Al in de ontwerpfase van een applicatie of ICT-systeem zal er dus rekening mee moeten worden gehouden dat voldoende technische waarborgen worden ingebouwd. Deze wettelijke verplichting is van belang bij de aanbesteding van de levering of ontwikkeling van software. Ook hiervoor geldt dat deze eis voldoende concreet dient te worden opgenomen in het bestek/Programma van Eisen.

In komende blogs in de reeks “Aanbestedingen en privacy. Een lastige combinatie?” wordt nader ingegaan op het type opdrachten waarbij de privacywetgeving met name van belang is.

Heeft u vragen over aanbestedingen en privacy, neemt u dan contact op met Natascha van Duuren.