Advocaten en notariaat in Leiden en Den Haag
Menu
AanbestedingenIT, IE & Privacy

Aanbestedingen en privacy. Een lastige combinatie? (deel 3)

Natascha van Duuren

21 februari 2020 - 2 minuten leestijd

In mijn eerste blog in deze reeks heb ik toegelicht dat privacy een onderwerp is waar aanbestedende diensten in de praktijk mee worstelen. In deel 2 werd onder meer ingegaan op wanneer de privacywetgeving van toepassing is en werd een aantal belangrijke verplichtingen besproken die voortvloeien uit de privacywetgeving. In deel 3 wordt besproken bij welk type opdrachten de privacywetgeving met name van belang is.

Aanbesteding van ICT-dienstverlening

Privacy-issues zijn met name van belang bij de aanbesteding van ICT-dienstverlening. Denk hierbij aan de uitbesteding van het werkplekbeheer, de uitbesteding van onderhoud- en support of hostingdiensten.

Bij aanbestedingen waarbij ICT-dienstverlening wordt uitbesteed is het van belang dat reeds in het bestek/Programma van eisen wordt vastgelegd aan welke eisen de dienstverlening van de verwerker moet voldoen. Daarvoor is het van belang dat de aanbestedende dienst allereerst voor zichzelf helder heeft aan welke wettelijke verplichtingen de aanbestedende dienst als “verwerkingsverantwoordelijke” moet voldoen. Denk bijvoorbeeld aan wettelijke verplichtingen ten aanzien van beveiliging.

Een ander voorbeeld is de verplichting de wettelijke bewaartermijnen na te leven. Ook hiervoor geldt dat de aanbestedende dienst ervoor zorg dient te dragen dat de verwerker deze verplichtingen (ook) naleeft. De aanbesteder blijft immers verantwoordelijk voor de gegevensverwerkingen, ook al voert zij deze niet zelf uit. Ook het onderwerp datalekken is een onderwerp dat niet mag ontbreken bij het maken van afspraken met verwerkers.

Verwerkersovereenkomst

Ten aanzien van de afspraken met verwerkers gaat het in de praktijk vaak mis. Wat gebeurt er? In het bestek/Programma van Eisen wordt vaak onvoldoende aandacht besteed aan deze afspraken. Het is niet mogelijk om na gunning deze afspraken alsnog te maken. Dit is immers in strijd met de aanbestedingswetgeving. Het is ook niet mogelijk géén verwerkersovereenkomst te sluiten. Dit is weer in strijd met de privacywetgeving.

Het is daarom van groot belang dat bij het formuleren van het bestek/Programma van Eisen voldoende aandacht wordt besteed aan de eisen waar de verwerker aan moet voldoen. Het kan zelfs zeer raadzaam zijn om de concept verwerkersovereenkomst als “knock out-criterium” op te nemen.

Natascha van Duuren, advocaat/partner IT, IE & Privacy


Lees ook de andere delen uit deze blogserie:

Deel 1: Aanbestedingen en privacy. Een lastige combinatie?

Deel 2: Wanneer is de AVG van toepassing?

Deel 4: Stel een team samen

Ook interessant?