Speciaal voor vandaag, de dag van de privacy schreef Jochem Berns (inkoper, jurist en privacy-expert van Bizob) een blog over aanbesteden en privacy. Want rekening houden met privacy in een aanbesteding kan een flinke uitdaging zijn!
In de dagelijkse inkooppraktijk hebben vooral inkopers van ICT te maken met persoonsgegevens. De verwerking van data van personen vindt plaats in de IT-systemen en applicaties van de overheden. Er wordt rekening gehouden met informatiebeveiliging (‘’beveiliging’’) door ‘’passende technische en organisatorische maatregelen’’ zoals de AVG die noemt. Omdat er in artikel 28 lid 1 AVG een verbod staat om te gunnen aan een inschrijver (‘’verwerker’’), die zijn beveiliging niet op orde heeft, wordt er nog wel eens geprocedeerd door afgewezen inschrijvers op dit onderwerp. En gelijk hebben ze! Als jij als onderneming veel tijd en aandacht besteedt aan de bescherming van privacy, dan wil je niet dat een onderneming wint, die dat niet (gedaan) heeft.
Omdat beveiliging van persoonsgegevens een vak apart is, moeten bewijsmiddelen waaruit blijkt dat een inschrijver voldoet aan de adequate beveiliging bij voorkeur ook beoordeeld worden door een informatiebeveiliger of (Chief) Information Security Officer. En dat is dus alweer een steekhouder, die betrokken moet worden bij een aanbesteding. Oh ja, let wel op; deze mensen hebben het vaak erg druk, dus informeer ze op tijd. Wil je toch zelf proberen als inkoper om het bewijs van de inschrijver te toetsen? De informatiebeveiligingsdienst (IBD) heeft hiervoor een factsheet ontwikkeld.
Dat brengt mij bij één van de lastigste onderwerpen over de AVG & aanbestedingsprocedures van de laatste (twee) jaren. Dat is de plek waarin de eisen (bij een openbare) of criteria (bij niet-openbare) aanbestedingsprocedures over informatiebeveiliging gezet moeten worden. Tot voor kort was het zeer gebruikelijk om normen op dit vlak (bijvoorbeeld ISO 27001/27002, NEN 7510, etc) te vragen binnen de technische bekwaamheid van het aanbestedingsdocument. Het betreft hier de plaats waarin de eisen/criteria voor de selectie worden uitgevraagd. Het was daarnaast net zo gebruikelijk op daarbij een certificaat te eisen door een geaccrediteerde instelling en daarbij gelijkwaardige bewijzen te accepteren om aan te tonen dat aan de norm werd voldaan (‘’of gelijkwaardig’’). Deze gang van zaken is in december 2022 door twee uitspraken van Nederlandse voorzieningsrechters een halt toegeroepen. Althans toen werd voor veel (met name oudgediende) inkopers duidelijk dat de huidige Aanbestedingswet 2012 hier behoorlijk afwijkt van de voorganger van deze wet: de vroegere BAO. Kort maar goed blijkt uit de bovengenoemde uitspraken dat inkopers niet zomaar gelijkwaardige maatregelen voor kwaliteitscertificaten over -in dit geval beveiliging van persoonsgegevens- mogen accepteren. Met andere woorden: als je vraagt naar een diploma van de inschrijvers, moeten zij het diploma in beginsel ook kunnen overhandigen. Anders moet je ze uitsluiten van deelname aan de aanbesteding of zoals bij selectie-eisen het geval is; niet gunnen aan de nummer 1 als hij zijn bewijsmiddelen na het verzoek daartoe niet binnen een aantal dagen kan overhandigen.
De bovenstaande ontwikkeling betekent dat inkopers goed moeten nadenken bij het opnemen van eisen over de kwaliteit van informatiebeveiliging in de selectiefase van hun aanbesteding. Als je een dergelijke kwaliteitsbewaking opvraagt in de technische geschiktheid (selectiefase) doe je dat bij voorkeur alleen in een marktsegment, waarbij voldoende ondernemingen al geïnvesteerd hebben in het behalen van dit certificaat. Twijfel je hierover of heeft de informatiebeveiliger niet een verwijzing gemaakt naar een bepaalde normering met geaccrediteerd certificaat? Overweeg dan om de eisen over informatiebeveiliging op te nemen in je minimumeisen: bijvoorbeeld in het Programma van Eisen of de uitvoeringsvoorwaarden.
Bedenk goed: security is volgens de AVG een must have!
