Inkoper aan het woord over aanbesteden en privacy
De recente richtsnoer van het EDPB (European Data Protection Board) toont aan dat het belang van privacy groeit. Er wordt zelfs verwacht van overheden dat zij het juiste voorbeeld geven op het gebied van PbD&D (Privacy by Design & Default). Het EDPB bestaat uit personen van de nationale toezichthouders en de Europese toezichthouder voor gegevensbescherming (EDPS). Al in 2018 riepen zij overheden op aan de frontlinie te staan (punt 38 op pagina 8) en zo nodig aan te tonen dat wordt voldaan aan PbD&D.
In mijn vorige artikel over privacy gaf ik het advies om bij een aanbesteding zo vroeg mogelijk te beginnen met het waarborgen van de privacy. In dit vervolgartikel ga ik een stap verder en leg ik uit hoe je schriftelijk kan aantonen dat jouw organisatie PbD&D toepast voorafgaand een de start van een aanbesteding door middel van een raamwerk PbD&D binnen de inkoopstrategie.
PbD&D of DPbD&D?
Steeds vaker wordt in documenten de term DPbD&D (Data Protection by Design & Default) gebruikt. Die term is een betere vertaling van ‘gegevensbescherming door ontwerp en door standaardinstellingen’ en sluit ook beter aan bij de specifieke informationele privacy van de persoon die beschermd wordt door de AVG (Algemene Verordening Gegevensbescherming). In dit artikel blijf ik voor het gemak eenduidig de term en afkorting PbD&D (Privacy by Design & Default ) gebruiken.
Het toepassen van PbD&D mag risico gebaseerd
Laat ik beginnen met waar ik vorige keer mee eindigde. Aanbestedende diensten zijn wettelijk verplicht om PbD&D toe te passen bij openbare aanbestedingen. Het toepassen van PbD&D mag (ook) bij aanbestedingen op een risicogebaseerde manier. Bij het bepalen van de verwerkingsmiddelen en de verwerking moet u rekening houden met de volgende elementen:
• de stand van de techniek;
• de uitvoeringskosten;
• de aard, omvang, context en het doel van de verwerking;
• de risico’s voor de betrokkene.
Net als bij aanbestedingen en in het bijzonder bij toepassing van de Gids-proportionaliteit, zal de inkoper met zijn inkoopteam een afweging moeten maken waarom bepaalde onderdelen uit de AVG, wel of niet worden meegenomen in de aanbesteding (comply or explain). Daarbij geldt vanuit privacy-oogpunt geen drempelbedrag maar is wel het onderscheid belangrijk tussen gewone (algemene) persoonsgegevens en bijzondere persoonsgegevens. Bovendien gelden extra (AVG) verplichtingen bij hoofdzakelijke grootschalige verwerking van bijzondere persoonsgegevens en/of op het grote schaal en systematisch mensen volgen of profileren van personen in een publiek toegankelijk gebied).
Voordat we naar het raamwerk kijken, is een waarschuwing op zijn
plaats. Bij veel organisaties kan een houding ontstaat waarbij het voldoen aan PbD&D
gelijk wordt gesteld aan het bijvoegen
van een concept verwerkersovereenkomst. Voor gemeenten is een dergelijke standaard verwerkersovereenkomst in beginsel vanaf 1 januari 2020 ook verbindend, en daarmee verplicht gesteld. Zeker bij toepassing
van bijzondere persoonsgegevens dient niet te lichtvaardig te worden
omgesprongen met PbD&D. Niet voldoen aan PbD&D kan direct leiden tot
boetes, dwangsommen en/of verplichting tot staking van verwerkingsactiviteiten.
PbD&D speelt ook een belangrijke indirecte rol bij eventuele matiging van boetes
(artikel 83 lid 4 AVG).
Vanuit gezichtspunt aanbesteden betekent later wijzigingen doorvoeren t.a.v.
gegevensbescherming dat je aanbesteding wezenlijk kan wijzigen met alle vervelende gevolgen van dien.
Hoe laat je zien dat je voldoet aan PbD&D in de inkoopstrategie?
Wat opvalt, is dat informatie over het onderwerp PbD&D nog steeds zeer complex is en op hoog abstract niveau blijft hangen. Dat geldt ook voor de hierboven genoemd documenten van de EDPB en de EDPS. De documenten bieden qua handvatten in de praktijk (nog) weinig houvast. Dat is gelukkig anders met het blauwe boekje van Jaap-Henk Hoepman en de informatie die de Noorse toezichthouder over PbD&D op zijn website publiceert. Net als de eerder door mij genoemde handleiding AVG van de Nederlandse overheid passen deze organisaties een tweedeling toe in circa 9 verschillende strategieën: 5 data-strategieën en 4 proces en/of organisatorische-strategieën. Het advies dat ik blijf geven, is om die methode van een tweedeling te maken om alle elementen binnen PbD&D voldoende aandacht te geven in je inkoopstrategie. Hierdoor wordt het kernartikel 25 AVG over PbD&D als het ware opgehangen aan een raamwerk, ook wel aangeduid met de Engelse term ‘framework’. Er is een groot aantal van dit soort privacy raamwerken te vinden variërend van handig stroomschema tot internationale standaarden zoals het ISO/IEC 29100 Privacy Framework. Soms is een organisatie verplicht om een privacybeleid (gegevensbeschermingsbeleid) te hanteren. Vaak is PbD&D dan al concreter uitgewerkt.
Vertaling van strategieën naar concrete uitvraag in de aanbesteding
Om je als inkoper op weg te helpen, is hieronder tot slot een beknopt overzicht opgenomen dat kan helpen als raamwerk PbD&D. Hoe en welke van deze strategieën je vertaalt naar een concrete uitvraag in de context van de inkoopstrategie zal verschillen per situatie en per geval. Om er zeker van te zijn dat geen onderdelen ontbreken en dat de informatie correct is, doe je er verstandig aan altijd de hulp in te roepen van je privacy collega’s en dan in het bijzonder de informatiebeveiliger(s) en de Functionaris Gegevensbescherming. In het hoekje linksonder in het raamwerk heb ik de specifieke uit te vragen documenten van de gemeenten vermeld.
Vind je het lastig om inhoudelijk iets over de verschillende strategieën op schrift te zetten? Dan is mijn tip om zoveel mogelijk te verwijzen naar de 9 strategieën en aan te geven dat er over is nagedacht binnen jouw organisatie. Eigenlijk is dat de essentie van PbD&D. Het aantoonbaar maken dat je als aanbestedende dienst verstandig omgaat met persoonsgegevens, die omgaan binnen de eigen of uitbestede verwerkersactiviteiten.
Privacy by Design & Default
Veel informatie is afkomstig van de nuttige kennisbank: www.privacydesigner.nl
| Data-strategieën: Minimaliseren en beperken; Verbergen en beschermen; Scheiden/splitsen; Samenvoegen/abstract maken; Gegevensbescherming door standaard-instellingen (default). Ook relatie met ‘geef controle’. | Tactieken (samenvatting) – Pseudonimisering, encrypty/aggregatie; – Baseline Informatiebeveiliging Overheid: BIO); – Gangbare principes rondom ‘security by design’; – Isoleren, verdelen, lokaal verwerken; – Persoonsgegevens onafhankelijk van elkaar verwerken; – Auditrechten. | Concrete uitvraag Verwerkersovereenkomst; Informatiebeveiliging en standaarden; Bewijs aansluiting artikel 42 goedgekeurd certificeringsmechanisme. | ||
| Proces-strategieën: Informeren Geef controle (ook dataportabiliteit) Afdwingen Toon aan | Voor gemeenten: Vooringevuld verwerkingsregister? Overzicht verwerkingsactiviteiten voor gemeente in bijlage 1 van de standaard verwerkersovereenkomst. Informatiebeveiliging en standaarden bijlage 2 van de verwerkersovereenkomst. |
We zijn nu aan het einde gekomen van dit artikel. Net als mijn
voorgaande artikel heb ik je vooral nog uitgelegd hoe je PbD&D toepast in
de voorfase van de aanbesteding en dan vooral in de inkoopstrategie. Volgende
keer gaan we aanbesteden!
In deel 3 van deze serie zal ik uitleggen hoe je PbD&D praktisch en
concreet toepast in (tijdens) de aanbesteding