Inkoper Jochem Berns aan het woord over aanbesteden en privacy
Is de AVG nog wel een ‘’hot topic’ voor inkopers bij overheidsopdrachten? Dat is toch geregeld? Elke opdracht waarbij persoonsgegevens aanwezig zijn, wordt voorzien van een standaard verwerkersovereenkomst. En qua informatiebeveiliging wordt gevraagd naar de juiste internationale norm. Dus de bescherming en waarborgen van de burgers en andere betrokkenen is prima op orde.
Privacy en beter gezegd gegevensbescherming (AVG) als onderdeel daarvan, lijkt niet meer zo urgent, als na het van kracht worden van de AVG in 2018. De nieuwigheid is er een beetje van af. In een serie van blogs die ik maakte in 2019 (1e blog), 2020 (2e blog) en 2021 (3e blog) voorspelde ik al dat de AVG vaak pas bij uitvoering van overeenkomsten in de operationele fase aan de orde komt. Dat is namelijk het moment dat er beveiligingsincidenten of mogelijk zelfs inbreuken op persoonsgegevens kunnen optreden en er soms zelfs gesproken moet worden van een datalek. Dat is doorgaans ook het moment waaruit blijkt of er in de aanbesteding voldoende aandacht is geweest voor (de bescherming) van privacy. ‘’The proof of the pudding is in the eating’’.
In de dagelijkse inkooppraktijk hebben vooral inkopers van ICT te maken met persoonsgegevens. De verwerking van data van personen vindt plaats in de IT-systemen en applicaties van de overheden. Er wordt rekening gehouden met informatiebeveiliging (‘’beveiliging’’) door ‘’passende technische en organisatorische maatregelen’’ zoals de AVG die noemt. Omdat er in artikel 28 lid 1 AVG een verbod staat om te gunnen aan een inschrijver (‘’verwerker’’), die zijn beveiliging niet op orde heeft, wordt er nog wel eens geprocedeerd door afgewezen inschrijvers op dit onderwerp. En gelijk hebben ze! Als jij als onderneming veel tijd en aandacht besteedt aan de bescherming van privacy, dan wil je niet dat een onderneming wint, die dat niet (gedaan) heeft.
Omdat beveiliging van persoonsgegevens een vak apart is, moeten bewijsmiddelen waaruit blijkt dat een inschrijver voldoet aan de adequate beveiliging bij voorkeur ook beoordeeld worden door een informatiebeveiliger of (Chief) Information Security Officer. En dat is dus alweer een steekhouder, die betrokken moet worden bij een aanbesteding. Oh ja, let wel op; deze mensen hebben het vaak erg druk, dus informeer ze op tijd. Wil je toch zelf proberen als inkoper om het bewijs van de inschrijver te toetsen? De informatiebeveiligingsdienst (IBD) heeft hiervoor een factsheet ontwikkeld.
Dat brengt mij bij één van de lastigste onderwerpen over de AVG & aanbestedingsprocedures van de laatste (twee) jaren. Dat is de plek waarin de eisen (bij een openbare) of criteria (bij niet-openbare) aanbestedingsprocedures over informatiebeveiliging gezet moeten worden. Tot voor kort was het zeer gebruikelijk om normen op dit vlak (bijvoorbeeld ISO 27001/27002, NEN 7510, etc) te vragen binnen de technische bekwaamheid van het aanbestedingsdocument. Het betreft hier de plaats waarin de eisen/criteria voor de selectie worden uitgevraagd. Het was daarnaast net zo gebruikelijk op daarbij een certificaat te eisen door een geaccrediteerde instelling en daarbij gelijkwaardige bewijzen te accepteren om aan te tonen dat aan de norm werd voldaan (‘’of gelijkwaardig’’). Deze gang van zaken is in december 2022 door twee uitspraken van Nederlandse voorzieningsrechters een halt toegeroepen. Althans toen werd voor veel (met name oudgediende) inkopers duidelijk dat de huidige Aanbestedingswet 2012 hier behoorlijk afwijkt van de voorganger van deze wet: de vroegere BAO. Kort maar goed blijkt uit de bovengenoemde uitspraken dat inkopers niet zomaar gelijkwaardige maatregelen voor kwaliteitscertificaten over -in dit geval beveiliging van persoonsgegevens- mogen accepteren. Met andere woorden: als je vraagt naar een diploma van de inschrijvers, moeten zij het diploma in beginsel ook kunnen overhandigen. Anders moet je ze uitsluiten van deelname aan de aanbesteding of zoals bij selectie-eisen het geval is; niet gunnen aan de nummer 1 als hij zijn bewijsmiddelen na het verzoek daartoe niet binnen een aantal dagen kan overhandigen.
De bovenstaande ontwikkeling betekent dat inkopers goed moeten nadenken bij het opnemen van eisen over de kwaliteit van informatiebeveiliging in de selectiefase van hun aanbesteding. Als je een dergelijke kwaliteitsbewaking opvraagt in de technische geschiktheid (selectiefase) doe je dat bij voorkeur alleen in een marktsegment, waarbij voldoende ondernemingen al geïnvesteerd hebben in het behalen van dit certificaat. Twijfel je hierover of heeft de informatiebeveiliger niet een verwijzing gemaakt naar een bepaalde normering met geaccrediteerd certificaat? Overweeg dan om de eisen over informatiebeveiliging op te nemen in je minimumeisen: bijvoorbeeld in het Programma van Eisen of de uitvoeringsvoorwaarden. Bedenk goed: security is volgens de AVG een must have!