Uw partner voor inkoop & contractmanagement

Logo
7 oktober 2019

‘Be tender met persoonsgegevens!’

Dat privacy belangrijk is, dat weten we. Maar liefst 94% maakt zich ook wel eens zorgen over de bescherming van zijn persoonsgegevens.

Het rekening houden met privacy in een aanbesteding kan voor overheidsorganisaties een uitdaging zijn. Een whitepaper dat hierover eerder verscheen, noemt het terecht een lastige combinatie. De conclusie die het whitepaper trekt, is dat de kennisoverdracht tussen specialisten op het gebied van privacy en aanbesteding vaak te laat en zeker te beperkt is.  In de fase na de aanbesteding, moeten daarom vaak nog privacy- aspecten geregeld en/of gerepareerd worden. De consequentie kan zijn dat de aanbesteding hierdoor mislukt. Die mag immers niet wezenlijk wijzigen na gunning. Een interessant gegeven. En dan heb ik het nog niet eens over de eventuele boetes die inbreuken op privacy met zich mee kunnen brengen.

Bovenstaande is reden genoeg voor mij om eens te onderzoeken hoe we privacy goed kunnen waarborgen in een aanbesteding. In een aantal artikels neem ik u graag mee in mijn bevindingen en deel ik een aantal tips. In dit artikel leg ik de basis uit. Waarom moet bescherming van privacy worden mee genomen in een aanbesteding en bij voorkeur al in de inkoopstrategie? Mocht u nog vragen hebben naar aanleiding hiervan, neem dan gerust contact met mij op!

Aanbesteden & privacy in Europese wetgeving

Een  aanbestedende dienst is al enige jaren verplicht  om bij het opstellen van de technische specificaties privacybescherming mee te nemen in het ontwerp. In de Europese aanbestedingsrichtlijn, die in Nederland is omgezet in de Aanbestedingswet 2012, staat de volgende overweging (nr. 77) opgenomen:

Bij het opstellen van technische specificaties moeten de aanbestedende diensten rekening houden met de uit het Unierecht voortvloeiende eisen op het gebied van gegevensbescherming, met name wat de ontwerpeisen voor de verwerking van persoonsgegevens betreft (privacy by design).’

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) wordt van aanbestedende diensten verwacht dat zij (nog) meer rekening houden met privacyaspecten. De AVG die in Nederland is overgenomen in de Uitvoeringswet AVG  bevat hierover een duidelijke overweging (nr.78), die als volgt luidt: 

 ‘De  beginselen  van  gegevensbescherming door  ontwerp  (design) en door  standaardinstellingen (default) moeten  ook  bij  openbare  aanbestedingen  in aanmerking worden genomen.’

Het uitgangspunt van privacy door ontwerp (design) en door standaardinstellingen (default) is hierdoor in de AVG neergelegd als een concrete plicht voor de verwerkings-verantwoordelijke. Aangenomen mag worden dat binnen de context van inkoop de aanbestedende dienst zo’n verwerkingsverantwoordelijke is en de opdrachtnemer aan wie de opdracht wordt gegund doorgaans een verwerker is. Voor meer informatie over deze lastige kwalificaties, verwijs ik naar de toezichthouder de Autoriteit Persoonsgegevens (‘AP’). Deze startte  onlangs een heuse campagne via de website www.hulpbijprivacy.nl om de begrippen voor zowel burgers als ondernemingen duidelijker te maken.

Startpunt en nog meer begrippen uit de AVG

Er is dus een duidelijk startpunt te vinden voor aanbesteden en privacy. Anders dan dat er letterlijk staat, is privacy binnen een aanbesteding overigens niet beperkt tot alleen maar openbare procedures. Ook bij niet-openbare procedures, meervoudige onderhandse procedures en zelfs bij toepassing van een enkelvoudige (1-op-1) procedure, speelt privacy een rol. Tenminste, als er persoonsgegevens worden verwerkt, die ook wel verwerkingsactiviteiten worden genoemd. Belangrijk is hier te vermelden dat een persoonsgegeven veel meer is dan een naam, (e-mail)adres en/of telefoonnummer. Het gaat om alle informatie die direct over iemand gaat, ofwel naar deze persoon te herleiden is. Een IP-adres of de tijd die je loopt op een hardloop-evenement, kan hier in voorkomend geval ook onder vallen. Verwerken is: alle handelingen die een organisatie kan uitvoeren met persoonsgegevens, van verzamelen tot en met vernietigen. Dat is dus veel vaker dan ook bij aanbestedingen nog wel eens wordt verondersteld. De persoonsgegevens zijn niet van de aanbestedende dienst. Ze zijn van ons; de natuurlijke persoon in de hoedanigheid van  burger, bezoeker, lezer, werknemer, etc. De AVG gebruikt de term ’betrokkene’. Tot zover de basis. 

Privacy by design en default: wat is het?

Het is een heel principieel, abstract  en al wat ouder beginsel. Het is meer dan het voldoen aan een bepaald verbod of gebod. De bedoeling van privacy by design en default is om zorgvuldige omgang met persoonsgegevens voortdurend af te dwingen binnen de organisatie. De  aanbestedende  dienst  moet aantoonbaar  kunnen  maken  dat  hij  bij  de  aanbesteding  van  nieuwe  en  bestaande  verwerkingsactiviteiten zorgt dat de inbreuk op de bescherming van persoonsgegevens voor betrokkene(n) steeds zo klein mogelijk is. 

Er bestaat ontzettend veel informatie over het inzetten van methodieken van privacy by design en default. Omdat de principes qua abstractie erg hoog liggen, is lang niet alle informatie gelijk. Zo maakt de toezichthouder (AP) op haar website bij een vraag over privacy by design en default het volgende onderscheid:

  • Privacy by design: houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. En dat u de gegevens niet langer bewaart dan nodig is voor het doel van de verwerking;
  • Privacy by default: houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard, alléén persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken.

In een goede handleiding van het Ministerie van Justitie en Veiligheid wordt een tweedeling gemaakt in ontwerpstrategieën, die een aanbestedende dienst in de praktijk verder kunnen helpen. Er wordt onderscheid gemaakt tussen strategieën voor data en proces. Het lijkt mij goed om die tweedeling te gebruiken bij het beschrijven van privacy by design en default:

  • Privacy by design: data(minimalisatie) en PET. Er wordt al tijdens de ontwikkeling van nieuwe opdrachten  aandacht  besteed aan privacy verhogende maatregelen. Vaak wordt ook hier de Engels term gebruikt: Privacy Enhancing Technologies (PET). Bovendien wordt al in de voorfase rekening gehouden met het principe van dataminimalisatie: het verwerken van zo min mogelijk persoonsgegevens, dat wil zeggen alleen de gegevens die noodzakelijk zijn voor het doel van de verwerking.
  • Privacy by default: proces/organisatorisch. De verwerkingsverantwoordelijke informeert en geeft controle. Het product of dienst wordt standaard op zodanige wijze wordt aangeboden, dat de inbreuk op de privacy van de burger zoveel mogelijk wordt beperkt.

Een lastige bijkomstigheid bij het toepassen van bovenstaande verplichtingen is dat niet alle aanbestedingen nieuw zijn. Voor het bepalen welke maatregelen je bij een aanbesteding tegen de achtergrond van principes van design en default neemt, zal dus informatie over de stand van (het eigen) gegevensbeschermingsbeleid aanwezig moeten zijn. Je begint namelijk lang niet altijd vanaf nul. Dat geldt ook voor de aanbesteding. Die is wellicht al eerder aanbesteed onder de voorganger van de AVG: de WBP. Zeker in de aanloop naar het van kracht worden van de  AVG eind mei 2018 zijn  flinke  stappen  gezet  om  de  verschillende verwerkingsactiviteiten in beeld te brengen en de organisatie AVG-proof  te  krijgen.  In  veel  gevallen  zal  dus  sprake  zijn  van aanbesteden en  privacy  by (re)design. 

Aanbesteden en privacy  by (re)design en default

In het kernartikel 25 van de AVG zijn de principes van privacy by design en default nogmaals stevig verankerd. Er staat beschreven dat het voor een aanbestedende dienst van belang is dat bij een aanbesteding met verwerkingsactiviteiten wordt nagedacht over alle verplichtingen en passende maatregelen (technisch en organisatorisch), die op de aanbestedende dienst zelf van toepassing zijn, maar eventueel ook bij het uitbesteden van verwerkingsactiviteiten aan een opdrachtnemer moeten worden opgelegd.

Als aanbestedende dienst wordt u dus steeds gedwongen om de effecten van verwerkingsactiviteiten te vertalen naar risico’s voor de betrokkenen (lees: de natuurlijke personen wiens data het betreft). Daarbij is sprake van een continu en cyclisch proces. Dus zowel op het tijdstip vóór de gunning van de aanbesteding, als daarna in de uitvoeringsfase, moet (blijvend) rekening worden gehouden met privacy by design en default.

Vanuit het oogpunt van privacy geldt tenslotte dat binnen de inkoopstrategie het schriftelijk vastleggen van bepaalde keuzes, analyses en/of besluiten kan helpen om te voldoen aan de zogenaamde verantwoordingsplicht binnen de AVG. Zeker als de organisatie geheel nieuwe verwerkingsactiviteiten gaat verrichten met de aanbesteding en/of sprake is van complexe ICT  opdrachten  waarbij grootschalige    verwerking  van  persoonsgegevens  aan de orde is,  doet u er dus als inkoper verstandig aan om de privacy-ontwerpstrategieën deel te laten uitmaken van de inkoopstrategie. Een aanbestedende dienst laat hiermee aantoonbaar zien dat hij heeft nagedacht en vooral ook verstandig is omgegaan met de data van bijvoorbeeld haar eigen medewerkers of burgers. Het wordt dan snel duidelijk welke interne beleidsmaatregelen worden genomen en welke technische maatregelen zijn toegepast. Hoe die maatregelen er overigens concreet uitzien, laat ik weten in mijn volgende blog.

Advies: start vroeg en leg schriftelijk vast

We zijn nu op een punt gekomen dat duidelijk wordt waarom u (zo) vroeg (mogelijk) moet beginnen  met  de  bescherming  van  privacy  bij  aanbestedingen.  Vanuit  het  oogpunt  van aanbesteden is dat vooral om niet in tijdnood te komen met het betrekken van expertise binnen  uw  inkoopteam  en  het  creëren  van  draagvlak.  Het biedt u de mogelijkheid om bij nieuwe en bestaande opdrachten met verwerkingsactiviteiten stil te staan bij de wijze waarop de inbreuk op de privacy van de betrokkenen zoveel mogelijk kan worden beperkt. Om de juiste mensen aan  tafel  te krijgen  en  samen  na  te  denken  wat u kunt realiseren  op  een  privacy-vriendelijke  manier,  is  veel inspanning  van  de  organisatie  nodig.  Vanuit het  oogpunt  van  privacy  geldt  dat  binnen  de  inkoopstrategie  het  schriftelijk vastleggen van bepaalde keuzes, analyses en/of besluiten kan helpen bij uw verantwoordingsplicht. Met de inkoopstrategie heeft u achteraf altijd een bewijsmiddel in handen. Niet onbelangrijk is tenslotte dat ik persoonlijk van mening ben dat privacy-ontwerpstrategieën nog wel eens overeenkomen met bepaalde inhoud van uw inkoopstrategie. Daarover wil ik het graag hebben in mijn volgende blog.  

In deel 2 van deze serie zal ik uitleggen hoe u het principe van privacy by design en default praktisch en concreet  kunt toepassen binnen uw inkoopstrategie.