Inkoper aan het woord over aanbesteden en privacy
‘Privacy begint bij het ontwerp’, zo stelt Binnenlands Bestuur bij de lancering van de handleiding over privacy by design begin vorig jaar. Dit geldt zeker bij het ontwerp van een aanbesteding. In blog 1 gaf ik het advies om je als aanbestedende dienst te verantwoorden en zaken schriftelijk (vooraf) vast te leggen. In blog 2 stonden privacy-strategieën centraal. Het gaat dan kort gezegd om het op strategisch niveau aantoonbaar maken dat je verstandig en voorzichtig omgaat met persoonsgegevens. In dit laatste deel van mijn drieluik staat de aanbesteding zelf centraal. Want privacy eindigt niet bij de ontwerpfase. Een goed begin is wel het halve werk!
Aanbesteden en privacy
Eerst nog even een herhaling van de theorie. We hebben gezien dat aanbesteden dwingt tot het bescherming van privacy en vice versa.[1] Privacy wordt gebruikt als overkoepelende term voor activiteiten, die op enige manier raken aan de persoonlijke levenssfeer van individuen. Deze blogserie gaat in op een specifiek onderdeel van privacy: de regels inzake gegevensbescherming.
Voor de overheidsinkopers in de publieke ruimte geldt, dat de verwerking van persoonsgegevens bij opdrachten voor ‘werken’ niet heel vaak aan de orde zal zijn. Toch kan het voorkomen. Te denken valt aan een initiatief waarbij bewoners op naam worden aangeschreven over graafwerkzaamheden in de buurt. Een systeem waarbij inwoners met een pasje door de slagboom van de milieustraat mogen, dwingt ook tot nadenken. Waarschijnlijk wordt dan een aantal persoonsgegevens verwerkt.
En zodra er persoonsgegevens worden verwerkt bij een overheidsopdracht, is de privacywetgeving van toepassing en moet worden voldaan aan de regels van de Europese Algemene Verordening Gegevensbescherming (AVG).
Een aanvliegroute
De tips en trucs om privacy binnen een aanbesteding mee te nemen zijn helemaal niet zo complex. Het zijn eigenlijk een paar simpele uitgangspunten. Op de website van Bizob staan alle stappen van het inkoopproces in de kennisbank opgenomen. De belangrijkste privacyverplichtingen heb ik hieronder afgezet tegen de eerste fasen van het inkoopproces. Voor inkopen en privacy zijn met name de tactische inkoopfasen belangrijk (specificeren, selecteren, contracteren). Daaraan vooraf is er nog de 0-stap in de vorm van de inkoopvoorbereiding.
Schakel deskundigheid in
Overheidsdiensten zijn wettelijk verplicht om te beschikken over een Functionaris Gegevensbescherming (FG) en vaak is ook een informatiebeveiliger aangesteld. Het is zeer verstandig bovenstaande deskundigen tijdens een aanbestedingsproces van begin tot eind te betrekken. Het kan daarnaast verstandig zijn om privacyjuristen en andere privacy-experts te betrekken.
Het inkoopproces stap voor stap…met privacy
Voorfase
Als eerste wordt de inkoopstrategie bepaald. In deze fase bepaal je inkooptechnisch het voorwerp van de opdracht en maak je keuzes. Zoals beschreven in mijn vorige artikels is gegevensbescherming door ontwerp en door standaardinstellingen (‘privacy by design/default) de basis.
Ten aanzien van de data, dus de persoonsgegevens geldt: minimaliseer, verberg, splits en maak abstract. De privacyregels dwingen je hier om cruciale keuzes te maken bij je aanbesteding. Is het noodzakelijk om burgers op naam aan te schrijven? Is digitalisering van het parkeerbeleid wel verstandig? Waarom bewaren we documenten met persoonsgegevens?
Ten aanzien van de processen in de inkoopstrategie van een aanbesteding geldt: informeer, geef rechten, dwing af en toon aan. Hier staat de toegankelijkheid van informatie over de verwerking van persoonsgegevens centraal. Hoe informeer je de betrokkenen over hun privacyrechten? Is de nieuwe of bestaande opdracht met verwerkingsactiviteiten wel passend binnen het privacybeleid? Bij afdwingen en aantonen ligt de nadruk op de verantwoordingsplicht (‘accountability’). Dit houdt in dat de partij, die de persoonsgegevens verwerkt aantoont dit in overeenstemming met de privacyregels te doen. Hier ligt een mooie relatie met het aanbestedingsproces.
Hoe ziet die eruit?
Specificeren
Voor inkopers is dit de belangrijkste stap in het proces. Het beschrijft de onderdelen die je in het programma van eisen (‘bestek’) zet. Minimumeisen op het gebied van de bescherming van privacy of maatregelen ten aanzien van de informatiebeveiliging, lenen zich prima om opgenomen te worden in het bestek. *Tip*: houd het niet te abstract. Dat inschrijvers zich dienen te houden aan de wet, privacyregels en de AVG in het bijzonder is te algemeen. Een minimumeis waarbij de inschrijver bewijst de principes van privacy by design en default te volgen, kan in voorkomend geval verstandig zijn. Zorg daarbij dat je duidelijk maakt, welke schriftelijke bewijsmiddelen je van de inschrijver wil ontvangen of wil (kunnen) inzien. Let daarbij altijd op het beginsel van proportionaliteit.
Naast de technische of functionele (minimum)eisen waaraan de opdracht moet voldoen kan er in een specificatie ook een invulling worden gegeven aan beleidsdoelen van de organisatie, zoals de wens om duurzaam in te kopen of het betrekken van het lokale MKB. Ook uitvoeringsvoorwaarden kunnen worden opgenomen. Bijvoorbeeld de uitvoering van de opdracht met een percentage werknemers met een afstand tot de arbeidsmarkt (social return). *Tip*: Let hier wel op. Privacy wordt vaak in één adem genoemd met sociale -en duurzaamheidsaspecten. In bepaalde gevallen waarbij op grote schaal (bijzondere) persoonsgegevens worden verwerkt, is bescherming van privacy echter méér dan een maatschappelijke doelstelling. Het is dan een keiharde wettelijke verplichting, met hoge boetes en bestuurlijke dwangsommen, die de toezichthouder kan opleggen.
Selecteren/aanbesteden
Als de opdracht wordt uitbesteed en er is sprake van een (openbare) aanbestedingsplicht wordt de opdracht aangekondigd of worden partijen uitgenodigd om in te schijven. Binnen deze fase is een onderscheid te maken tussen de selectie -en gunningsfase. In de selectiefase toetst de aanbestedende dienst op uitsluitingsgronden, de geschiktheidseisen en past eventueel selectiecriteria toe. In de gunningsfase worden beoordelingscriteria (vooraf) bedacht en wordt de inschrijving beoordeeld. De opdracht wordt dan gegund aan de publieke -of private onderneming met de best scorende inschrijving.
In deze fase heeft de aanbestedende dienst veel instrumenten tot zijn beschikking om de privacy van individuen te beschermen. Zeker bij de selectie; de keuze van een onderneming om voor gunning in aanmerking te komen, mag de drempel voor de bescherming van privacy hoog zijn. Stel bijvoorbeeld ervaringseisen in relatie tot de bescherming van privacy en vraag naar opleidingsprogramma’s op het gebied van privacy bewustzijn (‘awereness’). Mogelijk heeft de organisatie al initiatieven genomen met het aansluiten bij gedragscodes. Stem hier ook het voldoen aan een specifiek normenkader ten aanzien van informatiebeveiliging af met de security-officer. De AVG verbiedt (artikel 28 lid 1 AVG) een aanbestedende dienst om zaken te doen met een verwerker die geen passende garanties kan afgeven t.a.v. informatiebeveiliging (‘security’).
Ook bij de gunning ligt het voor de hand om de bescherming van privacy terug te laten komen bij de toetsing op kwaliteit. *Tip* voor een gunningscriterium: Laat de inschrijvende partij zijn oplossing eens toetsen tegen het 10 stappenplan dat de Autoriteit Persoonsgegevens (AP) publiceerde ter voorbereiding op de nieuwe privacywet. Dit stappenplan, inmiddels vervangen door de checklist ‘houd grip op persoonsgegevens’ bevat enkele concrete punten om aandacht aan te schenken bij het uitvoeren van een overheidsopdracht. Het oorspronkelijke 10 stappenplan komt terug in de regelhulp-AVG op de website van de Rijksdienst voor Ondernemend Nederland (RVO).
Als inkoper heb je hiermee een zeer objectief gunningcriterium te pakken, dat je zelfstandig, maar ook indirect -bijvoorbeeld- als onderdeel van een in te dienen implementatieplan kan vragen aan de inschrijvers.
Contracteren
Na het doorlopen van de aanbesteding, volgt het sluiten van de overeenkomst met de winnende partij en de uitvoeringsfase van de opdracht. De gestelde specificaties en uitvoeringsvoorwaarden vormen nu een integraal onderdeel van de contractuele afspraken. Meestal is een concept van de (verwerkers)overeenkomst al toegevoegd aan de aanbestedingsdocumenten. Als het goed is, bevat het contract geen bepalingen of bijlagen meer, die nog ingevuld of onderhandeld moeten worden met de winnende inschrijver. De praktijk is helaas weerbarstig. Het kan voorkomen dat partijen pas in deze fase kijken of persoonsgegevens worden verwerkt in een opdracht. *Tip*: voor de inkopers, die dit overkomt, raad ik van harte aan mijn drieluik over inkoop en aanbesteding nog eens grondig door te lezen!
[1] Zie de overwegingen 77 en 78 in respectievelijk de Europese aanbestedingsrichtlijn Richtlijn 2014/24/EU en de Uitvoeringswet AVG (UAVG).