Een vreemd duo
Steeds vaker kijk ik naar de wereld van wet en recht als een kat in een vreemd pakhuis. Wetten zijn niet zelden lastig te lezen en dus voer voor juridische specialisten. Maar de juridische vervreemding slaat pas echt toe als we de ene wet naast de andere leggen.
Beeld: Pixabay / Joergelman
Door de toenemende verkokering van ons rechtsstelsel sluiten wetten tegenwoordig zelden naadloos op elkaar aan. En daarmee zadelt nieuwe regelgeving de samenleving dikwijls op met nieuwe, lastige onzekerheden. Zo ook de Algemene verordening gegevensbescherming (AVG), de Europese privacyregels waaraan vrijwel alle private en publieke organisaties sinds 25 mei van dit jaar moeten voldoen. Zoals bekend is die met veel bombarie geïntroduceerd en voorlopig zal het de gemoederen nog wel bezighouden. Maar heeft u ook al eens nagedacht over de verhouding van de AVG met het Europese aanbestedingsrecht, de spelregels die de inkoop van producten en diensten door de publieke sector beheersen? Ik presenteer u graag een voorbeeld van het spanningsveld op dit raakvlak van twee rechtsgebieden.
PIA versus PIA-model Rijk
De AVG heeft een nieuw instrument van risicoanalyse geïntroduceerd: de privacy impact assessment (PIA). De voorloper van de AVG kende dat instrument niet. Een organisatie die een PIA uitvoert of laat uitvoeren, richt zich erop het belang en de risico’s rondom de verwerking van de betrokken persoonsgegevens goed in kaart te brengen. Vervolgens kunnen bij geconstateerde risico’s de juiste maatregelen – bijvoorbeeld op het gebied van security – in beeld worden gebracht. Als hoofdregel geldt dat een organisatie verplicht is een PIA uit te voeren als zij gebruik wenst te maken van wat de AVG in artikel 35 noemt: ‘nieuwe technologieën’ die ‘waarschijnlijk een hoog risico’ voor de privacy van de betrokken burger inhouden.
De centrale overheid heeft – mede met het oog op deze verplichting – vorig jaar een model-PIA voor de Rijksdienst gepubliceerd. Met dit model kan de bescherming van persoonsgegevens onderdeel worden gemaakt van het afwegingsproces bij beleidsvorming door overheidsinstanties. In het algemeen: een mooi en goed leesbaar stuk.
Een wezenlijke vraag is: op welk moment moet een PIA worden uitgevoerd? De AVG is duidelijk. Die zegt: ‘vóór de verwerking’. Klinkt ook logisch. Voordat je persoonsgegevens gaat verzamelen en opslaan, moet duidelijk zijn wat de negatieve effecten van die verwerking voor de betrokken burgers kunnen zijn. In de praktijk betekent dit dus dat de PIA moet zijn uitgevoerd voordat een nieuwe technologie – bijvoorbeeld een nieuwe IT-applicatie – wordt ingezet. Doe je dat niet, dan komt een PIA als mosterd na de maaltijd.
In aansluiting op deze AVG-regel zegt de model-PIA voor de Rijksdienst: ‘Een PIA moet in een vroegtijdig stadium van de beleidsontwikkeling worden uitgevoerd. Op dat moment is het mogelijk om met open vizier na te denken over de effecten en bestaat er nog voldoende gelegenheid om de uitgangspunten van het voorstel zonder grote nadelige consequenties te herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project.’
Er staat op zich geen onvertogen woord in deze passage uit de model-PIA van het Rijk, maar aan één aspect gaan de schrijvers volledig voorbij: de inbedding van de PIA in de praktijk van de overheidsaanbestedingen. Sterker nog, doorzoek de model-PIA van het Rijk op het trefwoord ‘aanbesteding’ en die term komt niet één keer in het document voor. Het is dan ook niet vreemd dat de vraag zich aandient of een PIA reeds in de aanbestedingsfase – dus nog vóór de definitieve aanschaf van een nieuwe technologie – moet worden gedaan. Beantwoord je die vraag met ja, dan kan de PIA slechts in algemene termen zijn vervat. Immers, in die fase zijn er gewoonlijk meerdere aanbieders van concurrerende producten of diensten in de race en dus kan een PIA in die fase nimmer product- of dienstspecifiek zijn. Zo’n PIA kan daarom nooit de specifieke privacyrisico’s volledig en gedetailleerd boven tafel krijgen. Dat wordt al snel een waardeloze PIA.
Zou de betrokken overheidsinstantie ervoor kiezen in de aanbestedingsfase wel alle aangeboden producten of diensten aan een individuele, specifieke PIA te onderwerpen, dan loopt zij het forse risico het gelijkheidsbeginsel, een pijler van het aanbestedingsrecht, geweld aan te doen. In dat geval liggen onverkwikkelijke aanbestedingsgeschillen op de loer. Met aanbestedingsrechtelijke geschillen over vermeende schending van het gelijkheidsbeginsel kunnen we, zoals bekend, inmiddels de grachten van Amsterdam wel dempen… Kortom, de AVG-regeling over PIA’s en de spelregels over aanbestedingen zijn niet bepaald vriendjes van elkaar.
Wat is dan wel de oplossing? Eerst keurig netjes een nieuw product of een nieuwe dienst aanschaffen met inachtneming van alle aanbestedingsregels, en pas na de koop een PIA, toegespitst op de specifieke zwakheden en privacyrisico’s van die nieuwe technologie, uitvoeren? Ook dat lijkt een vreemde aanpak. Het risico van kapitaalvernietiging doet zich dan voor. Die aanpak komt erop neer dat een eenmaal aangeschafte technologie ongebruikt moet blijven of stevig zou moeten worden aangepast als de resultaten van de PIA over die technologie zou aangeven dat de privacyrisico’s buitenproportioneel zijn.
Een surrogaatoplossing is wellicht de gedachte dat de inschrijvers op een aanbesteding zelf een goede PIA of iets wat daarop lijkt bij hun inschrijving voegen of in een ‘best value procurement’ de privacyrisico’s zelf toelichten. Dat noopt overheidsinstanties ertoe in het bestek dat zij ‘in de markt zetten’ op voorhand passende en duidelijke eisen en wensen betreffende de bescherming van persoonsgegevens op te nemen. Bijvoorbeeld specificaties omtrent privacy by design. Mijn indruk is dat dat voor veel overheidsinstanties en hun aanbestedingsadviseurs nog een brug te ver is. Voor de vraag hoe je dat als aanbestedende dienst doet, laat zowel de AVG als de aanbestedingswetgeving je aan het lot over. Bovendien: een eigen risicoanalyse van een leverancier ontslaat een overheidsinstantie onder de AVG niet van haar eigen PIA-verplichtingen.
Puberaal rechtsgebied
Privacyjuristen praten weinig met aanbestedingsjuristen, dus die werelden zullen voorlopig wel gescheiden blijven. Blijvende verkokering? Privacyrecht is in mijn ogen nog een tamelijk puberaal rechtsgebied. Als puber was ik een lastig kind, soms dwars, onvoorspelbaar en volop in ontwikkeling. Er moet soms veel gebeuren voordat pubers volwassen worden. Dat geldt ook voor het privacyrecht. De dialoog met de aanbestedingspraktijk is een van de noodzakelijke stapjes. Dus: werk aan de winkel!
JurisPrudent
Door de toenemende verkokering van ons rechtsstelsel sluiten wetten tegenwoordig zelden naadloos op elkaar aan. En daarmee zadelt nieuwe regelgeving de samenleving op met nieuwe, lastige onzekerheden.
Peter van Schelven neemt in iBestuur magazine juridische dilemma’s onder de loep. Deze keer: de privacy impact assessment.
Deze bijdrage is te vinden in iBestuur magazine 27. Download hier