Privacy versus aanbestedingen
Veel overheden nemen het niet zo nauw met de bescherming van uw en mijn persoonsgegevens. Zo rommelen talloze gemeenten maar wat aan met gegevens die zij van hun burgers vragen, bijvoorbeeld met het oog op maatschappelijke ondersteuning. Ook de technische beveiliging van IT-systemen blijkt niet zelden ver benedenmaats.
In een publieke cultuur waarin kostenbeheersing het veelal wint van andere waarden, sneuvelen belangen rondom een zorgvuldige omgang met gegevens al snel. Anderzijds: het oerwoud van privacywetgeving is inmiddels verworden tot voer voor superspecialisten.
Een bron van problemen is dat medewerkers van de afdeling inkoop en aanbestedingen nauwelijks overleg hebben met hun collega’s die verantwoordelijk zijn voor privacy. Gevolg: een rommeltje bij de inkoop van bijvoorbeeld cloud- of hostingdiensten. We zien dat onder meer bij uitbesteding in de sfeer van het zaakgericht werken, een ontwikkeling die al enige tijd speelt bij lagere overheden.
Wat is het probleem? De privacywet in ons land verlangt bikkelhard dat de opdrachtgever een zogeheten ‘bewerkerscontract’ met de cloud- of hostingprovider sluit. Zo’n contract moet de nodige waarborgen bevatten voor de bescherming van de persoonsgegevens, zoals toereikende afspraken over beveiligingsmaatregelen, vertrouwelijkheid en auditing. Zonder een bewerkerscontract schend je als overheid elementaire spelregels op het gebied van privacy. Deze wettelijke verplichting bestaat weliswaar sinds 2001, maar veel opdrachtgevers lapten die tot voor kort steevast aan hun laars. Door de komst – per begin 2016 – van nieuwe wetgeving over datalekken is de belangstelling voor bewerkerscontracten echter plotsklap enorm toegenomen. Wil je als overheidsinstantie netjes jouw datalekken aan de Autoriteit Persoonsgegevens en de gedupeerde burgers kunnen melden, dan moet je daarover goede afspraken hebben met de cloud- of hostingprovider die je hebt ingeschakeld. De kans bestaat immers dat het datalek zich voordoet in het datacenter van de provider. Het is daarom niet vreemd dat overheden de laatste maanden op grote schaal bewerkerscontracten aan hun zittende IT-providers ter ondertekening hebben voorgelegd.
Dat wringt met het aanbestedingsrecht. Het is in de regel een aanbestedingsrechtelijke doodzonde als een reeds lopende contractuele verhouding wordt opengebroken met nieuwe afspraken. Het aanbestedingsrecht gaat er immers vanuit dat tevoren – dat wil zeggen in de gepubliceerde aanbestedingsstukken – alle voorwaarden en condities waaronder een overheidsopdracht wordt vergeven, duidelijk en precies zijn opgenomen. Daar past dus niet bij dat achteraf nog eens nieuwe afspraken bij de IT-provider naar binnen worden geschoven. Ook geen bewerkerscontracten.
En dat plaatst overheden in een onoplosbare klem: kies je ervoor het privacy-recht langer te schenden door geen bewerkerscontract met de provider te sluiten? Of schend je de beginselen van het aanbestedingsrecht door juist wel een bewerkerscontract voor te leggen? Aan u als overheidsinstantie de keuze.…
