De AVG in de aanbestedingspraktijk: wees duidelijk, maar niet té

Blog Stefanie Kelterman, projectleider en adviseur op het gebied van de AVG bij o.a. de gemeenten Utrecht en Midden-Delfland en een pensioenfonds.

Je kunt er bijna niet meer omheen: de Algemene Verordening Gegevensbescherming (AVG) komt eraan. Werd je een jaar geleden nog uitgelachen als je de vraag stelde of een organisatie al maatregelen aan het treffen was voor de AVG – dat zal zo’n vaart toch echt niet lopen! – inmiddels worden onder stoom en kokend water projectgroepjes uit de grond gestampt om toch nog in ieder geval iets gedaan te hebben voor die gevreesde datum: 25 mei 2018.

Een roep om uitstel van de AVG – onmogelijk, want voor heel Europa gelijk – of in ieder geval om uitstel van het toezicht en de handhaving kan op weinig succes rekenen. De tekst van de AVG en de datum waarop hij van toepassing wordt zijn al bekend sinds 25 mei 2016. Organisaties hadden dus gewoon eerder moeten beginnen, aldus de toezichthouder.

Maar wat zijn nu de grote wijzigingen van die AVG?  Inhoudelijk zijn er niet veel grote wijzigingen. Verwerkingen mogen nog steeds alleen plaatsvinden op basis van de bekende grondslagen (toestemming, publieke taak, uitvoeren overeenkomst etc.) en verder moet je – kort gezegd – letten op dataminimalisatie, bewaartermijnen en goede technische beveiliging. Het grote verschil is echter dat je onder de AVG aantoonbaar moet voldoen aan deze verplichtingen en daarbij van ieder proces relevante privacy-informatie moet vastleggen in een register van verwerkingen. En dan worden processen die al jarenlang lopen ineens punt van discussie. Want wat is eigenlijk de grondslag voor de uitwisseling van gegevens met dat samenwerkingsverband en waarom vragen we eigenlijk het BSN als de burger een losse stoeptegel wil melden? En dan wordt zo’n AVG-project een stuk arbeidsintensiever dan aanvankelijk gedacht.

De verscherpte aandacht voor privacy is ook al goed te zien in aanbestedingsprocedures. Wat daar de grootste uitdaging is, is dat de aanbestedingswetgeving aan de ene kant voorschrijft om zo veel mogelijk informatie te geven in een zo vroeg mogelijk stadium, terwijl de privacywetgeving juist voorschrijft dat er zo min mogelijk persoonsgegevens worden gedeeld. Dat dat goed mis kan gaan was al te zien in de recente datalekken met leerlingenvervoer. Om voor de aanbieders duidelijk te maken om welk soort leerlingenvervoer het ging werd bij de aanbesteding een lijst geplaatst met de fysieke beperkingen van de kinderen die vervoerd moesten worden, inclusief hun naam, adresgegevens, geboortedatum en overige (irrelevante) informatie.

Maakt de AVG het inderdaad onmogelijk om voldoende informatie te geven bij een aanbesteding? Voor zover ik kan zien zeker niet. Dataminimalisatie betekent niet een verbod op het verwerken van gegevens. Maar het betekent wel dat je zorgvuldig moet kijken naar welke gegevens je nodig hebt om de uitbestede taak uit te kunnen voeren. En dat kan betekenen dat je een nieuwe lijst moet maken met bijvoorbeeld de relevante gegevens van de leerlingen, zonder dat deze gecombineerd worden met een naam of andere herleidbare gegevens van de leerling. Wat ook belangrijk is, is om je in te leven in het doel van de informatie. Wat moet de andere partij weten? Om maar even bij het voorbeeld van het leerlingenvervoer te blijven, voor een vervoerder is het belangrijk om te weten dat een leerling in een rolstoel zit, maar niet waarom hij in die rolstoel zit. Dat heeft immers geen gevolg voor het vervoer. Hetzelfde geldt voor de begeleiding van een werkloze jongere. Een potentiële werkgever mag best weten dat een jongere gedijt in een prikkelarme omgeving, maar het heeft geen meerwaarde om ook nog mede te delen dat de jongere autisme heeft, welke vorm en welke medicijnen hij daarvoor slikt.

De inzet van een zorgboerderij voor kinderen met een complexe handicap vraagt een behoorlijke hoeveelheid aan medische informatie. De boerderij moet er immers wel op ingesteld zijn om deze kinderen adequaat op te vangen. Maar het is voor de boerderij niet relevant of de opvang bedoeld is voor Jantje de Boer of Jantje Klaasen. Zorg er dan dus ook voor dat deze gegevens niet herleidbaar zijn tot die specifieke kinderen.

Welke taak je dan ook uitzet voor een aanbesteding, bepaal altijd welke gegevens noodzakelijk zijn – niet handig, handig is een verboden woord binnen de privacy – voor de aanbieder. Bepaal daarna of deze gegevens herleidbaar zijn tot personen en hoe dit voorkomen kan worden. Dit lijkt op extra werk, maar dit weegt altijd op tegen het extra werk dat het melden van een datalek én het afwenden van negatieve media-aandacht meebrengen.

Oproep

Heb je vragen over de gevolgen van de AVG voor jouw werkzaamheden? Of zijn er specifieke knelpunten in de toepassing van de privacywet in  aanbestedingen die je graag besproken ziet worden? Stuur dan een mail naar de redactie. Ik neem de onderwerpen dan mee in mijn volgende blogs.

Geen reactie's

Sorry, het is niet mogelijk om te reageren.