Voor overheidsopdrachten geldt dat er soms gebruik wordt gemaakt van persoonsgegevens, door zowel de aanbesteder als de ondernemer. Deze gegevens dienen te worden verwerkt en beschermt volgens de richtlijnen van de Algemene Verordening Gegevensbescherming (AVG). Maar wat zijn de best practices voor een goede naleving van deze regelgeving bij overheidsopdrachten? Lees hier ook deel 1 van deze blog, over de AVG en de relatie met overheidsopdrachten.
Verwerking persoonsgegevens
Voor het verwerken van persoonsgegevens bij overheidsopdrachten geldt over het algemeen dat de grote lijnen van de AVG moeten worden voorzien in het bestek en eventuele clausules. Daarbij is het belangrijk vast te leggen dat er garanties gegeven moeten worden dat de AVG zal worden nageleefd door de opdrachtnemer. Deze moet zich over het algemeen conformeren met de AVG bijlage in het bestek. Afhankelijk van de plaatsingsprocedure, kan de opdrachtnemer hier ook nog over onderhandelen.
Over het algemeen is de meest praktische oplossing het gebruik van een model van annex in het geval van de verwerking van persoonsgegevens bij overheidsopdrachten. Deze annex bestaat uit twee delen: een deel die de punten opsomt uit de AVG en een deel die de concrete omstandigheden van de verwerking omvat evenals de concrete instructies van de aanbesteder omtrent de verwerking van de persoonsgegevens.
Dit model bestaat onder andere uit het onderwerp en het doel van het verwerkingscontract, de beschrijving van de verwerking en de duur van het contract. Verder is het uiteraard van belang dat er duidelijk wordt opgelijst wat de verplichtingen van de verwerker zijn ten opzichte van de verwerkingsverantwoordelijke. Bijvoorbeeld dat de verwerker de gegevens nooit voor eigen doeleinden mag verwerken, maar enkel voor het doel van de opdracht. Dit om de vertrouwelijkheid van de in het kader van dit contract verwerkte persoonsgegevens te waarborgen.
Een ander zeer belangrijk onderdeel van dit model zijn de veiligheidsmaatregelen. Hieronder wordt verstaan dat er goed moet worden onderzocht of de verwerker wel de passende garanties kan geven voor een juiste verwerking van de persoonsgegevens. Aan deze garanties dient de verwerker zich dan te houden. Zo is het ook duidelijker voor de opdrachtnemer zelf aan welke verplichtingen zij moeten voldoen in het kader van de beveiliging van de persoonsgegevens.
Een valkuil bij het gebruik van een dergelijk model is dat deze vaak gekopieerd en geplakt wordt, zonder goed te kijken naar de concrete situatie. Het is uiteraard van groot belang dat dit per overheidsopdracht wordt bekeken, en niet telkens klakkeloos wordt overgenomen.
EBP organiseert regelmatig een opleiding over de impact van de GDPR op overheidsopdrachten. Ga voor meer informatie naar onze opleidingspagina!
