Gegevensbescherming bij overheidsopdrachten (deel 1) 

Voor overheidsopdrachten geldt dat er soms gebruik wordt gemaakt van persoonsgegevens, door zowel de aanbesteder als de ondernemer. Deze gegevens dienen te worden verwerkt en beschermt volgens de richtlijnen van de Algemene Verordening Gegevensbescherming (AVG). In deze blog leert u wat de AVG inhoudt en in welke relatie deze regelgeving staat tot overheidsopdrachten. Lees hier ook deel 2 van deze blog, over de best practices voor het naleven van de AVG bij overheidsopdrachten. 

Wat is de AVG precies?

De AVG (in het Engels: General Data Protection Regulation – afgekort GDPR) omvat de regelgeving voor de verwerking en bescherming van persoonsgegevens door particuliere bedrijven en de publieke sector in de Europese Unie. De verordening verving de databeschermingsrichtlijn van 1995 vervangen, aangezien deze niet meer up-to-date was voor de huidige digitale samenleving. 

De AVG is in mei 2016 in werking getreden, waarna organisaties tot mei 2018 de tijd kregen om zich daarop aan te passen. Voor organisaties die zich niet aan deze regelgeving houden, geldt dat zij het risico lopen op hoge geldboetes.  

De AVG en overheidsopdrachten

Naast de verplichting om de Wetgeving Overheidsopdrachten na te leven, moeten aanbestedende diensten ook voldoen aan de AVG. Voor overheidsopdrachten geldt dat een plaatsingsprocedure is opgebouwd in verschillende fases, waaronder de prospectie, plaatsing en uitvoering van het contract. Tijdens elk van deze fasen kan er sprake zijn van de verwerking van persoonsgegevens, en krijgt u dus te maken met de AVG-richtlijnen.  

Een belangrijke eerste stap is het definiëren van de opdracht: wie gaat de persoonsgegevens verwerken? Hierbij wordt onderscheid gemaakt tussen de volgende mogelijke rollen: verwerkers, verwerkingsverantwoordelijken en gezamenlijke verwerkingsverantwoordelijken. Een verwerker is een (rechts)persoon, overheidsinstantie, dienst of ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt.  

Het verschil tussen een verwerker en een verwerkingsverantwoordelijke is dat deze laatste (alleen of samen met andere partijen) het doel van en de middelen voor de verwerking van de persoonsgegevens vaststelt. De verwerker zal dus enkel de uitvoer verzorgen, waarnaast de verantwoordelijke partijen zullen bepalen waarom en hoe deze verwerking zal plaatsvinden.   

De aanbesteder is vaak de (gezamenlijke) verwerkingsverantwoordelijke. Opdrachtnemers kunnen zowel een verwerker als een verwerkingsverantwoordelijke zijn, of beiden. Zo kunnen zij binnen een overheidsopdracht gegevens verwerken voor de aanbesteder, maar in het kader van de opdracht ook zelf gegevens verwerken om de uitvoering te optimaliseren. Ook is het mogelijk dat er sprake is van een derde partij, zoals een onderaannemer, die de rol van verwerker op zich neemt. Dit hoeft niet altijd het geval te zijn.  

Verwerkingsovereenkomst

Verwerkers dienen voldoende garanties voor te leggen voor een veilige en adequate verwerking van de persoonsgegevens. Hierbij dient de aanbesteder een evaluatie te doen van de (potentiële) opdrachtnemers. Zo kunnen ze erop toezien dat de opdrachtnemer niet alleen bereid is om de regels na te leven, maar hier ook daadwerkelijk toe in staat is.  

Zodra het doel en de middelen voor de verwerking worden vastgelegd, kan worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen. Er dient een overeenkomst tussen de aanbesteder en de opdrachtnemer te worden opgesteld waarin de punten uit de AVG zijn opgelijst. Deze punten moeten voorzien zijn in het bestek en er zijn ook verschillende clausules mogelijk in het kader van de AVG om hierin op te nemen. Ook voor eventuele derde partijen, zoals onderaannemers, die persoonsgegevens zullen verwerken in het kader van de overheidsopdracht moet een verwerkingsovereenkomst worden gesloten. 

Wil je meer weten over de impact van de GDPR op overheidsopdrachten? Ontdek hier onze opleiding over dit onderwerp! 

Newsletter


  • Lees hier de algemene voorwaarden. De verzamelde persoonlijke informatie wordt verwerkt door EBP bv, btw-nummer: BE 0451.979.022. Ze zijn onder meer nodig om uw aanvraag te verwerken en worden vastgelegd in onze databank. EBP of een bedrijf van de Infopro Digital-groep kan deze bestanden gebruiken om u of hun klanten producten en / of diensten aan te bieden die nuttig zijn voor uw professionele activiteiten of om u te integreren in professionele archieven. Om uw rechten uit te oefenen, er bezwaar tegen te maken of om meer te weten te komen: Handvest Betreffende Persoonsgegevens.

mockup-plateforme-EBP-gratis-proef

ONTVANG EEN GRATIS PROEF MET RELEVANTE OPDRACHTEN

Gratis en vrijblijvend

Bekijk welke opdrachten er in jouw sector zijn

Zo zie je direct jouw kansen en hoe je een commerciële voorsprong opbouwt.

Share This
Scroll to Top