Column


IT-jurist Peter van Schelven over...

Aanbestedingen, privacy en security

Het is een bekend verschijnsel binnen veel overheidsinstanties: medewerkers van de afdeling inkoop en aanbestedingen praten niet of nauwelijks met hun collega’s die verantwoordelijk zijn voor privacy en security. Binnen grote organisaties kijken medewerkers niet zelden weinig verder dan het veilige eilandje van hun eigen afdeling. Voor de organisatie zelf is zoiets risicovol gedrag.

Als een overheidsinstantie het drieluik van privacy, security en aanbestedingen niet of niet tijdig coördineert, dan zet zij de deur open voor juridisch gedonder. Benedenmaatse praktijken rondom het gebruik van bewerkerscontracten in de publieke sector in ons land maken dat duidelijk. Wat is er aan de hand?

Transparantie bij uitvraag
Overheidsinstanties en veel andere (semi-) publieke instellingen die een product of dienst willen aanschaffen, zijn gebonden aan elementaire spelregels uit het aanbestedingsrecht. Die regels beogen fair play op de overheidsmarkt te bevorderen. Zo geldt onder meer dat instanties die iets willen inkopen, bij hun uitvraag voldoende transparant naar geïnteresseerde marktpartijen dienen te zijn. De achterliggende gedachte is een heel eenvoudige: alle bedrijven die met een offerte willen inschrijven op een te vergeven overheidsopdracht moeten eenvoudigweg dezelfde kansen hebben. Daarom moet voor iedereen in de markt op voorhand in gelijke mate duidelijk zijn wat de condities van de opdracht zullen zijn. Voor alle partijen die een opdracht in de wacht willen slepen, moeten om diezelfde reden de voorwaarden gelijk zijn.

Dit uitgangspunt komt onder druk te staan als achteraf – nadat de opdracht aan de winnaar van de tender is gegund – het contract dat tussen de opdrachtgever en die winnaar is gesloten, in onderling overleg zou worden aangepast of uitgebreid. Dit soort ‘achteraf-gedrag’ is in de regel een aanbestedingsrechtelijke doodzonde. Het leidt tot verboden willekeur en achterkamertjesgedrag, zo moet worden gevreesd.

Van belang is ook dat in de gepubliceerde aanbestedingsstukken alle voorwaarden en condities waaronder een overheidsopdracht wordt vergeven, duidelijk en precies zijn opgenomen. Marktpartijen met interesse in de opdracht moeten op voorhand exact weten waar zij aan toe zijn als zij – ieder voor zich – de afweging maken om wel of niet en zo ja met welke prijsaanbieding in te schrijven. Daar past dus niet bij dat er halfgare contractsvoorwaarden bij de aanbestedingsstukken zitten.

Bewerkersafspraken
Sommige publieke instanties gaan op dit vlak meer dan eens de aanbestedingsrechtelijke fout in, daar waar zij verzuimen de door de privacywetgeving voorgeschreven bewerkersafspraken bij de aanbestedingsstukken te voegen. Ik tref dat bijvoorbeeld wel aan bij de inkoop van hosting- of clouddiensten. Een overheidsinstantie die persoonsgegevens in een extern datacenter wenst op te slaan of anderszins door een externe provider wil laten verwerken, moet daarover schriftelijke bewerkersafspraken met de betrokken provider maken. De Wet bescherming persoonsgegevens verlangt dat. In de praktijk kunnen die afspraken worden opnemen in het hosting- of cloudcontract dat wordt gesloten, maar vastlegging in een separaat bewerkerscontract (‘data processing agreement’) is ook mogelijk.

Dergelijke afspraken worden belangrijk geacht omdat zij concreet moeten beschrijven welke securityvoorzieningen de provider in huis moet hebben. Ook kunnen de afspraken iets zeggen over de mate van aansprakelijkheid van de provider bij falende security. Wezenlijke zaken dus.

Wapengekletter
Wat doe je als overheidsinstantie wanneer je hebt nagelaten goede bewerkersafspraken in de aanbestedingsdocumenten op te nemen? Laat je vervolgens na die afspraken alsnog te maken, dan schend je de privacywetgeving met voeten en stel je je bloot aan het risico van kritiek van de toezichthouder, de Autoriteit Persoonsgegevens. Probeer je na de definitieve gunning van de opdracht echter alsnog tot een bewerkerscontract met die provider te komen, dan overtreed je elementaire spelregels van het aanbestedingsrecht en ook dat kan makkelijk tot juridisch wapengekletter leiden. Als overheid zit je in zo’n geval dus knel.

Bovendien: als een cloud- of hostingopdracht eenmaal aan een provider is verstrekt, dan is het nog maar zeer de vraag of je als opdrachtgever met het oog op het beoogde bewerkerscontract een goede onderhandelingspositie tegenover de provider hebt. Je staat op voorhand met 1-0 achter. Een zwak uitgangspunt komt de verlangde security ongetwijfeld niet ten goede.

Kortom, een overheid die wil voorkomen bekneld te raken tussen privacy, security en aanbestedingen moet primair haar interne zaakjes organisatorisch goed voor elkaar hebben. Primair vereist dat leiderschap en professionaliteit.


Lees meer over