Bent u leverancier aan de overheid en maakt u bij de uitvoering van overheidsopdrachten gebruik van onderaannemers? Bijvoorbeeld voor de hosting van een door u aan een aanbestedende dienst aangeboden applicatie waarin persoonsgegevens worden verwerkt? Dan bent u volgens de wet een verwerker van persoonsgegevens, en is de door u ingeschakelde onderaannemer een zogeheten sub-verwerker. U verwerkt dan de persoonsgegevens onder verantwoordelijkheid van de aanbestedende dienst.
Vanaf 25 mei 2018 zal de Algemene verordening gegevensbescherming (AVG) in werking gaan treden. Vanaf dat moment is het voor verwerkers van persoonsgegevens verplicht om voorafgaande schriftelijke toestemming te vragen aan de verantwoordelijke, alvorens een sub-verwerker kan worden ingezet. Die toestemming kan heel specifiek worden gevraagd waarbij er zal worden aangeven welke taak er aan een met naam en toenaam genoemde sub-verwerker zal worden uitbesteed.
Indien het echter nog onzeker is welke sub-verwerkers gebruikt, toegevoegd of vervangen gaan worden, kan de toestemming kan ook algemeen zijn en zich beperken tot een functionele beschrijving van hetgeen aan een voldoende gekwalificeerde sub-verwerker uitbesteed mag gaan worden. In dat laatste geval dient de verwerker echter wel steeds de verantwoordelijke te informeren over de ingezette sub-verwerker, en heeft deze bovendien het recht om bezwaar te maken tegen de verandering.
Hoe moet je hier nu mee om gaan in het kader van aanbestedingen?
Allereerst merk ik op dat de praktijk waarbij inschrijvers op de achtergrond gebruik mogen maken van de diensten van derden, dus zonder dat ze dit tijdens de aanbesteding al hoeven te melden, hiermee tot een halt zal worden geroepen. De AVG verplicht het organisaties om dit soort dataketens in kaart te brengen, en ik verwacht daarom dat aanbestedende diensten steeds vaker op grond van art. 2.79 van de Aanbestedingswet zullen moeten gaan bepalen dat inschrijvers al in de offerte moeten aangeven van welke derden ze gebruik gaan maken.
Bovendien kan de nieuwe verordening tot gevolg hebben dat de leverancier niet meer gedurende de looptijd van de opdracht gebruik kan maken van een andere onderaannemer, bijvoorbeeld een ander datacenter.
- Indien er in eerste instantie gegund is aan een opdrachtnemer en onderaannemer die afdoende garanties gaven met betrekking tot het toepassen van passende technische en organisatorische maatregelen ter bescherming van persoonsgegevens, en tijdens de uitvoeringsfase van de opdracht wil de opdrachtgever van onderaannemer wisselen, dan dient hij de aanbestedende dienst hierover dus voorafgaand te informeren.
- Indien de nieuwe onderaannemer met betrekking tot de beschermingsmaatregelen minder garanties kan of wil geven dan mag de aanbestedende dienst bezwaar maken tegen deze onderaannemer.
- Uit de rechtspraak rondom aanbestedingen blijkt bovendien dat vervanging van een onderaannemer onder omstandigheden een zogeheten wezenlijke wijziging van de opdracht kan opleveren, bijvoorbeeld omdat de nieuwe onderaannemer niet voldoet aan de gestelde geschiktheidsvereisten, waarna er een heraanbesteding moet gaan komen.
Het is dus zaak om –als u gebruik maakt van onderaannemers- reeds nu met die onderaannemers de condities rondom de verwerking van persoonsgegevens te bespreken en contractueel vast te leggen.