ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Gebruik van onderaannemers binnen ICT aanbestedingen

Bent u leverancier aan de overheid en maakt u bij de uitvoering van overheidsopdrachten gebruik van onderaannemers? Bijvoorbeeld voor de hosting van een door u aan een aanbestedende dienst aangeboden applicatie waarin persoonsgegevens worden verwerkt? Dan bent u volgens de wet een verwerker van persoonsgegevens, en is de door u ingeschakelde onderaannemer een zogeheten sub-verwerker. U verwerkt dan de persoonsgegevens onder verantwoordelijkheid van de aanbestedende dienst.

Vanaf 25 mei 2018 zal de Algemene verordening gegevensbescherming (AVG) in werking gaan treden. Vanaf dat moment is het voor verwerkers van persoonsgegevens verplicht om voorafgaande schriftelijke toestemming te vragen aan de verantwoordelijke, alvorens een sub-verwerker kan worden ingezet. Die toestemming kan heel specifiek worden gevraagd waarbij er zal worden aangeven welke taak er aan een met naam en toenaam genoemde sub-verwerker zal worden uitbesteed.

Indien het echter nog onzeker is welke sub-verwerkers gebruikt, toegevoegd of vervangen gaan worden, kan de toestemming kan ook algemeen zijn en zich beperken tot een functionele beschrijving van hetgeen aan een voldoende gekwalificeerde sub-verwerker uitbesteed mag gaan worden.  In dat laatste geval dient de verwerker echter wel steeds de verantwoordelijke te informeren over de ingezette sub-verwerker, en heeft deze bovendien het recht om bezwaar te maken tegen de verandering.

Hoe moet je hier nu mee om gaan in het kader van aanbestedingen?

Allereerst merk ik op dat de praktijk waarbij inschrijvers op de achtergrond gebruik mogen maken van de diensten van derden, dus zonder dat ze dit tijdens de aanbesteding al hoeven te melden, hiermee tot een halt zal worden geroepen. De AVG verplicht het organisaties om dit soort dataketens in kaart te brengen, en ik verwacht daarom dat aanbestedende diensten steeds vaker op grond van art. 2.79 van de Aanbestedingswet zullen moeten gaan bepalen dat inschrijvers al in de offerte moeten aangeven van welke derden ze gebruik gaan maken.

Bovendien kan de nieuwe verordening tot gevolg hebben dat de leverancier niet meer gedurende de looptijd van de opdracht gebruik kan maken van een andere onderaannemer, bijvoorbeeld een ander datacenter.

  • Indien er in eerste instantie gegund is aan een opdrachtnemer en onderaannemer die afdoende garanties gaven met betrekking tot het toepassen van passende technische en organisatorische maatregelen ter bescherming van  persoonsgegevens, en tijdens de uitvoeringsfase van de opdracht wil de opdrachtgever van onderaannemer wisselen, dan dient hij de aanbestedende dienst hierover dus voorafgaand te informeren.
  • Indien de nieuwe onderaannemer met betrekking tot de beschermingsmaatregelen minder garanties kan of wil geven dan mag de aanbestedende dienst bezwaar maken tegen deze onderaannemer.
  • Uit de rechtspraak rondom aanbestedingen blijkt bovendien dat vervanging van een onderaannemer onder omstandigheden een zogeheten wezenlijke wijziging van de opdracht kan opleveren, bijvoorbeeld omdat de nieuwe onderaannemer niet voldoet aan de gestelde geschiktheidsvereisten, waarna er een heraanbesteding moet gaan komen.

Het is dus zaak om –als u gebruik maakt van onderaannemers- reeds nu met die onderaannemers de condities rondom de verwerking van persoonsgegevens te bespreken en contractueel vast te leggen.

 

Training Aanbesteden en ICT

In deze training bespreken we de beginselen van het inkopen en aanbesteden van ICT en (online) diensten bij de overheid. We bespreken aan de hand van praktijksituaties de belangrijkste procedures, de meest voorkomende valkuilen en de door de overheid gehanteerde algemene inkoopvoorwaarden als ARBIT en GIBIT.

 

Mathieu Paapst

Business manager ICTRecht Groningen

mr. dr. Mathieu Paapst is ICT-jurist, bestuurskundige en vestigingsdirecteur van ICTRecht Groningen. In januari 2013 promoveerde hij op bestuurskundig onderzoek naar de doorw­erking van open ICT-beleid (open source en standaarden) binnen de aanbestedingspraktijk. Mathieu is lid van The International Association of Privacy Professionals (IAPP) en is Certified Information Privacy Manager (CIPM).


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *