Wie is voorbereid op de AVG?

Het kan haast niet dat je het nog niet weet, met alle berichtgeving in de afgelopen weken: per 18 mei moeten organisaties (bedrijven en overheden) die persoonsgegevens verwerken voldoen aan nieuwe, strengere regels. Die regels gaan met name over vastlegging van wát je als organisatie allemaal vastlegt aan persoonsgegevens; en met welk doel. Dit heeft zo zijn impact op organisaties van alle soorten en maten. In het nieuwsbericht van deze week gaan we kort in op de vraag wat AVG / GDPR inhoudt en welke impact het heeft; en kijken we naar wat we hiervan tot nu toe van terugzien in aanbestedingsland.

Wat is AVG / GDPR en wat betekent het voor organisaties?

AVG staat voor Algemene Verordening Gegevensbescherming. Deze verordening van de Europese Commissie vervangt de Richtlijn bescherming persoonsgegevens uit 1995 en de bijbehorende Nederlandse Wet bescherming persoonsgegevens (Wbp). Het is een update naar aanleiding van de ontwikkelingen in digitalisering, met het oog op de hoeveelheid data die tegenwoordig wordt opgeslagen en toename in risico’s op datalekken door bijvoorbeeld hacks. GDPR is de Engelse benaming voor AVG en staat voor General Data Protection Regulation.

N.B. Voor Politie en Justitie geldt er een aparte Richtlijn gegevensbescherming Politie en Justitie.

Voor organisaties betekent de nieuwe richtlijn vooral dat ze meer moeten gaan vastleggen om te kunnen verantwoorden dat ze persoonsgegevens alleen voor rechtmatige doeleinden verwerken en dat ze de juiste maatregelen hebben getroffen om dit te waarborgen.

De Wet bescherming persoonsgegevens bevatte al bepalingen volgens welke bijvoorbeeld persoonsgegevens alleen verzameld mogen worden voor een specifiek (vooraf bepaald) doel. Het voornaamste wat nieuw is bij de AVG is de verantwoordingsplicht. Dit betekent dat er een bewijslast komt te liggen bij de organisatie om in voorkomend geval aan te tonen dat zijn gegevensverwerking aan de regels voldoet. Hij moet om die reden veel meer gaan vastleggen.

Centraal hierin staat het verwerkingsregister. Dit is een bestand of systeem waarin is vastgelegd welke (categorieën van) persoonsgegevens gebruikt worden voor welk doel, wat voor betrokkenen er zijn en aan wie de gegevens worden verstrekt, waar de gegevens zijn vastgelegd en wat de bewaartermijnen zijn. En op welke manieren de gegevens zijn beveiligd.

Binnen de AVG wordt een onderscheid gemaakt tussen verantwoordelijken en verwerkers. Verwerkers zijn partijen die namens/in opdracht van de verantwoordelijke (delen van) gegevens, veelal automatisch, verwerken. Verwerkers moeten per verantwoordelijke ook bepaalde (beperktere) informatie vastleggen, bijvoorbeeld over beveiliging van de verwerkte gegevens.

Andere te treffen maatregelen/documentatie in het kader van de AVG zijn:
• Privacyverklaring met algemene informatie voor belanghebbenden over het doel van gegevens die je verzamelt, hoe lang die bewaard worden etc.
• Beleid voor gegevensbescherming
• Toestemming voor gegevensverwerking regelen en vastleggen (waar van toepassing).
• Mogelijk een Data Protection Impact Assessment (bij gegevens met hoog privacyrisico)
• Mogelijk aanstellen van een functionaris gegevensbescherming (bij grootschalige verwerkers)

Behalve de verantwoordingsplicht en navenante maatregelen legt de AVG meer de nadruk op privacyrechten van individuen. Zo hebben personen meer rechten als het gaat om het verlenen en intrekken van toestemming en het recht om “vergeten” te worden. Niet in alle gevallen hoeft echter rechtstreekse toestemming van individuen verkregen te worden; andere grondslagen voor het verzamelen van persoonsgegevens kunnen o.a. zijn een wettelijke verplichting of als het verzamelen van gegevens noodzakelijk is voor de uitvoering van een overeenkomst.

De AVG raakt in potentie elke organisatie, want elke organisatie legt wel persoonsgegevens vast. Denk alleen al de telefoonnummers en e-mailadressen van contactpersonen van (potentiële) klanten en toeleveranciers en de gegevens van medewerkers. De verplichting van het register geldt voor organisaties met boven de 250 medewerkers, maar ook als er risicovolle persoonsgegevens worden verwerkt, óf persoonsgegevens structureel/niet-incidenteel worden verwerkt. In de praktijk betekent met name de laatste bepaling dus eigenlijk dat bijna alle organisaties een register moeten bijhouden.

Ondernemers in beweging

De AVG houdt de gemoederen in ondernemersland al enige tijd goed bezig. Precieze cijfers of bronnen hebben we niet, maar we ontvangen signalen uit de markt waaruit blijkt dat er de afgelopen maanden een heuse run was op adviesbureaus en leveranciers van bijvoorbeeld software voor het inrichten van AVG en/of de bijbehorende documentatie en registers. Bureaus die zich hierin hebben gespecialiseerd hebben soms duizenden aanvragen liggen en kunnen de vraag nauwelijks aan.

We zien ook het (tijdig) voldoen aan AVG/GDPR terugkomen in aanbestedingen als een geschiktheids- of uitvoeringseis aan inschrijvers. Met name in de ICT en soortgelijke branches waar vastlegging en (automatische) verwerking van persoonsgegevens voor de dienstverlening aan klanten aan de orde is. Overheden hebben de nieuwe regels dus wel degelijk op de radar en vertalen dit door naar de bedrijven (verwerkers) waar ze mee samenwerken.

En overheden zelf dan?

De AVG geldt niet alleen voor bedrijven. Ook overheden moeten per 18 mei voldoen aan deze richtlijn. En overheden en uitvoeringsorganisaties zijn natuurlijk bij uitstek kampioen in het vastleggen en verwerken van persoonsgegevens, van de gemeentelijke basisadministratie tot alle info die de Belastingdienst over ons burgers vastlegt. Op het eerste oog zou je misschien verwachten dat dit terug te zien is in aanbestedingen. Immers zo’n verandering vertaalt zich dikwijls naar een (groot) project, waarvoor expertise moet worden ingewonnen, of misschien wel systemen voor moeten worden aangeschaft of aangepast. Dit loopt al snel in de papieren, wat betekent: aanbesteden.

Meestal lopen dit soort aanpassingen op de wetgeving bij overheden en bedrijven ook wel aardig synchroon. Maar als overheden hier – zoals ondernemers – ook al op grote schaal mee bezig zijn, dan is dat niet onmiddellijk zichtbaar.

De afgelopen 1,5 jaar is er maar een beperkt aantal publicaties geweest waaruit blijkt dat aanbestedende diensten advies inwonnen of opdrachten uitzetten om zich direct of indirect voor te bereiden op de AVG. Het gaat dan om aanbestedingen door een handjevol gemeenten voor inhuur van een Privacy Officer, adviseur, projectleider of soortgelijk, die AVG (mede) in het takenpakket heeft. Daarnaast o.a. 1 marktconsultatie door een hogeschool voor Privacy Administratie, gericht op adviesbureaus; 1 marktconsultatie voor resultaatverplichte ICT opdrachten, waar opdrachten voor implementatie van nieuwe privacywetgeving (zoals AVG) onderdeel van kunnen uitmaken. En eind december nog van de Politie een marktconsultatie voor het inwinnen van informatie over een verwerkingsregister AVG c.q. Richtlijn gegevensbescherming Politie (levering, inrichting en beheer van software). De start van het aanbestedingstraject van de Politie staat gepland voor begin februari.

En hoe zit het in de rest van Europa? Een snelle zoektocht door TED (site van Publicatieblad van de Europese Unie) laat zien dat het daar niet veel anders is dan in Nederland. Er zijn een paar aanbestedingen waarin GDPR genoemd wordt (in Zweden, Tsjechië en de UK), maar ook daar vooral in software- en IT-aanbestedingen waarbij als voorwaarde wordt gesteld dat de inschrijver aan GDPR voldoet. Losse aanbestedingen puur voor GDPR zijn er eigenlijk niet.

Wat kunnen we hieruit opmaken? Misschien hebben overheden dit allemaal allang geregeld, en/of hebben ze deze wetgeving geïmplementeerd via inbesteden, binnen al lopende contracten of via onderhandse opdrachten (zeker voor kleine instanties aannemelijk). Of ze moeten nog goed en wel beginnen, wat betekent dat er een flinke uitdaging ligt om te voldoen vóór 18 mei…

We gaan het de komende maanden wellicht zien.