Magnifying glass Close

Zijn jouw contracten AVG-proof?

Eind 2017 kwam het groot in het nieuws: tientallen gemeenten hadden namen, huisadressen, geboortedata, medische gegevens, telefoonnummers en schooladressen van kwetsbare kinderen gepubliceerd op TenderNed, in het kader van aanbestedingen voor speciaal leerlingenvervoer. Een verontrustende fout, wat de gemeenten na 25 mei een boete op kan leveren van 20 miljoen euro.

“Natuurlijk heeft de inschrijver, in dit geval een vervoersbedrijf, informatie nodig om een aanbieding met passende planning te kunnen doen. Maar de gegevens die zijn gepubliceerd waren tot een persoon herleidbaar en dat is in strijd met de thans geldende Wet bescherming persoonsgegevens. Daarnaast waren de stukken openbaar en voor iedereen te downloaden. Dat kan natuurlijk niet”, stellen Gert Walhof, zelfstandig inkoopadviseur en Lector Inkoopmanagement Hanzehogeschool Groningen en Hans Schurgers, directeur NIC Inkoopprojecten tegen AanbestedingsCafe.nl.

AVG
Vanaf 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de Algemene Verordening Gegevensbescherming (AVG). In deze nieuwe wetgeving worden de teugels op het gebied van privacyrechten extra aangehaald. Als een organisatie na de deadline niet voldoet aan de AVG maakt deze kans op boetes die kunnen oplopen tot maar liefst 20 miljoen euro of 4 procent van de jaaromzet.

Van invloed op iedere organisatie
Iedere organisatie die persoonsgegevens verwerkt valt binnen het toepassingsbereik van de AVG. Het bereik van de regelgeving is groot en raakt iedere organisatie. Schurgers: “Het is logisch dat de salarisadministratie onder de AVG valt, maar denk ook eens aan woningcorporaties die een externe partij in de hand nemen om herstelwerkzaamheden uit te voeren. Elke maandagochtend wordt het klusjesbedrijf op pad gestuurd met een lijstje met adressen waar men naartoe moet. Daar staat informatie op over het adres, maar ook een naam, telefoonnummer en geboortedatum. Dit staat simpelweg op het lijstje, omdat de woningcorporatie over die gegevens beschikt en een uitdraai maakt. Maar de klusjesman hoeft al die gegevens niet te krijgen. Het enige wat hij nodig heeft, is een adres en de informatie over zijn werkzaamheden, meer niet. Daar ziet de AVG straks op toe.”

Naderende deadline
“De regeling is al twee jaar bekend, dus bedrijven en instellingen hebben al voor kunnen sorteren op de AVG”, vervolgt Walhof. “Toch merk ik dat het bij veel bedrijven en instellingen nu pas gaat leven. Voor de beeldvorming: eind november 2017 maakte Nieuwsuur bekend dat 60 procent van de ondervraagde organisaties nog niet bezig was met de AVG. En in mijn beleving zijn veel inkopers zich nog steeds niet bewust van de naderende deadline.”

Onderdeel van inkoopvak
Inkopers zouden zich wel met de AVG moeten bezighouden, vindt de adviseur. “Als je naar de inhoud van de contracten met leveranciers kijkt, dan kom je er als inkoper ongetwijfeld achter dat er binnen verschillende contracten persoonsgegevens worden uitgewisseld. Bijvoorbeeld wanneer personeels- of salarisadministratie wordt uitbesteed, als er klantgegevens worden uitgewisseld met een extern bureau voor een promotiecampagne of als je gebruik maakt van een crm-systeem van een leverancier waarbij klantgegevens in de cloud worden opgeslagen. Het is vervolgens belangrijk dat de inkoper weet welke rol de organisatie heeft: verwerkingsverantwoordelijke of verwerker. Tussen de verantwoordelijke en verwerkende organisatie moeten verwerkersovereenkomsten worden afgesloten. In de verwerkersovereenkomst maak je afspraken over de omgang met persoonsgegevens in overeenstemming met de AVG.”

Partner van Aanbestedingscafé
Partner van Aanbestedingscafé

Reacties

Partner van Aanbestedingscafé
Sluiten

Inloggen met

of met e-mailadres