Privacygevoelige informatie delen bij aanbestedingen is onnodig

09-02-2018

Köseoglu, Eylem

Bij een aanbesteding willen gemeenten gelijke kansen, en dus informatie, bieden aan ondernemers die belangstelling hebben om een opdracht uit te voeren. Aan de andere kant zijn gemeenten verplicht zorgvuldig om te gaan met privacygevoelige gegevens. Uit de praktijk blijkt dat dit nog niet altijd gebeurt. Tijd om in te zoomen op hoe een gemeente het beste kan omgaan met privacygevoelige informatie in aanbestedingsdocumenten.

Van Aalburg tot Zederik: gemeenten door het hele land bleken in aanbestedingsdocumenten van leerlingenvervoer privacygevoelige informatie van de betrokken kinderen te hebben verstrekt. De kwestie zorgde in het hele land voor ophef toen RTL Nieuws eind vorig jaar onthulde dat 56 gemeenten namen, huisadressen, geboortedata, medische gegevens, telefoonnummers en schooladressen van kwetsbare kinderen hadden gepubliceerd op TenderNed.nl. Gemeenten en andere aanbestedende diensten zijn verplicht hun openbare aanbestedingen hierop te publiceren.

De toezichthouder Autoriteit Persoonsgegevens (AP) stuurde hierop een brief naar VNG en de gemeenten met het verzoek om erop te letten geen privacygevoelige informatie te delen in aanbestedingsdocumenten. De toezichthouder benadrukte daarin dat het verwerken, en dus ook het publiceren, van persoonsgegevens noodzakelijk moet zijn voor het doel waarvoor ze worden gebruikt. Ook de informatiebeveiligingsdienst voor gemeenten (IBD) kwam direct met een advies. Daarin benadrukte de dienst dat het verwerken - dus ook het publiceren - van persoonsgegevens altijd noodzakelijk moet zijn voor het doel en dat gemeenten zich dus altijd af moeten vragen of het doel te bereiken is met minder gegevens óf door te kijken of het mogelijk is de gegevens op een andere manier te verstrekken aan de mogelijke aanbieders.

Dat lijkt een duidelijke zaak, maar het ligt toch iets genuanceerder. Het bewijs daarvan is dat soortgelijke gevallen zich nog steeds voordoen, zoals vorige maand nog, toen opnieuw een gemeente privacygevoelige informatie openbaar maakte in een bijlage van een aanbesteding.

Gelijke behandeling

Laten we even bij het aanbesteden van Wmo-vervoer blijven. Het contracteren van dit vervoer is een gemeentelijke taak en gemeenten zijn verplicht deze contracten periodiek opnieuw openbaar aan te besteden. Daarbij is een van de beginselen van aanbesteden, gelijke behandeling: iedereen moet objectief en op dezelfde wijze behandeld worden en iedereen moet dezelfde informatie krijgen. Het is dan ook logisch dat deze bedrijven informatie krijgen over zaken als de aantallen te vervoeren personen, de woonbuurt van de kinderen en de afstand tot hun scholen. Daarbij is het dus niet toegestaan om alle persoonlijke gegevens van de leerlingen te delen. Hier kan wrijving ontstaan omdat de zittende partij alle informatie heeft, ook de informatie die privacygevoelig is. De andere partijen kunnen zich benadeeld voelen als zij deze informatie niet tot hun beschikking hebben en deze gegevens dus niet kunnen gebruiken om een aanbod op te stellen.

Vertalen naar objectieve eisen

Toch is het mogelijk om aan te besteden zonder privacygevoelige informatie prijs te geven. Dat bewijzen gemeenten als Zaanstad, Amsterdam en Zwolle, die zonder de persoonsgegevens in hun uitvraag te publiceren toch goede offertes kregen voor het leerlingenvervoer. Deze gemeenten maakten gebruik van alternatieve methodes.

“Om het voor geïnteresseerde bedrijven mogelijk te maken hun prijs te berekenen en een goede inschrijving te kunnen doen, hebben zij uiteraard voldoende informatie nodig”, erkent Rob Dulk, die bij de gemeente Zaanstad verantwoordelijk was voor de inkoop van aanvullend vervoer. De gemeente Zaanstad koos ervoor de gegevens te vertalen naar objectieve eisen. Zo stond er in de uitvraag dat de voertuigen ruimte moesten bieden voor een X-aantal rolstoelen, het aantal af te leggen kilometers en de hoeveelheid leerlingen. De gegevens van de leerlingen werden geanonimiseerd naar getallen. “De meest persoonlijke informatie die in de uitvraag terecht kwam, waren de postcodecijfers van de woningen van de leerlingen en hun scholen.”

Ook Amsterdam anonimiseerde de gegevens. Annemarij Meijerman begeleidde de inkoop van het AOV en het leerlingenvervoer voor de gemeente Amsterdam en vertelt dat ze in overleg met privacy-juristen de persoonlijke gegevens van betrokken leerlingen combineerde tot informatie die niet tot personen te herleiden was. “We hebben relevante informatie voor aanbieders over mate van ondersteuningsbehoefte, type hulpmiddel en andere relevante bijzonderheden gedeeld, zonder deze te koppelen aan een specifiek woonadres of andere specifieke informatie.”

In eerste instantie viel de aanpak niet bij alle vervoerders meteen in goede aarde, vertelt ze: “In het voortraject dreigden meerdere partijen dat zij bezwaar zouden maken en naar de rechter zouden stappen als ze de informatie niet kregen.” Een eventuele bezwaarprocedure kost uiteraard extra tijd, waardoor het aanbestedingstraject vertraging op zou lopen. Toch nam Amsterdam dat risico: “In dit geval vinden wij het belang van privacy van de betrokken gebruikers van het vervoer gewoon zwaarder wegen dan dat van de potentiële vervoerder. Uiteindelijk maakte gelukkig geen enkele partij bezwaar, en kregen we heel goede aanbiedingen.”

Lees dit artikel verder in het gratis online magazine 'Privacy in het sociaal domein'.


Dit artikel is ook te vinden in het dossiers Jeugd & onderwijs

Van onze partners

Privacy in het sociaal domein

→ Lees meer

Opleiding Privacy in het sociaal domein - 3 daags

Met deze driedaagse opleiding wordt u opgeleid tot privacy professional in het sociaal domein.

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer