De General Data Protection Regulation (GDPR) – in het Nederlands Algemene Verordening Gegevensbescherming (AVG) genoemd – omvat de regelgeving voor de verwerking en bescherming van persoonsgegevens door particuliere bedrijven en de publieke sector in de Europese Unie. De verordening verving de databeschermingsrichtlijn van 1995 vervangen, aangezien deze niet meer up-to-date was voor de huidige digitale samenleving. De GDPR is in mei 2016 in werking getreden, waarna organisaties tot mei 2018 de tijd kregen om zich daarop aan te passen. Voor organisaties die zich niet aan deze regelgeving houden, geldt dat zij het risico lopen op hoge geldboetes.
Naast de verplichting om de Wetgeving Overheidsopdrachten na te leven, moeten aanbestedende diensten ook voldoen aan de GDPR. Voor overheidsopdrachten geldt dat een plaatsingsprocedure is opgebouwd in verschillende fases, waaronder de prospectie, plaatsing en uitvoering van het contract. Tijdens elk van deze fasen kan er sprake zijn van de verwerking van persoonsgegevens, en krijgt u dus te maken met de GDPR-richtlijnen.
De General Data Protection Regulation (GDPR) – in het Nederlands Algemene Verordening Gegevensbescherming (AVG) genoemd – omvat de regelgeving voor de verwerking en bescherming van persoonsgegevens door particuliere bedrijven en de publieke sector in de Europese Unie. De verordening verving de databeschermingsrichtlijn van 1995 vervangen, aangezien deze niet meer up-to-date was voor de huidige digitale samenleving. De GDPR is in mei 2016 in werking getreden, waarna organisaties tot mei 2018 de tijd kregen om zich daarop aan te passen. Voor organisaties die zich niet aan deze regelgeving houden, geldt dat zij het risico lopen op hoge geldboetes.
Naast de verplichting om de Wetgeving Overheidsopdrachten na te leven, moeten aanbestedende diensten ook voldoen aan de GDPR. Voor overheidsopdrachten geldt dat een plaatsingsprocedure is opgebouwd in verschillende fases, waaronder de prospectie, plaatsing en uitvoering van het contract. Tijdens elk van deze fasen kan er sprake zijn van de verwerking van persoonsgegevens, en krijgt u dus te maken met de GDPR-richtlijnen.
Verwerker
Een verwerker is een (rechts)persoon, overheidsinstantie, dienst of ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt. De verwerker zal dus enkel de uitvoer verzorgen, waarnaast de verantwoordelijke partijen zullen bepalen waarom en hoe deze verwerking zal plaatsvinden.
Verwerkingsverantwoordelijke of Gezamenlijke verwerkingsverantwoordelijke
Een verwerkingsverantwoordelijke stelt (alleen of samen met andere partijen) het doel van en de middelen voor de verwerking van de persoonsgegevens vast. De aanbesteder is vaak de (gezamenlijke) verwerkingsverantwoordelijke. Opdrachtnemers kunnen zowel een verwerker als een verwerkingsverantwoordelijke zijn, of beiden.
Verwerkingsovereenkomst
Er dient een overeenkomst tussen de aanbesteder en de opdrachtnemer te worden opgesteld waarin de punten uit de GDPR/AVG zijn opgelijst. Deze punten moeten voorzien zijn in het bestek en er zijn ook verschillende clausules mogelijk in het kader van de GDPR/AVG om hierin op te nemen. Ook voor eventuele derde partijen, zoals onderaannemers, die persoonsgegevens zullen verwerken in het kader van de overheidsopdracht moet een verwerkingsovereenkomst worden gesloten.
Zie ook: Algemene Verordening Gegevensbescherming (AVG) – Gegevensbescherming – Regelgeving