TenderNed schendt privacy gehandicapte leerlingen met publicatie aanbestedingen
Laatst geupdate op juli 9, 2017 door redactie
Gemeenten en andere zogeheten “aanbestedende diensten” laden grote aantallen persoonsgegevens op naar TenderNed bij het uitschrijven van een aanbesteding. Daarmee schendt TenderNed als publicerend overheidsorgaan, de privacywetgeving. Dat blijkt uit onderzoek van de redactie van Aanbestedingsnieuws. Het gaat niet alleen om (zeer beperkt) geanonimiseerde adresgegevens, maar ook om geboortedata, en rolstoelafhankelijkheid.
Type gegevens
Adresgegevens en haal- en brenggegevens van gehandicapte leerlingen, worden bij vrijwel elke aanbesteding voor leerlingenvervoer bekend gemaakt. Zo staan de schooltijden vermeld, evenals het geboortejaar van de leerlingen en of zij met een rolstoel moeten worden gebracht. Het precieze huisadres is geanonimiseerd, maar de postcode van het huisadres wordt wel vrijgegeven.
Omdat het vaak gaat om leerlingen in zorg/woongroepen, maar ook om kleinere gemeenten, waar weinig huizen zijn per postcode, of omdat op die postcode een gehandicaptenparkeerplaats is; is ook aan de hand van alleen de postcode eenvoudig te achterhalen om wie het gaat.
Het gaat niet alleen om de gegevens van gehandicapte leerlingen. Zo wordt in aanbestedingsdocumentatie ook met regelmaat personeelsgegevens vrijgegeven. Het kan dan gaan om werktijden en locaties van schoonmakers, zwembadpersoneel en taxichauffeurs. In een enkel geval hebben wij ook gevonden, dat per schoonmaker-gebooortedatum is aangegeven of, en zo ja vanuit welke uitkeringssituatie zij werken bij het bedrijf.
Dergelijke informatie is terug te vinden via TenderNed, in het tabblad “documenten” behorende bij de aanbesteding. Het gaat om informatie die zonder inlog vrij opvraagbaar is. Juridisch adviseur Fay Kartner van ICTRecht laat weten dat de informatie “dermate gedetailleerd is dat het [red. AN in de door ons voorgelegde gevallen] herleidbaar is tot de persoon. Dat is niet nodig om de aanbesteding uit te kunnen schrijven. Dat kan ook met minder gegevens”.
Privacy wetgeving
Op basis van de Wet Bescherming Persoonsgegevens mogen persoonsgegevens aan de hand waarvan een persoon zonder bijzondere inspanning kan worden geïdentificeerd, alleen worden bekend gemaakt met toestemming van de gegevenshouder. Dat geldt in het bijzonder voor gegevens die de gezondheid van de mensen betreffen.
Deze gegevens mogen alleen worden gepubliceerd als het noodzakelijk is, voor de uitvoering van een publieke taak.
Bij de data op TenderNed, gaat het om de gegevens van derden, die niet partij zijn bij het contract tussen de gemeenten en de leveranciers van de gemeenten.
Tenderned zelf geeft aan, dat gemeenten zelf moeten kijken of de data die zij moeten uploaden naar TenderNed, zijn geanonimiseerd.
Had het op een andere manier gekund? Bij het -met TenderNed concurrerende- Negometrix zijn alle gegevens van aanbestedingsdocumentatie pas na inloggen verkrijgbaar. Het is dan ook in elk geval denkbaar dat dergelijke privacygevoelige data alleen wordt verstrekt aan ondernemers die zich hebben aangemeld. Daarmee is de verstrekking van dergelijke informatie niet zonder meer noodzakelijk.
Kartner : “De gemeenten zijn verantwoordelijk voor het verwerken van de gegevens van de leerlingen in het kader van de aanbesteding en moeten een datalek melden bij de Autoriteit Persoonsgegevens. TenderNed is verwerker van de informatie. Tenderned heeft een vrijwaring gepubliceerd in zijn algemene voorwaarden, maar dat ontslaat TenderNed niet van zijn zorgplicht om een lek niet voort te laten duren en te melden bij de verantwoordelijke voor de gegevensverwerking”.
Transparantie in aanbesteding
De gemeenten zijn verplicht om een level playing field te creëren voor ondernemers die belangstelling hebben om de opdracht uit te voeren.* Wanneer zij niet over dezelfde informatie beschikken, wordt de zittende leverancier bevoordeeld, door zijn extra informatiepositie. De taxi-ondernemers hebben de gegevens dus nodig om een adequate offerte opstellen, is de gedachte.
Gemeenten anonimiseren zelf deels de informatie van de leerlingen; maar geven postcode van het huisadres en schooladres en eventuele bijzonderheden, gewoon vrij.
Reactie TenderNed
We hebben TenderNed en de Autoriteit Persoonsgegevens gevraagd om een reactie. De Autoriteit Persoonsgegevens heeft gereageerd maar kon op korte termijn daar niets over zeggen. TenderNed heeft volstaan, met een verwijzing naar hun algemene voorwaarden, waarin de vrijwaring is opgenomen:
Op basis van de gebruiksvoorwaarden heeft TenderNed een vrijwaringsbepaling ten aanzien van geuploade informatie. TenderNed maakt openbaar wat nodig is voor zijn publieke taak.
“Gebruikers zijn er zelf voor verantwoordelijk dat de door hen in TenderNed ingevoerde informatie en data en documenten voldoen aan de eisen van de Wet bescherming persoonsgegevens.”
Dat betekent dat het Ministerie zelf geen verantwoordelijkheid neemt, als publicerend orgaan. Of gemeenten en andere aanbestedende diensten bij het openbaar maken van gegevens de Wet Bescherming Persoonsgegevens in acht nemen, ligt volgens TenderNed bij de gemeenten.
Balans?
De informatie op TenderNed wordt vrijgegeven, opdat de op de aanbesteding inschrijvende ondernemers de verloning kunnen berekenen.
TenderNed laat het over aan de aanbestedende diensten om te kiezen wat zwaarder weegt: level playing field voor ondernemers of de privacy van gehandicapte kinderen. Het belang van gehandicapte kinderen bij de privacy van hun data, is blijkbaar volgens veel gemeenten ondergeschikt, aan het belang om ondernemers en het algemeen publiek zo veel mogelijk informatie te verstrekken; om een voor de belastingbetaler zo gunstig mogelijke offerte te kunnen uitbrengen.
Level Playing Field
* Zie verder
over level playing field en de kennis zittende leverancier:
- Zie onder meer Advies 300 van de commissie van aanbestedingsexperts
https://www.commissievanaanbestedingsexperts.nl/advies/advies-300-verplichting-om-level-playing-field-te-scheppen-niet-nageleefd-bij-complexe-ict - Architecten / Noord-Holland
http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBHAA:2011:BQ4144 - HvJ EG 9 februari 2006 (La Cascina), C-226/04 en C-228/04
Uit de Privacyverklaring (footer Tenderned)
Fragment Privacyverklaring TenderNed d.d. 7 juli 2017
Privacyverklaring
TenderNed respecteert en beschermt uw persoonsgegevens.
TenderNed zal persoonsgegevens van Gebruikers niet voor commerciële doeleinden gebruiken.
TenderNed gebruikt en bewaart persoonsgegevens alleen zolang en voor zover dit voor het gebruik en de werking van TenderNed noodzakelijk is met een maximum van tien jaar.
TenderNed gebruikt persoonsgegevens van Gebruikers uitsluitend voor communicatie over het gebruik van TenderNed en de verzending van nieuwsbrieven met betrekking tot TenderNed.TenderNed bevat verwijzingen naar andere websites (bijvoorbeeld door middel van hyperlinks, banners of buttons). TenderNed heeft geen invloed op de inhoud en het beleid van deze sites. Op deze website valt Gebruiker onder de regels over de bescherming van persoonsbescherming van die betreffende site.
5 thoughts on “TenderNed schendt privacy gehandicapte leerlingen met publicatie aanbestedingen”