Snart kommer nye personvernregler som også får stor betydning for innhold i og gjennomføring av offentlige anskaffelser. De nær 200 fremmøtte og de mange hundre som streamet GDPR-seminaret i regi av Anbud365 nylig, fikk grundig innføring i disse forholdene av ekspertene i Advokatfirmaet Grette.
På seminaret gjennomgikk partner Simen Blaker Strand, senioradvokat Carsten L. Mowinckel, advokat Lene Moe Blom og partner Marie Braadland både personvernforordningen generelt og konsekvenser av denne for anskaffelser. Temaene:
- Hvilke krav stiller GDPR egentlig til virksomheter for behandling av personopplysninger (offentlige og private)?
- Hvilke krav bør oppdragsgivere stille når det anskaffes tjenester/produkter som vil inneholde databehandlertjenester? (F. eks regnskapssystemer, faktureringssystemer og IKT-systemer i helsesektoren) Og hvilke krav stilles til kontraktsoppfølgingen? Må oppdragsgivere følge opp overholdelsen av GDPR, og hva om databehandler bryter GDPR?
- Hvilke krav stiller GDPR til behandling av personopplysninger i alle anskaffelser? Hva med oppbevaring av kontaktinformasjon, CV-er mv. hos oppdragsgivere? Når må personopplysninger slettes, og hvilke rutiner bør man ha?
I løpet av juli
Justis- og beredskapsdepartementet arbeider for tiden med å innlemme EUs personvernforordning GDPR (General Data Protection Regulation) i EØS-avtalen og gjennomføre forordningen i en ny norsk personopplysningslov. Etter planen skal den nye loven tre i kraft i Norge i løpet av juni, ifølge de siste opplysninger fra departementet. I EU-området trådte forordningen i kraft 25. mai.
Man kan få inntrykk av at GDPR mer eller mindre bare gjelder for IT- og IT-relaterte tjenester, men det er ikke tilfelle. Det dreier seg om en lang rekke tjenester. Når det gjelder anskaffelser, er det forhold å tenke gjennom både når det gjelder hvilke krav man kan/bør stille når og med hvilket innhold.
Krav og veiledning
Et aktuelt kvalifikasjonskrav kan f.eks. være å forsikre seg om at leverandøren har nødvendig informasjonssikkerhet – som et minstekrav. I forbindelse med evaluering/kontraktstildeling kan kravet til leverandøren bl.a. være om han har såkalt «innebygget personvern». Det betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning.
På datatilsynet.no finnes aktuelt stoff, og hos Difi vises det et eksempel på en mal.
På samme måte som ved andre sider av en anskaffelse er kontraktsoppfølging viktig. I forbindelse med GDPR minst like alvorlig. I løpet av kontraktsperioder skal det foretas sikkerhetsrevisjoner, dvs. følge opp at leverandøren etterlever kravene. Gjør leverandøren ikke det, kan det vanke saftige gebyrer. Det samme kan ramme oppdragsgiver dersom han ikke følger opp. Brudd på sikkerhetskravene kan også være «vesentlig endring» i kontrakt.
Bare det som er nødvendig
I selve anskaffelsesprosessen er det hele tiden viktig – for hvert steg, å være tydelig på hva formålet med den delen av prosessen er. Ut fra en slik klarhet må man så finne fram til hvilke personopplysninger det er nødvendige i hvert av stegene. Er det f.eks. nødvendig med fødselsdag på Cv’en? Kan fødselsår holde? Man skal i minst mulig grad ha/få personopplysninger ut over hva som er strengt nødvendig.
Bli den første til å kommentere på "Fikk grundig innføring i nye personvernregler og offentlige anskaffelser"