Hoe hou je rekening met GDPR in ziekenhuisaanbestedingen?

Wanneer ziekenhuizen samenwerken met externe leveranciers, of het nu gaat om software, ondersteunende diensten of infrastructuur, is de verwerking van persoonsgegevens vaak onvermijdelijk. De GDPR mag in het aankoopproces dan ook geen bijzaak zijn, maar moet vanaf het begin worden meegenomen.

In deze blogpost beschrijven we hoe je als ziekenhuis aan je GDPR-verplichtingen kunt voldoen, en hoe je deze kunt integreren in openbare aanbestedingen & aankoopdocumentatie, met oog op de praktische, juridische en contractuele vereisten.

Wat moet je opnemen, en waarom?

Er zijn zes belangrijke onderdelen die je best verwerkt in je aanbestedingsdocumenten. Op die manier ben je vanaf het begin in orde met GDPR. Deze aanbevelingen zijn relevant, zowel voor publieke, als private zorginstellingen die leveranciers inschakelen waarbij persoonsgegevens worden verwerkt.

1.1. Verwijs naar de toepasselijke wetgeving.

Begin je bestek met een expliciete vermelding van de relevante regelgeving:

• De Algemene Verordening Gegevensbescherming (EU 2016/679)
• De Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

Zo maak je meteen duidelijk dat privacy en gegevensbescherming formeel deel uitmaken van de opdracht.

1.2. Licht toe hoe persoonsgegevens verwerkt zullen worden tijdens de aanbestedingsprocedure.

Moeten inschrijvers persoonsgegevens opnemen in hun offerte (zoals cv’s of referenties van teamleden)? Vermeld dan hoe deze informatie verwerkt wordt. Goede praktijken zijn onder meer:

• Verwijzen naar de privacyverklaring van het ziekenhuis
• Contactgegevens van de Data Protection Officer (DPO) toevoegen
• Duidelijk maken hoe lang de gegevens bewaard worden en wie er toegang toe heeft

1.3. Voeg een vertrouwelijkheidsclausule toe.

Tijdens de aanbestedingsfase kunnen gevoelige of vertrouwelijke gegevens gedeeld worden. Vermeld daarom een vertrouwelijkheidsclausule die aansluit bij artikel 18 van het Koninklijk Besluit van 14 januari 2013 over de algemene uitvoeringsregels van overheidsopdrachten.

1.4. Vraag leveranciers om specifieke informatie rond privacy en beveiliging.

Wanneer de opdracht toegang tot of verwerking van persoonsgegevens inhoudt, vraag dan:

• Een ingevulde checklist van technische en organisatorische beveiligingsmaatregelen
• Een lijst van eventuele subverwerkers (vooral relevant bij software- of IT-projecten)

Zo krijg je vanaf het begin inzicht in de volwassenheid van de gegevensbeschermingspraktijken van de leverancier.

1.5. Maak beveiliging een gewogen gunningscriterium.

Voor aanbestedingen met software, platformen of digitale systemen, is het aanbevolen om ‘beveiliging’ als apart gunningscriterium op te nemen, idealiter met een gewicht van minstens 10% van de totaalscore.

Je kan dit evalueren via een beveiligingschecklist of een gestructureerde beoordeling. Stem de evaluatiecriteria zeker af met je DPO en ICT-team.

1.6. Kondig een overeenkomst na toewijzing aan.

Geef aan dat de geselecteerde leverancier, afhankelijk van het type samenwerking, een bijkomende overeenkomst moet ondertekenen. Dat kan gaan om:

• Een verwerkersovereenkomst (DPA) als de leverancier persoonsgegevens verwerkt in opdracht van het ziekenhuis
• Een geheimhoudingsprotocol (voor publieke ziekenhuizen)
• Een gezamenlijke verwerkingsverantwoordelijken-overeenkomst, bij gedeelde verantwoordelijkheid

Als je dit op voorhand vermeldt, vermijd je misverstanden later in het proces.

Samengevat.

Openbare aanbestedingen in de zorgsector gaan vaak gepaard met de verwerking van persoonsgegevens. Door privacy-clausules en GDPR-verwachtingen vanaf het begin op te nemen in je aanbestedingsdocumenten, kan je als ziekenhuis:

• GDPR-naleving garanderen
• Risico’s beperken
• Leveranciers vanaf dag één aanspreekbaar houden