Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2016-2017 | 2315 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2016-2017 | 2315 |
Wat is uw beleid rondom het opslaan van al dan niet vertrouwelijke gegevens van de rijksoverheid? Vallen belgegevens van medewerkers van de rijksoverheid hieronder?
Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving, een afweging moet maken ten aanzien van de gewenste locatie van data. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.
Belgegevens zoals telefoonnummers, website bezoek (ip-adressen) en verkeersgegevens vallen onder de Wet bescherming persoonsgegevens (Wbp). De Wbp schrijft voor dat persoonsgegevens slechts onder bepaalde omstandigheden mogen worden opgeslagen buiten de Europese Economische Ruimte (EER). Voor aanbieders van telecommunicatiediensten geldt naast de Wbp ook de Telecommunicatiewet. In hoofdstuk 11 van de Telecommunicatiewet zijn de bepalingen opgenomen ter bescherming van de persoonsgegevens en de persoonlijke levenssfeer van de gebruikers van elektronische communicatienetwerken en -diensten.
Het bovenstaande wettelijke kader geldt ook voor de belgegevens van medewerkers van de rijksoverheid.
Kunt u aangeven waar de huidige aanbieder van mobiele telefonie voor de rijksoverheid gegevens over het belverkeer van medewerkers van de rijksoverheid opslaat?
VodafoneZiggo slaat persoons- en verkeersgegevens van Nederlandse Vodafoneklanten op in de z.g. switch locaties in Arnhem, Amsterdam, Groningen, Nieuwegein, Utrecht, Rotterdam en Venlo. Daarnaast worden gegevens van Nederlandse Vodafoneklanten opgeslagen in een datacentrum in Ratingen, Duitsland.
Op welke wijze worden eisen gesteld aan de nieuwe aanbieder om te voorkomen dat belgegevens van Rijksmedewerkers onder de USA Freedom Act vallen? Zijn deze eisen vastgelegd in het eisenpakket voor de nieuwe aanbesteding? Zo ja, hoe?1
De aanbestedende dienst verricht de aanbesteding onder de vigerende wet- en regelgeving, waaronder de Aanbestedingswet 2012, de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Wbp. De Aanbestedingswet 2012 laat zeer beperkt ruimte om op voorhand buitenlandse (Europese) partijen, dan wel partijen die afkomstig zijn uit landen die deelnemen aan de Government Procurement Act, uit te sluiten. Uitsluiting van partijen die onder de toepassing van de USA Freedom Act vallen is voor deze aanbesteding vanwege het non-discriminatiebeginsel niet mogelijk.
Om te voorkomen dat in strijd met Nederlandse wet- en regelgeving gegevens door de opdrachtnemer worden verwerkt of gedeeld, zijn eisen in het contract opgenomen. Deze eisen zijn:
a) Gericht op informatiebeveiliging:
Voldoen aan de in de aanbestedingsstukken genoemde kaders betreffende de beveiliging van gegevens waaronder Wbp, ISO standaard voor informatiebeveiliging (27001/2:2013) of gelijkwaardig, BIR, Voorschrift informatiebeveiliging Rijksdienst (VIR) en Voorschrift informatiebeveiliging Rijksdienst bijzondere informatie (VIRBI), waar deze van toepassing zijn.
b) Gericht op privacyrecht:
1) De ondernemer mag, tenzij de Hoofdopdrachtgever daartoe uitdrukkelijk toestemming verleent, geen persoonsgegevens (laten) verwerken buiten de EER;
2) Indien een buitenlandse overheid de opdrachtnemer verzoekt om toegang tot persoonsgegevens die verkregen zijn op grond van de overeenkomst, heeft de opdrachtnemer de plicht hierover onmiddellijk en voorafgaand aan de verstrekking de opdrachtgever te informeren. Als hieraan niet wordt voldaan of indien de opdrachtnemer ondanks het verbod van opdrachtgever een buitenlandse overheid toegang geeft tot persoonsgegevens, kan de opdrachtgever de overeenkomst met onmiddellijke ingang ontbinden;
3) Na gunning zal met de opdrachtnemer een bewerkersovereenkomst worden afgesloten, waarin aanvullende voorwaarden gelden t.a.v. de opdrachtnemer voor het verwerken van persoonsgegevens.
Welke eisen werden in de vorige aanbesteding gesteld aan de opdrachtnemer? Is dit in de nieuwe aanbesteding significant gewijzigd?
Voor de vorige aanbesteding geldt: onder Titel 8 («Geheimhouding en (informatie)beveiliging») van het Staatscontract Mobiele Communicatie OT2010 zijn in artikel 31 («Gebruik Persoonsgegevens Eindgebruiker») de voorwaarden opgenomen met betrekking tot persoons- en gebruiksgegevens (voor een pdf van het Staatscontract, zie: https://www.hisict.nl/contracten/ot2010-mobiele-communicatiediensten).
Op de nieuwe aanbesteding IWR2017|MCD (ICT Werkomgeving Rijk|Mobiele CommunicatieDiensten) zijn de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2016 (ARBIT2016) van toepassing. In artikel 18 («Verwerking persoonsgegevens») van de ARBIT2016 de voorwaarden met betrekking tot de verwerking van persoonsgegevens opgenomen (voor de ARBIT2016, zie: http://wetten.overheid.nl/BWBR0038569/2016-10-04).
Daarnaast zijn de beveiligingskaders vastgelegd de aanbestedingsdocumenten. Zie tevens het antwoord op vraag 3.
Door van toepassingverklaring van de ARBIT2016 en de gestelde voorwaarden met betrekking tot beveiliging en privacy zijn de eisen ten opzichte van de vorige aanbesteding in belangrijke mate gewijzigd.
Heeft u ontbindingsclausules in de lopende aanbesteding opgenomen voor het geval de dataveiligheid in het gevaar komt? Is de overname van Vodafone door Liberty Global voor u aanleiding geweest hier gebruik van te maken en is uw beleid op enige wijze hierdoor gewijzigd?
Ja, er zijn ontbindings-/opzeggingsclausules in de lopende aanbesteding opgenomen, te weten:
Vanuit het ARBIT2016 art. 30.3 en art. 30.6. Hierin is onder andere genoemd dat ontbinding van het contract door de opdrachtgever, de Staat, mogelijk is wanneer sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de opdrachtnemer. Daarnaast geldt de overeenkomst voor bepaalde duur en is er geen stilzwijgende verlenging mogelijk. De opdrachtgever kan de overeenkomst onder gelijkblijvende voorwaarden driemaal verlengen, telkens voor een periode van 12 maanden. Indien opdrachtgever gebruik maakt van dit recht doet hij hiervan uiterlijk zes maanden voor het einde van de exploitatieperiode van de Raamovereenkomst schriftelijk en aangetekend mededeling aan de opdrachtnemer.
Van een overname van Vodafone door Liberty Global, het moederbedrijf van Ziggo, is overigens geen sprake. Het gaat om een samenvoeging van de Nederlandse divisies van Vodafone en Ziggo in een gezamenlijke onderneming «VodafoneZiggo Group Holding B.V.». Hierin hebben Vodafone en Liberty Global een even groot eigenaarbelang (50/50). De overgang naar VodafoneZiggo was geen aanleiding om de overeenkomst te beëindigen. Ook is het inkoopbeleid hierdoor niet gewijzigd.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20162017-2315.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.