Schrems II maakt elke gunning aan een Amerikaanse cloudpartner niet automatisch onregelmatig — als de DPO de doorgifte concreet heeft onderzocht houdt de gunning stand
De Raad van State verwerpt het tweede schorsingsverzoek tegen de gunning van de Vlaamse Mobiliteitscentrale aan ViaVan (dochter van een Amerikaans bedrijf, dat AWS gebruikt) omdat het Vlaams Gewest na een eerste schorsing zijn motivering heeft uitgebreid met een concreet onderzoek door de Functionaris voor Gegevensbescherming, en de stelling dat geen enkele aanvullende AVG-maatregel kan helpen — ook geen encryptie met sleutelbeheer in eigen hand — niet aannemelijk is.
Wat gebeurde er?
Op 2 april 2021 gunde het Vlaamse Gewest de overheidsopdracht voor het inrichten en uitbaten van de Mobiliteitscentrale (kader van het decreet basisbereikbaarheid) aan de BV ViaVan Technologies — een volle dochteronderneming van het Amerikaanse Via Transportation Inc., die voor de uitvoering ook beroep deed op het eveneens Amerikaanse River North Transit LLC en Amazon Web Services (AWS) als cloudleverancier. Bij arrest 250.599 van 12 mei 2021 schorste de Raad van State die eerste gunning op vordering van de BV's Qarin en Rotterdamse Mobiliteit Centrale (RMC). In dat eerste schorsingsarrest stelde de Raad prima facie vast dat (1) de gekozen inschrijver een dochter van een Amerikaanse moeder was die AWS wou gebruiken, (2) de uitvoering van de opdracht een grootschalige verwerking van persoonsgegevens impliceerde — inclusief gevoelige gegevens (gezondheid, handicap, allergieën), gegevens van kwetsbare personen en unieke identificatienummers — en (3) de aanbestedende overheid niet had gemotiveerd hoe de offerte AVG-conform kon zijn gegeven het Schrems II-arrest dat het Privacy Shield ongeldig had verklaard. Na dit arrest trok het Vlaamse Gewest de eerste gunningsbeslissing in op 16 juli 2021 en gunde diezelfde dag opnieuw aan ViaVan. De nieuwe motivering bevatte ditmaal een uitgebreid onderdeel 'Materiële regelmatigheid' waarin een afzonderlijk onderzoek door de Functionaris voor Gegevensbescherming (DPO) van het departement Mobiliteit & Openbare Werken werd weergegeven. De DPO had vastgesteld dat alle inschrijvers de relevante bijlagen correct hadden ingevuld (te verwerken persoonsgegevens, minimale maatregelen, datacenters/cloudleveranciers, doorgifte buiten EER) en concludeerde dat alle offertes de minimale waarborgen kunnen bieden. Voor ViaVan specifiek: 'Mogelijks speelt hier wel de doorgifte naar landen buiten EER, maar niets wijst er op dit moment op dat deze doorgifte niet conform de geldende doorgiftemechanismen zou kunnen gebeuren.' Qarin en RMC stelden op 3 augustus 2021 een nieuw UDN-schorsingsverzoek in. Hun eerste middel betwistte de AVG-conformiteit in drie onderdelen: ontbrekend doorgiftemechanisme na Schrems II, ontoereikende beveiligingsmaatregelen onder artikel 32 AVG, en onbestaande verwerkersovereenkomst onder artikel 28.3 AVG. Het tweede middel bekritiseerde het onzorgvuldig onderzoek én de niet-toepassing van een 'onvoldoende' of 'matige' beoordeling op het subgunningscriterium 'ICT Architectuur' — wat volgens het bestek tot substantiële onregelmatigheid had moeten leiden. De Raad verwierp beide middelen. Voor het eerste onderdeel van het eerste middel hield hij vast aan zijn lezing van Schrems II: het Hof van Justitie verklaarde het Privacy Shield ongeldig, maar bevestigde uitdrukkelijk dat de Modelcontractbepalingen (MCB-besluit, thans uitvoeringsbesluit (EU) 2021/914) geldig blijven. De Aanbevelingen 01/2020 en 02/2020 van het EDPB voorzien in aanvullende maatregelen — zoals volledige encryptie van data vóór doorgifte met sleutelbeheer in eigen controle. De algemene stelling van Qarin/RMC dat geen enkele aanvullende maatregel het ontoereikend Amerikaanse niveau kan verhelpen, gaat voorbij aan de wijze waarop dergelijke maatregelen in de praktijk werken. Tweede onderdeel (artikel 32 AVG): het VTC-advies van 8 september 2020 waarop verzoekers zich beriepen, betrof vier specifieke casussen en bevatte uitdrukkelijk het voorbehoud dat het niet algemeen toepasselijk was. Derde onderdeel (artikel 28.3 AVG): niets belet bijkomende contractuele afspraken tussen Vlaams Gewest en ViaVan indien nodig om aan artikel 28 te voldoen. Het tweede middel werd verworpen omdat de Vlaams Gewest aantoonde dat de AVG-problematiek in het regelmatigheidsonderzoek werd betrokken via de DPO, en dat geen 'onvoldoende'-eindbeoordeling op het subcriterium 'ICT Architectuur' verschuldigd was. Beroep verworpen, verzoekers veroordeeld in de kosten (€700 rechtsplegingsvergoeding).
Waarom doet dit ertoe?
Sinds Schrems II (juli 2020) hangt boven elke gunning aan een Amerikaanse cloudpartner — of aan een Europese leverancier die AWS, Google Cloud of Azure gebruikt — de schaduw van een AVG-onregelmatigheid. Concurrenten kunnen die schaduw inroepen om gunningen aan te vechten. Dit arrest geeft aanbesteders een werkbaar pad: (1) laat je DPO de offerte concreet onderzoeken op de bijlagen rond gegevensverwerking, (2) neem die analyse expliciet op in de motivering van de gunningsbeslissing, (3) ga in op het specifieke geval van doorgifte buiten de EER. Wie dat doet, kan een schorsing afweren — ook als de winnaar een Amerikaanse moedervennootschap heeft. Voor concurrenten is de tegenkant: een algemene aanval 'Schrems II = onmogelijk' werkt niet meer; je moet aantonen dat in dit specifieke geval geen enkele aanvullende maatregel kan helpen — wat door encryptie met intern sleutelbeheer steeds moeilijker te onderbouwen is. Een eerste schorsingsarrest is dus geen vrijgeleide: na heronderzoek en voldoende motivering kan dezelfde gunning de tweede ronde overleven.
De les
Aanbesteder: gun je een opdracht waarin persoonsgegevens worden verwerkt door een entiteit met (mogelijke) doorgifte naar de VS of een ander derde land, dan moet je AVG-onderzoek deel uitmaken van je regelmatigheidsonderzoek én van je gunningsmotivering — niet enkel een vraag voor de uitvoeringsfase. Werk concreet via je DPO, maak gebruik van bijlagen waarin de inschrijver per categorie de waarborgen beschrijft (datacenters, doorgifte, minimale maatregelen), en neem de DPO-conclusie op in de motivering. Inschrijver: bouw je technische bijlage rond de AVG zo op dat een DPO ze kan citeren — dat is je beste verdediging tegen schorsingsverzoeken van concurrenten.
Te onthouden
- Schrems II maakt het Privacy Shield ongeldig maar bevestigt de geldigheid van de Modelcontractbepalingen — een Amerikaanse cloudpartner is niet automatisch verboden
- Aanvullende maatregelen (encryptie met intern sleutelbeheer, pseudonimisering) kunnen het ontoereikend beschermingsniveau in de VS in concrete gevallen wel degelijk verhelpen
- De stelling 'geen enkele aanvullende maatregel kan helpen' wordt door de Raad afgewezen als te algemeen
- Een DPO-onderzoek dat in de gunningsbeslissing is veruitwendigd, voldoet aan de motiveringsplicht — ook als het woord 'mogelijks' in de motivering staat
- Een eerste schorsingsarrest dwingt de aanbesteder tot heronderzoek, maar belet niet dat dezelfde inschrijver na correcte heroverweging opnieuw wint
Waarop letten
- Gunningsbeslissingen aan Amerikaanse moedervennootschappen of leveranciers die AWS/Azure/GCP gebruiken zonder enige expliciete AVG-analyse in de motivering
- Algemene verwijzingen naar adviezen van toezichthouders (zoals het VTC-advies) die in werkelijkheid op specifieke casussen zijn beperkt
- Een aanbesteder die na een eerste schorsing de motivering enkel cosmetisch aanpast in plaats van een echt heronderzoek te doen
- Pleitnota's die de conclusie 'AVG-conform' afleiden uit één algemene zin van de inschrijver ('zal toezien op de naleving van bindende richtlijnen') zonder eigen analyse
Stel jezelf de vraag
Stel je gunt een ICT-opdracht waarin verwerking van persoonsgegevens centraal staat. Test je motivering: (1) wordt de problematiek 'doorgifte buiten EER' expliciet aangesneden? (2) Vermeldt de motivering het oordeel van de DPO bij naam? (3) Wordt verwezen naar concrete waarborgen (encryptie, sleutelbeheer, modelcontractbepalingen, aanvullende maatregelen)? Kan je drie 'ja'-antwoorden geven, dan voldoe je aan de standaard die dit arrest stelt. Eén 'nee' is een open zenuw waarop een concurrent in een UDN kan duwen.
Over deze databank
De Raad van State is het hoogste administratieve rechtscollege in België. Bij geschillen over overheidsopdrachten — van de gunning van een contract tot de uitsluiting van een inschrijver — is het de Raad van State die in laatste instantie oordeelt. De arresten in deze databank zijn door TenderWolf samengevat in begrijpelijke taal, met concrete lessen voor inschrijvers en aanbestedende overheden. Bekijk alle arresten →