Sub-verwerkersovereenkomst - model, voorbeeldformulier Pro · NL-law

SUB-VERWERKERSOVEREENKOMST

(in de zin van artikel 28 lid 4 van de Algemene Verordening Gegevensbescherming)

DE ONDERGETEKENDEN:

TUSSEN

________, gevestigd te ________, geregistreerd in het handelsregister van de Kamer van Koophandel onder nummer ________, te dezen rechtsgeldig vertegenwoordigd door ________ in de hoedanigheid van ________;

hierna te noemen de "Verwerker";

EN

________, gevestigd te ________, geregistreerd in het handelsregister van de Kamer van Koophandel onder nummer ________, te dezen rechtsgeldig vertegenwoordigd door ________ in de hoedanigheid van ________;

hierna te noemen de "Sub-verwerker";

de Verwerker en de Sub-verwerker hierna gezamenlijk te noemen de "Partijen" en ieder afzonderlijk een "Partij";

OVERWEGENDE DAT:

(A) de verwerkingsverantwoordelijke, zijnde ________ (hierna: de "Verwerkingsverantwoordelijke"), met de Verwerker een verwerkersovereenkomst heeft gesloten als bedoeld in artikel 28 lid 3 van de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679, hierna: "AVG"), op grond waarvan de Verwerker in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt (hierna: de "Verwerkersovereenkomst");

(B) de Verwerker een deel van de in de Verwerkersovereenkomst bedoelde verwerkingen wenst uit te besteden aan de Sub-verwerker, en daartoe de voorafgaande toestemming van de Verwerkingsverantwoordelijke heeft verkregen overeenkomstig artikel 28 lid 2 AVG;

(C) de Sub-verwerker in opdracht van de Verwerker persoonsgegevens verwerkt waarover de Verwerker namens de Verwerkingsverantwoordelijke de beschikking heeft;

(D) de Verwerker zich bij het verstrekken van de opdracht aan de Sub-verwerker houdt aan de instructies voor en de doeleinden van de verwerking overeenkomstig de Verwerkersovereenkomst;

(E) deze overeenkomst de verplichtingen van de Verwerkingsverantwoordelijke en de Verwerker jegens elkaar en jegens betrokkenen onverlet laat;

(F) Partijen de gemaakte afspraken als bedoeld in artikel 28 lid 3 en lid 4 AVG in deze sub-verwerkersovereenkomst (hierna: de "Overeenkomst") wensen vast te leggen;

(G) Partijen zich verbinden de toepasselijke wet- en regelgeving omtrent de bescherming van persoonsgegevens, waaronder de AVG en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG), na te leven;

(H) alle in deze Overeenkomst gebruikte begrippen die in de AVG zijn gedefinieerd, de betekenis hebben die de AVG daaraan toekent, en de bepalingen van deze Overeenkomst dienovereenkomstig in het licht van de AVG dienen te worden uitgelegd;

VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:

Art. 1  VOORWERP VAN DE OVEREENKOMST

1.1 Deze Overeenkomst is van toepassing op de verwerking van alle persoonsgegevens door de Sub-verwerker in opdracht van de Verwerker, zoals tussen Partijen overeengekomen.

1.2 Als Bijlage 1 is aan deze Overeenkomst een overzicht toegevoegd waarin met betrekking tot de verwerking van de persoonsgegevens het volgende is omschreven:

• het onderwerp en de duur van de verwerking;
• de aard en het doel van de verwerking;
• het soort persoonsgegevens dat wordt verwerkt;
• de categorieën van betrokkenen;
• de rechten en verplichtingen van de Verwerkingsverantwoordelijke.

1.3 De Sub-verwerker verkrijgt geen enkel recht op of zeggenschap over de persoonsgegevens. De persoonsgegevens blijven te allen tijde eigendom van, althans onder de zeggenschap van de Verwerkingsverantwoordelijke.

Art. 2  DUUR EN BEËINDIGING

2.1 Deze Overeenkomst treedt in werking op de datum waarop zij door beide Partijen is ondertekend.

2.2 De Overeenkomst duurt voort zolang de Sub-verwerker in opdracht van de Verwerker persoonsgegevens verwerkt, althans tot het moment waarop de Sub-verwerker alle persoonsgegevens overeenkomstig artikel 2.4 heeft gewist of geretourneerd.

2.3 Indien de tussen de Verwerker en de Sub-verwerker geldende onderliggende opdracht eindigt, eindigt deze Overeenkomst op hetzelfde moment.

2.4 Na afloop van de verwerkingsdiensten wist de Sub-verwerker, en indien van toepassing alle door hem ingeschakelde (sub-)verwerkers en de onder zijn gezag werkzame personen, naar keuze van de Verwerker alle persoonsgegevens, of bezorgt deze aan de Verwerker terug, en verwijdert bestaande kopieën, tenzij opslag van de persoonsgegevens op grond van wettelijke verplichting is vereist.

2.5 Bepalingen die naar hun aard bestemd zijn om na het einde van deze Overeenkomst voort te duren, waaronder die inzake geheimhouding, aansprakelijkheid en toepasselijk recht, blijven na beëindiging van kracht.

Art. 3  INSTRUCTIES

3.1 De Sub-verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerker, die zijn afgeleid van de instructies van de Verwerkingsverantwoordelijke, daaronder begrepen met betrekking tot doorgiften aan een derde land of een internationale organisatie.

3.2 Het in artikel 3.1 bedoelde verbod om persoonsgegevens zonder schriftelijke instructie te verwerken, geldt niet indien een op de Sub-verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Sub-verwerker de Verwerker, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

3.3 Indien de Sub-verwerker van mening is dat een instructie van de Verwerker een inbreuk oplevert op de AVG of op andere toepasselijke gegevensbeschermingswetgeving, stelt hij de Verwerker daarvan onmiddellijk in kennis, alvorens de instructie al dan niet op te volgen.

Art. 4  DOELBINDING

4.1 De Sub-verwerker verwerkt de persoonsgegevens uitsluitend voor de in Bijlage 1 omschreven doeleinden, tenzij de Verwerker nadere schriftelijke instructies verstrekt.

4.2 Het is de Sub-verwerker niet toegestaan de persoonsgegevens voor eigen of van de opdracht afwijkende doeleinden te verwerken.

4.3 De verwerking van de persoonsgegevens vindt niet langer plaats dan noodzakelijk voor de doeleinden en binnen het tijdsbestek zoals vermeld in Bijlage 1.

Art. 5  GEHEIMHOUDING

5.1 De Sub-verwerker verbindt zich tot geheimhouding van de persoonsgegevens, behoudens voor zover een wettelijke verplichting tot bekendmaking bestaat of de Verwerker schriftelijk anders heeft bepaald.

5.2 De Sub-verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen, dan wel door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

Art. 6  BEVEILIGING

6.1 De Sub-verwerker treft passende technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen onder meer vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of ongeoorloofde toegang tot de persoonsgegevens, die waar passend de maatregelen overeenkomstig artikel 32 lid 1 AVG omvatten.

6.2 De Sub-verwerker treft ten minste de volgende beveiligingsmaatregelen:

________

6.3 Het beschermingsniveau wordt afgestemd op de risico's die aan de verwerking en de aard van de persoonsgegevens zijn verbonden.

6.4 Bij het bepalen van het passende beveiligingsniveau wordt rekening gehouden met de stand van de techniek, de uitvoeringskosten, alsmede de aard, omvang, context en doeleinden van de verwerking en de risico's voor de rechten en vrijheden van betrokkenen.

6.5 Indien bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 AVG of persoonsgegevens van strafrechtelijke aard als bedoeld in artikel 10 AVG worden verwerkt, worden de beveiligingsmaatregelen daarop specifiek afgestemd.

6.6 De Sub-verwerker draagt er zorg voor dat de onder zijn gezag werkzame personen die toegang hebben tot de persoonsgegevens, deze uitsluitend verwerken voor zover noodzakelijk en overeenkomstig de instructies van de Verwerker, tenzij wet- en regelgeving hen tot verwerking verplicht.

6.7 Aansluiting bij een goedgekeurde gedragscode (artikel 40 AVG) of een goedgekeurd certificeringsmechanisme (artikel 42 AVG) kan worden gebruikt om aan te tonen dat aan de in dit artikel bedoelde verplichtingen wordt voldaan.

Art. 7  INSCHAKELEN VAN ANDERE VERWERKERS

7.1 De Sub-verwerker schakelt geen andere verwerker (hierna: een "derde") in zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verwerker. De Sub-verwerker verstrekt de Verwerker de informatie die nodig is om het verzoek te beoordelen.

7.2 Bij een algemene schriftelijke toestemming licht de Sub-verwerker de Verwerker in over beoogde veranderingen inzake de toevoeging of vervanging van derden, waardoor de Verwerker de mogelijkheid heeft tegen deze veranderingen bezwaar te maken.

7.3 De Verwerker is gerechtigd voorwaarden te verbinden aan het inschakelen van een derde.

7.4 Wanneer de Sub-verwerker een derde inschakelt, legt hij aan die derde bij overeenkomst dezelfde verplichtingen inzake gegevensbescherming op als de in deze Overeenkomst en met name in artikel 6 opgenomen verplichtingen, met dien verstande dat de derde voldoende garanties biedt met betrekking tot passende technische en organisatorische maatregelen.

7.5 De derde verwerkt de persoonsgegevens uitsluitend in opdracht van de Sub-verwerker en in overeenstemming met de instructies van de Verwerker, tenzij wet- en regelgeving de derde tot verwerking verplicht.

7.6 Op eerste verzoek van de Verwerker verstrekt de Sub-verwerker een afschrift van de overeenkomst tussen de Sub-verwerker en de derde.

7.7 De Sub-verwerker blijft jegens de Verwerker te allen tijde volledig verantwoordelijk en aansprakelijk voor de nakoming van de verplichtingen door de door hem ingeschakelde derden en voor de uitvoering van de verwerking door die derden.

Art. 8  BIJSTAND EN MELDING VAN INBREUKEN

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad.

8.2 Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, verleent de Sub-verwerker de Verwerker bijstand bij het doen nakomen van de verplichtingen met betrekking tot:

• de beveiliging van de verwerking, overeenkomstig artikel 32 AVG;
• de melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit, overeenkomstig artikel 33 AVG;
• de mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene, overeenkomstig artikel 34 AVG;
• de gegevensbeschermingseffectbeoordeling, overeenkomstig artikel 35 AVG;
• de voorafgaande raadpleging van de toezichthoudende autoriteit, overeenkomstig artikel 36 AVG.

8.3 De Sub-verwerker informeert de Verwerker onverwijld, en in ieder geval binnen 24 uur, nadat hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens. De Sub-verwerker verstrekt daarbij ten minste de in artikel 33 lid 3 AVG bedoelde informatie alsmede alle overige hem bekende informatie die voor de Verwerker en de Verwerkingsverantwoordelijke van belang kan zijn om aan hun meldplichten te voldoen.

Art. 9  DOORGIFTE AAN DERDE LANDEN OF INTERNATIONALE ORGANISATIES

Lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et dolore magna aliqua ut enim ad minim veniam quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat duis aute irure dolor in reprehenderit voluptate velit esse cillum dolore eu fugiat nulla pariatur lorem ipsum dolor sit amet consectetur adipiscing elit sed do eiusmod tempor incididunt ut labore et.

9.2 Doorgifte vindt slechts plaats indien is voldaan aan de voorwaarden van Hoofdstuk V AVG, waaronder een adequaatheidsbesluit, passende waarborgen zoals door de Europese Commissie vastgestelde standaardbepalingen inzake gegevensbescherming, of een geldende uitzondering als bedoeld in artikel 49 AVG.

Art. 10  AUDIT EN CONTROLE

10.1 De Sub-verwerker stelt de Verwerker alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst en in artikel 28 AVG neergelegde verplichtingen aan te tonen.

10.2 De Sub-verwerker maakt audits, waaronder inspecties, door de Verwerker of een door de Verwerker gemachtigde controleur mogelijk en draagt daaraan bij. De Sub-verwerker verleent hieraan zijn volledige medewerking en stelt redelijkerwijs te verlangen toegang en informatie ter beschikking.

10.3 De kosten van een audit komen voor rekening van de Verwerker, tenzij uit de audit blijkt dat de Sub-verwerker tekort is geschoten in de nakoming van zijn verplichtingen, in welk geval de redelijke kosten voor rekening van de Sub-verwerker komen.

Art. 11  NIET-NALEVING, AANSPRAKELIJKHEID EN BEËINDIGING

11.1 De Verwerker is gerechtigd deze Overeenkomst met onmiddellijke ingang te beëindigen in geval van een voortdurende of fundamentele schending door de Sub-verwerker van de verplichtingen uit deze Overeenkomst of uit toepasselijke wet- en regelgeving.

11.2 Indien de Sub-verwerker in strijd met de toepasselijke gegevensbeschermingswetgeving zelf het doel en de middelen van de verwerking bepaalt, wordt hij ten aanzien van die verwerking als verwerkingsverantwoordelijke beschouwd, onverminderd de artikelen 82, 83 en 84 AVG.

11.3 Indien de Sub-verwerker niet, of naar verwachting niet, aan zijn verplichtingen uit deze Overeenkomst kan voldoen, stelt hij de Verwerker daarvan onverwijld in kennis. De Verwerker kan de Sub-verwerker alsdan opdragen de uitvoering van de verwerking op te schorten totdat de Sub-verwerker aan zijn verplichtingen voldoet. Indien de Sub-verwerker de werkzaamheden niet binnen een redelijke termijn kan hervatten, is de Verwerker gerechtigd de Overeenkomst te beëindigen.

11.4 De Sub-verwerker is jegens de Verwerker aansprakelijk voor de schade die voortvloeit uit het toerekenbaar niet-nakomen of schenden van de bepalingen van deze Overeenkomst of van de toepasselijke gegevensbeschermingswetgeving. Onverminderd de artikelen 82 en 83 AVG bedraagt de aansprakelijkheid van Partijen jegens elkaar uit hoofde van deze Overeenkomst, behoudens in geval van opzet of bewuste roekeloosheid, ten hoogste ________.

11.5 De Sub-verwerker is gerechtigd de Overeenkomst te beëindigen indien hij de Verwerker overeenkomstig artikel 3.3 heeft gewezen op een instructie die strijdig is met de toepasselijke wet- en regelgeving en de Verwerker desondanks op uitvoering van die instructie aandringt.

Art. 12  TOEPASSELIJK RECHT EN GESCHILLEN

12.1 Op deze Overeenkomst is uitsluitend Nederlands recht van toepassing.

12.2 Alle geschillen die voortvloeien uit of verband houden met deze Overeenkomst worden bij uitsluiting voorgelegd aan de bevoegde rechter van de rechtbank ________.

12.3 Indien de toepasselijke gegevensbeschermingswetgeving wijzigt, passen Partijen deze Overeenkomst in onderling overleg aan teneinde te blijven voldoen aan de daaruit voortvloeiende verplichtingen.

12.4 Wijzigingen van en aanvullingen op deze Overeenkomst zijn slechts geldig indien deze schriftelijk tussen Partijen zijn overeengekomen. Indien een bepaling van deze Overeenkomst nietig of vernietigbaar blijkt, blijven de overige bepalingen onverkort van kracht en treden Partijen in overleg over een vervangende bepaling die de strekking van de oorspronkelijke bepaling zoveel mogelijk benadert.

Art. 13  BIJLAGEN

13.1 De volgende bijlage maakt onlosmakelijk deel uit van deze Overeenkomst: Bijlage 1 – Overzicht van de verwerking (onderwerp, duur, aard, doel, soort persoonsgegevens, categorieën van betrokkenen, rechten en verplichtingen van de Verwerkingsverantwoordelijke).

13.2 In geval van strijdigheid tussen het bepaalde in de hoofdtekst van deze Overeenkomst en een bijlage, prevaleert de hoofdtekst, tenzij uitdrukkelijk anders is bepaald.

Art. 14  ONDERTEKENING

Aldus overeengekomen en in tweevoud ondertekend:

de Verwerker

________, te dezen vertegenwoordigd door ________

Datum van ondertekening: ________

Plaats van ondertekening: ________

_________________________

de Sub-verwerker

________, te dezen vertegenwoordigd door ________

Datum van ondertekening: ________

Plaats van ondertekening: ________

_________________________