Subverwerkersovereenkomst
Subverwerkersovereenkomst
Vertaalbureau Polydioma/Polytaal B.V, gevestigd te Xxxxx Xxxxxxx 000, 0000 XX Xxxxxxxxxx (hierna: “de Verwerker”), ten deze rechtsgeldig vertegenwoordigd door Xxxxx-Xxxxxxxx Xxxxxxx-Xxxxx;
EN
De heer/ mevrouw............. handelende onder de naam ………………………….[naam], wonende/gevestigd te [postcode,
plaats] aan de ……….[adres] (hierna: “de Subverwerker”), ten deze rechtsgeldig vertegenwoordigd door [naam]”;
In aanmerking nemende dat:
a. Subverwerker in het kader van de uitvoering van [omschrijving van de hoofd overeenkomst/onderliggende
opdracht] d.d [datum] met vertaalbureau Polydioma/Polytaal B.V. als Verwerkingsverantwoordelijke
persoonsgegevens zal verwerken in opdracht van de Verwerker;
b. Partijen in deze verwerkersovereenkomst de afspraken over de verwerking van persoonsgegevens door Subverwerker xxxxxx vast te leggen;
c. De begrippen in deze Verwerkersovereenkomst de betekenis zullen hebben, welke de Algemene Verordening Gegevensbescherming (hierna: AVG) en de Autoriteit Persoonsgegevens (hierna: AP) aan deze toekent;
d. Partijen, mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun wederzijdse rechten en plichten schriftelijk wensen vast te leggen middels deze Subverwerkersovereenkomst.
Komen overeen:
1. Toepasselijkheid
a. Deze Subverwerkersovereenkomst heeft betrekking op de Verwerking van Persoonsgegevens door Subverwerker in opdracht van de Verwerker in het kader van de uitvoering van de Hoofdovereenkomst met de Klant.
b. De aard en het doel van de Verwerking, het soort Persoonsgegevens, de categorieën van Persoonsgegevens, de Betrokkenen en Ontvangers alsmede de bewaartermijnen zijn in bijlage 1 omschreven.
c. Subverwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens uit de AVG en de voor de branche relevante (privacy)wetgeving.
2. Duur en beëindiging
a. Deze Subverwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.
De Subverwerkersovereenkomst eindigt op het moment dat de Hoofdovereenkomst met de Verwerkingsverantwoordelijke eindigt.
b. Geen van Partijen kan deze Subverwerkersovereenkomst los van de Hoofdovereenkomst tussentijds opzeggen.
c. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Subverwerkersovereenkomst voort te duren, blijven na beëindiging van deze Subverwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk
recht.
3. Verwerking
a. Subverwerker verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van vertaalbureau Polydioma/Polytaal B.V., behoudens afwijkende wettelijke voorschriften die op Subverwerker van toepassing zijn. Subverwerker verwerkt de Persoonsgegevens niet langer of uitgebreider dan noodzakelijk voor de uitvoering van de Hoofdovereenkomst. Als richtlijn mag Subverwerker afgaan op de informatie zoals opgenomen in bijlage 1 bij deze Subverwerkersovereenkomst behoudens andersluidende wettelijke bepalingen.
b. Indien een instructie als bedoeld in het eerste lid van dit artikel naar het oordeel van Subverwerker in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Verwerker daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.
c. Indien Subverwerker op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert hij vertaalbureau Polydioma/Polytaal B.V. onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
d. Subverwerker zorgt ervoor dat alleen zijn Medewerkers toegang hebben tot de Persoonsgegevens, tenzij Subverwerker gebruik maakt van de verdere subverwerkers waarvoor toestemming van de Verwerker conform artikel 11 van deze Subverwerkersovereenkomst nodig is.
e. Subverwerker beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Subverwerker zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
f. Vertaalbureau Polydioma/Polytaal B.V. is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient Verwerker vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Subverwerker zorgt ervoor dat hij voldoet aan de op hem als Subverwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in deze Subverwerkersovereenkomst.
g. De Verwerking vindt plaats onder verantwoordelijkheid van de Verwerkingsverantwoordelijke. Verwerker en Subverwerker hebben geen zeggenschap over het doel en de middelen van de verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden. Verwerkeringsverantwoordelijke moet er voor zorgen dat hij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld.
4. Beveiliging
a. Subverwerker heeft de beveiligingsmaatregelen genomen die zijn genoemd in de bijlage 2 die bij deze Subverwerkersovereenkomst hoort. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico's, de stand van de techniek en de kosten van de beveiligingsmaatregelen. Deze beveiligingsmaatregelen omvatten in ieder geval:
• de encryptie/pseudonimisering (versleuteling) van Persoonsgegevens;
• het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
• het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
• een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van Verwerking.
b. Verwerker en Subverwerker erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Subverwerker zal zorgdragen voor een op het actuele risico afgestemd beveiligingsniveau. Voorts zal Subverwerker vertaalbureau Polydioma/Polytaal B.V. tijdig informeren als een van de beveiligingsmaatregelen wijzigt.
c. Subverwerker biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen.
d. Subverwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerker, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese
Economische Ruimte (“EER”).
5. Geheimhouding
a. Op alle Persoonsgegevens die Subverwerker van Verwerker ontvangt en/of zelf verzamelt of dient te verzamelen met het doel deze te verwerken overeenkomstig het in de Hoofdovereenkomst daartoe bepaalde, rust een geheimhoudingsplicht jegens derden.
b. Subverwerker zal de Persoonsgegevens niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm zijn gebracht zodat deze niet tot Verwerkingsverantwoordelijke of natuurlijke personen, zoals de Betrokkene, herleidbaar zijn.
c. Subverwerker waarborgt dat de tot het Verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen, of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden inclusief een boetebeding welke recht doet aan de aard van het risico.
d. De geheimhoudingsplicht is niet van toepassing voor zover Verwerker of de Betrokkene zelf uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken of indien en voor zover er een wettelijke verplichting bestaat om informatie aan een derde te verstrekken.
e. Indien Subverwerker van de diensten van verdere subverwerkers gebruik maakt, zorgt hij er onvoorwaardelijk voor dat de verdere subverwerkers dezelfde geheimhoudingsplicht als tussen Partijen is overeengekomen schriftelijk zullen aanvaarden inclusief een passend boetebeding en deze geheimhoudingsplicht ook strikt zullen naleven.
6. Aansprakelijkheid
a. Verwerker staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).
b. Subverwerker is niet aansprakelijk voor schade die het gevolg is van het door Verwerkingsverantwoordelijke of Verwerker niet naleven van de AVG of andere wet- of regelgeving.
c. Subverwerker is aansprakelijk voor nadeel of schade voortvloeiend uit zijn werkzaamheid inclusief beveiligingsincidenten, welke zich binnen het kader van zijn werkzaamheid c.q. organisatie inclusief die van haar verdere subverwerkers inbegrepen, heeft voortgedaan.
d. In aanvulling op de eventueel van toepassing zijnde algemene voorwaarden wordt in deze Subverwerkersovereenkomst onder directe schade uitsluitend verstaan alle schade bestaande uit:
• Redelijke en aantoonbare kosten om de Verwerker ertoe te manen de Overeenkomst (weer) deugdelijk na te komen.
• Redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade
• Redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel genoemd.
e. De in deze Subverwerkersovereenkomst en in de algemene voorwaarden bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de Subverwerker en/of diens verdere subverwerkers.
7. Meewerkingsverplichtingen
a. De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Subverwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke en/of Verwerker bij de nakoming van de op Verwerkingsverantwoordelijke en/of Verwerker rustende verplichtingen jegens de Betrokkene.
b. Een door Subverwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot Verwerking van Persoonsgegevens wordt door Subverwerker zonder uitstel doorgestuurd naar Verwerker.
c. Op het eerste daartoe strekkende verzoek van Xxxxxxxxx zal Subverwerker aan Verwerker alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte Verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke en/of Verwerker, mede aan de hand van die informatie, aan kan tonen dat hij de toepasselijke (privacy) wetgeving naleeft.
d. Subverwerker zal voorts op eerste verzoek van Xxxxxxxxx alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke en/of Verwerker rustende wettelijke verplichtingen.
8. Inbreuk in verband met Persoonsgegevens
a. Subverwerker meldt Verwerker binnen 12 uur nadat de Subverwerker een beveiligingsincident of een Datalek Inbreuk redelijkerwijs heeft ontdekt of terstond, doch binnen 12 uur, nadat Subverwerker daarover is geïnformeerd door een eventueel door haar ingeschakelde Subverwerker.
b. Subverwerker meldt Verwerker ook over de ontwikkelingen betreffende de door Subverwerker gemelde Inbreuk in verband met Persoonsgegevens.
c. De meldplicht behelst, naast het melden van het feit dat er een datalek is geweest, mede:
• Wat de (vermeende) oorzaak is van het datalek
• Wat het (vooralsnog bekende en/of te verwachten) gevolg is
• Wat de (voorgestelde) oplossing is
• Wat de reeds ondernomen maatregelen zijn
d. Mededelingen in het kader van deze Subverwerkersovereenkomst zullen door Subverwerker worden gedaan aan onderstaande Medewerker(s):
• Naam: Xxxxx-Xxxxxxxx Xxxxx en/of Xxxxxxxxx xx Xxx
• E-mailadres 1: xxxx@xxxxxxxxx.xx
• E-mailadres 2 : xx.xxxxx@xxxxxxxxx.xx
• Telefoonnummer 1: x00 00 000 00 00
• Telefoonnummer 2: + 31 6 55 171 227
e. Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten partijen elkaar daarover in.
f. De melding van een Inbreuk in verband met Persoonsgegevens aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de eigen verantwoordelijkheid van een Verwerkingsverantwoordelijke. Subverwerker zal alle medewerking verlenen om dergelijke meldingen te kunnen verrichten.
g. Voor zover het datalek een beveiligingsincident is bij de Subverwerker of diens verdere subverwerkers zal de Subverwerker op haar kosten ervoor zorgdragen dat de beveiligingsmaatregelen aangepast worden zodat in het vervolg een dergelijke beveiligingsincident c.q. datalek wordt voorkomen.
9. Inschakeling van verdere subverwerkers
a. Subverwerker zal zijn activiteiten die bestaan uit het Verwerken van Persoonsgegevens niet uitbesteden aan verdere subverwerkers zonder voorafgaande schriftelijke toestemming van Verwerker.
b. Voor zover Verwerker instemt met de inschakeling van een verdere subverwerkers, zal Subverwerker aan deze verdere subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Subverwerkersovereenkomst en de wet voortvloeien. Subverwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de verdere subverwerkers. Subverwerker zal Verwerker op verzoek afschrift verstrekken van de met de verdere subverwerkers gesloten overeenkomst(en).
c. Ondanks de toestemming van Xxxxxxxxx voor het inschakelen van verdere subverwerkers die in opdracht van Subverwerker (gedeeltelijk) gegevens verwerken, blijft Subverwerker volledig aansprakelijk jegens Verwerker voor de gevolgen van het uitbesteden van werkzaamheden aan verdere subverwerkers. De toestemming van Xxxxxxxxx voor het uitbesteden van werkzaamheden aan een verdere subverwerker laat onverlet dat voor de inzet van verdere subverwerkers in een land buiten de EU toestemming vereist is in overeenstemming met Artikel 4. Beveiliging van deze Subverwerkersovereenkomst.
10. Informatieverplichting en audits
Op eerste verzoek stelt Subverwerker alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Subverwerkersovereenkomst zijn en worden nagekomen.
11. Terugbezorgen of wissen
Na afloop van de Subverwerkersovereenkomst draagt Subverwerker, naar gelang de keuze van Xxxxxxxxx, zorg voor het terugbezorgen aan Verwerker of het wissen van alle Persoonsgegevens. Subverwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.
12. Toepasselijk recht en bevoegde rechter
Op de Subverwerkersovereenkomst is Nederlands recht van toepassing. Geschillen over de inhoud en uitvoering van de Verwerkersovereenkomst zullen worden beslecht door de rechter binnen het arrondissement waar de Verwerker is gevestigd.
Amstelveen , DATUM | |
Het Vertaalbureau Xxxxx-Xxxxxxxx Xxxxxxx-Xxxxx | Vertaler NAAM |
De beschrijving van de verwerking van gegevens wordt opgemaakt door de opdrachtgever van Vertaalbureau Polydioma/Polytaal
B.V. De opdrachtgever bepaalt namelijk welke gegevens er worden verwerkt. De volgende gegevens kunnen worden verwerkt:
I. Categorieën persoonsgegevens
− Persoonlijke identificatiegegevens (NAW gegevens)
− Elektronische identificatiegegevens (IP adressen, cookies etc)
− Financiële identificatiegegevens (bankrekeningnummer etc)
− Bijzondere gegevens zoals genetische gegevens, biometrische gegevens, gegevens over ras of etniciteit, politieke opvattingen, medische gegevens etc.
II. Doel van de verwerking Algemene doeleinden zoals:
- Administratie van personeel en de tussenpersonen
- Klantbeheer
- Leveranciersbeheer
- Beveiliging
III. Bewaartermijn(en)
Wordt bepaald door de opdrachtgever van Vertaalbureau Polydioma/Polytaal B.V. of Vertaalbureau Polydioma/Polytaal B.V.
Verwerker heeft de volgende passende technische en organisatorische beveiligingsmaatregelen toegepast ten behoeve van de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst.
Maatregelen garanderen passende beveiliging gelet op:
- Stand van de techniek
- Uitvoeringskosten
- Aard, omvang, context en verwerkingsdoeleinden
- Waarschijnlijkheid en xxxxx xxx xxxxxx’x
Organisatorische maatregelen:
- Beleidsdocument
- Toewijzen van verantwoordelijkheden
- Trainingen
Technische maatregelen:
- Fysieke beveiliging
- Toegangsbeveiliging, inclusief systeembeheerders
- Logging (vastlegging) en controle
- Softwareontwikkeling
- Beheer van technische kwetsbaarheden
- Incidentenbeheer
- Afhandeling van datalekken en beveiligingsincidenten
- Continuïteitsbeheer
- Geheimhoudingsovereenkomsten
- Encryptie, het voorkomen van hashing en e-waste