OVEREENKOMST BETREFFENDE DE VERWERKING VAN PERSOONSGEGEVENS
OVEREENKOMST
BETREFFENDE DE VERWERKING VAN PERSOONSGEGEVENS
Tussen
Proximus NV van publiek recht,
Xxxxxx Xxxxxx XX-xxxx, 00, 0000 Xxxxxxx,
X.X.X. XX 0202.239.951, Rechtspersonenregister van Brussel,
hierbij vertegenwoordigd door Xxxx Xxxxxxx, Director Group Procurement, hierna 'Proximus' genoemd
en
............................................................................
Naam :
Adres van de hoofdzetel : ............................................................................
Postnummer en plaats : ............................................................................
Land : ............................................................................
Handelsregisternummer : ............................................................................
B.T.W.-nummer : ............................................................................
hierbij vertegenwoordigd door ............................................................................
hierna 'de Leverancier' genoemd Werd het volgende overeengekomen:
De partijen hebben overeenkomst nr. 46 XXXXXXXX gesloten voor de levering van bepaalde producten en/of diensten (hierna "de Diensten" genoemd). De overeenkomst en alle ondergeschikte documenten, bijlagen, annexen, schedules, Work Orders, Purchase Orders, amendementen en alle andere daarop volgende documenten die hierin zijn opgenomen, worden gezamenlijk "de Overeenkomst" genoemd.
Deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens, inclusief de GDPR-Bijlage, wordt een integraal onderdeel van de Overeenkomst en vervangt alle bestaande gegevensbeschermingsbepalingen in de Overeenkomst. In geval van conflict tussen de voorwaarden van de Overeenkomst en deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens, hebben de bepalingen van deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens voorrang.
ARTIKEL 1 – DE VERWERKING VAN PERSOONSGEGEVENS
1.1 De uitdrukkingen die worden gebruikt in deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens dragen de betekenis die eraan wordt toegekend in de EU-Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, hierna “GDPR” genaamd.
Het doel van deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens is ervoor te zorgen dat wordt voldaan aan de GDPR en enig andere toepasselijke wetgeving inzake gegevensbescherming, hierna de "Gegevensbeschermingswetgeving" genoemd
Deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens is van toepassing als Proximus direct of indirect, bijvoorbeeld via Proximus-personeel, Proximus-klanten of eindgebruikers van klanten, persoonsgegevens verstrekt of ter beschikking stelt aan de Leverancier in verband met zijn levering van Diensten, zonder enige beperking van de vertrouwelijkheidsbepalingen welke reeds zijn overeengekomen tussen Proximus en de Leverancier.
Met betrekking tot deze persoonsgegevens, zal de Leverancier in principe optreden als verwerker en Proximus als verwerkingsverantwoordelijke.
1.2 Onderwerp, duur, aard en doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van Proximus
De persoonsgegevens worden verwerkt om Proximus de Diensten te leveren zoals beschreven in de Overeenkomst.
De verwerking bestaat uit alle gegevensverwerkingsactiviteiten die worden uitgevoerd volgens de instructies van Xxxxxxxx en die nodig zijn om de Diensten te leveren aan Proximus.
De categorieën van gegevens, die door de Leverancier verwerkt zullen worden, zijn beperkt tot de persoonsgegevens die nodig zijn om de Diensten te leveren aan Proximus en zullen in de GDPR-Bijlage bij deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens worden beschreven.
De Leverancier zal Xxxxxxxx onmiddellijk schriftelijk in kennis stellen in het geval de Leverancier vaststelt dat hem persoonsgegevens worden gecommuniceerd, door of namens Xxxxxxxx, die de Leverancier redelijkerwijs niet mag ontvangen in het kader van het leveren van de diensten aan Xxxxxxxx.
De persoonsgegevens kunnen betrekking hebben op Proximus-medewerkers, Proximus-klanten, eindgebruikers van Proximus-klanten, potentiële klanten van Proximus of andere categorieën zoals beschreven in de Overeenkomst.
De duur van de verwerking is beperkt tot de duur beschreven in de Overeenkomst. De verplichtingen van de Leverancier met betrekking tot de verwerking van gegevens zullen in ieder geval blijven bestaan tot de persoonsgegevens correct zijn gewist of tot ze werden teruggegeven aan Xxxxxxxx op haar verzoek.
Met betrekking tot de persoonsgegevens heeft Proximus de rechten en verplichtingen van een verwerkingsverantwoordelijke zoals bepaald in de GDPR en de Gegevensbeschermingswetgeving, in de Overeenkomst en in deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens.
De persoonsgegevens blijven te allen tijde eigendom van Xxxxxxxx.
1.3 Rechten en verplichtingen van de Leverancier
De Leverancier biedt te allen tijde tijdens de uitvoering van deze Overeenkomst voldoende garanties voor zijn naleving van de GDPR-vereisten en de vereisten van de Gegevensbeschermingswetgeving.
De Leverancier zal de persoonsgegevens voor geen andere doeleinden verwerken dan deze die strikt noodzakelijk zijn voor de uitvoering van zijn verplichtingen bepaald in de Overeenkomst en zal de persoonsgegevens verwerken overeenkomstig de gedocumenteerde instructies van Proximus die zijn gegeven in de Overeenkomst of op een andere wijze tijdens de uitvoering van deze Overeenkomst, tenzij hij daartoe verplicht wordt door de wetgeving van de EU of van de EU-lidstaat waaraan de Leverancier is onderworpen. In dat laatste geval zal de Leverancier Proximus van die wettelijke vereiste in kennis stellen voor aanvang van de verwerking, tenzij deze wet verbiedt dat dergelijke informatie wordt verstrekt om belangrijke redenen van algemeen belang.
De Leverancier zal de persoonsgegevens strikt vertrouwelijk behandelen in overeenstemming met de bepalingen betreffende Vertrouwelijkheid in deze Overeenkomst of in enig ander toepasselijk contract tussen Proximus en de Leverancier en zal ervoor zorgen dat alle vertegenwoordigers die de toelating hebben om de persoonsgegevens te verwerken in overeenstemming met de bepalingen van de Overeenkomst en deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens :
(a) geïnformeerd zijn over de vertrouwelijke aard van de persoonsgegevens,
(b) een gepaste opleiding in verband met de gegevensbeschermingswetgeving hebben gekregen,
(c) onderworpen zijn aan een gebruikersauthenticatie en een aanmeldingsprocedure om toegang te krijgen tot de persoonsgegevens,
(d) en zichzelf verbonden hebben tot een vertrouwelijkheidsverplichting of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, die niet minder streng is dan deze beschreven in de Overeenkomst en deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens.
De Leverancier beperkt de toegang tot persoonsgegevens tot zijn vertegenwoordigers die deze gegevens nodig hebben om de aan hen toegewezen taken te verrichten voor de uitvoering van de verplichtingen van de
Leverancier bepaald in de Overeenkomst en zal de toegang tot persoonsgegevens voor dergelijke vertegenwoordigers beperken tot wat strikt noodzakelijk is om hun taken in opdracht van de Leverancier uit te voeren (met uitsluiting van elke toegang tot persoonsgegevens die niet strikt noodzakelijk is voor die vertegenwoordiger om zijn deel van de Diensten uit te voeren).
De Leverancier zal de passende technische en organisatorische maatregelen nemen:
• om Proximus bij te staan bij haar verplichting om te antwoorden op verzoeken van de betrokkenen om hun rechten, vastgelegd in hoofdstuk III van de GDPR, uit te oefenen, zoals hun recht van inzage, hun recht op rectificatie, gegevenswissing, beperking van de verwerking, overdraagbaarheid van gegevens en hun recht van bezwaar tegen verwerking van hun persoonsgegevens, of enig ander verzoek, klacht of communicatie met betrekking tot de verplichtingen van Proximus onder het GDPR;
• om Xxxxxxxx onmiddellijk te informeren over dergelijke verzoeken die de Leverancier rechtstreeks van de betrokkenen heeft ontvangen;
• om alle gegevens, opgevraagd door Xxxxxxxx, aan te leveren binnen het tijdschema gespecifieerd door Xxxxxxxx
• en, indien van toepassing, dusdanige bijstand te verlenen zodat Xxxxxxxx in staat is te voldoen aan de desbetreffende verzoeken binnen het tijdschema.
De Leverancier zal, op eigen kosten, en rekening houdend met de aard van de verwerking en de informatie waarover hij beschikt, Proximus bijstaan om te voldoen aan de verplichtingen die verband houden met:
• de beveiliging van de verwerking volgens de toepasselijke wetten,
• de verplichtingen inzake het melden van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteiten en de betrokkene,
• en het uitvoeren van enige gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging van de toezichthoudende autoriteiten die Proximus verplicht is te doen.
1.4 Beveiliging van de verwerking
De Leverancier zal passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beschermen tegen een inbreuk die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging, de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot de doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens en om een passend beveiligingsniveau te verzekeren, rekening houdend met de verwerkingsrisico's, zoals onder andere:
(a) de pseudonimisering en versleuteling van persoonsgegevens;
(b) het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
(c) het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
(d) een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
De Leverancier zal de maatregelen treffen om ervoor te zorgen dat elke natuurlijke persoon, die handelt onder zijn gezag en toegang heeft tot persoonsgegevens, deze niet verwerkt, behalve op instructies van Xxxxxxxx, tenzij de verwerking verplicht is volgens de wetgeving van de Unie of van de lidstaat.
De Leverancier zal de maatregelen toepassen en respecteren die zijn beschreven in de specifieke bepalingen inzake Security in de Overeenkomst.
1.5 Het einde van de gegevensverwerking
Zodra het niet langer vereist is voor de nakoming van de verplichtingen van de Leverancier in het kader van de Overeenkomst en uiterlijk aan het einde van deze Overeenkomst, zal de Leverancier alle persoonsgegevens die hij heeft verwerkt bij de uitvoering van de Overeenkomst en enige kopie ervan, naar behoren wissen of, indien
het door Xxxxxxxx wordt gevraagd, aan het einde van de uitvoering teruggeven aan Xxxxxxxx, tenzij de wetgeving van de EU of EU-lidstaat de bewaring van de persoonsgegevens vereist.
Onmiddellijk na het wissen van de persoonsgegevens (wat betekent dat dergelijke persoonsgegevens niet kunnen worden hersteld of gereconstrueerd) zal de Leverancier aan Proximus schriftelijk bevestigen dat deze persoonsgegevens werden gewist.
Indien de Leverancier de persoonsgegevens niet kan vernietigen of wissen vanwege technische redenen, zal de Leverancier Proximus hiervan onmiddellijk op de hoogte stellen en alle nodige stappen nemen om:
(I) zo dicht mogelijk te komen tot een volledige en permanente verwijdering van de persoonsgegevens en tot het volledig en effectief anonimiseren van de resterende gegevens;
(II) en om de resterende persoonlijke gegevens, die niet verwijderd of effectief geanonimiseerd konden worden, niet beschikbaar maken voor verdere verwerking.
1.6 Indienstneming van een sub-processor (idem GDPR's 'andere verwerker')
De Leverancier mag geen sub-processor in dienst nemen zonder voorafgaande specifieke schriftelijke toestemming van Xxxxxxxx. Proximus geeft geen algemene schriftelijke toestemmingen.
De Leverancier zal Proximus tenminste een maand op voorhand schriftelijk informeren over zijn voornemen om een sub-processor in dienst te nemen met vermelding van de identiteit van de sub-processor, de plaats waar de persoonsgegevens door deze sub-processor worden verwerkt en over welke gegevensverwerkingsactiviteiten het gaat.
De Leverancier zal een adequaat zorgvuldigheidsonderzoek (due diligences) van deze sub-processor uitvoeren om er zich van te verzekeren dat de sub-processor in staat is om het niveau van persoonsgegevensbescherming, zoals vereist in deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens, op te leveren en zal het bewijs van dit zorgvuldigheidsonderzoek aan Proximus bezorgen.
Wanneer de Leverancier een sub-processor in dienst neemt voor het uitvoeren van specifieke gegevensverwerkingsactiviteiten namens Proximus, worden dezelfde gegevensbeschermingsverplichtingen als deze tussen Proximus en de Leverancier, zoals omschreven in deze Overeenkomst, door middel van een contract aan deze sub-processor opgelegd.
Wanneer de sub-processor zijn gegevensbeschermingsverplichtingen niet nakomt, blijft de Leverancier volledig aansprakelijk ten opzichte van Proximus voor de uitvoering van de verplichtingen van de sub-processor.
1.7 Doorgifte van persoonsgegevens buiten de Europese Economische Ruimte
De Leverancier of zijn sub-processor zal de persoonsgegevens niet doorgeven buiten de Europese Economische Ruimte en zal de toegang tot de persoonsgegevens verhinderen vanuit een land dat niet tot de Europese Economische Ruimte behoort, met uitzondering van landen die een adequaat niveau van gegevensbescherming verzekeren volgens een adequaatheidsbesluit, van de Europese Commissie, waarover de Leverancier Proximus zal informeren.
De Leverancier kan uitzonderlijk de toelating krijgen om de persoonsgegevens door te geven buiten de Europese Economische Ruimte onder de volgende twee cumulatieve voorwaarden:
1. De voorafgaande specifieke schriftelijke toestemming van Xxxxxxxx;
2. Er zijn passende waarborgen in overeenstemming met het GDPR geïmplementeerd, zoals bijvoorbeeld:
• de ondertekening van de modelcontractbepalingen van de Europese Commissie voor de doorgifte van persoonsgegevens naar verwerkers in derde landen (2010/87/EU)
• of goedgekeurde bindende bedrijfsvoorschriften,
• of toetreding tot een goedgekeurde gedragscode, ...
In geval van doorgifte van de persoonsgegevens naar de sub-processor van de Leverancier die buiten de EER is gevestigd, worden de modelcontractbepalingen van de Europese Commissie (2010/87/EU) ondertekend tussen Proximus en de sub-processor. Het is de verantwoordelijkheid van Leverancier om de nodige stappen te
ondernemen om de ondertekening van de modelcontractbepalingen van de Europese Commissie tussen Proximus en de sub-processor te faciliteren.
De doorgifte buiten de EER zal onmiddellijk ophouden vanaf het moment dat het adequaatheidsbesluit van de Europese Commissie of de waarborgen niet meer geldig zijn of de toepassingsvoorwaarden ervan niet langer worden vervuld.
1.8 Inbreuk in verband met persoonsgegevens
Onmiddellijk na de detectie van een inbreuk in verband met persoonsgegevens of van omstandigheden die waarschijnlijk aanleiding kunnen geven tot een inbreuk in verband met persoonsgegevens, in het kader van de Diensten door de Leverancier geleverd aan Proximus, zal de Leverancier Proximus op de hoogte brengen van de (waarschijnlijke) inbreuk. De Leverancier zal dit binnen een tijdschema en op dusdanige manier doen zodat Proximus kan voldoen aan enige verplichtingen onder GDPR en de Gegevensbeschermingswetgeving om een inbreuk in verband met persoonsgegevens te melden.
Hiervoor zal de Leverancier een email gemarkeerd als "highly important” en “immediate follow up” sturen naar het Proximus Computer Security Incident Response Team via het emailadres: xxxxx@Xxxxxxxx.xxx .
Deze email bevat tenminste de volgende informatie: samenvatting, omstandigheden en aard van het incident, de inhoud en het aantal betrokken persoonsgegevens (records), categorieën en aantal betrokken personen, mogelijke gevolgen, genomen of voorgestelde maatregelen om de effecten van de inbreuk te beperken, datum en uur van het incident en van de detectie van het incident, en de contactgegevens van de functionaris voor gegevensbescherming of enig ander relevant contact van wie meer informatie kan worden verkregen. De Leverancier zal onmiddellijk reageren op eventuele aanvullende vragen van Xxxxxxxx betreffende het incident en zal alle redelijke maatregelen, die door Proximus vereist worden, nemen om de inbreuk in verband met persoonsgegevens aan te pakken en de mogelijke schadelijke effecten ervan te beperken. Onverminderd het voorgaande zal de Leverancier in ieder geval samenwerken met Proximus en de redelijke commerciële stappen nemen zoals bepaald door Xxxxxxxx om te assisteren bij het onderzoeken, beperken en verhelpen van een inbreuk in verband met persoonsgegevens.
1.9 Audit, naleving, klachten en samenwerking met de Toezichthoudende Autoriteit en Aangewezen Vertegenwoordiger
De Leverancier zal meewerken en bijdragen aan audits en inspecties uitgevoerd door Proximus of een door Proximus aangewezen auditor.
Proximus of een door Proximus aangewezen auditor kunnen, mits redelijke voorafgaande kennisgeving, de bedrijfsruimte of locaties betreden waar de persoonsgegevens door de Leverancier worden verwerkt en alle relevante records, processen en systemen inspecteren, controleren en kopiëren om de naleving van de GDPR en de Gegevensbeschermingswetgeving en deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens te verifiëren.
De Leverancier zal volledig samenwerken en op verzoek van Xxxxxxxx alle informatie die nodig is om aan te tonen dat aan de verplichtingen van GDPR en de Gegevensbeschermingswetgeving onder deze Overeenkomst is voldaan, ter beschikking stellen.
De Leverancier zal Xxxxxxxx onmiddellijk in kennis stellen indien een klacht, beschuldiging of verzoek betreffende de verwerking door de Leverancier van de persoonsgegevens, de verwerkingsactiviteiten van de Leverancier beïnvloedt. De Leverancier zal alle medewerking en bijstand bieden die Proximus redelijkerwijs nodig heeft in verband met een dergelijke klacht, beschuldiging of verzoek.
De Leverancier zal samenwerken met de bevoegde toezichthoudende autoriteit.
Als de Leverancier niet in de Europese Economische Ruimte is gevestigd, benoemt de Leverancier zijn GDPR- vertegenwoordiger in België en bezorgt hij Proximus de contactgegevens van zijn GDPR-vertegenwoordiger in de GDPR-Bijlage bij deze Overeenkomst.
1.10 Aansprakelijkheid en verwerking van persoonsgegevens
De Leverancier erkent dat de verplichtingen van deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens essentieel zijn en dat een overtreding ervan Proximus ernstig zal schaden.
De Leverancier is volledig en hoofdelijke aansprakelijk voor alle schade die voortvloeit uit een falen van zijn kant of van de kant van zijn sub-processor om te voldoen aan de bepalingen van deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens en de Leverancier zal Proximus schadeloos stellen en vrijwaren voor alle uitgaven, verliezen, kosten en schade die daaruit voortvloeien.
Indien een persoon op wie persoonsgegevens betrekking hebben, een vordering tot schadevergoeding tegen Proximus indient en dergelijke vordering is te wijten aan het feit dat de Leverancier niet voldoet aan de bepalingen van deze Overeenkomst Betreffende De Verwerking Van Persoonsgegevens, dan zal de Leverancier op verzoek van Xxxxxxxx tussenkomen in de verdediging van Proximus en zal de Leverancier Proximus schadeloos stellen en vrijwaren voor alle uitgaven, verliezen, kosten en schade.
Opgemaakt te ..................... op in twee (2) originele exemplaren, waarvan elke Partij verklaart een
geldig ondertekend exemplaar te hebben ontvangen.
Voor Proximus, | Voor de Leverancier, | ||
Naam | Xxxx Xxxxxxx | Naam | …………………………….. |
Titel | Director Group Procurement | Titel | …………………………….. |
Datum | Datum | …………………………….. | |
Handtekening | Handtekening |
GDPR-Bijlage : GDPR SPECIFICATIES VAN DE DATAVERWERKING
Instructies voor degene die deze GDPR-Bijlage invult:
De onderdelen in GELE ACHTERGROND ZIJN SLECHTS VOORBEELDEN en moeten vervangen worden met de feitelijke gegevens die overeenkomen met de werkelijkheid. Met feitelijke gegevens worden bedoeld : de concrete namen, adres, datum, cijfers, referenties, specificaties, ...
A.1 Document welke de diensten beschrijft
Overeenkomst nr. 46 XXXXXXXX
A.2 Het onderwerp van de verwerking
( bijvoorbeeld marketing, profilering, verzekering, IT systems management, connectie van smartphone of 4G netwerk, payroll, organisatie van trainingen, verwerking verkeersboetes, … )
A.3 De aard en het doel van de verwerking
( bijvoorbeeld data inventarisatie, data verwerken in een Cloud omgeving, onderhoud en bijwerken van IT data systemen, samenvoegen van data, anonimiseren, in SAP, … )
( e-mailing, salarisberekeningen, contract management, technische database, testen van software, … )
A.4 Het soort persoonsgegevens
( contactgegevens, emailadres, naam en voornaam, telefoonnummer, fysisch adres, financiële gegevens, bijzondere categorieën van gegevens rijksregisternummer, IMEI nummer van smartphone, kredietkaartnummer, … )
A.5 De categorieën van betrokkenen
( business contactpersonen, klanten, werknemers, privé personen, kinderen, volwassenen, gepensioneerden, gehandicapten, … )
A.6 Contactpersonen van de leverancier voor het verwerken van persoonsgegevens
Namen en contactgegevens
⮚ de GDPR verantwoordelijken van de leverancier
⮚ de Data Protection Officer (DPO) van de leverancier
⮚ de contactpersoon van de leverancier voor de toezichthoudende overheid
Als de leverancier gevestigd is buiten de Europese Unie
⮚ de GDPR vertegenwoordiger, die gevestigd is binnen de Europese Unie en benoemd door de leverancier
A.7 Fysische locatie van de verwerking door de leverancier
( welke data op welke locatie via welk datastromen, waar wordt de data fysiek opgeslagen en vanaf waar is de data toegankelijk, binnen of buiten EU, betrokken jurisdicties, … )
A.8 Identiteit van de leverancier zijn sub-processor
Indien niet van toepassing, gelieve “niet van toepassing” te vermelden
De sub-processor is niet mogelijk zonder een voorafgaande schriftelijke specifieke toestemming van Xxxxxxxx.
Naam, adres van de hoofdzetel, handelsregisternummer, B.T.W.-nummer van de sub-processor.
Namen en contactgegevens van sub-processor
⮚ de GDPR verantwoordelijken van de sub-processor
⮚ de Data Protection Officer (DPO) van de sub-processor
⮚ de contactpersoon van de sub-processor voor de toezichthoudende overheid
Als de leverancier gevestigd is buiten de Europese Unie
⮚ contactgegevens van de GDPR vertegenwoordiger (van de sub-processor), die gevestigd is binnen de Europese Unie en benoemd door de sub-processor
A.9 Fysische locatie en specificaties van de verwerking door de leverancier zijn andere verwerker (= sub-processor)
Indien niet van toepassing, gelieve “niet van toepassing” te vermelden
( welke data op welke locatie via welk datastromen, waar wordt de data fysiek opgeslagen en vanaf waar is de data toegankelijk, binnen of buiten EU, betrokken jurisdicties, … )
( welke exact deel van de verwerking zal gebeuren door de sub-processor, gedetailleerde specificaties van dit deel, … )