Sub)-verwerkersovereenkomst
(Sub)-verwerkersovereenkomst
Deze (sub)-verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen Partijen overeengekomen op [23-5-2018] (hierna: “de Overeenkomst”).
Partijen
− Opdrachtgever, hierna: “Verwerker”;
− AVS Administratie, gevestigd aan te Joure, ingeschreven bij de Kamer van Koophandel onder nummer 01067518 en rechtsgeldig vertegenwoordigd door de heer/xxxxxxx Xxxxxx Xxxxxxx (hierna: “Sub-Verwerker”);
in aanmerking nemende dat
• Verwerker in het kader van overeenkomsten met zijn opdrachtgevers, zijnde de verwerkingsverantwoordelijke (hierna: “Verwerkingsverantwoordelijke”) in de zin van artikel 4 lid 7 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”) persoonsgegevens verkrijgt teneinde deze te verwerken in de rol van Verwerker, en Verwerker voor de verwerking van (een deel) van deze persoonsgegevens Sub-Verwerker in wenst te schakelen;
• Verwerker aangemerkt kan worden als Verwerker in de zin van artikel 4 lid 8 AVG;
• Waar in deze overeenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 AVG bedoeld worden;
• Verwerkingsverantwoordelijke de doeleinden en middelen aanwijst voor de verwerking en waarvoor de hierin genoemde voorwaarden gelden, en Verwerker naleving van deze doeleinden en middelen middels deze overeenkomst ook oplegt aan Sub-Verwerker;
• Verwerker bepaalde vormen van verwerking wil laten verrichten door de Sub-Verwerker;
• Sub-Verwerker hiertoe bereid is en tevens bereid is zorgvuldig met de persoonsgegevens om te gaan en overige verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen;
• Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze sub-verwerkersovereenkomst (hierna: “Sub- Verwerkersovereenkomst”);
• Waar gerefereerd wordt aan bepalingen uit de AVG, tot 25 mei 2018 de corresponderende bepalingen uit de Wet bescherming persoonsgegevens (hierna: “Wbp”) worden bedoeld.
zijn als volgt overeengekomen
Artikel 1. Doeleinden van verwerking
1.1 Sub-Verwerker verbindt zich onder de voorwaarden van deze Sub-Verwerkersovereenkomst in opdracht van Verwerker persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de werkzaamheden van Verwerker teneinde (salaris)administratie van opdrachtgever, en die doeleinden die met nadere instemming worden bepaald te bereiken, zoals vastgelegd in de Overeenkomst.
1.2 De persoonsgegevens die door Verwerker in het kader van de Overeenkomst (zullen) worden verwerkt, en de categorieën betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage
1. Sub-Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerker en Verwerkingsverantwoordelijke is vastgesteld. Verwerker zal Sub-Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Sub- Verwerkersovereenkomst zijn genoemd.
1.3 De Sub-Verwerker neemt geen zelfstandige beslissingen over het verwerken van de persoonsgegevens. De zeggenschap over persoonsgegevens verstrekt aan Sub-Verwerker in het kader van deze Sub-Verwerkersovereenkomst of andere overeenkomsten tussen partijen, alsmede over de door Sub-Verwerker in dat kader verwerkte gegevens, berust bij de Verwerkingsverantwoordelijke en Verwerker.
Artikel 2. Verplichtingen Sub-Verwerker
2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Sub-Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de Wbp en de AVG, worden gesteld aan het verwerken van persoonsgegevens.
2.2 Sub-Verwerker zal Xxxxxxxxx, op diens eerste verzoek daartoe, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Sub-Verwerkersovereenkomst, de Wbp en de AVG.
2.3 De verplichtingen van de Sub-Verwerker die uit deze Sub-Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag of in opdracht van Sub-Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.
2.4 Sub-Verwerker vrijwaart Verwerker van eventuele claims en procedures van derde partijen, waaronder uitdrukkelijk begrepen toezichthouders zoals de Autoriteit Persoonsgegevens en betrokkenen, gebaseerd op of voortvloeiend uit een schending van de Wbp, de AVG en/of deze Sub-Verwerkersovereenkomst.
2.5 Sub-Verwerker zal de Verwerker onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerker of Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.
Artikel 3. Doorgifte van persoonsgegevens
3.1 Sub-Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (hierna: “EER”). Doorgifte naar landen buiten de EER is niet toegestaan zonder voorafgaande schriftelijke toestemming van Verwerker. Verwerker mag aan deze toestemming nadere voorwaarden verbinden.
3.2 Sub-Verwerker zal Verwerker op dienst eerste verzoek melden in welk land of landen de persoonsgegevens worden verwerkt.
Artikel 4. Verdeling van verantwoordelijkheid
4.1 De toegestane verwerkingen zullen door Sub-Verwerker worden uitgevoerd binnen een (semi-
)geautomatiseerde omgeving.
4.2 Sub-Verwerker is verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Sub- Verwerkersovereenkomst, overeenkomstig de instructies van Verwerker en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerker en Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerker aan Sub-Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Sub-Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerkingsverantwoordelijke en/of Verwerker.
Artikel 5. Inschakelen van derden of onderaannemers
5.1 Sub-Verwerker mag in het kader van de Verwerkersovereenkomst gebruik maken van een derde, mits Verwerker hiervoor voorafgaande schriftelijke toestemming heeft verleend. Verwerker zal deze toestemming uitsluitend niet geven in het geval dat daar gegronde redenen voor zijn, die het inschakelen van de derde kunnen verbieden.
5.2 Sub-Verwerker zorgt er onvoorwaardelijk voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerker en Sub-Verwerker zijn overeengekomen. Sub-Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf jegens Verwerker aansprakelijk voor alle schade alsof hij zelf de fout(en) heeft begaan.
Artikel 6. Beveiliging
6.1 Sub-Verwerker zal passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
6.2 Sub-Verwerker zal de beveiliging laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
6.3 Sub-Verwerker heeft in ieder geval de volgende maatregelen genomen:
• logische toegangscontrole, gebruik makend van wachtwoorden;
• fysieke maatregelen voor toegangsbeveiliging;
• automatische logging van alle handelingen rond de persoonsgegevens;
• encryptie (versleuteling) van digitale bestanden met persoonsgegevens;
• organisatorische maatregelen voor toegangsbeveiliging;
• beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;
• doelgebonden toegangsbeperkingen;
• controle op toegekende bevoegdheden;
• maatregelen ter preventie van top 10-bedreigingen zoals geformuleerd door OWASP.
6.4 Sub-Verwerker zal te allen tijde een passend en actueel beveiligingsbeleid hanteren waarin de technische en organisatorische beveiligingsmaatregelen zijn uitgewerkt. Sub-Verwerker zal Xxxxxxxxx, op diens eerste verzoek, inzage verschaffen in het beveiligingsbeleid.
Artikel 7. Meldplicht
7.1 In het geval van (het vermoeden van) een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zal Sub-Verwerker de Verwerker daarover onverwijld dan wel uiterlijk binnen twaalf (12) uur infomeren naar aanleiding waarvan de Verwerker beoordeelt of zij de Verwerkingsverantwoordelijke zal informeren of niet. Sub-Verwerker zal de verstrekte informatie zo volledig, correct en accuraat mogelijk vermelden. De meldplicht geldt ongeachte de impact van het lek.
7.2 Indien gewenst, zal Sub-Verwerker meewerken aan het informeren van de Verwerker.
7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede:
• de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden);
• wat de (vermeende) oorzaak is van het lek;
• wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• de datum en het tijdstip waarop het lek bekend is geworden bij Sub-Verwerker of bij een door hem ingeschakelde derde of onderaannemer;
• het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);
• een omschrijving van de groep personen van wie gegevens zijn gelekt, inclusief het soort of de soorten persoonsgegevens die gelekt zijn;
• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
• wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken;
• contactgegevens voor de opvolging van de melding.
Artikel 8. Rechten van betrokkenen
8.1 In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Sub-Verwerker, zal Sub-Verwerker het verzoek doorsturen aan Verwerker en de betrokkene hiervan op de hoogte stellen. Verwerker zal het verzoek vervolgens verder zelfstandig afhandelen.
8.2 Sub-Verwerker zal Verwerker, waar nodig, ondersteunen om de betrokkene in staat te stellen zijn/haar wettelijke rechten uit te oefenen.
Artikel 9. Geheimhoudingsplicht
9.1 Op alle persoonsgegevens die Sub-Verwerker van Verwerker ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Sub- Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
9.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerker uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken
van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Sub-Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
Artikel 10. Audit
10.1 Verwerker heeft het recht om audits uit te voeren of uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Sub- Verwerkersovereenkomst, en alles dat daarmee verband houdt.
10.2 Deze audit mag in ieder geval eens per jaar plaatsvinden en daarnaast tevens bij een concreet vermoeden van misbruik van persoonsgegevens.
10.3 Sub-Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.
10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door partijen in onderling overleg worden beoordeeld. Als de audit daartoe aanleiding geeft, dan zal Sub-Verwerker volgens de instructies van Verwerker aanpassingen verrichten.
10.5 De kosten van de audit worden door Sub-Verwerker gedragen indien er niet conform de Sub- Verwerkersovereenkomst blijkt te zijn gewerkt, en/of er fouten worden gevonden in de bevindingen, die toegerekend moeten worden aan Sub-Verwerker. In ieder ander geval zullen beide partijen de eigen kosten van de audit dragen.
10.6 Sub-Verwerker zal Verwerker ondersteunen bij de uitvoering van een Privacy Impact Assessment (hierna: ‘PIA’) door Verwerkingsverantwoordelijke wanneer dit noodzakelijk blijkt te zijn. Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Sub-Verwerker aan Verwerker, voor het correct uitvoeren van de PIA door Verwerkingsverantwoordelijke.
Artikel 11. Duur en beëindiging
11.1 Deze Sub-Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
11.2 De Sub-Verwerkersovereenkomst kan tussentijds niet worden opgezegd.
11.3 Partijen mogen deze Sub-Verwerkersovereenkomst alleen wijzigen met wederzijdse schriftelijke instemming.
11.4 Na beëindiging van de Sub-Verwerkersovereenkomst vernietigt Sub-Verwerker de van Verwerker ontvangen persoonsgegevens onverwijld, tenzij partijen anders overeen komen.
11.5 Sub-Verwerker zal zijn volledige medewerking verlenen deze Sub-Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving.
Artikel 12. Overige bepalingen
12.1 De Sub-Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
12.2 Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Sub- Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het
arrondissement van de rechtbank die ook bevoegd is in het kader van de Overeenkomst te oordelen.
12.3 Indien één of meer bepalingen van de Sub-Verwerkersovereenkomst niet rechtsgeldig blijken te zijn, zal de Sub-Verwerkersovereenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
12.4 Indien de privacywetgeving wijzigt, zullen partijen meewerken deze Sub-Verwerkersovereenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen.
12.5 In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:
1. de Overeenkomst;
2. deze (Sub)-Verwerkersovereenkomst;
3. de Algemene Voorwaarden van Verwerker;
4. eventuele aanvullende voorwaarden.
Bijlage 1: Specificatie persoonsgegevens en betrokkenen
Persoonsgegevens
Sub-Verwerker zal in het kader van de Overeenkomst, de volgende (bijzondere) persoonsgegevens verwerken van werknemers in opdracht van Verwerker:
- NAW gegevens
- Telefoonnummer
- Burgerservicenummer (BSN)
- Geslacht
- Geboortedatum
- Geboorteplaats
- E-mailadres
- Financiële gegevens