sub-Verwerkersovereenkomst bijlage bij Algemene voorwaarden

sub-Verwerkersovereenkomst bijlage bij Algemene voorwaarden

Deze sub-Verwerkersovereenkomst maakt integraal onderdeel uit van de afspraken tussen Sunbytes BV en u als klant. Indien er geen afwijkede overeenkomst gesloten wordt is deze van toepassing.

Deze overeenkomst (hierna: “de Overeenkomst”) maakt onderdeel uit van Sunbytes BV zijn algemene voorwaarden.

Partijen

− U als klant (hierna: “Verwerker”);

− Sunbytes BV, gevestigd aan Xxxxxxxxxx 000 0.X.0 xx Xxxxxxx, ingeschreven bij de Kamer van Koophandel onder nummer 66873630 en rechtsgeldig vertegenwoordigd door de xxxx Xxxxxxx Xxxxxx (hierna: “Sub-Verwerker”);

in aanmerking nemende dat

• Verwerker in het kader van overeenkomsten met zijn opdrachtgevers, zijnde de verwerkingsverantwoordelijke (hierna: “Verwerkingsverantwoordelijke”) in de zin van artikel 4 lid 7 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”), persoonsgegevens verkrijgt teneinde deze te verwerken in de rol van Verwerker, en Verwerker voor de verwerking van (een deel) van deze persoonsgegevens Sub-Verwerker in wenst te schakelen;

• Verwerker aangemerkt kan worden als Verwerker in de zin van artikel 4 lid 8 AVG;

• Waar in deze overeenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 AVG bedoeld worden;

• Verwerker bepaalde vormen van verwerking wil laten verrichten door Sub-Verwerker;

• Sub-Verwerker hiertoe bereid is en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt;

• Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze sub-Verwerkersovereenkomst (hierna: “sub- Verwerkersovereenkomst”);

• Waar gerefereerd wordt aan bepalingen uit de AVG, tot 25 mei 2018 de corresponderende bepalingen uit de Wet bescherming persoonsgegevens (hierna: “Wbp”) worden bedoeld.

zijn als volgt overeengekomen

Artikel 1. Doeleinden van verwerking

1.1 Sub-Verwerker verbindt zich onder de voorwaarden van deze sub-Verwerkersovereenkomst in opdracht van Verwerker persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de werkzaamheden van Verwerker teneinde bouwen, onderhouden en uitbreiden van webapplicaties en websites, en die doeleinden die met nadere instemming worden bepaald te bereiken, zoals vastgelegd in de Overeenkomst.

1.2 De persoonsgegevens die door Verwerker in het kader van de Overeenkomst (zullen) worden verwerkt, en de categorieën betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1. Sub-Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerker en Verwerkingsverantwoordelijke is vastgesteld. Verwerker zal Sub- Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze sub-Verwerkersovereenkomst zijn genoemd.

1.3 De Sub-Verwerker neemt geen zelfstandige beslissingen over het verwerken van de persoonsgegevens. De zeggenschap over persoonsgegevens verstrekt aan Sub-Verwerker in het kader van deze sub-Verwerkersovereenkomst of andere overeenkomsten tussen partijen, alsmede over de door Sub-Verwerker in dat kader verwerkte gegevens, berust bij de Verwerkingsverantwoordelijke en Verwerker.

Artikel 2. Verplichtingen Sub-Verwerker

2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Sub-Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de Wbp en de AVG, worden gesteld aan het verwerken van persoonsgegevens.

2.2 Sub-Verwerker zal Verwerker, op diens verzoek daartoe en binnen een redelijke termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze sub-Verwerkersovereenkomst.

2.3 De verplichtingen van de Sub-Verwerker die uit deze sub-Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Sub-Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

2.4 Sub-Verwerker zal de Verwerker onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerker of Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.

Artikel 3. Doorgifte van persoonsgegevens

3.1 Sub-Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (hierna: “EER”). Doorgifte naar landen buiten de EER is enkel toegestaan wanneer dit op basis van de voorafgaande schriftelijke opdracht/toestemming van de Verwerkingsverantwoordelijke plaatsvindt, of er sprake is van een van de passende waarborgen in de zin van de AVG.

3.2 Door middel van akkoord op de deze overenkomst is er toestemming gegeven om gegevens te verwerken in het dochterbedrijf van Sunbytes in Vietnam (Sunbytes Co. Ltd. Geregistreerd in Ho Chi Minh City onder taks code 0311816866).

Artikel 4. Verdeling van verantwoordelijkheid

4.1 De toegestane verwerkingen zullen door Sub-Verwerker worden uitgevoerd binnen een (semi-)geautomatiseerde omgeving.

4.2 Sub-Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze sub-Verwerkersovereenkomst, overeenkomstig de instructies van Verwerker en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerker en Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerker aan Sub-Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Sub- Verwerker niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerkingsverantwoordelijke en/of Verwerker.

4.3 Verwerker staat er namens Verwerkingsverantwoordelijke en richting Sub-Verwerker voor in dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze sub-Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

4.4 Vanaf het moment dat de AVG op 25 mei 2018 van toepassing wordt, zullen Partijen een register bijhouden van de onder deze sub-Verwerkersovereenkomst geregelde verwerkingen.

Artikel 5. Inschakelen van derden of onderaannemers

5.1 Verwerker geeft Sub-Verwerker toestemming om bij de verwerking van persoonsgegevens, op grond van deze sub-Verwerkersovereenkomst, gebruik te maken van een derde met inachtneming van de toepasselijke privacywetgeving.

5.2 Op verzoek van Xxxxxxxxx zal Sub-Verwerker de Verwerker zo spoedig mogelijk informeren over de door haar ingeschakelde derden. Verwerker heeft het recht om tegen enige, door Sub-Verwerker ingeschakelde derden, bezwaar te maken. Wanneer Xxxxxxxxx bezwaar maakt tegen door de Sub-Verwerker ingeschakelde derden, zullen Partijen onderling in overleg treden om hiertoe tot een oplossing te komen.

5.3 Sub-Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerker en Sub-Verwerker zijn overeengekomen. Sub-Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf jegens Verwerker aansprakelijk voor alle schade alsof hij zelf de fout(en) heeft begaan.

Artikel 6. Beveiliging

6.1 Sub-Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

6.2 Sub-Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

6.3 Indien blijkt dat een noodzakelijke beveiligingsmaatregel ontbreekt, zal Sub-Verwerker ervoor zorgdragen dat de beveiliging voldoet aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

Artikel 7. Meldplicht

7.1 In het geval van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zal Sub-Verwerker Verwerker daarover onverwijld dan wel uiterlijk binnen vierentwintig (24) uur infomeren naar aanleiding waarvan de Verwerker beoordeelt of zij de Verwerkingsverantwoordelijke zal informeren of niet. Sub-Verwerker spant zich naar beste kunnen in om de verstrekte informatie zo volledig, correct en accuraat mogelijk vermelden.

7.2 Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de Verwerkingsverantwoordelijke.

7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede voor zover bekend bij Sub-Verwerker:

• de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden;

• wat de (vermeende) oorzaak is van het lek;

• de datum en het tijdstip waarop het lek bekend is geworden bij Sub-Verwerker of bij een door hem ingeschakelde derde of onderaannemer;

• het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);

• een omschrijving van de groep personen van wie gegevens zijn gelekt, inclusief het soort of de soorten persoonsgegevens die gelekt zijn;

• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;

• wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken;

• contactgegevens voor de opvolging van de melding.

Artikel 8. Rechten van betrokkenen

8.1 In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Sub-Verwerker, zal Sub-Verwerker het verzoek doorsturen aan Verwerker en de betrokkene hiervan op de hoogte stellen. Verwerker zal het verzoek vervolgens verder zelfstandig afhandelen. In het geval dat Verwerker de Sub-Verwerker inschakelt om het verzoek af te handelen of behulpzaam te zijn bij de afhandeling, dan kan Sub-Verwerker hiervoor kosten berekenen.

Artikel 9. Geheimhoudingsplicht

9.1 Op alle persoonsgegevens die Sub-Verwerker van Verwerker ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Sub-Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.

9.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerker uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze sub-Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 10. Audit

10.1 Verwerker heeft het recht om audits uit te laten voeren door een onafhankelijke ICT- deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze sub-Verwerkersovereenkomst.

10.2 Deze audit vindt uitsluitend plaatst nadat Verwerker de bij Sub-Verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerker geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Sub-Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze sub- Verwerkersovereenkomst door Sub-Verwerker. De door Verwerker geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verwerker, en maximaal eens per jaar plaats.

10.3 Sub-Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen. Verwerker zal er zorg voor dragen dat de audit een zo min mogelijk bedrijfsverstorend effect op de overige werkzaamheden van Sub-Verwerker veroorzaakt.

10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

10.5 De redelijke kosten voor de audit worden door de Verwerker gedragen, met dien verstande dat de kosten voor de in te huren derde altijd door Verwerker zullen worden gedragen.

10.6 Sub-Verwerker zal Verwerker ondersteunen bij de uitvoering van een Data Protection Impact Assessment (hierna: ‘DPIA’) door de Verwerkingsverantwoordelijke wanneer Sub-Verwerker dit op grond van de AVG verplicht is. Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Sub-Verwerker aan Verwerker,

voor het correct uitvoeren van de DPIA.

Artikel 11. Duur en beëindiging

11.1 Deze sub-Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

11.2 De sub-Verwerkersovereenkomst kan tussentijds niet worden opgezegd.

11.3 Partijen mogen deze sub-Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.

11.4 Na beëindiging van de sub-Verwerkersovereenkomst vernietigt Sub-Verwerker de van Verwerker ontvangen persoonsgegevens onverwijld, tenzij partijen anders overeenkomen.

11.5 Sub-Verwerker zal zijn volledige medewerking verlenen deze sub-Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving.

Artikel 12. Overige bepalingen

12.1 De sub-Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

12.2 Alle geschillen, die tussen Partijen mochten ontstaan in verband met de sub- Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement van de rechtbank die ook bevoegd is in het kader van de Overeenkomst te oordelen.

12.3 Indien één of meer bepalingen van de Verwerkersovereenkomst niet rechtsgeldig blijken te zijn, zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

12.4 Indien de privacywetgeving wijzigt, zullen partijen meewerken deze sub- Verwerkersovereenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen.

12.5 In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde:

1. de Overeenkomst;

2. deze sub-Verwerkersovereenkomst;

3. de Algemene Voorwaarden van Sub-Verwerker;

4. eventuele aanvullende voorwaarden.

Aldus overeengekomen en getekend,

Bijlage 1: Specificatie persoonsgegevens en betrokkenen

Persoonsgegevens

Sub-Verwerker zal in het kader van de Overeenkomst, de volgende (bijzondere) persoonsgegevens verwerken in opdracht van Xxxxxxxxx:

- Gewone persoonsgegevens

Voor overige type persoonsgegevens gaan we een aparte overeenkomst aan.

Verwerker staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Sub-Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.