MENU

GDPR NL

Subverwerkersovereenkomst

De ondergetekenden,

  1. Het Vertaalbureau f.a.x. Translations b.v., gevestigd te 9743 AN, Groningen, aan de Energieweg 9A (hierna: “de Verwerker”), ten deze rechtsgeldig vertegenwoordigd door J.W.L. Oorebeek;

    en

  2. De vertaler, tolk of proeflezer (hierna: “de Subverwerker”), hierna gezamenlijk te noemen: "Partijen";

In aanmerking nemende dat:

  1. partijen in deze Subverwerkersovereenkomst de afspraken over de verwerking van persoonsgegevens door Subverwerker in de toekomstige door Subverwerker op te maken documenten wensen vast te leggen;

  2. de begrippen met een hoofdletter aangeduid zullen in deze Subverwerkersovereenkomst de betekenis hebben, welke de Algemene Verordening Gegegensbescherming (hierna: AVG) en de Autoriteit Persoonsgegevens (hierna: AP) aan deze toekent;

  3. waar in deze Subverwerkersovereenkomst wordt verwezen naar de vrouwelijke vorm wordt in voorkomende gevallen tevens de mannelijke vorm bedoeld;

  4. partijen, mede gelet op het vereiste uit artikel 28 lid 3 van de AVG, hun wederzijdse rechten en plichten schriftelijk wensen vast te leggen middels deze Subverwerkersovereenkomst.

Komen overeen:
1. Toepasselijkheid

  1. 1.1.  Deze Subverwerkersovereenkomst heeft betrekking op de Verwerking van Persoonsgegevens door Subverwerker in opdracht van de Verwerker in het kader van de uitvoering van de Hoofdovereenkomst met de Subverwerker.

  2. 1.2.  Subverwerker is bekend met de aard en het doel van de Verwerking, het soort Persoonsgegevens, de categorieën van Persoonsgegevens, de Betrokkenen en de Ontvangers van de te Verwerken documenten.

1.3. Subverwerker garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens uit de AVG en voor de branche relevante (privacy)wetgeving.

2. Duur en beëindiging

  1. 2.1.  Deze Subverwerkersovereenkomst treedt in werking op het moment waarop deze door

    Partijen is ondertekend via de Overeenkomst inzake AVG.

  2. 2.2.  De Subverwerkersovereenkomst eindigt op het moment dat de Hoofdovereenkomst met de Verwerkingsverantwoordelijke eindigt.

  3. 2.3.  Geen van Partijen kan deze Subverwerkersovereenkomst los van de Hoofdovereenkomst tussentijds opzeggen.

  4. 2.4.  Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Subverwerkersovereenkomst voort te duren, blijven na beëindiging van deze Subverwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.

3. Verwerking

  1. 3.1.  Subverwerker Verwerkt de Persoonsgegevens uitsluitend in opdracht en op basis van schriftelijke instructies van Verwerker behoudens afwijkende wettelijke voorschriften die op Subverwerker van toepassing zijn. Subverwerker Verwerkt de Persoonsgegevens niet langer of uitgebreider dan noodzakelijk voor de uitvoering van de Hoofdovereenkomst.

  2. 3.2.  Indien een instructie als bedoeld in het eerste lid van dit artikel naar het oordeel van Subverwerker in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt zij Verwerker daarvan voorafgaand aan de Verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.

  3. 3.3.  Indien Subverwerker op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert zij Verwerker onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.

  4. 3.4.  Subverwerker zorgt ervoor dat alleen haar Medewerkers toegang hebben tot de Persoonsgegevens, tenzij Subverwerker gebruik maakt van de verdere subverwerkers waarvoor toestemming van de Verwerker conform artikel 9 van deze Subverwerkersovereenkomst nodig is.

  5. 3.5.  Subverwerker beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. Subverwerker zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met

Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

  1. 3.6.  Verwerker is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient Verwerker vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Subverwerker zorgt ervoor dat zij voldoet aan de op haar als Subverwerker van toepassing zijnde regelgeving op het gebied van de verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in deze Subverwerkersovereenkomst.

  2. 3.7.  De Verwerking vindt plaats onder verantwoordelijkheid van de Verwerkingsverantwoordelijke. Verwerker en Subverwerker hebben geen zeggenschap over het doel en de middelen van de verwerking en nemen geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden. Verwerkingsverantwoordelijke moet er voor zorgen dat zij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld.

4. Beveiliging

  1. 4.1.  Subverwerker heeft beveiligingsmaatregelen genomen ter bescherming van de persoonsgegevens, die haar in het kader van deze Subverwerkersovereenkomst ter beschikking zullen worden gesteld. Bij het nemen van de beveiligingsmaatregelen door Subverwerker, heeft zij rekening gehouden met de te mitigeren risico's, de stand van de techniek en de kosten van de beveiligingsmaatregelen. Deze beveiligingsmaatregelen omvatten in ieder geval:

    1. de encryptie/pseudonimisering (versleuteling) van Persoonsgegevens;

    2. het vermogen om op permanente basis de vertrouwelijkheid, integriteit,

      beschikbaarheid en veerkracht van de verwerkingssystemen

      en diensten te garanderen;

    3. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en

      de toegang tot de Persoonsgegevens tijdig te herstellen;

    4. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren

      van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van Verwerking.

  2. 4.2.  Verwerker en Subverwerker erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Subverwerker zal zorgdragen voor een op het actuele risico afgestemd beveiligingsniveau. Voorts zal Subverwerker Verwerker tijdig informeren als een van de beveiligingsmaatregelen wijzigt.

  3. 4.3.  Subverwerker biedt passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Indien Verwerker de wijze waarop Subverwerker de beveiligingsmaatregelen naleeft wil laten inspecteren, dan kan Verwerker hiertoe een verzoek aan Subverwerker doen. Subverwerker en Verwerker zullen hierover

gezamenlijk afspraken maken. De kosten van een inspectie zijn voor rekening van Verwerker, tenzij uit de inspectie blijkt dat Subverwerker haar verplichtingen uit deze Subverwerkersovereenkomst niet nakomt. Verwerker stelt aan Subverwerker een kopie van het inspectierapport ter beschikking.

4.4. Subverwerker zal, tenzij zij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerker, geen Persoonsgegevens Verwerken of laten Verwerken door haarzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”).

5. Geheimhouding

  1. 5.1.  Op alle Persoonsgegevens die Subverwerker van Verwerker ontvangt en/of zelf verzamelt of dient te verzamelen met het doel deze te Verwerken overeenkomstig hetgeen in deze Subverwerkersovereenkomst is bepaald, rust een geheimhoudingsplicht jegens derden.

  2. 5.2.  Subverwerker zal de Persoonsgegevens niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot Verwerkingsverantwoordelijke of natuurlijke personen, zoals de Betrokkene, herleidbaar is.

  3. 5.3.  Subverwerker waarborgt dat de tot het Verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen, of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden inclusief een boetebeding welke recht doet aan de aard van het risico.

  4. 5.4.  De geheimhoudingsplicht is niet van toepassing voor zover Verwerker of de Betrokkene zelf uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken of indien en voor zover er een wettelijke verplichting bestaat om informatie aan een derde te verstrekken.

  5. 5.5.  Indien Subverwerker van de diensten van verdere subverwerkers gebruik maakt, zorgt zij er onvoorwaardelijk voor dat de verdere subverwerkers dezelfde geheimhoudingsplicht als tussen Partijen is overeengekomen schriftelijk zal aanvaarden inclusief een passend boetebeding en deze geheimhoudingsplicht ook strikt zal naleven.

6. Aansprakelijkheid

  1. 6.1.  Subverwerker is niet aansprakelijk voor schade die het gevolg is van het door Verwerkingsverantwoordelijke of Verwerker niet naleven van de AVG of andere wet- of regelgeving.

  2. 6.2.  Subverwerker is aansprakelijk voor nadeel en schade voortvloeiend uit haar werkzaamheid. Onder nadeel en schade wordt onder andere begrepen opgelegde boetes vanuit de AP en beveiligingsincidenten, binnen de organisatie van de door haar ingeschakelde verdere subverwerkers.

  1. 6.3.  In aanvulling op de eventueel van toepassing zijnde algemene voorwaarden wordt in deze Subverwerkersovereenkomst onder directe schade uitsluitend verstaan alle schade bestaande uit:

    • Redelijke en aantoonbare kosten om de Subverwerker ertoe te manen de Subverwerkersovereenkomst (weer) deugdelijk na te komen.

    • Redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade.

    • Redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft

      gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel genoemd.

  2. 6.4.  De in deze Subverwerkersovereenkomst en in eventuele algemene voorwaarden van de Subverwerker bedoelde uitsluitingen en beperkingen komen te vervallen, indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de Subverwerker en/of diens verdere subverwerkers.

7. Medewerkingsverplichting

  1. 7.1.  De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Subverwerker zal haar volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke en/of Verwerker bij de nakoming van de op Verwerkingsverantwoordelijke en/of Verwerker rustende verplichtingen jegens de Betrokkene.

  2. 7.2.  Een door Subverwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot Verwerking van Persoonsgegevens wordt door Subverwerker zonder uitstel doorgestuurd naar Verwerker.

  3. 7.3.  Op het eerste daartoe strekkende verzoek van Verwerker zal Subverwerker aan Verwerker alle relevante informatie verstrekken betreffende de aspecten van de door haar verrichte Verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke en/of Verwerker, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.

  4. 7.4.  Subverwerker zal voorts op eerste verzoek van Verwerker alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke en/of Verwerker rustende wettelijke verplichtingen.

8. Inbreuk in verband met Persoonsgegevens

  1. 8.1.  Subverwerker meldt een beveiligingsincident of een Datalek bij Verwerker binnen 12 uur nadat de Subverwerker dat beveiligingsincident of dat Datalek heeft ontdekt of redelijkerwijs had moeten ontdekken, dan wel terstond, doch tenminste binnen 12 uur, nadat Subverwerker daarover is geïnformeerd door een eventueel door haar ingeschakelde subverwerker.

  2. 8.2.  Subverwerker informeert Verwerker ook over de ontwikkelingen betreffende de door Subverwerker gemelde Inbreuk in verband met Persoonsgegevens.

  1. 8.3.  De meldplicht behelst naast het melden van het feit dat er een Datalek is geweest, alsmede:

    • Wat de (vermeende) oorzaak is van het datalek;
    • Wat het vooralsnog bekende en/of te verwachten gevolg is; • Wat de (voorgestelde) oplossing is;
    • Welke de reeds genomen maatregelen zijn.

    Mededelingen in het kader van deze Subverwerkersovereenkomst zullen door Subverwerker worden gedaan aan onderstaande Medewerker(s):

    Naam: dhr. J.W.L. Oorebeek

    E-mailadres: GDPR@fax-translations.com

    Telefoonnummer: 050-3039730

    Als de gegevens behorend bij de bovengenoemde Medewerkers veranderen, of als zij worden vervangen door andere Medewerkers, dan lichten partijen elkaar daarover in.

  2. 8.4.  De melding van een Inbreuk in verband met Persoonsgegevens aan de AP en (eventueel) Betrokkene(n) is altijd de eigen verantwoordelijkheid van een Verwerkingsverantwoordelijke. Subverwerker zal alle medewerking verlenen om dergelijke meldingen te kunnen verrichten.

  3. 8.5.  Voor zover het datalek een beveiligingsincident is bij de Subverwerker of diens verdere subverwerkers zal de Subverwerker op haar kosten ervoor zorgdragen dat de beveiligingsmaatregelen aangepast worden zodat in het vervolg een dergelijke beveiligingsincident c.q. datalek wordt voorkomen.

9. Inschakeling van verdere subverwerkers

  1. 9.1.  Subverwerker zal haar activiteiten die bestaan uit het Verwerken van Persoonsgegevens niet uitbesteden aan verdere subverwerkers zonder voorafgaande schriftelijke toestemming van Verwerker.

  2. 9.2.  Voor zover Verwerker instemt met de inschakeling van een verdere subverwerker, zal Subverwerker aan deze verdere subverwerker tenminste dezelfde verplichtingen opleggen als voor hemzelf uit deze Subverwerkersovereenkomst en uit de wet voortvloeien. Subverwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de verdere subverwerkers. Subverwerker zal Verwerker op verzoek afschrift verstrekken van de met de verdere subverwerkers gesloten overeenkomst(en).

  3. 9.3.  Ondanks de toestemming van Verwerker voor het inschakelen van verdere subverwerkers die in opdracht van Subverwerker (gedeeltelijk) gegevens Verwerkt, blijft Subverwerker volledig aansprakelijk jegens Verwerker voor de gevolgen van het uitbesteden van werkzaamheden aan een verdere subverwerker. De toestemming van Verwerker voor het uitbesteden van werkzaamheden aan een verdere subverwerker

laat onverlet dat voor de inzet van verdere subverwerkers in een land buiten de EER toestemming van de Verwerker vereist is in overeenstemming met de bepalingen van deze Subverwerkersovereenkomst.

10. Informatieverplichting en audits

  1. 10.1.  Subverwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de

    verplichtingen uit deze Subverwerkersovereenkomst zijn en worden nagekomen.

  2. 10.2.  Subverwerker stelt de Verwerker alle informatie ter beschikking die nodig is om:

    1. de nakoming van de in deze Subverwerkersovereenkomst neergelegde verplichtingen van deze Subverwerkersovereenkomst aan te tonen;

    2. audits mogelijk te maken, waaronder inspecties door Verwerker of Verwerkingsverantwoordelijke of een door Verwerker of Verwerkingsverantwoordelijke gemachtigde controleur.

  3. 10.3.  Subverwerker verstrekt op eerste verzoek van de Verwerker binnen een redelijke termijn aan Verwerker een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de naleving van de verplichtingen als opgenomen in deze Subverwerkersovereenkomst. Verwerker behoudt zich het recht voor de betaling van de facturen van Subverwerker op te schorten, indien Subverwerker niet binnen een redelijke termijn een deugdelijke verklaring van een onafhankelijke externe deskundige heeft overlegd.

11. Terugbezorgen of wissen

  1. 11.1.  Na afloop van de Subverwerkersovereenkomst draagt Subverwerker, naar gelang de keuze van Verwerker, zorg voor het terugbezorgen aan Verwerker of het wissen van alle Persoonsgegevens. Subverwerker verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.

  2. 11.2.  Subverwerker zal de Persoonsgegevens drie maanden na afloop van de Subverwerkersovereenkomst wissen of retourneren, bij gebreke waarvan Subverwerker een boete verschuldigd is aan Verwerker van € 100 per dag met een maximum van € 10.000.

12. Toepasselijk recht en bevoegde rechter

  1. 12.1.  Op deze Subverwerkersovereenkomst is Nederlands recht van toepassing.

  2. 12.2.  Geschillen over de inhoud en uitvoering van deze Subverwerkersovereenkomst zullen worden beslecht door de rechter binnen het arrondissement waar de Verwerker is gevestigd.

Groningen 25 mei 2018

f.a.x. Translations b.v.