Subverwerkersovereenkomst AVG

Referentie : ICT 11

Een verantwoordelijke en bewerker kunnen afspreken dat de verwerker bepaalde werkzaamheden van de verwerking van persoonsgegevens mag uitbesteden aan een subverwerker. De AVG stelt als eis dat er tussen de verwerker en de subverwerker een subverwerkersovereenkomst wordt gesloten waarin alle relevant bepalingen uit de verwerkersovereenkomst worden overgenomen. Aantal pagina’s: 8.

Meer informatie

Subverwerkersovereenkomst

In dit model subverwerkersovereenkomst zijn de vereisten opgenomen die AVG stelt aan het inschakelen van subverwerkers. Een subverwerker is een andere verwerker die door de verwerker wordt ingeschakeld om ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens te verwerken. De overeenkomst tussen de verwerker en de subverwerker wordt subverwerkersovereenkomst genoemd.

De subverwerkersovereenkomst is ook in het Engels beschikbaar als Subverwerkersovereenkomst Engelstalig (Sub-Data Processing Agreement).

Vereisten inschakelen subverwerker

Indien de opdrachtgever daarvoor in zijn overeenkomst met de verwerker uitdrukkelijk ruimte heeft gegeven, kan de verwerker – met behoud van zijn volle aansprakelijkheid voor de naleving van zijn contract met de verantwoordelijke – delen van de verwerking uitbesteden aan subverwerkers.

De verwerker dient dan wel contractueel verzekerd te hebben dat de subverwerker zich eveneens richt naar de instructies van de verwerkingsverantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt. De verwerkingsverantwoordelijke dient hiervan op de hoogte te worden gesteld zodat deze in staat is toe te zien op de naleving van zijn afspraken met de verwerker.

Toezien op de naleving van de gemaakte afspraken kan door middel van het laten uitvoeren door verwerker van een audit of het door de subverwerker laten verstrekken van een verklaring van een onafhankelijke deskundige over de naleving van de verplichtingen als opgenomen in de subverwerkersovereenkomst. In dit voorbeeld van een subbewerkersovereenkomst zijn optionele bepalingen opgenomen die dat regelen.

Beveiligingsmaatregelen

De verwerker en subverwerker moeten ervoor zorgen dat de persoonsgegevens goed worden beveiligd. De afspraken daarover moeten worden vastgelegd in een bijlage bij de subverwerkersovereenkomst. In de bijlage zijn technische beveiligingsmaatregelen en organisatorische beveiligingsmaatregelen opgenomen.

Aansprakelijkheid in de subverwerkersovereenkomst

Ondanks de toestemming van een verwerker voor het inschakelen van verdere subverwerkers die in opdracht van de subverwerker (gedeeltelijk) gegevens verwerkt, blijft de subverwerker volledig aansprakelijk jegens verwerker voor de gevolgen van het uitbesteden van werkzaamheden aan een verdere subverwerkers. In ons model is voor een beperking van deze aansprakelijkheid verwezen naar de hoofdovereenkomst tussen de verwerker en subverwerker en de eventueel daarop van toepassing zijnde algemene voorwaarden.

Toestemming in subverwerkersovereenkomst subverwerkers buiten EU

Verwerking van persoonsgegevens buiten de EU is alleen onder strikte voorwaarden mogelijk. In de verwerkersovereenkomst wordt daarom standaard opgenomen voor voor verwerking van persoonsgegevens buiten de EU toestemming nodig is van de verwerkingsverantwoordelijke.

Let op dat een eventuele toestemming van een verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een subverwerker onverlet laat dat voor de inzet van andere subverwerkers in een land buiten de EU weer toestemming vereist is. Deze afspraak is opgenomen in dit model.

Risico op boetes

Het niet sluiten van een verwerkersovereenkomst kan leiden tot een boete van de Autoriteit Persoonsgegevens. Deze boete bedraagt 2% van de totale wereldwijde omzet of 10 miljoen euro. Indien blijkt dat bepaalde andere zaken van de bescherming van persoonsgegevens niet op orde zijn, dan kan de Autoriteit Persoonsgegevens besluiten te boete te verhogen tot 4% van de wereldwijde omzet of 20 miljoen euro.