Sub-verwerkersovereenkomst Het model invullen

Hoe werkt het?

1. Dit model kiezen

Klik eerst op "Het model invullen"

1 / Dit model kiezen

2. Het document invullen

Beantwoord een paar vragen en het document wordt automatisch aangemaakt.

2 / Het document invullen

3. Opslaan - Afdrukken

Uw document is klaar! U ontvangt het in de formaten Word en PDF. U kunt het bewerken.

3 / Opslaan - Afdrukken

Sub-verwerkersovereenkomst

Laatste revisie Laatste revisie 15-11-2024
Formaten FormatenWord en PDF
Grootte Grootte6 tot 8 pagina's
Het model invullen

Laatste revisieLaatste revisie: 15-11-2024

FormatenBeschikbare formaten: Word en PDF

GrootteGrootte: 6 tot 8 pagina's

Het model invullen

Wat is een sub-verwerkersovereenkomst?

Een sub-verwerkersovereenkomst is een contract tussen twee partijen waarin afspraken worden vastgelegd over hoe persoonsgegevens worden verwerkt en beschermd. Dit contract is nodig wanneer een verwerker (die al is ingeschakeld door een verwerkingsverantwoordelijke) een andere partij (de sub-verwerker) inschakelt om persoonsgegevens te verwerken.


Wat betekent 'de verwerking van persoonsgegevens'?

De verwerking van persoonsgegevens omvat alle handelingen (zoals verzamelen, opslaan, analyseren) met gegevens die een persoon kunnen identificeren. Dit kan direct gebeuren, bijvoorbeeld door het verwerken van een naam, of indirect, bijvoorbeeld door het verwerken van een telefoonnummer. Alle informatie die op enige manier kan worden gebruikt om een persoon direct of indirect te identificeren, valt onder de verwerking van persoonsgegevens. Wanneer een verwerker een sub-verwerker inschakelt om namens de verwerkingsverantwoordelijke persoonsgegevens te verwerken, moet een sub-verwerkersovereenkomst worden opgesteld om de afspraken hierover vast te leggen.


Wie zijn de 'verwerker', de 'verwerkingsverantwoordelijke' en de 'sub-verwerker' in een sub-verwerkersovereenkomst?

In de Algemene Verordening Gegevensbescherming (AVG) wordt onderscheid gemaakt tussen de verwerkingsverantwoordelijke, de verwerker, en de sub-verwerker.

Een verwerkingsverantwoordelijke is de persoon, het bedrijf of de overheidsinstantie die beslist dat persoonsgegevens worden verwerkt en bepaalt hoe de gegevensverwerking plaatsvindt. Een verwerker is de persoon, het bedrijf of de overheidsinstantie die de persoonsgegevensverwerking in opdracht van de verwerkingsverantwoordelijke daadwerkelijk uitvoert. Een sub-verwerker is de persoon, het bedrijf of de overheidsinstantie die door de verwerker wordt ingeschakeld om namens de verwerkingsverantwoordelijke specifieke taken van de gegevensverwerking uit te voeren.

Bijvoorbeeld: een werkgever besteedt de personeelsadministratie uit. De werkgever is dan de verwerkingsverantwoordelijke, want hij beslist dat gegevens van zijn werknemers verwerkt worden en met welk doel en welke middelen. De onderneming die de personeelsadministratie doet, is de verwerker die ten behoeve van de verwerkingsverantwoordelijke de gegevensverwerking uitvoert. Als deze onderneming vervolgens een derde partij inschakelt om bijvoorbeeld de salarisadministratie te beheren, dan is deze derde partij de sub-verwerker.


Wat is het verschil tussen een verwerkersovereenkomst en een sub-verwerkersovereenkomst?

Een sub-verwerkersovereenkomst verschilt van een verwerkersovereenkomst doordat deze wordt afgesloten tussen een verwerker en een sub-verwerker, in plaats van tussen een verwerkingsverantwoordelijke en een verwerker. Wanneer een verwerker (de partij die verantwoordelijk is voor de uitvoering van de gegevensverwerking) een derde partij (de sub-verwerker) inschakelt om een deel van de gegevensverwerking uit te voeren, moet de verwerker een sub-verwerkersovereenkomst met deze sub-verwerker sluiten.

De verwerker moet vooraf toestemming vragen aan de verwerkingsverantwoordelijke om een sub-verwerker in te schakelen. Daarnaast is de verwerker verplicht ervoor te zorgen dat de sub-verwerker zich houdt aan dezelfde regels en verplichtingen die zijn vastgelegd in de oorspronkelijke verwerkersovereenkomst. Hoewel de verwerkingsverantwoordelijke uiteindelijk verantwoordelijk blijft voor de bescherming van de persoonsgegevens, ligt de verantwoordelijkheid bij de verwerker om ervoor te zorgen dat ook de sub-verwerker voldoet aan alle wettelijke eisen en verplichtingen.


Wat is niet toegestaan in een sub-verwerkersovereenkomst?

Het aangaan van een sub-verwerkersovereenkomst is niet toegestaan als in de verwerkersovereenkomst tussen de verwerker en de verwerkingsverantwoordelijke is afgesproken dat de verwerker geen andere partij mag inschakelen om de persoonsgegevens te verwerken. Indien is aangegeven dat dit alleen mag met voorafgaande toestemming van de verwerkingsverantwoordelijke, moet deze toestemming worden verkregen voordat de sub-verwerkersovereenkomst mag worden aangegaan.

Daarnaast is het niet toegestaan om bepalingen op te nemen die in strijd zijn met de Algemene Verordening Gegevensbescherming (AVG). Dit betekent dat bepalingen die de beveiliging van persoonsgegevens onvoldoende waarborgen, niet zijn toegestaan. Ook mag de sub-verwerker geen toestemming krijgen om persoonsgegevens voor eigen doeleinden te gebruiken. De AVG bepaalt dat gegevens alleen mogen worden verwerkt voor de specifieke doelen die zijn vastgesteld door de verwerkingsverantwoordelijke, en het toestaan van andere doeleinden betekent een overtreding van de wet. Daarnaast is het belangrijk dat de sub-verwerkersovereenkomst afspraken bevat over de rechten van de personen waarvan de persoonsgegevens worden verwerkt. Bijvoorbeeld afspraken over het recht op inzage, de verwijdering van hun gegevens en hoe een datalek gemeld kan worden. Als deze informatie niet in de overeenkomst staat, kan dit in strijd zijn met de AVG.


Wat kan de duur van een sub-verwerkersovereenkomst zijn?

De sub-verwerkersovereenkomst wordt aangegaan voor de duur van de onderliggende overeenkomst tussen de verwerker en de sub-verwerker. Deze onderliggende overeenkomst kan bijvoorbeeld betrekking hebben op het uitbesteden van specifieke diensten door de verwerker aan de sub-verwerker, waarbij de verwerking van persoonsgegevens vereist is. Zodra de onderliggende overeenkomst eindigt, vervalt de bevoegdheid van de sub-verwerker om persoonsgegevens te verwerken, en daarmee eindigt ook de sub-verwerkersovereenkomst.

Indien de sub-verwerker na beëindiging van de onderliggende overeenkomst toch nog persoonsgegevens verwerkt, blijven de voorwaarden van de sub-verwerkersovereenkomst van toepassing op deze verwerking van persoonsgegevens.


Wat moet er gedaan worden nadat een sub-verwerkersovereenkomst is opgesteld?

Na het opstellen van de sub-verwerkersovereenkomst dienen de sub-verwerker en de verwerker deze te ondertekenen om de afspraken formeel te maken. Zowel de sub-verwerker als de verwerker dienen een ondertekend exemplaar van de overeenkomst te bewaren voor hun administratie. De overeenkomst dient als bewijs van de afspraken en kan worden gebruikt om geschillen op te lossen mochten die ontstaan. Daarnaast is het belangrijk om de afspraken na te komen zoals vastgelegd in de overeenkomst. Ook is het belangrijk dat alle relevante bijlagen aan de overeenkomst worden toegevoegd.


Welke documenten moeten als bijlage bij een sub-verwerkersovereenkomst worden toegevoegd?

Aan de overeenkomst moet een bijlage toegevoegd worden met de volgende informatie met betrekking tot de persoonsgegevensverwerking:

  • Onderwerp en de duur van de verwerking;
  • De aard en het doel van de verwerking;
  • Het soort persoonsgegevens die verwerkt worden;
  • De categorieën van betrokkenen;
  • De rechten en verplichtingen.

Daarnaast kunnen andere toepasselijke bijlagen toegevoegd worden, zoals:

  • De hoofdovereenkomst, in het licht waarvan de verwerking plaatsvindt;
  • Een document met de beveiligingsmaatregelen die de sub-verwerker moet treffen;
  • Een lijst met toegestane derde personen die door de sub-verwerker ingeschakeld mogen worden.


Wat moet een sub-verwerkersovereenkomst bevatten?

Een sub-verwerkersovereenkomst moet de volgende informatie bevatten:

  • de instructies van de verwerkingsverantwoordelijke aan de verwerker over het gebruik van de persoonsgegevens;
  • een geheimhoudingsplicht voor de verwerker en zijn werknemers;
  • de beveiligingsmaatregelen die de verwerker moet treffen;
  • de regels omtrent het inschakelen van sub-verwerkers (derden die zijn ingeschakeld om de verwerking uit te voeren voor de verwerker);
  • de hulp van de verwerker in het geval dat een betrokkene van wie gegevens verzameld zijn, zijn privacy rechten wil uitoefenen (het inzien, verwijderen, wijzigen etc. van de gegevens);
  • wanneer de gegevens door de verwerker gewist of teruggegeven moeten worden aan het einde van de verwerking door de verwerker, en op welke wijze;
  • de medewerking van de verwerker aan inspecties en dergelijken om te controleren of hij zich aan zijn verplichtingen als verwerker houdt.


Welke wetten zijn van toepassing op een sub-verwerkersovereenkomst?

Op de sub-verwerkersovereenkomst zijn de Verordening (EU) 2016/679 van het Europees Parlement en de Raad (Algemene Verordening Gegevensbescherming), de Uitvoeringswet Algemene verordening gegevensbescherming en Boek 6 Burgerlijk Wetboek van toepassing.


Het model bewerken?

U vult een formulier in. Het document wordt naargelang uw antwoorden per sectie opgemaakt.

Aan het einde ontvangt u het in de formaten Word en PDF. U kunt het bewerken en het opnieuw gebruiken.

Het model invullen