Zzp en klein mkb Midden en groot mkb RA-/AA-accountant of fiscalist?
Doe mee aan onze franchiseformule!
Bel me terug

Wat staat er in de sub-verwerkersovereenkomst voor de AVG?

Niet iedereen vindt juridische taal makkelijk. Er wordt je als opdrachtnemer gevraagd om een sub-verwerkersovereenkomst te tekenen, maar wat teken je eigenlijk?

Hieronder vind je de belangrijkste punten uit de subverwerkersovereenkomst voor de AVG in normaal Nederlands:

Je bent subverwerker als je opdrachtnemer bent, als je een soort onderaannemer bent

De verwerker is de ¨aannemer¨ en als jij een opdracht voor de verwerker uitvoert ben je de subverwerker. De eindklant is de verantwoordelijke.

De verwerker bepaalt

In de subverwerkersovereenkomst staat dat je de opdracht uitvoert zoals de verwerker met je heeft afgesproken m.b.t. de bescherming van persoonsgegevens. Je bent wettelijk verplicht de wet-en regelgeving op het gebied van de verwerking van persoonsgegevens (AVG) na te leven.

De klant blijft verantwoordelijk

De klant bepaalt wat er wel of niet mag gebeuren met persoonsgegevens. De verwerker en de subverwerker hebben daar geen zeggenschap over.

Jij bent verantwoordelijke voor je medewerkers

Jij, als subverwerker garandeert dat alleen je medewerkers noodzakelijke toegang hebben. Ook is het jouw verantwoordelijkheid dat zij geïnformeerd zijn van de wet- en regelgeving op het gebied van verwerking van persoonsgegevens.

Je mag alleen derden inschakelen na toestemming van de verwerker

Deze derden worden aan de subverwerkersovereenkomst toegevoegd.

Vragen over persoonsgegevens aan betrokkenen stel je aan de verwerker

Ook als je persoonsgegevens aan een derde moet aanleveren, dan doe je dat in overleg met de verwerker, maar niet op eigen houtje.

Je mag geen gegevens buiten de EER zonder toestemming van de verwerker brengen

Er moet dan eerst vastgesteld worden of het beveiligingsniveau voldoet aan de Europese normen.

Als subverwerker neem je minimaal dezelfde beveiligingsmaatregelen als de verwerker

Onderaan de pagina staan deze beveiligingsmaatregelen opgesomd.

Minimaal 1x per jaar evalueer je je beschermingsniveau

Omdat de techniek snel verandert, ga je minstens 1x per jaar na of je je protocollen moet updaten. Beter is om dat doorlopend up-to-date bij te houden. Als er iets substantieels verandert, moet je dat de verwerker mededelen.

Wat als er een datalek is?

Als er een datalek wordt geconstateerd dan stel jij als subverwerker, de verwerker zo snel mogelijk, in ieder geval binnen 48 uur, op de hoogte. De verantwoordelijke (= de eindklant)  is dan degene die melding doet bij de Autoriteit Persoonsgegevens. Jij als subverwerker, neemt maatregelen om het datalek voortaan te voorkomen en licht de verwerker hierover in. Je legt zelf het datalek vast.

Als sub-verwerker heb je geheimhoudingsplicht van de persoonsgegevens.

Hier vallen ook je medewerkers onder.  Je sluit dus ook met je medewerkers een overeenkomst af om de beveiliging van persoonsgegevens te waarborgen.

Wie is er aansprakelijk?

Als je als sub-verwerker je niet aan de AVG houdt, dan kan de verwerker niet aansprakelijk gehouden worden voor schade en je bent wel aansprakelijk voor de schade die de verwerker lijdt.

Wat als de relatie met de verwerker wordt beëindigd?

Dan zal je de gegevens op verzoek vernietigen of aan de verwerker overdragen. Als je als subverwerker persoonsgegevens moet bewaren, dan vertel je dat de verwerker vooraf aan je opdracht.

Welke medewerkers hebben nu toegang?

In de overeenkomst leggen verwerker en sub-verwerker dat vast. Als een medewerker verandert, dan lichten zij elkaar in.

Om welke persoonsgegevens gaat het?

In de subverwerkersovereenkomst leg je vast welke normale persoonsgegevens en welke bijzondere persoonsgegevens de subverwerker gaat verwerken. De bijzondere persoonsgegevens worden aangegeven omdat hoe gevoeliger de persoonsgegevens zijn, hoe voorzichtiger de sub-verwerker/opdrachtnemer daar mee om moet gaan.
Welke handelingen mag de sub-verwerker/opdrachtnemer verrichten? Voor het uitvoeren van de werkzaamheden wordt vastgelegd welke handelingen de sub-verwerker/opdrachtnemer mag verrichten met de persoonsgegevens: inzien, opslaan, aanpassen, verwijderen, doorsturen naar een andere partij, terugsturen aan de opdrachtgever, bijvoorbeeld. De subverwerker moet dezelfde beveiligingsmaatregelen nemen als de verwerker. In het geval van OAMKB zijn dat:

  • geïmplementeerd beveiligingsbeleid en het periodiek updaten en implementeren van het geüpdatete beveiligingsbeleid;
  • geïmplementeerde gedragscode;
  • geheimhoudingsverplichtingen in arbeidscontracten;
  • indringeralarm (alleen bij fysiek/lokaal opgeslagen gegevens);
  • veilige wijze voor het opslaan van gegevensbestanden;
  • logische toegangscontroles door middel van kennis, zoals password of persoonlijke toegangscodes;
  • logische toegangscontroles door middel van fysieke toegangsmiddelen, zoals bijvoorbeeld maar niet beperkt tot veiligheidssleutels;
  • controleren van toegekende rechten van medewerkers van Verwerkingsverantwoordelijke (en logging van toegang);
  • logging en controle van toegang tot het systeem door medewerkers van Verwerker (waaronder begrepen het controleren op tekenen van onrechtmatige toegang tot de Persoonsgegevens door medewerkers van Verwerker (of derden);
  • herstelprocedures door bijvoorbeeld een restore vanuit een back up;
  • voldoen aan de geheimhoudingsbepaling van deze Verwerkersovereenkomst; en
  • het aanwijzen van een beperkt aantal personen, die met de uitvoering van de Verwerking van Persoonsgegevens zijn belast en geautoriseerd zijn om zichzelf toegang te verlenen tot de Persoonsgegevens, welke personen uitdrukkelijk alleen gerechtigd zijn om de voor de uitvoering van deze Verwerkersovereenkomst noodzakelijke handelingen te verrichten.

Begrippen

In de sub-verwerkersovereenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. Vaak wordt in de opsomming hieronder gebruik gemaakt van de wettelijke omschrijving van het begrip. De begrippen zijn afkomstig uit de de AVG – Algemene verordening gegevensbescherming.

AVG De Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG vervangt de Wet bescherming persoonsgegevens per 25 mei 2018 (handhaving start vanaf deze datum, de AVG geldt vanaf 25 mei 2016).
Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
Verwerker:
 
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Sub-verwerker: Een andere verwerker die door de Verwerker in dienst is genomen om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
Verwerkingsverantwoordelijke / Verantwoordelijke Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Bijzondere Persoonsgegevens: Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
   
Datalek / Inbreuk in verband met persoonsgegevens Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Derden: Anderen dan U en Wij en Uw of Onze Medewerkers, alsmede Onze Opdrachtgever.
Meldplicht Datalekken: De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan Betrokkene(n).
Medewerkers Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
Onderliggende opdracht: De opdracht zoals hierboven bedoeld in de overwegingen onder A.
Onze Opdrachtgever(s): De verantwoordelijke(n) waarmee Wij een overeenkomst hebben ten aanzien van opdrachten waarbij Persoonsgegevens worden verwerkt.
Overeenkomst: Deze verwerkersovereenkomst.
Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Persoonsgegevens van gevoelige aard Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van Betrokkene, schade aan de gezondheid, financiële schade of tot (identiteits)fraude. Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
  • Bijzondere persoonsgegevens
  • Gegevens over de financiële of economische situatie van de betrokkene
  • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene
  • Gebruikersnamen, wachtwoorden en andere inloggegevens
  • Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Verwerken / Verwerking: Een verwerking of een geheel van verwerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

 
 

Meer weten

Kijk hieronder voor meer informatie: