7.6.2021   

NL

Publicatieblad van de Europese Unie

L 199/18


UITVOERINGSBESLUIT (EU) 2021/915 VAN DE COMMISSIE

van 4 juni 2021

betreffende standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers uit hoofde van artikel 28, lid 7, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad en artikel 29, lid 7, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad

(Voor de EER relevante tekst)

DE EUROPESE COMMISSIE,

Gezien het Verdrag betreffende de werking van de Europese Unie,

Gezien Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (1), en met name artikel 28, lid 7,

Gezien Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (EU-gegevensbeschermingsverordening) (2), en met name artikel 29, lid 7,

Overwegende hetgeen volgt:

(1)

De begrippen “verwerkingsverantwoordelijke” en “verwerker” spelen een cruciale rol bij de toepassing van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725. De “verwerkingsverantwoordelijke” is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Voor de toepassing van Verordening (EU) 2018/1725 wordt onder “verwerkingsverantwoordelijke” verstaan: de instelling of het orgaan van de Unie, het directoraat-generaal, of enig ander organisatieonderdeel die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Wanneer de doelstellingen van en de middelen voor deze verwerking in een specifieke Uniehandeling worden vastgesteld, kan de Unie daarin bepalen wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen. Een verwerker is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

(2)

Op de betrekkingen tussen de verwerkingsverantwoordelijken en de gegevensverwerkers die onderworpen zijn aan Verordening (EU) 2016/679 moet dezelfde reeks standaardcontractbepalingen van toepassing zijn, ook wanneer zij onderworpen zijn aan Verordening (EU) 2018/1725. De reden daarvoor is dat een coherente aanpak van de bescherming van persoonsgegevens in de hele Unie en van het vrije verkeer van persoonsgegevens binnen de Unie, vereist dat de gegevensbeschermingsregels van Verordening (EU) 2016/679, die van toepassing zijn op de overheidssector in de lidstaten, en de gegevensbeschermingsregels van Verordening (EU) 2018/1725, die van toepassing zijn op de instellingen, organen en instanties van de Unie, zoveel mogelijk op elkaar zijn afgestemd.

(3)

Om ervoor te zorgen dat aan de vereisten van de Verordeningen (EU) 2016/679 en (EU) 2018/1725 wordt voldaan, mag de verwerkingsverantwoordelijke, wanneer hij verwerkingsactiviteiten aan een verwerker toevertrouwt, alleen gebruikmaken van verwerkers die voldoende garanties bieden — met name wat betreft deskundigheid, betrouwbaarheid en middelen — voor de uitvoering van technische en organisatorische maatregelen die voldoen aan de vereisten van Verordening (EU) 2016/679 en Verordening (EU) 2018/1725, onder meer met het oog op de beveiliging van de verwerking.

(4)

De verwerking door een verwerker moet worden geregeld in een overeenkomst of een andere rechtshandeling krachtens het Unierecht of het lidstatelijke recht die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin de in artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 of artikel 29, leden 3 en 4, van Verordening (EU) 2018/1725 genoemde elementen zijn opgenomen. Deze overeenkomst of handeling moet schriftelijk worden vastgelegd, wat ook in elektronische vorm kan plaatsvinden.

(5)

Overeenkomstig artikel 28, lid 6, van Verordening (EU) 2016/679 en artikel 29, lid 6, van Verordening (EU) 2018/1725 kunnen de verwerkingsverantwoordelijke en de verwerker ervoor kiezen om een individuele overeenkomst te sluiten die de verplichte elementen bevat die zijn vastgelegd in respectievelijk artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 en artikel 29, leden 3 en 4, van Verordening (EU) 2018/1725, dan wel geheel of gedeeltelijk gebruik te maken van standaardcontractbepalingen die door de Commissie zijn vastgesteld overeenkomstig artikel 28, lid 7, van Verordening (EU) 2016/679 of artikel 29, lid 7, van Verordening (EU) 2018/1725.

(6)

Het moet de verwerkingsverantwoordelijke en de verwerker vrijstaan om de standaardcontractbepalingen waarin dit besluit voorziet, op te nemen in een bredere overeenkomst en om andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in strijd zijn met de standaardcontractbepalingen of afbreuk doen aan de grondrechten of fundamentele vrijheden van betrokkenen. Het gebruik van de standaardcontractbepalingen doet geen afbreuk aan eventuele contractuele verplichtingen van de verwerkingsverantwoordelijke en/of de verwerker om ervoor te zorgen dat de toepasselijke voorrechten en immuniteiten worden geëerbiedigd.

(7)

De standaardcontractbepalingen moeten zowel materiële als procedurele regels omvatten. Overeenkomstig artikel 28, lid 3, van Verordening (EU) 2016/679 en artikel 29, lid 3, van Verordening (EU) 2018/1725, moeten de standaardcontractbepalingen ook voorschrijven dat de verwerkingsverantwoordelijke en de verwerker het onderwerp en de duur van de verwerking, de aard en het doel daarvan, de betrokken soort persoonsgegevens, de categorieën van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke omschrijven.

(8)

Overeenkomstig artikel 28, lid 3, van Verordening (EU) 2016/679 en artikel 29, lid 3, van Verordening (EU) 2018/1725 moet de verwerker de verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de verwerkingsverantwoordelijke inbreuk oplevert op Verordening (EU) 2016/679 of Verordening (EU) 2018/1725 of op andere Unierechtelijke of lidstaatrechtelijke bepalingen inzake gegevensbescherming.

(9)

Indien een verwerker een andere verwerker in dienst neemt om specifieke activiteiten uit te voeren, moeten de specifieke eisen als bedoeld in artikel 28, leden 2 en 4, van Verordening (EU) 2016/679 of artikel 29, leden 2 en 4, van Verordening (EU) 2018/1725, van toepassing zijn. Met name is een voorafgaande, specifieke of algemene, schriftelijke toestemming vereist. Ongeacht of deze voorafgaande toestemming specifiek of algemeen is, moet de eerste verwerker een lijst van de andere verwerkers bijhouden.

(10)

Om te voldoen aan de vereisten van artikel 46, lid 1, van Verordening (EU) 2016/679 heeft de Commissie overeenkomstig artikel 46, lid 2, punt c), van Verordening (EU) 2016/679 standaardcontractbepalingen vastgesteld. Die bepalingen voldoen ook aan de vereisten van artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 voor de doorgifte van gegevens van verwerkingsverantwoordelijken die onder Verordening (EU) 2016/679 vallen aan verwerkers buiten het territoriale toepassingsgebied van die verordening of van verwerkers die onder Verordening (EU) 2016/679 vallen aan subverwerkers buiten het territoriale toepassingsgebied van die verordening. Deze standaardcontractbepalingen kunnen niet worden gebruikt als standaardcontractbepalingen voor de toepassing van hoofdstuk V van Verordening (EU) 2016/679.

(11)

Derden moeten gedurende de gehele looptijd van de overeenkomst partij kunnen worden bij de standaardcontractbepalingen.

(12)

De werking van de standaardcontractbepalingen moet worden geëvalueerd in het kader van de periodieke evaluatie van Verordening (EU) 2016/679 als bedoeld in artikel 97 van die verordening.

(13)

De Europese Toezichthouder voor gegevensbescherming en het Europees Comité voor gegevensbescherming zijn geraadpleegd overeenkomstig artikel 42, leden 1 en 2, van Verordening (EU) 2018/1725 en hebben op 14 januari 2021 een gezamenlijk advies (3) uitgebracht, waarmee bij de opstelling van dit besluit rekening is gehouden.

(14)

De in dit besluit vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 93 van Verordening (EU) 2016/679 en artikel 96, lid 2, van Verordening (EU) 2018/1725 ingestelde Comité,]

HEEFT HET VOLGENDE BESLUIT VASTGESTELD:

Artikel 1

De in de bijlage opgenomen standaardcontractbepalingen voldoen aan de vereisten voor overeenkomsten tussen verwerkingsverantwoordelijken en verwerkers in artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 en in artikel 29, leden 3 en 4, van Verordening (EU) 2018/1725.

Artikel 2

De in de bijlage opgenomen standaardcontractbepalingen kunnen worden gebruikt in overeenkomsten tussen een verwerkingsverantwoordelijke en een verwerker die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Artikel 3

De Commissie evalueert de praktische toepassing van de standaardcontractbepalingen in de bijlage op basis van alle beschikbare informatie in het kader van de periodieke evaluatie als bedoeld in artikel 97 van Verordening (EU) 2016/679.

Artikel 4

Dit besluit treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.

Gedaan te Brussel, 4 juni 2021.

Voor de Commissie

De voorzitter

Ursula VON DER LEYEN


(1)  PB L 119 van 4.5.2016, blz. 1.

(2)  PB L 295 van 21.11.2018, blz. 39.

(3)  Gezamenlijk advies nr. 1/2021 van de EDPB en de EDPS over het uitvoeringsbesluit van de Commissie betreffende standaardcontractbepalingen tussen verwerkingsverantwoordelijken en verwerkers voor de aangelegenheden als bedoeld in artikel 28, lid 7, van Verordening (EU) 2016/679 en artikel 29, lid 7, van Verordening (EU) 2018/1725.


BIJLAGE

Standaardcontractbepalingen

AFDELING I

Bepaling 1

Doel en toepassingsgebied

a)

Het doel van deze standaardcontractbepalingen (hierna “de bepalingen” genoemd) is te zorgen voor de naleving van [toepasselijke optie kiezen: OPTIE 1: artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)]/[OPTIE 2: Artikel 29, leden 3 en 4, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG].

b)

De in bijlage I vermelde verwerkingsverantwoordelijken en verwerkers hebben met deze bepalingen ingestemd teneinde te zorgen voor de naleving van artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 en/of artikel 29, leden 3 en 4, van Verordening (EU) 2018/1725.

c)

Deze bepalingen zijn van toepassing op de verwerking van persoonsgegevens als gespecificeerd in bijlage II.

d)

De bijlagen I tot en met IV maken integrerend deel uit van de bepalingen.

e)

Deze bepalingen laten de verplichtingen die op de verwerkingsverantwoordelijke rusten krachtens Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 onverlet.

f)

Deze bepalingen waarborgen op zichzelf niet de naleving van verplichtingen in verband met internationale doorgiften overeenkomstig hoofdstuk V van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725.

Bepaling 2

Onveranderlijkheid van de bepalingen

a)

De partijen verbinden zich ertoe de bepalingen niet te wijzigen, tenzij om informatie aan de bijlagen toe te voegen of de daarin vervatte informatie bij te werken.

b)

Dit belet de partijen niet om de in deze bepalingen neergelegde standaardcontractbepalingen op te nemen in een bredere overeenkomst, of om andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in strijd zijn met de bepalingen of afbreuk doen aan de grondrechten of fundamentele vrijheden van betrokkenen.

Bepaling 3

Interpretatie

a)

Wanneer in deze bepalingen de termen worden gebruikt die zijn gedefinieerd in Verordening (EU) 2016/679 respectievelijk Verordening (EU) 2018/1725, hebben die termen dezelfde betekenis als in die verordening.

b)

Deze bepalingen moeten worden gelezen en geïnterpreteerd in het licht van de bepalingen van Verordening (EU) 2016/679 respectievelijk Verordening (EU) 2018/1725.

c)

Deze bepalingen mogen niet worden geïnterpreteerd op een wijze die indruist tegen de rechten en verplichtingen waarin Verordening (EU) 2016/679/Verordening (EU) 2018/1725 voorziet of op een wijze die afbreuk doet aan de grondrechten of fundamentele vrijheden van de betrokkenen.

Bepaling 4

Hiërarchie

In geval van tegenstrijdigheid tussen deze standaardcontractbepalingen en de bepalingen van gerelateerde overeenkomsten tussen de partijen die reeds bestaan op het tijdstip waarop met deze standaardcontractbepalingen wordt ingestemd of die na dat tijdstip worden gesloten, prevaleren deze standaardcontractbepalingen.

Bepaling 5 — Facultatief

Docking-bepaling

a)

Elke entiteit die geen partij deze bepalingen is, kan, met instemming van alle partijen, te allen tijde tot deze bepalingen toetreden als verwerkingsverantwoordelijke of verwerker door de bijlagen in te vullen en bijlage I te ondertekenen.

b)

Wanneer de in punt a) bedoelde bijlagen zijn ingevuld en ondertekend, wordt de toetredende partij als een partij bij deze bepalingen behandeld en heeft zij de rechten en verplichtingen van een verwerkingsverantwoordelijke of verwerker, al naar gelang zij in bijlage I is aangeduid.

c)

Voor de toetredende entiteit vloeien uit deze bepalingen geen rechten of verplichtingen voort met betrekking tot de periode voordat zij partij werd.

AFDELING II

VERPLICHTINGEN VAN PARTIJEN

Bepaling 6

Beschrijving van de verwerking(en)

De bijzonderheden van de verwerkingen, en met name de categorieën persoonsgegevens en de doeleinden van de verwerking waarvoor de persoonsgegevens namens de verwerkingsverantwoordelijke worden verwerkt, zijn gespecificeerd in bijlage II.

Bepaling 7

Verplichtingen van de partijen

7.1.   Instructies

a)

De verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij de wetgeving dit om gewichtige redenen van algemeen belang verbiedt. De verwerkingsverantwoordelijke kan ook tijdens de verwerking van persoonsgegevens steeds verdere instructies geven. Deze instructies worden altijd schriftelijk vastgelegd.

b)

De verwerker stelt de verwerkingsverantwoordelijke onmiddellijk in kennis als de instructies van de verwerkingsverantwoordelijke naar het oordeel van de verwerker inbreuk maken op Verordening (EU) 2016/679/Verordening (EU) 2018/1725 of de toepasselijke gegevensbeschermingsbepalingen van de Unie of de lidstaten.

7.2.   Doelbinding

De verwerker verwerkt de persoonsgegevens uitsluitend voor het specifieke doel of de specifieke doeleinden van de verwerking, zoals beschreven in bijlage II, tenzij hij verdere instructies van de verwerkingsverantwoordelijke krijgt.

7.3.   Doel van de verwerking van persoonsgegevens

Verwerking door de verwerker vindt slechts plaats gedurende de in bijlage II vastgestelde tijdspanne.

7.4.   Beveiliging van de verwerking

a)

De verwerker treft ten minste de in bijlage III gespecificeerde technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen. Dit houdt onder meer in dat de gegevens worden beschermd tegen een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot de gegevens, hetzij per ongeluk hetzij onrechtmatig (inbreuk in verband met persoonsgegevens). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de reikwijdte, de context en de doeleinden van de verwerking en de risico’s voor de betrokkenen.

b)

De verwerker verleent zijn personeel slechts toegang tot de persoonsgegevens die worden verwerkt voor zover dat strikt noodzakelijk is voor de uitvoering, het beheer en de monitoring van de overeenkomst. De verwerker waarborgt dat de tot het verwerken van de ontvangen persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

7.5.   Gevoelige gegevens

Indien de verwerking betrekking heeft op persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, of betrekking heeft op genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid of gegevens betreffende strafrechtelijke veroordelingen en strafbare feiten (hierna “gevoelige gegevens” genoemd), voorziet de verwerker in specifieke beperkingen en/of aanvullende waarborgen.

7.6.   Documentatie en naleving

a)

De partijen kunnen aantonen dat aan deze bepalingen is voldaan.

b)

De verwerker behandelt verzoeken van de verwerkingsverantwoordelijke inzake de verwerking van gegevens overeenkomstig deze bepalingen onverwijld en adequaat.

c)

De verwerker stelt de verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat is voldaan aan de in deze bepalingen vastgestelde verplichtingen die rechtstreeks voortvloeien uit Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725. Op verzoek van de verwerkingsverantwoordelijke staat de verwerker ook regelmatig, of indien er aanwijzingen van niet-naleving zijn, audits toe van de onder deze bepalingen vallende verwerkingsactiviteiten en draagt de verwerker aan die audits bij. Bij het nemen van een beslissing over een toetsing of audit kan de verwerkingsverantwoordelijke rekening houden met relevante certificeringen van de verwerker.

d)

De verwerkingsverantwoordelijke kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke auditor daartoe opdracht te geven. De audits kunnen ook inspecties in de bedrijfsruimten of fysieke faciliteiten van de verwerker omvatten en worden, in voorkomend geval, tijdig aangekondigd.

e)

De partijen stellen de in deze bepaling bedoelde informatie, met inbegrip van de resultaten van eventuele audits, op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit/autoriteiten.

7.7.   Gebruik van subverwerkers

a)

OPTIE 1: VOORAFGAANDE SPECIFIEKE TOESTEMMING: De verwerker mag geen van de verwerkingen die hij overeenkomstig deze bepalingen namens de verwerkingsverantwoordelijke verricht, zonder voorafgaande specifieke schriftelijke toestemming van de verwerkingsverantwoordelijke uitbesteden aan een subverwerker. De verwerker dient het verzoek om specifieke toestemming ten minste [SPECIFY TIME PERIOD] vóór de aanstelling van de betrokken subverwerker in, samen met de informatie die nodig is om de verwerkingsverantwoordelijke in staat te stellen een besluit te nemen over de toestemming. De lijst van door de verwerkingsverantwoordelijke erkende subverwerkers is opgenomen in bijlage IV. De partijen zorgen ervoor dat bijlage IV steeds is bijgewerkt.

OPTIE 2: ALGEMENE SCHRIFTELIJKE TOESTEMMING: De verwerker heeft de algemene toestemming van de verwerkingsverantwoordelijke om subverwerkers in dienst te nemen die op een overeengekomen lijst staan. De verwerker stelt de verwerkingsverantwoordelijke ten minste [SPECIFY TIME PERIOD] van tevoren specifiek schriftelijk in kennis van voorgenomen wijzigingen van die lijst door toevoeging of vervanging van subverwerkers, zodat de verwerkingsverantwoordelijke voldoende tijd heeft om vóór de indienstneming van de betrokken subverwerker(s) bezwaar te kunnen maken tegen dergelijke wijzigingen. De verwerker verstrekt de verwerkingsverantwoordelijke de informatie die nodig is om deze laatste in staat te stellen zijn recht van bezwaar uit te oefenen.

b)

Wanneer de verwerker een subverwerker in dienst neemt voor de uitvoering van specifieke verwerkingen (namens de verwerkingsverantwoordelijke), doet hij dit door middel van een overeenkomst die de subverwerker in wezen dezelfde verplichtingen inzake gegevensbescherming oplegt als die welke op grond van deze bepalingen aan de verwerker worden opgelegd. De verwerker zorgt ervoor dat de subverwerker voldoet aan de verplichtingen die krachtens deze bepalingen en Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 op de verwerker rusten.

c)

Op verzoek van de verwerkingsverantwoordelijke verstrekt de verwerker de verwerkingsverantwoordelijke een kopie van een dergelijke subverwerkingsovereenkomst en van alle latere wijzigingen daarvan. Voor zover nodig ter bescherming van bedrijfsgeheimen of andere vertrouwelijke informatie, met inbegrip van persoonsgegevens, kan de verwerker de tekst van de overeenkomst bewerken alvorens de kopie te delen.

d)

De verwerker blijft ten opzichte van de verwerkingsverantwoordelijke volledig verantwoordelijk voor de uitvoering van de verplichtingen van de subverwerker overeenkomstig zijn overeenkomst met de verwerker. De verwerker stelt de verwerkingsverantwoordelijke in kennis van elk verzuim van de subverwerker om zijn contractuele verplichtingen na te komen.

e)

De verwerker komt met de subverwerker een derdenbeding overeen waarbij — ingeval de verwerker feitelijk is verdwenen, rechtens is opgehouden te bestaan of insolvent is geworden — de verwerkingsverantwoordelijke het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker te gelasten de persoonsgegevens te wissen of terug te geven.

7.8.   Internationale doorgiften

a)

Doorgifte van gegevens aan een derde land of een internationale organisatie door de verwerker geschiedt uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke of om te voldoen aan een specifieke eis uit hoofde van het Unierecht of het lidstatelijke recht waaraan de verwerker is onderworpen, en vindt plaats in overeenstemming met hoofdstuk V van Verordening (EU) 2016/679 of Verordening (EU) 2018/1725.

b)

De verwerkingsverantwoordelijke stemt ermee in dat wanneer de verwerker overeenkomstig bepaling 7.7 een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingen (namens de verwerkingsverantwoordelijke) en die verwerkingen een doorgifte van persoonsgegevens in de zin van hoofdstuk V van Verordening (EU) 2016/679 inhouden, de verwerker en de subverwerker de naleving van hoofdstuk V van Verordening (EU) 2016/679 kunnen waarborgen door gebruik te maken van standaardcontractbepalingen die door de Commissie zijn vastgesteld overeenkomstig artikel 46, lid 2, van Verordening (EU) 2016/679, mits aan de voorwaarden voor het gebruik van die standaardcontractbepalingen is voldaan.

Bepaling 8

Bijstand aan de verwerkingsverantwoordelijke

a)

De verwerker stelt de verwerkingsverantwoordelijke onverwijld in kennis van elk verzoek dat hij van de betrokkene heeft ontvangen. De verwerker antwoordt niet zelf op het verzoek, tenzij de verwerkingsverantwoordelijke daartoe toestemming heeft gegeven.

b)

De verwerker staat de verwerkingsverantwoordelijke bij bij het vervullen van zijn verplichtingen om te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten, en houdt daarbij rekening met de aard van de verwerking. Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b) volgt de verwerker de instructies van de verwerkingsverantwoordelijke.

c)

De verwerker heeft niet alleen de verplichting de verwerkingsverantwoordelijke bij te staan overeenkomstig bepaling 8, punt b), maar staat de verwerkingsverantwoordelijke ook bij bij het waarborgen van de naleving van de volgende verplichtingen, waarbij rekening wordt gehouden met de aard van de gegevensverwerking en de informatie waarover de verwerker beschikt:

1)

de verplichting om een beoordeling uit te voeren van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens (een “gegevensbeschermingseffectbeoordeling”) wanneer een bepaalde soort verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen;

2)

de verplichting om de bevoegde toezichthoudende autoriteit/autoriteiten voorafgaand aan de verwerking te raadplegen wanneer uit een gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om dat risico te beperken;

3)

de verplichting om ervoor te zorgen dat persoonsgegevens accuraat en actueel zijn, door de verwerkingsverantwoordelijke onverwijld in te lichten wanneer de verwerker ervan kennis heeft gekregen dat de gegevens die hij verwerkt onjuist of achterhaald zijn;

4)

de verplichtingen in [OPTIE 1] artikel 32 van Verordening (EU) 2016/679/[OPTIE 2] de artikelen 33 en 36 tot en met 38 van Verordening (EU) 2018/1725.

d)

De partijen stellen in bijlage III de passende technische en organisatorische maatregelen vast op grond waarvan de verwerker de verwerkingsverantwoordelijke bij de toepassing van deze bepaling moet bijstaan, alsmede de omvang en de omvang van de vereiste bijstand.

Bepaling 9

Kennisgeving van een inbreuk in verband met persoonsgegevens

In het geval van een inbreuk in verband met persoonsgegevens werkt de verwerker samen met de verwerkingsverantwoordelijke en staat hij hem bij opdat de verwerkingsverantwoordelijke kan voldoen aan zijn verplichtingen uit hoofde van de artikelen 33 en 34 van Verordening (EU) 2016/679 of de artikelen 34 en 35 van Verordening (EU) 2018/1725, indien van toepassing, waarbij rekening wordt gehouden met de aard van de verwerking en de informatie waarover de verwerker beschikt.

9.1.   Inbreuk in verband met gegevens die door de verwerkingsverantwoordelijke worden verwerkt

In geval van een inbreuk in verband met persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt, staat de verwerker de verwerkingsverantwoordelijke bij:

a)

bij het zonder onnodige vertraging melden van de inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit/autoriteiten nadat de verwerkingsverantwoordelijke er kennis van heeft gekregen, indien relevant /(tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen);

b)

bij het verkrijgen van onderstaande informatie die overeenkomstig [OPTIE 1] artikel 33, lid 3, van Verordening (EU) 2016/679/ [OPTIE 2] artikel 34, lid 3, van Verordening (EU) 2018/1725 in de kennisgeving van de verwerkingsverantwoordelijke moet worden vermeld en ten minste omvat:

1)

de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

2)

de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

3)

de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Indien en voor zover al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de oorspronkelijke kennisgeving de dan beschikbare informatie en wordt verdere informatie vervolgens onverwijld verstrekt zodra deze beschikbaar is;

c)

bij het naleven, overeenkomstig [OPTIE 1] artikel 34 van Verordening (EU) 2016/679/[OPTIE 2] artikel 35 van Verordening (EU) 2018/1725, van de verplichting om de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee te delen, wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

9.2.   Inbreuk in verband met gegevens die door de verwerker worden verwerkt

In geval van een inbreuk in verband met persoonsgegevens die door de verwerker worden verwerkt, stelt de verwerker, nadat hij kennis heeft gekregen van de inbreuk, de verwerkingsverantwoordelijke daarvan onverwijld in kennis. Deze kennisgeving bevat ten minste:

a)

een beschrijving van de aard van de inbreuk (waar mogelijk onder vermelding van de categorieën betrokkenen en gegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en gegevensregisters in kwestie);

b)

de gegevens van een contactpunt waar meer informatie over de inbreuk in verband met persoonsgegevens kan worden verkregen;

c)

de waarschijnlijke gevolgen van de inbreuk en de maatregelen die zijn genomen of worden voorgesteld om deze aan te pakken, onder meer om de mogelijke negatieve gevolgen ervan te beperken.

Indien en voor zover al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de oorspronkelijke kennisgeving de dan beschikbare informatie en wordt verdere informatie vervolgens onverwijld verstrekt zodra deze beschikbaar is.

De partijen vermelden in bijlage III alle andere elementen die door de verwerker moeten worden verstrekt wanneer hij de verwerkingsverantwoordelijke bijstaat bij de naleving van de verplichtingen van de verwerkingsverantwoordelijke uit hoofde van de [OPTIE 1] de artikelen 33 en 34 van Verordening (EU) 2016/679/[OPTIE 2] de artikelen 34 en 35 van Verordening (EU) 2018/1725.

AFDELING III

SLOTBEPALINGEN

Bepaling 10

Niet-naleving van de bepalingen en beëindiging

a)

Onverminderd eventuele bepalingen van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 kan de verwerkingsverantwoordelijke, ingeval de verwerker zijn verplichtingen uit hoofde van deze bepalingen niet nakomt, de verwerker opdracht geven de verwerking van persoonsgegevens op te schorten totdat deze aan deze bepalingen voldoet of de overeenkomst wordt beëindigd. Wanneer de verwerker om welke reden dan ook niet aan deze bepalingen kan voldoen, stelt hij de verwerkingsverantwoordelijke daarvan onverwijld in kennis.

b)

De verwerkingsverantwoordelijke heeft het recht de overeenkomst te beëindigen voor zover deze de verwerking van persoonsgegevens overeenkomstig deze bepalingen betreft, indien:

1)

de verwerkingsverantwoordelijke de verwerking van persoonsgegevens door de verwerker overeenkomstig punt a) heeft opgeschort en de naleving van deze bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting wordt hervat;

2)

de verwerker deze bepalingen of zijn verplichtingen uit hoofde van Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725 wezenlijk of voortdurend schendt;

3)

de verwerker niet voldoet aan een bindend besluit van een bevoegde rechter of de bevoegde toezichthoudende autoriteit/autoriteiten met betrekking tot zijn verplichtingen uit hoofde van deze bepalingen of Verordening (EU) 2016/679 en/of Verordening (EU) 2018/1725.

c)

De verwerker heeft het recht de overeenkomst op te zeggen voor zover het daarbij gaat om de verwerking van persoonsgegevens krachtens deze bepalingen, indien de verwerkingsverantwoordelijke, nadat de verwerker hem er overeenkomstig bepaling 7.1, punt b), van in kennis heeft gesteld dat zijn instructies inbreuk maken op de toepasselijke wettelijke vereisten, aandringt op naleving van de instructies.

d)

Na de beëindiging van de overeenkomst wist de verwerker, naar keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens die namens de verwerkingsverantwoordelijke zijn verwerkt en bevestigt hij tegenover de verwerkingsverantwoordelijke dat hij dit heeft gedaan, of zendt hij alle persoonsgegevens terug aan de verwerkingsverantwoordelijke en verwijdert hij bestaande kopieën, tenzij het Unierecht of het lidstatelijke recht de opslag van de persoonsgegevens voorschrijft. Totdat de gegevens zijn gewist of teruggeven, blijft de verwerker ervoor zorgen dat deze bepalingen worden nageleefd.


BIJLAGE I

Lijst van partijen

Verwerkingsverantwoordelijk(n): [Identiteit en contactgegevens van de verwerkingsverantwoordelijke(n) en, in voorkomend geval, van de functionaris voor gegevensbescherming van de verwerkingsverantwoordelijke]

1.

Naam: …

 

Adres: …

 

Naam, functie en contactgegevens van de contactpersoon: …

 

Ondertekening en toetredingsdatum: …

2.

 

Verwerker(s) [Identiteit en contactgegevens van de verwerker(s) en, in voorkomend geval, van de functionaris voor gegevensbescherming van de verwerker]

1.

Naam: …

 

Adres: …

 

Naam, functie en contactgegevens van de contactpersoon: …

 

Ondertekening en toetredingsdatum: …

2.

 


BIJLAGE II

Beschrijving van de verwerking

Categorieën betrokkenen van wie persoonsgegevens worden verwerkt

Categorieën verwerkte persoonsgegevens

Verwerkte gevoelige gegevens (indien van toepassing) en toegepaste beperkingen of waarborgen die ten volle rekening houden met de aard van de gegevens en de betrokken risico’s, zoals strikte doelbinding, toegangsbeperkingen (met inbegrip van toegang voor enkel personeel dat een gespecialiseerde opleiding heeft gevolgd), het bijhouden van een register inzake de toegang tot de gegevens, beperkingen voor verdere doorgifte of aanvullende beveiligingsmaatregelen.

Aard van de verwerking

Doeleinde(n) waarvoor de persoonsgegevens namens de verwerkingsverantwoordelijke worden verwerkt

Duur van de verwerking

Voor verwerking door (sub)verwerkers, ook het voorwerp, de aard en de duur van de verwerking vermelden.


BIJLAGE III

Technische en organisatorische maatregelen, met inbegrip van technische en organisatorische maatregelen om de beveiliging van de gegevens te waarborgen

TOELICHTING:

De technische en organisatorische maatregelen moeten concreet en niet in algemene termen worden beschreven.

Beschrijving van de door de verwerker(s) genomen technische en organisatorische beveiligingsmaatregelen (met inbegrip van eventuele relevante certificeringen) om een passend beveiligingsniveau te waarborgen, rekening houdend met de aard, de reikwijdte, de context en het doel van de verwerking, alsmede met de risico’s voor de rechten en vrijheden van natuurlijke personen. Voorbeelden van mogelijke maatregelen:

 

maatregelen inzake pseudonimisering en versleuteling van persoonsgegevens;

 

maatregelen die op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten garanderen;

 

maatregelen die het vermogen garanderen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;

 

processen voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking;

 

maatregelen voor de identificatie en autorisatie van gebruikers;

 

maatregelen ter bescherming van gegevens tijdens de doorgifte;

 

maatregelen voor de bescherming van gegevens tijdens de opslag;

 

maatregelen ter waarborging van de fysieke beveiliging van de locaties waar persoonsgegevens worden verwerkt;

 

maatregelen om ervoor te zorgen dat incidenten worden geregistreerd;

 

maatregelen om de systeemconfiguratie, met inbegrip van de standaardinstelling, te waarborgen;

 

maatregelen voor interne governance en beheer op het gebied van IT en IT-beveiliging;

 

maatregelen voor certificering/waarborging van processen en producten;

 

maatregelen om gegevensminimalisering te waarborgen;

 

maatregelen om de kwaliteit van de gegevens te waarborgen;

 

maatregelen om te zorgen voor beperkte bewaring van gegevens;

 

maatregelen ter waarborging van de verantwoordingsplicht;

 

maatregelen om gegevensoverdraagbaarheid mogelijk te maken en voor wissing te zorgen.

Beschrijf voor overdrachten aan (sub)verwerkers ook de specifieke technische en organisatorische maatregelen die de (sub)verwerker moet nemen om de verwerkingsverantwoordelijke bijstand te kunnen verlenen.

Beschrijving van de specifieke technische en organisatorische maatregelen die de verwerker moet nemen om de verwerkingsverantwoordelijke bijstand te kunnen verlenen.


BIJLAGE IV

Lijst van subverwerkers

TOELICHTING:

Deze bijlage moet worden aangevuld in geval van specifieke toestemming voor uitbesteding aan subverwerkers (bepaling 7.7, punt a), optie 1).

De verwerkingsverantwoordelijke heeft toestemming gegeven voor uitbesteding aan de volgende subverwerkers:

1.

Naam: …

 

Adres: …

 

Naam, functie en contactgegevens van de contactpersoon: …

 

Beschrijving van de verwerking (met inbegrip van een duidelijke afbakening van de verantwoordelijkheden ingeval er toestemming is voor uitbesteding aan meerdere subverwerkers): …

2.