6.1 Op het tijdstip van afsluiten van de overeenkomst zijn de in bijlage 2 genoemde ondernemingen voor de opdrachtnemer werkzaam als onderopdrachtnemers voor het leveren van deelprestaties, in verband waarmee ze ook rechtstreeks opdrachtgegevens verwerken en/of gebruiken. Voor deze onderopdrachtnemers wordt toestemming voor de bezigheden verleend geacht. Sub-verwerkers in derde landen mogen alleen dan met een opdracht worden belast worden wanneer aan de specifieke voorwaarden van art. 44 e.v. AVG is voldaan (bijv. adequaatheidsbesluit van de Commissie, standaard gegevensbeschermingsclausules, goedgekeurde gedragsregels).
6.2 De opdrachtnemer stelt de opdrachtgever op de hoogte van elk voornemen tot verandering in verband met het aantrekken van of vervangen door andere dan de in bijlage 2 genoemde onderopdrachtnemers, zodat de opdrachtgever de mogelijkheid heeft bezwaar te maken tegen dergelijke veranderingen. Hetzelfde geldt wanneer de opdrachtnemer voor het nakomen van zijn contractueel aanvaarde prestatieverplichtingen andere derde ondernemingen aantrekt voor verwezenlijking van de prestaties. Hierbij moet elke nieuwe onderopdrachtnemer voor toewijzing van de opdracht schriftelijk aangemeld worden, zodat de opdrachtgever binnen 1 week na ontvangst van de melding bezwaar kan maken tegen toewijzing van de opdracht.
6.3 Weigert de opdrachtgever door zijn bezwaar toestemming om andere dan belangrijke redenen, dan kan de opdrachtnemer de overeenkomst met de opdrachtgever opzeggen op het moment van het geplande inzetten van de onderopdrachtnemer, zonder dat de opdrachtgever ten opzichte van de opdrachtnemer in dit verband aanspraak kan maken op schadevergoeding of een andere vorm van betaling.
6.4 De opdrachtnemer dient bij het kiezen van elke onderopdrachtnemer vooral nauwgezet rekening te houden met passende nakoming van de tussen de opdrachtgever en de opdrachtnemer overeengekomen technische en organisatorische maatregelen.
6.5 Wanneer de opdrachtnemer in de zin van deze overeenkomst bevoegd is gebruik te maken van de diensten van een onderopdrachtnemer voor uitvoering van bepaalde verwerkingsactiviteiten om de ten opzichte van de opdrachtgever bestaande prestatieverplichtingen na te komen, worden aan deze onderopdrachtnemer door middel van een overeenkomst dezelfde verplichtingen opgelegd als degene die in deze overeenkomst tussen de opdrachtgever en de opdrachtnemer zijn bepaald. Dit geldt met name voor de eisen aan vertrouwelijkheid, gegevensbescherming en gegevensbeveiliging, evenals de in deze overeenkomst beschreven controle- en verificatierechten van de opdrachtgever. Hierbij moeten bovendien toereikende waarborgen worden geboden voor zodanige uitvoering van de passende technische en organisatorische maatregelen, dat verwerking in overeenstemming is met de eisen van de AVG.
6.6 De opdrachtgever heeft het recht op schriftelijk verzoek informatie van de opdrachtnemer te ontvangen over de voor gegevensbescherming belangrijke verplichtingen van de onderopdrachtnemer, indien nodig ook door inzage van de relevante contractuele documenten. De onderopdrachtnemer moet de opdrachtgever onder de in art. 8 geregelde voorwaarden in staat stellen tot controles ter plaatse.
6.7 Toestemming is niet verplicht voor uitbesteding wanneer de opdrachtnemer derden opdracht geeft tot een nevenprestatie bij de hoofdprestatie, zoals bij dienstverlening op het gebied van personeel, post en verzending. De opdrachtnemer is echter verplicht voor het waarborgen van de bescherming en beveiliging van de gegevens van de opdrachtgever ook bij extern uitbestede nevenprestaties passende wettelijke contractuele afspraken te maken en controlemaatregelen te nemen. De neven prestaties dienen van tevoren gedetailleerd te worden aangegeven.