Versie: woensdag 16 mei 2018

Accepteer deze verwerkings overeenkomst

Tezamen aangeduid als Partijen

Partijen nemen het volgende in aanmerking:

  • Verantwoordelijke is als verantwoordelijke voor de persoonsgegevens op grond van Verordening (EU) 2016/679 verplicht een verwerkersovereenkomst aan te gaan met Verwerker.
  • In het kader van de tussen partijen afgesproken werkzaamheden vastgelegd in een hoofdovereenkomst, waarvoor deze overeenkomst de schriftelijke Verwerkersovereenkomst is, zal Verwerker persoonsgegevens verwerken ten behoeve en in opdracht van de Verantwoordelijke zonder aan het rechtstreeks gezag van de Verantwoordelijke te zijn onderworpen.
  • Verwerker zal bij de uitvoering van de werkzaamheden volgens de instructie en onder verantwoordelijkheid van Verantwoordelijke persoonsgegevens verwerken;
  • Verwerker is zakelijk dienstverlener, gespecialiseerd in het verzorgen van fysieke post verzendingen. Dit kan een deel traject of het gehele traject zijn.
  • Aanvullend kunnen schriftelijk andere verwerkingen door Verantwoordelijke aan Verwerker worden opgedragen, welke als bijlage aan deze Verwerkersovereenkomst zullen worden aangehecht;
  • Verwerker zal slechts die gegevensverwerking uitvoeren welke schriftelijk is opgedragen door Verantwoordelijke;
  • Indien nodig kunnen Verantwoordelijke en Verwerker in een aparte overeenkomst of overeenkomsten de overige voorwaarden voor het verrichten van diensten vastleggen;

En komen als volgt overeen:

Artikel 1: Opdracht

  1. Verantwoordelijke verstrekt opdracht aan Verwerker, welke door Verwerker wordt aanvaard om persoonsgegevens te verwerken in overeenstemming met deze overeenkomst.
  2. Verantwoordelijke blijft de Verantwoordelijke voor de gegevensverwerking. Verwerker heeft geen zelfstandige zeggenschap over de gegevens welke voor Verantwoordelijke conform deze Verwerkersovereenkomst worden verwerkt.
  3. Verwerker de persoonsgegevens uitsluitend verwerkt op basis van schriftelijke instructies van Verantwoordelijke, onder meer met betrekking tot doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de Verwerker de Verantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt;
  4. Het is Verwerker verboden de aan hem door Verantwoordelijke verstrekte gegevens voor eigen doeleinden te gebruiken.
  5. Verwerker zal de in Bijlage I genoemde en door Verantwoordelijke strikt noodzakelijk verstrekte persoonsgegevens uitsluitend verwerken voor de aldaar omschreven opgedragen werkzaamheden. Indien van toepassing kunnen in deze bijlage tevens aanvullende beveiligingsmaatregelen worden opgenomen die Verwerker zal naleven.
  6. Nadat de opgedragen taken zijn uitgevoerd, zal Verwerker op eerste, schriftelijke verzoek van Verantwoordelijke bestanden van verzamelde (persoons)gegevens retourneren en de gemaakte kopieën van persoonsgegevens van Verantwoordelijke onmiddellijk vernietigen, tenzij de Verantwoordelijke de geleverde dienstverlening en of (persoons)gegevens betwist. Kopieën van persoonsgegevens die onderdeel zijn van de back-up routine van Verwerker dienen zo snel mogelijk, door Verwerker, te worden verwijderd.
  7. De gegevens dienen tot 1 maand na het einde van de overeenkomst beschikbaar te blijven, tenzij er sprake is van een situatie als bedoeld in lid 6 van dit artikel. Na 1 maand zullen de gegeven verwijderd worden door Verwerker. Indien Verantwoordelijke wenst dat de gegevens langer bewaard worden, zal Verantwoordelijke dit schriftelijk aan Verwerker te kennen geven.
  8. Indien Verantwoordelijke een verzoekt indient, zal Verwerker verklaren dat het wissen conform het bepaalde in lid 7 heeft plaatsgevonden tenzij er sprake is van een situatie als bedoeld in lid 6 van dit artikel. Indien Verwerker, na toestemming van Verantwoordelijke, een subverwerker heeft ingeschakeld, zal Verwerker deze subverwerker op de hoogte stellen van de opdracht tot wissing en hem instrueren te handelen zoals hierin bepaald is.
  9. Verwerker zal zich onthouden van het verrichte van andere handelingen, genoemd in artikel 1, tenzij anders overeengekomen in bijlage I.

Artikel 2: Naleving wet- en regelgeving

  1. Verwerker zal bij enige verwerking van persoonsgegevens als in artikel 1 omschreven, handelen in overeenstemming met de Algemene Verordening Gegevensbescherming en overige van toepassing zijnde wet- en regelgeving aangaande de bescherming van persoonsgegevens.
  2. Zowel Verantwoordelijke als de Verwerker geven elkaar inzage in de documentatie als bedoeld in artikel 30 AVG, indien van toepassing.
  3. In het kader van het naleven van de Algemene Verordening Gegevensbescherming is Verwerker verplicht tegenover de Verwerkingsverantwoordelijke te kunnen verantwoorden dat zij aan de geldende wet- en regelgeving aangaande de bescherming van persoonsgegevens voldoet.

Artikel 3: Vrijwaring en aansprakelijkheid

Verantwoordelijke vrijwaart Verwerker gelijk Verwerker Verantwoordelijke vrijwaart voor alle aanspraken, behoudens opzet en/of grove schuld door Verwerker respectievelijk Verantwoordelijke, bij schending van het gestelde bij of krachtens wet- en regelgeving aangaande de bescherming van persoonsgegevens of de uitvoering van deze overeenkomst.

Artikel 4: Beveiligingsmaatregelen, Compliance en incidenten

  1. Verwerker zal, gelijk Verantwoordelijke, passende technische en organisatorische maatregelen nemen, in stand houden, evalueren en indien nodig aanpassen en actualiseren om persoonsgegevens te beveiligen tegen verlies, diefstal, of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de qua waarschijnlijkheid en ernst uiteenlopende risico's die de verwerkingen van de te beschermen gegevens met zich meebrengen en voldoen aan het bepaalde in de richtsnoeren en artikel 32 AVG.
  2. Verwerker stelt op verzoek van de Verantwoordelijke alle informatie ter beschikking, die nodig is om nakoming van het bepaalde in lid 1 te kunnen aantonen.
  3. Indien Verwerker in een andere lidstaat van de Europese Unie de gegevens van Verantwoordelijke bewerkt of doet bewerken, zal zij dat doen of laten doen in overeenstemming met de wettelijk vereiste beveiligingsmaatregelen van de betreffende lidstaat.
  4. Verwerker stelt Verantwoordelijke in staat om op haar eerste, schriftelijke verzoek de getroffen maatregelen te inspecteren, met als doel na te gaan hetgeen in deze overeenkomst is bepaald, wordt nageleefd.
  5. Verwerker zal hieraan zijn medewerking verlenen en alle voor de audit relevante informatie tijdig ter beschikking stellen die nodig is om de nakoming van de in artikel 28 AVG neergelegde verplichtingen te kunnen aantonen.
  6. Verantwoordelijke zal in beginsel geen audit uitvoeren bij subverwerkers omdat de Verwerker hiervoor zelf volledig verantwoordelijk en aansprakelijk is. Verantwoordelijke kan in overleg met Verwerker een audit bij subverwerkers uitvoeren om voor de verantwoordelijke moverende redenen.
  7. De personen die een audit uitvoeren, zullen zich conformeren aan de beveiligingsprocedure zoals die bij Verwerker van kracht zijn. De kosten voor een audit komen voor rekening van Verantwoordelijke, tenzij uit de audit blijkt dat Verwerker heeft gehandeld in strijd met deze overeenkomst of nagelaten heeft voldoende passende maatregelen te nemen rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
  8. Indien Verwerker bij het verwerken van persoonsgegevens kennis krijgt van een beveiligingsincident, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens, dan zal Verwerker onverwijld, edoch binnen 24 uur na ontdekking, Verantwoordelijke daarvan op de hoogte brengen, terwijl Verwerker in de tussentijd alle mogelijke technische en organisatorische maatregelen neemt om het beveiligingsincident te stoppen, te voorkomen en/of te herstellen. Verwerker verstrekt bij de melding informatie omtrent de aard van de inbreuk, de aard van de gelekte persoonsgegevens, de technische beschermingsmaatregelen en overige relevante feiten en omstandigheden die van belang zijn om te bepalen of de toezichthouder en/of de betrokkene geïnformeerd dienen te worden.
  9. Verwerker zal document melding datalek onverwijld volledig invullen en digitaal met de ingevulde contactpersonen naar Verantwoordelijke versturen.
  10. Indien er gerede twijfel is of de inbreuk een waarschijnlijk risico inhoudt voor de rechten en vrijheden van betrokkene, dan meldt de Verwerker de inbreuk aan Verantwoordelijke, om deze in staat te stellen een eigen oordeel te vormen of een melding noodzakelijk is.
  11. Verwerker documenteert alle inbreuken in verband met persoonsgegevens, ook de inbreuken die niet aan Verantwoordelijke gemeld hoeven te worden. De documentatie bevat alle feiten omtrent de inbreuk, de gevolgen en de genomen corrigerende maatregelen. De documentatie wordt eens per kwartaal aan de Verantwoordelijke verstrekt teneinde ervoor te zorgen dat Verantwoordelijke in staat is deze te overleggen aan de Autoriteit Persoonsgegevens.
  12. Indien er een verplichting bestaat een melding te doen aan de toezichthouder of om de betrokkenen te informeren zal dat uitsluitend worden gedaan door Verantwoordelijke. Verwerker zal hierbij haar volstrekte medewerking verlenen om aan deze verplichtingen te kunnen voldoen.

 

Artikel 5: Bijstand bij nakoming verplichtingen

  1. De Verwerker is verplicht, rekening houdend met de aard van de verwerking, de Verantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand te verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Algemene Verordening Gegevensbescherming vastgestelde rechten van de betrokkene te beantwoorden.
  2. de Verwerker is verplicht, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, de Verantwoordelijke bijstand te verlenen bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Algemene Verordening gegevensbescherming.

Artikel 6: Inschakeling subverwerkers binnen Europese Unie

  1. Het is Verwerker toegestaan om derden als Verwerker in te schakelen bij de uitvoering van deze Verwerkersovereenkomst, mits deze derde(n), de subverwerker(s), zijn gevestigd binnen de Europese Unie.
  2. Verantwoordelijke kan nadere voorwaarden verbinden aan de inschakeling van subverwerkers bij de uitvoering van deze Verwerkersovereenkomst.
  3. De subverwerker biedt afdoende garanties met betrekking tot de toepassing van passende technische en organisatorische maatregelen opdat de verwerking aan het bepaalde van deze overeenkomst en de AVG voldoet.
  4. Indien Verwerker een subverwerker heeft ingeschakeld, dan is Verwerker volledig aansprakelijk voor deze subverwerker, maar niet voor subverwerkers waarvan de Verantwoordelijke de Verwerker verplicht heeft om mee samen te werken, voor de werkzaamheden besloten in de opdracht van deze overeenkomst. Verwerker zal deze derde dezelfde verplichtingen opleggen als die voor hem uit deze overeenkomst voortvloeien, zodat ook de subverwerker gebonden wordt aan deze bepalingen.
  5. Verwerker dient een lijst bij te houden van subverwerkers inclusief de uit te voeren taken.

Artikel 7: Verwerking buiten Europese Unie

  1. Indien Verwerker de persoonsgegevens buiten de Europese Unie wil verwerken, dan kan dit uitsluitend in landen, die door de Europese Commissie of de Minister van Justitie zijn aangemerkt als landen met een passend beschermingsniveau, of door aanvullende maatregelen die een passend beschermingsniveau bieden.
  2. De verwerking van persoonsgegevens buiten de Europese Unie kan uitsluitend na uitdrukkelijke voorafgaande schriftelijke toestemming van Verantwoordelijke. Aan een dergelijke verwerking kunnen bovendien aanvullende voorwaarden worden gesteld.
  3. Het is Verwerker niet toegestaan om in het kader van deze overeenkomst gebruik te maken van een subverwerker, gevestigd buiten de Europese Unie, tenzij Verantwoordelijke hiertoe haar voorafgaande uitdrukkelijke schriftelijke toestemming heeft gegeven. Toestemming wordt hierbij verleend voor de subverwerkers gevestigd buiten de Europese Unie genoemd in bijlage I.
  4. De subverwerker biedt afdoende garanties met betrekking tot de toepassing van passende technische en organisatorische maatregelen opdat de verwerking aan het bepaalde van deze overeenkomst en de AVG voldoet.
  5. Indien Verwerker een subverwerker heeft ingeschakeld, dan is Verwerker volledig aansprakelijk voor het nakomen van alle verplichtingen door deze subverwerker, maar niet voor subverwerkers waarvan de Verantwoordelijke de Verwerker verplicht heeft om mee samen te werken, voor de werkzaamheden besloten in de opdracht van deze overeenkomst. Verwerker zal in een schriftelijke overeenkomst deze derde dezelfde verplichtingen opleggen als die voor hem uit deze overeenkomst voortvloeien, zodat ook de subverwerker gebonden wordt aan deze bepalingen.
  6. Verwerker dient een lijst bij te houden van subverwerkers inclusief de uit te voeren taken.

Artikel 8: Geheimhoudingsplicht

  1. Verwerker, haar personeel en door haar ingeschakelde derden zijn op basis van artikel 28 lid 3, sub b AVG verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis nemen of hebben kunnen nemen.Verwerker verschaft enkel toegang tot de persoonsgegevens aan haar medewerkers voor zover dit nodig is voor het verrichten van de gegevensverwerking op grond van haar taak.
  2. Verwerker zal de personen die in dienst zijn, dan wel werkzaamheden ten behoeve van hem verrichten verplichten tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen.
  3. De geheimhoudingsplicht van Verwerker kan slechts worden doorbroken wanneer een wettelijk voorschrift verplicht om gegevens te verstrekken of de functionaris die is aangewezen door Verantwoordelijke aan Verwerker de noodzaak tot mededeling is aangegeven.
  4. Indien door een toezichthouder van Verantwoordelijke inzage wordt gevraagd in de gegevensverwerking, dient Verwerker hieraan alle noodzakelijke medewerking te verlenen, om Verantwoordelijke in staat te stellen om aan haar door toezichthouders opgelegde verplichtingen te voldoen.
  5. De geheimhoudingsplicht geldt zowel tijdens als na afloop van de werkzaamheden en blijft ook na beëindiging van deze overeenkomst bestaan.
  6. De Verwerker zal Verantwoordelijke op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de persoonsgegevens, tenzij wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Artikel 9: Rechten van betrokkenen

  1. Indien een betrokkene een van zijn rechten op grond van art. 15 tot en met 22 AVG inroept bij Verwerker, dan zal Verwerker dit verzoek onverwijld aan Verantwoordelijke doorsturen.
  2. Verwerker zal Verantwoordelijke volledige en tijdige bijstand verlenen bij de uitoefening van diens plicht om verzoeken inzake uitoefening van de in lid 1 genoemde rechten te beantwoorden.

Artikel 10: Algemene voorwaarden & slotbepalingen

  1. Op deze overeenkomst zijn geen algemene voorwaarden van toepassing. Het Nederlands recht is van toepassing. De bevoegde rechter is de rechter die bevoegd is op basis van de hoofdovereenkomst.
  2. Indien in een andere overeenkomst tussen Verantwoordelijke en Verwerker bepalingen zijn opgenomen die afwijken van hetgeen is bepaald in deze overeenkomst, prevaleert het bepaalde in deze overeenkomst.
  3. Wijzigingen op deze overeenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.
  4. Deze overeenkomst treedt in werking op het moment van ondertekenen, en heeft een looptijd die gelijk is aan die van de hoofdovereenkomst. De verwerkersovereenkomst kan niet tussentijds worden opgezegd

----------------------------------------------

Bijlage I

Werkzaamheden

De volgende werkzaamheden worden door de Verwerker uitgevoerd:

  • Website bouwen en beheren
  • Emailcampagnes
  • Verzorgen adressen
  • Bewerken adressenbestand (inclusief uploaden bij posterijen)
  • Printen vaste en variabele gegevens
  • Drukwerk
  • Partij verzendklaar maken
  • Verzenden van de partij (meeliften op ons contract bij de posterijen)
  • Fullfilment

Verwerker zal zich onthouden van het verrichten van andere handelingen dan de hierboven genoemde verwerkingen, zelfs niet wanneer deze in een zodanige vorm zijn gebracht dat ze niet meer herleidbaar zijn tot natuurlijke personen. Evenmin is Verwerker gerechtigd om de persoonsgegevens samen te voegen met andere bestanden van Verwerker, dan wel om de persoonsgegevens voor eigen of andere doeleinden te verwerken.

Persoonsgegevens

De Verwerker ontvangt hiervoor de volgende persoonsgegevens of categorieën van persoonsgegevens:

  • Naam, adres, woonplaats
  • Telefoonnummer
  • E-mailadres
  • Geboortedatum
  • Geslacht
  • Gegevens met betrekking tot transacties/donaties/aankoopgeschiedenis/betalingen
  • Financiële data (bankrekeningnummer)
  • IP Adressen
  • Locatiegegevens in verschillende vormen

 

Categorieën van betrokkene

Relaties; eindgebruikers

De Verwerker neemt op verzoek van de Verantwoordelijke de volgende extra beveiligingsmaatregelen:

  • beleid omtrent het verwijderen van data;
  • een solide reserve-infrastructuur;
  • up-to-date toegangs- en autorisatiebeleid;
  • een protocol datalekken.

Accepteer deze verwerkings overeenkomst: