AVG: Verordening (EU) 2016/679 van het Europese Parlement en de Raad.
Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
Bijzondere Persoonsgegevens: Persoonsgegevens als bedoeld in artikel 9 lid 1 AVG.
Datalek: Een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging

of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden,

opgeslagen of anderszins verwerkte gegevens.

Dienst: De onder de Overeenkomst te leveren dienst van de Verwerker.
Overeenkomst: De overeenkomst tot dienstverlening, welke wordt aangegaan door het

bestellen van een zending via de website van de Verwerker.

Persoonsgegeven: Elk gegeven betreffende een geïdentificeerde of identificeerbare

natuurlijke persoon, die op welke wijze dan ook door Verwerker verwerkt wordt of zal

worden in het kader van de Overeenkomst.

Subverwerker: Een partij die in opdracht van Verwerker Persoonsgegevens verwerkt.
Verwerker: Stichting Suver Nuver, Lorentzkade 2-B, 8912 AZ LEEUWARDEN
Verwerkersovereenkomst: De onderhavige overeenkomst.
Verwerking: Elke handeling of geheel van handelingen met betrekking tot

Persoonsgegevens.

Verwerkingsverantwoordelijke: De opdrachtgever van de Verwerker, tevens de

contractpartij aan de Overeenkomst.

Artikel 2: Algemeen:

Verwerkingsverantwoordelijke en Verwerker voorzien dat in het kader van de uitvoering

van de Overeenkomst door Verwerker persoonsgegevens in de zin van artikel 4 lid 1 AVG,

als nader omschreven in Artikel 16 zullen worden verwerkt zonder aan het rechtstreeks

gezag van Verwerkingsverantwoordelijke te zijn onderworpen.

Verwerkingsverantwoordelijk bepaalt het doel en de middelen van de Verwerking van

Persoonsgegevens in de zin van artikel 4 lid 7 van de AVG.

Verwerker verwerkt ten behoeve van de Verwerkingsverantwoordelijke krachtens de

Overeenkomst Persoonsgegevens in de zin van artikel 4 lid 8 AVG.

Deze Verwerkersovereenkomst geldt voor alle verwerkingen van Persoonsgegevens in de

uitvoering van en gedurende de looptijd van de Overeenkomst.

Artikel 3: Gegevensverwerking:

Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst om in

opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerker

zal de Persoonsgegevens verwerken in overeenstemming met de AVG en andere

toepasselijke wet- en regelgeving en/of gedragscodes betreffende de verwerking van

Persoonsgegevens.

Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens die hij aan Verwerker

verschaft, voldoen aan alle toepasselijke wet- en regelgeving op het gebied van

bescherming van persoonsgegevens en dat deze wet- en regelgeving toestaat dat de

Persoonsgegevens aan Verwerker worden verschaft en dat de Persoonsgegevens door

Verwerker worden verwerkt.

Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze en

uitsluitend voor zover noodzakelijk om de Dienst aan de Verwerkingsverantwoordelijke te

leveren. De categorieën Persoonsgegevens die aan Verwerker worden verstrekt en voor de

uitvoering van de Dienst verwerkt mogen worden, zijn omschreven in Artikel 16.

Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de

instructies van Verwerkingsverantwoordelijke. Verwerker zal de Persoonsgegevens niet

voor eigen of andere doeleinden verwerken, behoudens op hem rustende

dwingendrechtelijke verplichtingen.

Verwerker zal Persoonsgegevens die haar in het kader van de Overeenkomst ter

beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van

deze Overeenkomst; of (ii) om een op hem rustende wettelijke verplichting na te komen.

Artikel 4: Geheimhouding:

Verwerker is, behoudens andersluidend wettelijk voorschrift en/of een rechterlijk bevel,

verplicht de Persoonsgegevens als vertrouwelijk te behandelen en strikt geheim te

houden.

Verwerker zal ervoor zorgen dat diegenen die handelen onder zijn gezag dan wel in zijn

opdracht (medewerkers en eventuele derde(n)) die noodzakelijkerwijs van de

Persoonsgegevens kennis dienen te nemen, zich houden aan de in dit artikel opgenomen

geheimhoudingsverplichting. Verwerker bewerkstelligt dat voor ieder die betrokken is bij

de verwerking van deze persoonsgegevens een geheimhoudingsovereenkomst of -beding

is gesloten.

Verwerker zal Verwerkingsverantwoordelijke onverwijld op de hoogte stellen van ieder

verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van

de Persoonsgegevens die in strijd zijn met de in dit artikel opgenomen

geheimhoudingsplicht.

Artikel 5: Beveiliging en meldplicht datalekken:

Verwerker draagt er zorg voor passende technische en organisatorische maatregelen te

hebben genomen, in stand te houden en, indien nodig, aan te passen om de

Persoonsgegevens te beveiligen tegen verlies, vervalsing, onrechtmatige verspreiding of

toegang, dan wel enige andere vorm van onrechtmatige verwerking. In Artikel 17 zijn de

beveiligingsmaatregelen beschreven die de Verwerker ten tijde van het afsluiten van deze

Verwerkingsovereenkomst in ieder geval heeft genomen.

Verwerker draagt er zorg voor dat zijn (eigen of ingehuurde) medewerkers die betrokken

zijn bij de verwerking van de Persoonsgegevens, de in deze Verwerkersovereenkomst

opgenomen verplichtingen van Verwerker kennen en nakomen.

In het geval van een vermoedelijk(e) of daadwerkelijk(e) (i) Datalek; (ii) schending van

beveiligingsmaatregelen; (iii)schending van de geheimhoudingsplicht of (iv) verlies van

persoonsgegevens zal Verwerker de Verwerkingsverantwoordelijke direct, doch uiterlijk

binnen 36 uur na de eerste ontdekking van het incident, informeren. Deze informatie zal

details bevatten omtrent de vermeende oorzaak, mogelijke gevolgen, voorgenomen

oplossing, en contactgegevens voor de opvolging van de melding. Ook zal informatie

worden gegeven omtrent het aantal en categorieën van Betrokkenen, categorieën van

Persoonsgegevens alsmede de genomen maatregelen om de inbreuk te stoppen en/of de

gevolgen ervan te verminderen.

Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde

kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te

voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van

de geheimhoudingsplicht of verder verlies van persoonsgegevens te beëindigen en in de

toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op

schadevergoeding of andere maatregelen.

Verwerker zal op verzoek van Verwerkingsverantwoordelijke meewerken aan het

informeren van de bevoegde autoriteiten en Betrokkene(n).

Verwerker maakt afspraken met Subverwerkers over het melden van incidenten aan

Verwerker, die de Verwerker en Verwerkingsverantwoordelijke in staat stellen

verplichtingen in het geval van een incident zoals beschreven in artikel 5 lid 3 na te komen.

Artikel 6: Inschakeling Subverwerkers:

Verwerkingsverantwoordelijke verleent toestemming aan Verwerker om voor de

verwerking van de Persoonsgegevens Subverwerkers in te schakelen die in Artikel 18 zijn

opgenomen. Indien beoogd wordt nieuwe Subverwerkers in te schakelen of als er

wijzigingen kunnen gaan optreden dient Verwerker de Verwerkingsverantwoordelijke

hierover voorafgaand te informeren en in staat te stellen bezwaar te maken tegen de

veranderingen.

Verwerker draagt er zorg voor dat de betreffende Subverwerker tenminste dezelfde

verplichtingen op zich neemt als opgenomen voor de Verwerker in deze

Verwerkersovereenkomst.

Verwerker blijft in de verhouding tussen partijen altijd aanspreekpunt voor de

Verwerkingsverantwoordelijke. De door Verwerkingsverantwoordelijke gegeven

toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van de Verwerker

voor de nakoming van de Verwerkingsovereenkomst.

Artikel 7: Verwerkingen buiten de Europese Economische Ruimte:

Verwerker zal slechts Persoonsgegevens doorgeven naar of toegankelijk maken vanuit een

land buiten de Europese Economische Ruimte, wanneer zij daarvoor passende

waarborgen heeft getroffen. Artikel 19 bevat een overzicht van verwerkingen buiten de

EER en de getroffen waarborgen.

Artikel 8: Rechten van Betrokkenen:

Verwerker verleent Verwerkingsverantwoordelijke, rekening houdend met de aard van de

verwerking en voorzover mogelijk, bijstand om binnen de wettelijke termijnen te voldoen

aan de verplichtingen op grond van de AVG of andere toepasselijke regelgeving, meer in

het bijzonder de rechten van Betrokkenen, waaronder maar niet uitsluitend: het recht van

inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking, het

recht op overdraagbaarheid van gegevens, het recht van bezwaar. De daarbij gepaard

gaande redelijke kosten komen voor rekening van de Verwerker.

Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van de door

Betrokkenen gedane schriftelijke verzoeken aan Verwerker en de

Verwerkingsverantwoordelijke vragen om verdere instructies hieromtrent.

Artikel 9: Ondersteuning uitvoer gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging:

Rekening houdend met de aard van de verwerking en de bij de Verwerker beschikbare

informatie, verleent de Verwerker de Verwerkingsverantwoordelijke bijstand bij het

nakomen van de verplichtingen uit hoofde van artikel 35 AVG (uitvoer

gegevensbeschermingseffectbeoordeling) en artikel 36 AVG (voorafgaande raadpleging).

Artikel 10: Overdracht en vernietiging gegevens:

Verwerker zal ervoor zorgdragen dat, in overleg met Verwerkingsverantwoordelijke (i) alle

of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst

ter beschikking gestelde Persoonsgegevens, worden vernietigd op alle locaties, (ii) alle of

een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst

ter beschikking gestelde Persoonsgegevens, aan een opvolgend Dienstverlener ter

beschikking worden gesteld, dan wel (iii) Verwerkingsverantwoordelijke in de gelegenheid

wordt gesteld om Persoonsgegevens of een door de Verwerkingsverantwoordelijke

bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens

aan de Dienst te onttrekken.

Verwerker is te allen tijde verplicht om op verzoek van de Verwerkingsverantwoordelijke

binnen een redelijke termijn alle afschriften en kopieën van de van

Verwerkingsverantwoordelijke afkomstige en/of in het kader van de Overeenkomst

vervaardigde informatie met betrekking tot Verwerkingsverantwoordelijke te vernietigen.

Verwerker kan afwijken van het in voorgaande leden bepaalde, voor zover ten aanzien van

de Persoonsgegevens een wettelijke (bewaar)termijn zou gelden of voor zover dat

noodzakelijk is om tegenover Verwerkingsverantwoordelijke nakoming van zijn

verbintenissen te kunnen bewijzen.

Artikel 11: Controlerecht:

Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze

Verwerkingsovereenkomst door de Verwerker één keer per kalenderjaar te (laten)

controleren na voorafgaande schriftelijke aankondiging en met inachtneming van een

termijn van tien werkdagen.

Op verzoek van Verwerkingsverantwoordelijke stelt Verwerker alle informatie beschikbaar

die redelijkerwijs nodig is om de nakoming van de in deze Verwerkersovereenkomst

gestelde verplichtingen aan te tonen en zal medewerking verlenen om audit mogelijk te

maken. Deze audit wordt uitgevoerd door een door de Verwerkingsverantwoordelijke

aangewezen onafhankelijke derde die gebonden is aan een geheimhoudingsplicht.

Verwerker kan, na afstemming met Verwerkingsverantwoordelijke, ervoor kiezen de audit

te vervangen door een Third Party Verklaring.

Verwerkingsverantwoordelijke draagt de kosten van de audit met uitzondering van de

kosten van medewerkers van Verwerker die de audit begeleiden. Indien uit de audit blijkt

dat Verwerker ernstig en materieel tekort is geschoten in de nakoming van deze

Verwerkersovereenkomst, komen de redelijke kosten van de audit voor rekening van

Verwerker.

Verwerker is bekend met de zelfstandige controlebevoegdheden van de Autoriteit

Persoonsgegevens en eventuele andere toezichthouders onder wiens toezicht

Verwerkingsverantwoordelijke valt en zal deze toezichthouders in voorkomende gevallen

toegang geven en medewerking verlenen aan een onderzoek met betrekking tot de op

grond van de Overeenkomst verwerkte Persoonsgegevens. Wanneer de Verwerker een

dergelijk verzoek van de Autoriteit Persoonsgegevens ontvangt, informeert zij de

Verwerkingsverantwoordelijke onverwijld.

Artikel 12: Aansprakelijkheid:

Voor eventuele schade die het gevolg is van een toerekenbaar tekortschieten in de

nakoming van de verplichtingen voortvloeiende uit deze Verwerkersovereenkomst, dan

wel handelen in strijd met de wet- en regelgeving door de Verwerker, is Verwerker

aansprakelijk conform hetgeen tussen partijen is overeengekomen in de Overeenkomst.

Artikel 13: (Intellectuele) Eigendomsrechten op de Persoonsgegevens:

Alle (intellectuele) eigendomsrechten – daaronder begrepen enige auteursrechten en

databankrechten – op (het bestand c.q. de bestanden van) de Persoonsgegevens blijven te

allen tijde berusten bij Verwerkingsverantwoordelijke of haar licentiegever(s).

Artikel 14: Duur, beëindiging en wijziging:

Deze Verwerkersovereenkomst is een aanvulling op de Overeenkomst en heeft dezelfde

looptijd als de Overeenkomst en eindigt zodra de Overeenkomst eindigt.

De beëindiging van deze Verwerkersovereenkomst zal partijen niet ontslaan van hun

verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard

worden geacht ook na beëindiging voor te duren.

Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen

Partijen schriftelijk zijn overeengekomen.

Artikel 15: Slotbepalingen:

Tenzij in de Overeenkomst anders is bepaald, is op deze Verwerkersovereenkomst

Nederlands recht van toepassing.

Alle geschillen voortvloeiend of verband houdend met deze Verwerkersovereenkomst

zullen uitsluitend worden voorgelegd aan de bevoegde rechter zoals opgenomen in de

Overeenkomst.

Artikel 16: Overzicht van de categorieën van te verwerken

Persoonsgegevens:

Verwerker zal de volgende categorieën van de Persoonsgegevens namens

Verwerkingsverantwoordelijke verwerken:

Categorieën persoonsgegevens	Categorieën betrokkenen
NAW-gegevens	Geadresseerden
(elektronische) contactgegevens	Donateurs
bestelinformatie	Donateurs
toestemmingformulieren	Donateurs
bankrekeningnummer	Donateurs
Telefoonnummer	Donateurs
Geboorte datum	Donateurs
ID nummer	Donateurs

Welke verwerkingen vinden er plaats en wat is de aard en het doel van deze

verwerking?

Verwerking	Doeleinde
Collectie	-Verzamelen van donateursinformatie (inclusief automatische incasso) -Verzamelen van toestemming om namens donateurs activistische doelstellingen te verwezenlijken -verzamelen persoons-en adresgegevens tbv leeftijdsverificatie en bestellingen
Sorteren	Uitsorteren van adressen tbv zendingen naar bestemming
Distributie	Bezorgen van de zendingen op afleveradres

Artikel 17: Overzicht van de beveiligingsmaatregelen:

De Verwerker zal voldoende c.q. toereikende technische en organisatorische normen

en maatregelen in acht nemen ten aanzien van de voor Verwerkingsverantwoordelijke te

verwerken gegevens. De Verwerker zal minimaal de volgende beveiligingsmaatregelen nemen:

Fysieke maatregelen:

-De fysieke verwerking en opslag is uitbesteed aan en datacentrum

Elektronische maatregelen:

- Toegangsverleningssysteem personen

III. Organisatorische maatregelen

- Geheimhoudingsverklaringen

Artikel 18: Overzicht van Subverwerkers:

De Verwerker werkt met de volgende Subverwerkers samen:

categorieën Subverwerker

Rol binnen de verwerking

Vervoerders\Verzenders

Ondersteunen bij het logistieke proces (te weten collectie proces en bezorgproces)

Financiële verwerking

Ondersteunen bij het collecteren en administratief verwerken van donateursgelden

Artikel 19: Overzicht doorgiften buiten de Europese Economische Ruimte:

De Verwerker geeft de persoonsgegevens niet aan derde landen door.