Klik hier om het privacy artikel te downloaden
Artikel 3: Gegevensverwerking: 3
Artikel 5: Beveiliging en meldplicht datalekken: 4
Artikel 6: Inschakeling Subverwerkers: 5
Artikel 7: Verwerkingen buiten de Europese Economische Ruimte: 5
Artikel 8: Rechten van Betrokkenen: 5
Artikel 10: Overdracht en vernietiging gegevens: 5
Artikel 12: Aansprakelijkheid: 6
Artikel 13: (Intellectuele) Eigendomsrechten op de Persoonsgegevens: 7
Artikel 14: Duur, beëindiging en wijziging: 7
Artikel 16: Overzicht van de categorieën van te verwerken. 7
Artikel 17: Overzicht van de beveiligingsmaatregelen: 8
Artikel 18: Overzicht van Subverwerkers: 8
Artikel 19: Overzicht doorgiften buiten de Europese Economische Ruimte: 8
Artikel 1: Definities:
In deze Verwerkersovereenkomst wordt, voor zover niet anders is bepaald, verstaan onder:
- AVG: Verordening (EU) 2016/679 van het Europese Parlement en de Raad.
- Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
- Bijzondere Persoonsgegevens: Persoonsgegevens als bedoeld in artikel 9 lid 1 AVG.
- Datalek: Een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging
of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden,
opgeslagen of anderszins verwerkte gegevens.
- Dienst: De onder de Overeenkomst te leveren dienst van de Verwerker.
- Overeenkomst: De overeenkomst tot dienstverlening, welke wordt aangegaan door het
bestellen van een zending via de website van de Verwerker.
- Persoonsgegeven: Elk gegeven betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon, die op welke wijze dan ook door Verwerker verwerkt wordt of zal
worden in het kader van de Overeenkomst.
- Subverwerker: Een partij die in opdracht van Verwerker Persoonsgegevens verwerkt.
- Verwerker: Stichting Suver Nuver, Lorentzkade 2-B, 8912 AZ LEEUWARDEN
- Verwerkersovereenkomst: De onderhavige overeenkomst.
- Verwerking: Elke handeling of geheel van handelingen met betrekking tot
Persoonsgegevens.
- Verwerkingsverantwoordelijke: De opdrachtgever van de Verwerker, tevens de
contractpartij aan de Overeenkomst.
Artikel 2: Algemeen:
- Verwerkingsverantwoordelijke en Verwerker voorzien dat in het kader van de uitvoering
van de Overeenkomst door Verwerker persoonsgegevens in de zin van artikel 4 lid 1 AVG,
als nader omschreven in Artikel 16 zullen worden verwerkt zonder aan het rechtstreeks
gezag van Verwerkingsverantwoordelijke te zijn onderworpen.
- Verwerkingsverantwoordelijk bepaalt het doel en de middelen van de Verwerking van
Persoonsgegevens in de zin van artikel 4 lid 7 van de AVG.
- Verwerker verwerkt ten behoeve van de Verwerkingsverantwoordelijke krachtens de
Overeenkomst Persoonsgegevens in de zin van artikel 4 lid 8 AVG.
- Deze Verwerkersovereenkomst geldt voor alle verwerkingen van Persoonsgegevens in de
uitvoering van en gedurende de looptijd van de Overeenkomst.
Artikel 3: Gegevensverwerking:
- Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst om in
opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerker
zal de Persoonsgegevens verwerken in overeenstemming met de AVG en andere
toepasselijke wet- en regelgeving en/of gedragscodes betreffende de verwerking van
Persoonsgegevens.
- Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens die hij aan Verwerker
verschaft, voldoen aan alle toepasselijke wet- en regelgeving op het gebied van
bescherming van persoonsgegevens en dat deze wet- en regelgeving toestaat dat de
Persoonsgegevens aan Verwerker worden verschaft en dat de Persoonsgegevens door
Verwerker worden verwerkt.
- Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze en
uitsluitend voor zover noodzakelijk om de Dienst aan de Verwerkingsverantwoordelijke te
leveren. De categorieën Persoonsgegevens die aan Verwerker worden verstrekt en voor de
uitvoering van de Dienst verwerkt mogen worden, zijn omschreven in Artikel 16.
- Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de
instructies van Verwerkingsverantwoordelijke. Verwerker zal de Persoonsgegevens niet
voor eigen of andere doeleinden verwerken, behoudens op hem rustende
dwingendrechtelijke verplichtingen.
- Verwerker zal Persoonsgegevens die haar in het kader van de Overeenkomst ter
beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van
deze Overeenkomst; of (ii) om een op hem rustende wettelijke verplichting na te komen.
Artikel 4: Geheimhouding:
- Verwerker is, behoudens andersluidend wettelijk voorschrift en/of een rechterlijk bevel,
verplicht de Persoonsgegevens als vertrouwelijk te behandelen en strikt geheim te
houden.
- Verwerker zal ervoor zorgen dat diegenen die handelen onder zijn gezag dan wel in zijn
opdracht (medewerkers en eventuele derde(n)) die noodzakelijkerwijs van de
Persoonsgegevens kennis dienen te nemen, zich houden aan de in dit artikel opgenomen
geheimhoudingsverplichting. Verwerker bewerkstelligt dat voor ieder die betrokken is bij
de verwerking van deze persoonsgegevens een geheimhoudingsovereenkomst of -beding
is gesloten.
- Verwerker zal Verwerkingsverantwoordelijke onverwijld op de hoogte stellen van ieder
verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van
de Persoonsgegevens die in strijd zijn met de in dit artikel opgenomen
geheimhoudingsplicht.
Artikel 5: Beveiliging en meldplicht datalekken:
- Verwerker draagt er zorg voor passende technische en organisatorische maatregelen te
hebben genomen, in stand te houden en, indien nodig, aan te passen om de
Persoonsgegevens te beveiligen tegen verlies, vervalsing, onrechtmatige verspreiding of
toegang, dan wel enige andere vorm van onrechtmatige verwerking. In Artikel 17 zijn de
beveiligingsmaatregelen beschreven die de Verwerker ten tijde van het afsluiten van deze
Verwerkingsovereenkomst in ieder geval heeft genomen.
- Verwerker draagt er zorg voor dat zijn (eigen of ingehuurde) medewerkers die betrokken
zijn bij de verwerking van de Persoonsgegevens, de in deze Verwerkersovereenkomst
opgenomen verplichtingen van Verwerker kennen en nakomen.
- In het geval van een vermoedelijk(e) of daadwerkelijk(e) (i) Datalek; (ii) schending van
beveiligingsmaatregelen; (iii)schending van de geheimhoudingsplicht of (iv) verlies van
persoonsgegevens zal Verwerker de Verwerkingsverantwoordelijke direct, doch uiterlijk
binnen 36 uur na de eerste ontdekking van het incident, informeren. Deze informatie zal
details bevatten omtrent de vermeende oorzaak, mogelijke gevolgen, voorgenomen
oplossing, en contactgegevens voor de opvolging van de melding. Ook zal informatie
worden gegeven omtrent het aantal en categorieën van Betrokkenen, categorieën van
Persoonsgegevens alsmede de genomen maatregelen om de inbreuk te stoppen en/of de
gevolgen ervan te verminderen.
- Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde
kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te
voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van
de geheimhoudingsplicht of verder verlies van persoonsgegevens te beëindigen en in de
toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op
schadevergoeding of andere maatregelen.
- Verwerker zal op verzoek van Verwerkingsverantwoordelijke meewerken aan het
informeren van de bevoegde autoriteiten en Betrokkene(n).
- Verwerker maakt afspraken met Subverwerkers over het melden van incidenten aan
Verwerker, die de Verwerker en Verwerkingsverantwoordelijke in staat stellen
verplichtingen in het geval van een incident zoals beschreven in artikel 5 lid 3 na te komen.
Artikel 6: Inschakeling Subverwerkers:
- Verwerkingsverantwoordelijke verleent toestemming aan Verwerker om voor de
verwerking van de Persoonsgegevens Subverwerkers in te schakelen die in Artikel 18 zijn
opgenomen. Indien beoogd wordt nieuwe Subverwerkers in te schakelen of als er
wijzigingen kunnen gaan optreden dient Verwerker de Verwerkingsverantwoordelijke
hierover voorafgaand te informeren en in staat te stellen bezwaar te maken tegen de
veranderingen.
- Verwerker draagt er zorg voor dat de betreffende Subverwerker tenminste dezelfde
verplichtingen op zich neemt als opgenomen voor de Verwerker in deze
Verwerkersovereenkomst.
- Verwerker blijft in de verhouding tussen partijen altijd aanspreekpunt voor de
Verwerkingsverantwoordelijke. De door Verwerkingsverantwoordelijke gegeven
toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van de Verwerker
voor de nakoming van de Verwerkingsovereenkomst.
Artikel 7: Verwerkingen buiten de Europese Economische Ruimte:
- Verwerker zal slechts Persoonsgegevens doorgeven naar of toegankelijk maken vanuit een
land buiten de Europese Economische Ruimte, wanneer zij daarvoor passende
waarborgen heeft getroffen. Artikel 19 bevat een overzicht van verwerkingen buiten de
EER en de getroffen waarborgen.
Artikel 8: Rechten van Betrokkenen:
- Verwerker verleent Verwerkingsverantwoordelijke, rekening houdend met de aard van de
verwerking en voorzover mogelijk, bijstand om binnen de wettelijke termijnen te voldoen
aan de verplichtingen op grond van de AVG of andere toepasselijke regelgeving, meer in
het bijzonder de rechten van Betrokkenen, waaronder maar niet uitsluitend: het recht van
inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking, het
recht op overdraagbaarheid van gegevens, het recht van bezwaar. De daarbij gepaard
gaande redelijke kosten komen voor rekening van de Verwerker.
- Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van de door
Betrokkenen gedane schriftelijke verzoeken aan Verwerker en de
Verwerkingsverantwoordelijke vragen om verdere instructies hieromtrent.
Artikel 9: Ondersteuning uitvoer gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging:
- Rekening houdend met de aard van de verwerking en de bij de Verwerker beschikbare
informatie, verleent de Verwerker de Verwerkingsverantwoordelijke bijstand bij het
nakomen van de verplichtingen uit hoofde van artikel 35 AVG (uitvoer
gegevensbeschermingseffectbeoordeling) en artikel 36 AVG (voorafgaande raadpleging).
Artikel 10: Overdracht en vernietiging gegevens:
- Verwerker zal ervoor zorgdragen dat, in overleg met Verwerkingsverantwoordelijke (i) alle
of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst
ter beschikking gestelde Persoonsgegevens, worden vernietigd op alle locaties, (ii) alle of
een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst
ter beschikking gestelde Persoonsgegevens, aan een opvolgend Dienstverlener ter
beschikking worden gesteld, dan wel (iii) Verwerkingsverantwoordelijke in de gelegenheid
wordt gesteld om Persoonsgegevens of een door de Verwerkingsverantwoordelijke
bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens
aan de Dienst te onttrekken.
- Verwerker is te allen tijde verplicht om op verzoek van de Verwerkingsverantwoordelijke
binnen een redelijke termijn alle afschriften en kopieën van de van
Verwerkingsverantwoordelijke afkomstige en/of in het kader van de Overeenkomst
vervaardigde informatie met betrekking tot Verwerkingsverantwoordelijke te vernietigen.
- Verwerker kan afwijken van het in voorgaande leden bepaalde, voor zover ten aanzien van
de Persoonsgegevens een wettelijke (bewaar)termijn zou gelden of voor zover dat
noodzakelijk is om tegenover Verwerkingsverantwoordelijke nakoming van zijn
verbintenissen te kunnen bewijzen.
Artikel 11: Controlerecht:
- Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze
Verwerkingsovereenkomst door de Verwerker één keer per kalenderjaar te (laten)
controleren na voorafgaande schriftelijke aankondiging en met inachtneming van een
termijn van tien werkdagen.
- Op verzoek van Verwerkingsverantwoordelijke stelt Verwerker alle informatie beschikbaar
die redelijkerwijs nodig is om de nakoming van de in deze Verwerkersovereenkomst
gestelde verplichtingen aan te tonen en zal medewerking verlenen om audit mogelijk te
maken. Deze audit wordt uitgevoerd door een door de Verwerkingsverantwoordelijke
aangewezen onafhankelijke derde die gebonden is aan een geheimhoudingsplicht.
- Verwerker kan, na afstemming met Verwerkingsverantwoordelijke, ervoor kiezen de audit
te vervangen door een Third Party Verklaring.
- Verwerkingsverantwoordelijke draagt de kosten van de audit met uitzondering van de
kosten van medewerkers van Verwerker die de audit begeleiden. Indien uit de audit blijkt
dat Verwerker ernstig en materieel tekort is geschoten in de nakoming van deze
Verwerkersovereenkomst, komen de redelijke kosten van de audit voor rekening van
Verwerker.
- Verwerker is bekend met de zelfstandige controlebevoegdheden van de Autoriteit
Persoonsgegevens en eventuele andere toezichthouders onder wiens toezicht
Verwerkingsverantwoordelijke valt en zal deze toezichthouders in voorkomende gevallen
toegang geven en medewerking verlenen aan een onderzoek met betrekking tot de op
grond van de Overeenkomst verwerkte Persoonsgegevens. Wanneer de Verwerker een
dergelijk verzoek van de Autoriteit Persoonsgegevens ontvangt, informeert zij de
Verwerkingsverantwoordelijke onverwijld.
Artikel 12: Aansprakelijkheid:
- Voor eventuele schade die het gevolg is van een toerekenbaar tekortschieten in de
nakoming van de verplichtingen voortvloeiende uit deze Verwerkersovereenkomst, dan
wel handelen in strijd met de wet- en regelgeving door de Verwerker, is Verwerker
aansprakelijk conform hetgeen tussen partijen is overeengekomen in de Overeenkomst.
Artikel 13: (Intellectuele) Eigendomsrechten op de Persoonsgegevens:
- Alle (intellectuele) eigendomsrechten – daaronder begrepen enige auteursrechten en
databankrechten – op (het bestand c.q. de bestanden van) de Persoonsgegevens blijven te
allen tijde berusten bij Verwerkingsverantwoordelijke of haar licentiegever(s).
Artikel 14: Duur, beëindiging en wijziging:
- Deze Verwerkersovereenkomst is een aanvulling op de Overeenkomst en heeft dezelfde
looptijd als de Overeenkomst en eindigt zodra de Overeenkomst eindigt.
- De beëindiging van deze Verwerkersovereenkomst zal partijen niet ontslaan van hun
verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard
worden geacht ook na beëindiging voor te duren.
- Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen
Partijen schriftelijk zijn overeengekomen.
Artikel 15: Slotbepalingen:
- Tenzij in de Overeenkomst anders is bepaald, is op deze Verwerkersovereenkomst
Nederlands recht van toepassing.
- Alle geschillen voortvloeiend of verband houdend met deze Verwerkersovereenkomst
zullen uitsluitend worden voorgelegd aan de bevoegde rechter zoals opgenomen in de
Overeenkomst.
Artikel 16: Overzicht van de categorieën van te verwerken
Persoonsgegevens:
- Verwerker zal de volgende categorieën van de Persoonsgegevens namens
Verwerkingsverantwoordelijke verwerken:
Categorieën persoonsgegevens |
Categorieën betrokkenen
|
NAW-gegevens |
Geadresseerden |
(elektronische) contactgegevens |
Donateurs |
bestelinformatie |
Donateurs |
toestemmingformulieren |
Donateurs |
bankrekeningnummer |
Donateurs |
Telefoonnummer |
Donateurs |
Geboorte datum |
Donateurs |
ID nummer |
Donateurs |
Welke verwerkingen vinden er plaats en wat is de aard en het doel van deze
verwerking?
Verwerking |
Doeleinde
|
Collectie |
-Verzamelen van donateursinformatie (inclusief automatische incasso) -Verzamelen van toestemming om namens donateurs activistische doelstellingen te verwezenlijken -verzamelen persoons-en adresgegevens tbv leeftijdsverificatie en bestellingen |
Sorteren |
Uitsorteren van adressen tbv zendingen naar bestemming |
Distributie |
Bezorgen van de zendingen op afleveradres |
Artikel 17: Overzicht van de beveiligingsmaatregelen:
- De Verwerker zal voldoende c.q. toereikende technische en organisatorische normen
en maatregelen in acht nemen ten aanzien van de voor Verwerkingsverantwoordelijke te
verwerken gegevens. De Verwerker zal minimaal de volgende beveiligingsmaatregelen nemen:
- Fysieke maatregelen:
-De fysieke verwerking en opslag is uitbesteed aan en datacentrum
- Elektronische maatregelen:
- Toegangsverleningssysteem personen
III. Organisatorische maatregelen
- Geheimhoudingsverklaringen
Artikel 18: Overzicht van Subverwerkers:
- De Verwerker werkt met de volgende Subverwerkers samen:
categorieën Subverwerker |
Rol binnen de verwerking
|
Vervoerders\Verzenders |
Ondersteunen bij het logistieke proces (te weten collectie proces en bezorgproces) |
Financiële verwerking |
Ondersteunen bij het collecteren en administratief verwerken van donateursgelden |
Artikel 19: Overzicht doorgiften buiten de Europese Economische Ruimte:
- De Verwerker geeft de persoonsgegevens niet aan derde landen door.