Menu

Verwerkersovereenkomst

Artikel 1: Definities:

In deze Verwerkersovereenkomst wordt, voor zover niet anders is bepaald, verstaan onder:
1. AVG: Verordening (EU) 2016/679 van het Europese Parlement en de Raad.
2. Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
3. Bijzondere Persoonsgegevens: Persoonsgegevens als bedoeld in artikel 9 lid 1 AVG.
4. Datalek: Een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
5. Dienst: De onder de Overeenkomst te leveren dienst van de Verwerker.
6. Overeenkomst: De overeenkomst tot dienstverlening, welke wordt aangegaan door het online boeken van een zending via de website van de Verwerker.
7. Persoonsgegeven: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, die op welke wijze dan ook door Verwerker verwerkt wordt of zal worden in het kader van de Overeenkomst.
8. Subverwerker: Een partij die in opdracht van Verwerker Persoonsgegevens verwerkt.
9. Verwerker: Koninklijke PostNL B.V., gevestigd te ’s-Gravenhage (2595 AK), aan Prinses Beatrixlaan 23.
10. Verwerkersovereenkomst: De onderhavige overeenkomst.
11. Verwerking: Elke handeling of geheel van handelingen met betrekking tot Persoonsgegevens.
12. Verwerkingsverantwoordelijke: De opdrachtgever van de Verwerker, tevens de contractpartij aan de Overeenkomst.

Artikel 2: Algemeen:

1. Verwerkingsverantwoordelijke en Verwerker voorzien dat in het kader van de uitvoering van de Overeenkomst door Verwerker persoonsgegevens in de zin van artikel 4 lid 1 AVG, als nader omschreven in Artikel 16 zullen worden verwerkt zonder aan het rechtstreeks gezag van Verwerkingsverantwoordelijke te zijn onderworpen.
2. Verwerkingsverantwoordelijk bepaalt het doel en de middelen van de Verwerking van Persoonsgegevens in de zin van artikel 4 lid 7 van de AVG.
3. Verwerker verwerkt ten behoeve van de Verwerkingsverantwoordelijke krachtens de Overeenkomst Persoonsgegevens in de zin van artikel 4 lid 8 AVG.
4. Deze Verwerkersovereenkomst geldt voor alle verwerkingen van Persoonsgegevens in de uitvoering van en gedurende de looptijd van de Overeenkomst.
5. Partijen hebben mogelijk reeds een verwerkersovereenkomst afgesloten in het kader van het afsluiten van de Overeenkomst. In dat geval prevaleert de reeds afgesloten verwerkersovereenkomst.

Artikel 3: Gegevensverwerking:

1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst om in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken. Verwerker zal de Persoonsgegevens verwerken in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving en/of gedragscodes betreffende de verwerking van Persoonsgegevens.
2. Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens die hij aan Verwerker verschaft, voldoen aan alle toepasselijke wet- en regelgeving op het gebied van bescherming van persoonsgegevens en dat deze wet- en regelgeving toestaat dat de Persoonsgegevens aan Verwerker worden verschaft en dat de Persoonsgegevens door Verwerker worden verwerkt.
3. Verwerker verwerkt de Persoonsgegevens op behoorlijke en zorgvuldige wijze en uitsluitend voor zover noodzakelijk om de Dienst aan de Verwerkingsverantwoordelijke te leveren. De categorieën Persoonsgegevens die aan Verwerker worden verstrekt en voor de uitvoering van de Dienst verwerkt mogen worden, zijn omschreven in Artikel 16.
4. Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Verwerker zal de Persoonsgegevens niet voor eigen of andere doeleinden verwerken, behoudens op hem rustende dwingendrechtelijke verplichtingen.
5. Verwerker zal Persoonsgegevens die haar in het kader van de Overeenkomst ter beschikking zijn gesteld niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van deze Overeenkomst; of (ii) om een op hem rustende wettelijke verplichting na te komen.

Artikel 4: Geheimhouding:

1. Verwerker is, behoudens andersluidend wettelijk voorschrift en/of een rechterlijk bevel, verplicht de Persoonsgegevens als vertrouwelijk te behandelen en strikt geheim te houden.
2. Verwerker zal ervoor zorgen dat diegenen die handelen onder zijn gezag dan wel in zijn opdracht (medewerkers en eventuele derde(n)) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen, zich houden aan de in dit artikel opgenomen geheimhoudingsverplichting. Verwerker bewerkstelligt dat voor ieder die betrokken is bij de verwerking van deze persoonsgegevens een geheimhoudingsovereenkomst of -beding is gesloten.
3. Verwerker zal Verwerkingsverantwoordelijke onverwijld op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens die in strijd zijn met de in dit artikel opgenomen geheimhoudingsplicht.

Artikel 5: Beveiliging en meldplicht datalekken:

1. Verwerker draagt er zorg voor passende technische en organisatorische maatregelen te hebben genomen, in stand te houden en, indien nodig, aan te passen om de Persoonsgegevens te beveiligen tegen verlies, vervalsing, onrechtmatige verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking. In Artikel 17 zijn de beveiligingsmaatregelen beschreven die de Verwerker ten tijde van het afsluiten van deze Verwerkingsovereenkomst in ieder geval heeft genomen.
2. Verwerker draagt er zorg voor dat zijn (eigen of ingehuurde) medewerkers die betrokken zijn bij de verwerking van de Persoonsgegevens, de in deze Verwerkersovereenkomst opgenomen verplichtingen van Verwerker kennen en nakomen.
3. In het geval van een vermoedelijk(e) of daadwerkelijk(e) (i) Datalek; (ii) schending van beveiligingsmaatregelen; (iii)schending van de geheimhoudingsplicht of (iv) verlies van persoonsgegevens zal Verwerker de Verwerkingsverantwoordelijke direct, doch uiterlijk binnen 36 uur na de eerste ontdekking van het incident, informeren. Deze informatie zal details bevatten omtrent de vermeende oorzaak, mogelijke gevolgen, voorgenomen oplossing, en contactgegevens voor de opvolging van de melding. Ook zal informatie worden gegeven omtrent het aantal en categorieën van Betrokkenen, categorieën van Persoonsgegevens alsmede de genomen maatregelen om de inbreuk te stoppen en/of de gevolgen ervan te verminderen.
4. Verwerker zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van persoonsgegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Verwerkingsverantwoordelijke op schadevergoeding of andere maatregelen.
5. Verwerker zal op verzoek van Verwerkingsverantwoordelijke meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).
6. Verwerker maakt afspraken met Subverwerkers over het melden van incidenten aan Verwerker, die de Verwerker en Verwerkingsverantwoordelijke in staat stellen verplichtingen in het geval van een incident zoals beschreven in artikel 5 lid 3 na te komen.

Artikel 6: Inschakeling Subverwerkers:

1.Verwerkingsverantwoordelijke verleent toestemming aan Verwerker om voor de verwerking van de Persoonsgegevens Subverwerkers in te schakelen die in Artikel 18 zijn opgenomen. Indien beoogd wordt nieuwe Subverwerkers in te schakelen of als er wijzigingen kunnen gaan optreden dient Verwerker de Verwerkingsverantwoordelijke hierover voorafgaand te informeren en in staat te stellen bezwaar te maken tegen de veranderingen.
2. Verwerker draagt er zorg voor dat de betreffende Subverwerker tenminste dezelfde verplichtingen op zich neemt als opgenomen voor de Verwerker in deze Verwerkersovereenkomst.
3. Verwerker blijft in de verhouding tussen partijen altijd aanspreekpunt voor de Verwerkingsverantwoordelijke. De door Verwerkingsverantwoordelijke gegeven toestemming laat onverlet de verantwoordelijkheid en aansprakelijkheid van de Verwerker voor de nakoming van de Verwerkingsovereenkomst.

Artikel 7: Verwerkingen buiten de Europese Economische Ruimte:

1. Verwerker zal slechts Persoonsgegevens doorgeven naar of toegankelijk maken vanuit een land buiten de Europese Economische Ruimte, wanneer zij daarvoor passende waarborgen heeft getroffen. Artikel 19 bevat een overzicht van verwerkingen buiten de EER en de getroffen waarborgen.

Artikel 8: Rechten van Betrokkenen:

1. Verwerker verleent Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking en voor zover mogelijk, bijstand om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG of andere toepasselijke regelgeving, meer in het bijzonder de rechten van Betrokkenen, waaronder maar niet uitsluitend: het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking, het recht op overdraagbaarheid van gegevens, het recht van bezwaar. De daarbij gepaard gaande redelijke kosten komen voor rekening van de Verwerker.
2. Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van de door Betrokkenen gedane schriftelijke verzoeken aan Verwerker en de Verwerkingsverantwoordelijke vragen om verdere instructies hieromtrent.

Artikel 9: Ondersteuning uitvoer gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging:

1.Rekening houdend met de aard van de verwerking en de bij de Verwerker beschikbare informatie, verleent de Verwerker de Verwerkingsverantwoordelijke bijstand bij het nakomen van de verplichtingen uit hoofde van artikel 35 AVG (uitvoer gegevensbeschermingseffectbeoordeling) en artikel 36 AVG (voorafgaande raadpleging).

Artikel 10: Overdracht en vernietiging gegevens:

1. Verwerker zal ervoor zorgdragen dat, in overleg met Verwerkingsverantwoordelijke (i) alle of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens, worden vernietigd op alle locaties, (ii) alle of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens, aan een opvolgend Dienstverlener ter beschikking worden gesteld, dan wel (iii) Verwerkingsverantwoordelijke in de gelegenheid wordt gesteld om Persoonsgegevens of een door de Verwerkingsverantwoordelijke bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens aan de Dienst te onttrekken.
2. Verwerker is te allen tijde verplicht om op verzoek van de Verwerkingsverantwoordelijke binnen een redelijke termijn alle afschriften en kopieën van de van Verwerkingsverantwoordelijke afkomstige en/of in het kader van de Overeenkomst vervaardigde informatie met betrekking tot Verwerkingsverantwoordelijke te vernietigen.
3. Verwerker kan afwijken van het in voorgaande leden bepaalde, voor zover ten aanzien van de Persoonsgegevens een wettelijke (bewaar)termijn zou gelden of voor zover dat noodzakelijk is om tegenover Verwerkingsverantwoordelijke nakoming van zijn verbintenissen te kunnen bewijzen.

Artikel 11: Controlerecht:

1. Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze Verwerkingsovereenkomst door de Verwerker één keer per kalenderjaar te (laten) controleren na voorafgaande schriftelijke aankondiging en met inachtneming van een termijn van tien werkdagen.
2. Op verzoek van Verwerkingsverantwoordelijke stelt Verwerker alle informatie beschikbaar die redelijkerwijs nodig is om de nakoming van de in deze Verwerkersovereenkomst gestelde verplichtingen aan te tonen en zal medewerking verlenen om audit mogelijk te maken. Deze audit wordt uitgevoerd door een door de Verwerkingsverantwoordelijke aangewezen onafhankelijke derde die gebonden is aan een geheimhoudingsplicht.
3. Verwerker kan, na afstemming met Verwerkingsverantwoordelijke, ervoor kiezen de audit te vervangen door een Third Party Verklaring.
4. Verwerkingsverantwoordelijke draagt de kosten van de audit met uitzondering van de kosten van medewerkers van Verwerker die de audit begeleiden. Indien uit de audit blijkt dat Verwerker ernstig en materieel tekort is geschoten in de nakoming van deze Verwerkersovereenkomst, komen de redelijke kosten van de audit voor rekening van Verwerker.
5. Verwerker is bekend met de zelfstandige controlebevoegdheden van de Autoriteit Persoonsgegevens en eventuele andere toezichthouders onder wiens toezicht Verwerkingsverantwoordelijke valt en zal deze toezichthouders in voorkomende gevallen toegang geven en medewerking verlenen aan een onderzoek met betrekking tot de op grond van de Overeenkomst verwerkte Persoonsgegevens. Wanneer de Verwerker een dergelijk verzoek van de Autoriteit Persoonsgegevens ontvangt, informeert zij de Verwerkingsverantwoordelijke onverwijld.

Artikel 12: Aansprakelijkheid:

1. Voor eventuele schade die het gevolg is van een toerekenbaar tekortschieten in de nakoming van de verplichtingen voortvloeiende uit deze Verwerkersovereenkomst, dan wel handelen in strijd met de wet- en regelgeving door de Verwerker, is Verwerker aansprakelijk conform hetgeen tussen partijen is overeengekomen in de Overeenkomst.

Artikel 13: (Intellectuele) Eigendomsrechten op de Persoonsgegevens:

1. Alle (intellectuele) eigendomsrechten – daaronder begrepen enige auteursrechten en databankrechten – op (het bestand c.q. de bestanden van) de Persoonsgegevens blijven te allen tijde berusten bij Verwerkingsverantwoordelijke of haar licentiegever(s).

Artikel 14: Duur, beëindiging en wijziging:

1. Deze Verwerkersovereenkomst is een aanvulling op de Overeenkomst en heeft dezelfde looptijd als de Overeenkomst en eindigt zodra de Overeenkomst eindigt.
2. De beëindiging van deze Verwerkersovereenkomst zal partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voor te duren.
3. Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.

Artikel 15: Slotbepalingen:

1. Tenzij in de Overeenkomst anders is bepaald, is op deze Verwerkersovereenkomst Nederlands recht van toepassing.
2. Alle geschillen voortvloeiend of verband houdend met deze Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter zoals opgenomen in de Overeenkomst.

Artikel 16: Overzicht van de categorieën van te verwerken Persoonsgegevens:

1. Verwerker zal de volgende categorieën van de Persoonsgegevens namens Verwerkingsverantwoordelijke verwerken:

Categorieën persoonsgegevens: NAW-gegevens
Categorieën betrokkenen: Geadresseerden

Verwerking: Collecteren
Doeleinde: Verzamelen van poststukken
Verwerking: Sorteren
Doeleinde: Uitsorteren naar bestemming
Verwerking: Distribueren
Doeleinde: Bezorgen op afleveradres

Artikel 17: Overzicht van de beveiligingsmaatregelen:

1. De Verwerker zal voldoende c.q. toereikende technische en organisatorische normen en maatregelen in acht nemen ten aanzien van de voor Verwerkingsverantwoordelijke te verwerken gegevens. De Verwerker zal minimaal de volgende beveiligingsmaatregelen nemen:

Fysieke maatregelen:
- Terreinafscheiding
- Afsluitbare gevelopeningen
- Afsluitbare ruimtes in het gebouw
- Buitenverlichting
- Raambekleding

Elektronische maatregelen:
- Toegangsverleningssysteem personen
- Toegangsverleningssysteem voertuigen tot terrein
- Inbraaksignaleringssysteem
- Meeneem-/sabotage beperkende maatregelen
- CCTV(camera) toezicht
- Overvalknoppen (afhankelijk van het gekozen product)

Organisatorische maatregelen
- Handboek Beveiliging
- Bezoekersprocedure
- Gesloten buitengevel tijdens het proces
- Lockers voor medewerkers
- Instructieprocessen/kaarten
- Geheimhoudingsverklaringen

Artikel 18: Overzicht van Subverwerkers:

1. De Verwerker werkt met de volgende Subverwerkers samen:

Subcontractors: Ondersteuning bij het logistieke proces
Retailers: Ondersteuning bij collectie en bezorg proces
Netwerkpartners: Ondersteuning bij het buitenlandse logistieke proces
Buitenlandse Postale Partijen: Ondersteuning bij het buitenlandse logistieke proces

Artikel 19: Overzicht doorgiften buiten de Europese Economische Ruimte:

1. De Verwerker geeft de persoonsgegevens aan de volgende derde landen door:

Derde land: Afhankelijk van het door Verwerkingsverantwoordelijke gekozen product en bestemming zoals opgenomen in de Overeenkomst
Doel doorgifte: Bezorging van postzending(en)
Passende waarborgen: Universal Postal Union/contracten met netwerkpartners