Verwerkingsovereenkomst

Verwerkingsovereenkomst

Dit document bevat de ondertekende verwerkingsovereenkomst tussen Freya Products en WebwinkelKeur.

Stichting WebwinkelKeur

verwerkersovereenkomst

Deze verwerkingsovereenkomst en de subverwerkerspagina(xxxxx://xxx.xxx- xxxxxxxxxx.xx/xxxxxxxxxxxxx/) waar in dit document op meerdere momenten wordt naar verwezen zijn een aanvulling op de hoofdovereenkomst tussen het (aspirant)lid en Stichting WebwinkelKeur. Wanneer je van onze diensten gebruik maakt dien je akkoord te gaan met onze algemene voorwaarden, verwerkersovereenkomst en de bepalingen op de subverwerkerspagina. De subverwerkerspagina is een pagina met een overzicht van alle subverwerkers die wij voor het aanbieden van jouw lidmaatschap gebruiken.

Als je bent aangesloten bij Stichting WebwinkelKeur, dan beoordelen wij de betrouwbaarheid van je webwinkel in het belang van de consument. Vervol- gens informeren wij met ons oordeel de klanten, bezoekers en geïnteresseer- den over je betrouwbaarheid.

Om de betrouwbaarheid van je webwinkel te kunnen beoordelen verwerken wij persoonsgegevens die je bij ons aanlevert. In deze verwerkingsovereen- komst is vastgelegd hoe wij omgaan met de persoonsgegevens die je bij ons aanlevert. Deze verwerkersovereenkomst is onderdeel van de hoofdovereen- komst die afgesloten wordt bij het aangaan van een (aspirant)lidmaatschap bij ons. Op basis van dit (aspirant)lidmaatschap worden persoonsgegevens verwerkt.

Artikel 1 - Wat zijn persoonsgegevens Artikel 2 - Wie heeft welke rol

Artikel 3 - Wanneer is deze verwerkersovereenkomst geldig Artikel 4 - Waarom en hoe verwerken wij persoonsgegevens Artikel 5.1 - Keurmerk – register

Artikel 5.2 - Keurmerk – informatievoorziening Artikel 6.1 - Klantbeoordelingen – de uitnodiging Artikel 6.2 - Klantbeoordelingen – de beoordeling Artikel 7 - Bemiddelen in geschillen

Artikel 8 - Gegevens delen met derden Artikel 9 - Beveiligingsmaatregelen Artikel 10 - Controle door jou

Artikel 11 - Datalekken Artikel 12 - Aansprakelijkheid

Artikel 1 - Wat zijn persoonsgegevens

Onder persoonsgegevens verstaan we alle informatie over een natuurlijk persoon die met die informatie geïdentificeerd is of zou kunnen worden. Dit kan bijvoorbeeld gaan om een naam, telefoonnummer, identificatienummer, IP-adres of om fysieke kenmerken.

Artikel 2 - Wie heeft welke rol

Ieder natuurlijk persoon waarvan de persoonsgegevens verwerkt worden, is ‘betrokkene’.

Jij ((Aspirant) lid) bent de ‘verwerkingsverantwoordelijke’. Jij stelt vast waarom en welke persoonsgegevens verwerkt moeten worden en hoe dit gebeurt.

Wij (Stichting WebwinkelKeur) zijn de ‘verwerker’. Wij verwerken persoonsge- gevens ten behoeve van de webwinkel.

Een partij die in opdracht van Stichting WebwinkelKeur persoonsgegevens verwerkt op basis van de hoofdovereenkomst, is ‘subverwerker’. Op de subver- werkerspagina (xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxxxxxxxx/) worden deze subverwerkers getoond.

Artikel 3 - Wanneer is deze verwerkersovereenkomst geldig

Deze verwerkersovereenkomst is een aanvulling op de hoofdovereenkomst tussen het (aspirant)lid en Stichting WebwinkelKeur.

Als de hoofdovereenkomst tussen de webwinkel en Stichting Webwinkel- Keur (inclusief de toepasselijke algemene voorwaarden) al bepalingen bevat ten aanzien van de bescherming en verwerking van persoonsgegevens en/ of databeveiliging, vervalt de toepasselijkheid daarvan en komt het in deze verwerkersovereenkomst bepaalde daarvoor in de plaats.

Deze verwerkingsovereenkomst gaat in op het moment van (digitale) onder- tekening en geldt zolang er persoonsgegevens worden verwerkt op grond van het doel van de hoofdovereenkomst. Deze overeenkomst is onderdeel van

de hoofdovereenkomst waarmee akkoord gegaan wordt bij het aangaan van een (aspirant)lidmaatschap bij Stichting WebwinkelKeur. In het geval dat de hoofdovereenkomst ten einde komt zullen gegevens worden verwijderd tenzij er een toepasselijke bewaartermijn voor gegevens aanwezig is. Zo’n bewaar- termijn kan bijvoorbeeld voortvloeien uit ons doel de betrouwbaarheid van een webwinkel te beoordelen zelfs nadat een hoofdovereenkomst

met deze webwinkel ten einde is gekomen, dit is altijd op basis van de ge- rechtvaardigde belangen voor de bescherming van de consument. Op verzoek van de betrokkene kunnen gegevens geanonimiseerd worden.

Wij zijn gerechtigd deze verwerkersovereenkomst en de inhoud van de subverwerkerspagina te wijzigen of aan te vullen. Deze wijzigingen worden tijdig op de website gepubliceerd.

Wijzigingen die noodzakelijk zijn in verband met de (wettelijke) regels, beleid, voorschriften, technologie etc. kunnen te allen tijde door ons doorgevoerd worden. Dergelijke wijzigingen zijn nodig om optimaal de diensten te leveren.

Artikel 4 - Waarom en hoe verwerken wij persoonsgegevens

De persoonsgegevens welke wij van je ontvangen verwerken wij met het doel om de betrouwbaarheid van je webwinkel te beoordelen en de consument en geïnteresseerden daarover te informeren, dit is altijd op basis van de gerecht- vaardigde belangen voor de bescherming van de consument. In dit kader kunnen we een vijftal hoofdprocessen onderscheiden:

• Een keuring uitvoeren over de webwinkel met als basis de Europese

wetgeving;

• Een register bijhouden waarin wij alle gekeurde webwinkels opnemen

voor het beheer van het keurmerk;

• Wij verzamelen, publiceren en modereren klantbeoordelingen over je

webwinkel;

• Wij bemiddelen en documenteren bij geschillen tussen jou en je klant;

• Het informeren over diverse belangrijke aspecten binnen de e-com-

merce.

Artikel 5.1 - Keurmerk – register

Om de consument te kunnen informeren of je door ons gecertificeerd bent houden we bij of je winkel is gecontroleerd en of je (aspirant)lidmaatschap nog actief of geldig is.

• Persoonsgegevens die wij in dit register opslaan zijn: de naam van de contactpersoon, het KvK-nummer, btw-nummer, bedrijfsadres, telefoon- nummer en e-mailadres.

• Deze persoonsgegevens verwerken wij om de hoofdoverkomst met jou

te kunnen uitvoeren.

• Wij vinden het risico van de verwerking van deze persoonsgegevens

laag.

• Correspondentie wordt verzonden via e-mail (xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxxxxxxxx/). Facturen versturen wij via een boekhoudprogramma. De gegevens bewaren wij op een beveiligde database, de server staat in Engeland.

• Wij bewaren deze gegevens oneindig. Dat achten wij noodzakelijk vanuit het oogpunt van informatievoorziening aan de consument over de geldigheid van het keurmerk, dit is altijd op basis van de gerecht vaardigde belangen voor de bescherming van de consument. Op ver zoek van de betrokkene kunnen wij de persoonsgegevens uit het register anonimiseren.

Artikel 5.2 -Keurmerk – informatievoorziening

• Om je te helpen de betrouwbaarheid van je webwinkel te verhogen en up-to-date te houden met nieuwe wetgeving brengen wij maande- lijks een nieuwsbrief uit.

• Voor het verzenden van de nieuwsbrief verwerken wij de volgende

persoonsgegevens: je naam en e-mailadres.

• Deze persoonsgegevens verwerken wij om de hoofdoverkomst met jou

te kunnen uitvoeren.

• Wij vinden het risico van de verwerking van deze persoonsgegevens

laag.

• Correspondentie wordt verzonden via e-mail

(xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxxxxxxxx/).

• Wij bewaren deze gegevens zolang je voor de nieuwsbrief aangemeld bent. Je kunt je in de ontvangen e-mail afmelden voor onze nieuws- brief.

Artikel 6.1 - Klantbeoordelingen – de uitnodiging

• Om de consument te kunnen informeren over de kwaliteit van je webwinkel kun je klanten uitnodigen om een beoordeling over je web- winkel achter te laten. Wij sturen dan namens jou een e-mail naar je klanten en publiceren vervolgens de beoordeling. Het versturen van deze mail kan via het e-mailadres van Stichting WebwinkelKeur of een door jou gekozen e-mailadres.

• Voor het verzenden van de uitnodiging verwerken wij de volgende persoonsgegevens: naam en e-mailadres van de consument en order- nummer. Optioneel kunnen ook het telefoonnummer van de consu- ment en bestelde producten verwerkt worden, bijvoorbeeld voor het verzenden van een mobiele uitnodiging en/of het verzamelen

van product reviews.

• Jij bent verplicht je klanten erop te wijzen dat je voor het verzenden

van de uitnodigingen persoonsgegevens met ons deelt.

• Wij vinden het risico van de verwerking van deze persoonsgegevens

gemiddeld.

• Uitnodigingen worden verzonden via e-mail

(xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxxxxxxxx/).

Deze gegevens bewaren wij op een beveiligde database, de server staat in Engeland.

• Wij bewaren deze gegevens drie jaar. Dat achten wij noodzakelijk om je statistieken te kunnen geven over de verzonden uitnodigingen en om te voorkomen dat een enkele consument meerdere beoordelingen schrijft over je webwinkel. Op deze manier proberen wij je ook te beschermen van beoordelingen door jouw concurrenten.

Artikel 6.2 - Klantbeoordelingen – de beoordeling

• De beoordelingen over je webwinkel die afgegeven zijn door je klan- ten publiceren wij op je ledenpagina. Indien een opmerkelijke of kwetsende review is achtergelaten kan je ons vragen om de review aan te passen of te verwijderen door middel van een moderatie- verzoek. Als je dit doet nemen we namens jou in de meeste gevallen contact op met de persoon die de review heeft achtergelaten.

• Voor het publiceren en beheren van de beoordelingen verwerken wij de volgende persoonsgegevens: de beoordelingstekst, naam, e-mail- adres, customer ID, ordernummer en IP-adres van de consument. Optioneel kunnen ook het telefoonnummer van de consument en de bestelde producten verwerkt worden.

Een ordernummer wordt gevraagd maar is niet verplicht.

• De consument geeft ons toestemming voor het verwerken en publice-

ren van deze persoonsgegevens bij het afgeven van de beoordeling.

• Wij vinden het risico van de verwerking van deze persoonsgegevens

gemiddeld.

• Correspondentie wordt verzonden via e-mail

(xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxxxxxxxx/).

Deze gegevens bewaren wij op een beveiligde database, de server staat in Engeland.

• Wij bewaren deze gegevens oneindig. Dat achten wij noodzakelijk vanuit het oogpunt van informatievoorziening aan de consument over de betrouwbaarheid van je webwinkel, dit is altijd op basis van de ge rechtvaardigde belangen voor de bescherming van de consument. De consument is in staat zelf zijn/haar beoordeling aan te passen of te verwijderen. Ook kan de beoordeling verwijderd worden door Stichting WebwinkelKeur op verzoek van de consument

of webwinkel.

Artikel 7 - Bemiddelen in geschillen

• Soms bemiddelen wij tussen jou en je klant. Wij nemen contact op met beide partijen met het doel een gezamenlijke oplossing te be- reiken voor het geschil. Lukt dat niet, dan krijgt de consument de keuze het geschil te melden bij een onafhankelijke geschillen beslech- ter. In dat geval delen wij alle beschikbare informatie van jou en

jouw klant met een onafhankelijke geschillen beslechter om een oor- deel uit te spreken. Voordat deze informatie wordt gedeeld met die onafhankelijke geschillen beslechter nemen wij hierover contact op met jou en jouw klant (xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxxxxxxxx/).

• Voor geschilbemiddeling verwerken wij de volgende persoonsgeg- evens: naam, adres, telefoonnummer en e-mailadres van de contact- persoon, de inhoudelijke informatie over de aard van het geschil en de gewenste oplossing van het geschil.

• Deze persoonsgegevens verwerken wij om de geschilbemiddeling in opdracht van de consument te kunnen uitvoeren. Voor zover het persoonsgegevens van jou betreft verwerken we deze om de hoofdovereenkomst met jou te kunnen uitvoeren.

• Wij vinden het risico van de verwerking van deze persoonsgegevens

gemiddeld.

• Correspondentie inclusief een eventueel oordeel wordt verzonden via

e-mail. Deze gegevens bewaren wij op een beveiligde database, de server staat in Engeland.

• Wij bewaren deze gegevens oneindig. Dat achten wij noodzakelijk om in de toekomst een oordeel te kunnen geven over de betrouwbaarheid van je webwinkel, dit is altijd op basis van de gerechtvaardigde belan gen voor de bescherming van de consument. Op verzoek van de be trokkene kunnen wij de persoonsgegevens anonimiseren.

Artikel 8 - Gegevens delen met derden

De gegevens die je met ons deelt zijn belangrijk en dat zien onze subverwer- kers ook in. Wij delen persoonsgegevens alleen met subverwerkers die wij op onze website vermelden. Al deze subverwerkers:

• verwerken hun data alleen binnen de EU of hebben passende techni- sche- en organisatorische beveiligingsmaatregelen genomen of zijn aangesloten bij het Privacy Shield Framework;

• en nemen de nodige stappen voor een goede gegevensbescherming. Het niveau van gegevensbescherming is gerelateerd aan een risico in- schatting.

Wij mogen zonder jouw expliciete schriftelijke toestemming geen gegevens delen met een subverwerker die niet aan bovenstaande eisen voldoet. Door enkel te werken met partijen die voldoen aan deze eisen, zorgen wij ervoor dat jouw gegevens ook bij deze subverwerkers op de juiste manier verwerkt worden en goed beveiligd zijn. (xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxxxxxxxx/)

Artikel 9 - Beveiligingsmaatregelen

Wij gaan zorgvuldig om met de persoonsgegevens die wij verwerken. Denk hierbij aan het voorkomen van ongeoorloofde toegang/verwerking, verlies, het garanderen van beschikbaarheid en het bewaken van integriteit van de databestanden. We hebben daarom minimaal de volgende beveiligingsmaat- regelen getroffen:

• netwerkverbindingen voor onze computersystemen waarmee de gegevensverwerking plaatsvindt zijn via een SSL-encryptie (128-bits) beveiligd;

• indien er op afstand een verbinding tot stand wordt gebracht met een computersysteem waarmee gegevensverwerking plaatsvindt dan wordt de toegang beveiligd;

• de toegang tot de computersystemen waarmee de gegevensverwer-

king plaatsvindt is beveiligd met een gebruikersnaam en wachtwoord;

• wij handhaven een sterk wachtwoordbeleid. Ieder wachtwoord be- schikt tenminste over 8 tekens, tenminste 1 letter, tenminste 1 cijfer tenminste 1 symbool en mag niet beschikken over een eerder gebruik- te tekenreeks;

• alle computersystemen waarmee de gegevensverwerking plaatsvindt beschikken over een betrouwbare virusscanner die die altijd up-to- date is;

• mobiele gegevensdragers zoals USB-sticks worden, indien deze wor- den gebruikt, tegen uitlezen beschermd met behulp van een wacht- woord;

• er worden geen persoonsgegevens opgeslagen op een privé computer;

• een back-up wordt standaard voor de termijn van één jaar bewaard.

Onze back upbestanden kunnen niet direct uitgelezen worden;

• al onze medewerkers, stagairs, freelancers, subverwerkers en overi- ge derden worden door ons tot geheimhouding verplicht. Hier wordt

alleen vanaf geweken na jouw uitdrukkelijke schriftelijke toestemming of als de wet ons verplicht om de gegevens te delen;

• oude en onnodige documenten worden op een nauwkeurige manier

vernietigd.

Artikel 10 - Controle door jou

Als je een redelijk vermoeden hebt dat wij niet omgaan met persoonsgege- vens zoals vermeld is in deze overeenkomst dan heb je het recht een audit te laten voeren.

Als je een audit wilt laten uitvoeren, dan kondig je dat minimaal 14 dagen van tevoren schriftelijk aan. Past de datum niet in onze planning dan zullen wij een alternatieve datum voorstellen.

De auditor dient lid te zijn van beroepsorganisatie van IT-auditors NOREA of dient te voldoen aan dezelfde kwaliteitsstandaarden die de NOREA stelt aan haar leden.

De kosten van de auditor en de kosten van onze medewerkers komen voor jouw rekening.

Wij zullen behulpzaam zijn bij de uitoefening van verzoeken of rechten van de betrokkenen.

Artikel 11 - Datalekken

Indien zich toch een beveiligingsincident voordoet dat impact heeft of de rechten en vrijheden van individuen, dan melden wij dat zo spoedig mogelijk bij jou. Jij moet dit als verantwoordelijke melden bij de Autoriteit Persoonsge- gevens. Van de volgende incidenten doen wij in ieder geval zo snel mogelijk een melding bij jou:

• de website met inloggegevens is gehackt of toegankelijk geworden

voor derden;

• het verlies van een gegevensdrager met daarop persoonsgegevens;

• brieven of e-mails met daarin persoonsgegevens zijn naar een onjuist

adres gestuurd;

• het ICT-systeem met daarop persoonsgegevens werd gehackt.

Artikel 12 – Aansprakelijkheid

Iedere aansprakelijkheid van Stichting WebwinkelKeur is beperkt tot hetgeen dat in onze Algemene Voorwaarden is bepaald.

Dit document is geaccordeerd en ondertekend door Xxxxx Xxxxx als een bevoegd vertegenwoordiger van Freya Products op 2018-05-28 14:50:53 vanaf IP adres 84.198.250.10.

Handtekening SHA1: 1204f044b754a349ae17f3507da60ad965fed772.