Overeenkomst voor het delen van gegevens

1. CJ Wildbird Foods Europe B.V., Overloonseweg 11c , 5821 EE Vierlingsbeek , KvK nummer: 81114931 ( “CJ”)
2. Vogelbescherming Nederland, Boulevard 12, 3707 BM in Zeist ( “VBN”)

Elk aangeduid als een "partij" en samen de "partijen".

(1) De volgende overeenkomst tussen CJ en VBN weerspiegelt de afspraken waarmee zij hebben ingestemd met betrekking tot de uitwisseling van persoonsgegevens van klanten van de webshop tussen de partijen die allebei worden gezien als verantwoordelijken, en legt de doelstellingen vast waarvoor die persoonsgegevens mogen worden gebruikt.

(2) Als zodanig, stemt CJ in met de uitwisseling van persoonsgegevens met VBN onder de in deze overeenkomst vastgestelde voorwaarden en VBN stemt in met het gebruik van de persoonsgegevens onder de in deze overeenkomst vastgestelde voorwaarden.

Definities:

1. Overeengekomen doelstellingen: die doelstellingen die zijn uiteengezet in artikel 2.5 van deze overeenkomst.
2. Verstrekker van gegevens: de partij die de persoonsgegevens verstuurt naar de ontvanger van de gegevens.
3. Data Protection Authority: de bevoegde autoriteit voor gegevensbescherming in de gebieden waar de partijen uit deze overeenkomst zijn gevestigd, hier de Autoriteit Persoonsgegevens (AP) t.b.v. CJ Wildbird Foods Europe.
4. Gegevens ontvanger: de partij die persoonsgegevens ontvangt van de verstrekker van de gegevens.
5. Datalek: een inbreuk op de beveiliging die leidt tot onbedoelde of onrechtmatige vernietiging, verlies, wijziging, onbevoegde bekendmaking van of toegang tot de gedeelde persoonsgegevens.
6. GDPR: General Data Protection Regulation (ook wel AVG : Algemene Verordening Gegevensbescherming in Nederland)
7. Gedeelde persoonsgegevens: de persoonsgegevens en gevoelige persoonlijke gegevens/speciale categoriegegevens die worden gedeeld tussen de partijen onder artikel 4 van deze overeenkomst.
8. Klanten: klanten geregistreerd op de webshop van CJ.
9. Toegangsverzoek: heeft dezelfde betekenis als "Recht van toegang tot persoonsgegevens"

Gegevensverantwoordelijke, Gegevensverwerker, betrokkene en persoonsgegevens, bijzondere persoonsgegevens, speciale categorieën, verwerking en passende technische en organisatorische maatregelen hebben de betekenis die daaraan zijn gegeven in de GDPR/AVG.

1. Deze overeenkomst stelt het kader vast voor de uitwisseling van persoonsgegevens tussen de partijen, beide partijen zijn Gegevensverantwoordelijken, en definieert de beginselen en procedures waaraan de partijen zich dienen te houden en de verantwoordelijkheden die de partijen hebben jegens elkaar bij het verwerken van persoonsgegevens van klanten van de Vogelbeschermingsshop.
2. VBN is een onafhankelijke, landelijke natuurbeschermingsorganisatie. Een actieve vereniging die onder meer wordt ondersteund door zo'n 140.000 leden, door bedrijven, fondsen en instellingen.
3. VBN verwerkt persoonsgegevens van de klanten van de webshop en gebruikt de verkoopgegevens voor marketing acties en klantbeeldverrijking. CJ verwerkt persoonsgegevens om uitvoering te geven aan een koopovereenkomst met klanten van de website. CJ ontvangt VBN ledeninformatie voor het verwerken van speciale prijzen in de webshop voor leden van VBN. 
4. Het delen van persoonsgegevens is noodzakelijk ter ondersteuning van de volgende overeengekomen doelbindingen van beide partijen:
5. Ondersteuning van de efficiënte en effectieve communicatie van VBN-diensten aan alle VBN-relaties en lidmaatschappen;
6. Voldoen aan elke wettelijke verplichting waaraan beide partijen onderworpen zijn.
7. De partijen komen overeen dat deze overeenkomst een rechtmatige doorgifte van persoonsgegevens tussen de partijen formaliseert en geen nieuwe of aanvullende privacy issues veroorzaakt. Een risicobeoordeling heeft plaatsgevonden met betrekking tot de persoonsgegevens die worden gedeeld en de noodzaak van de uitwisseling. Deze overeenkomst dient ook voor het aanpakken van eventuele restrisico’s t.a.v. dataprivacy en het documenteren van acties die worden ondernomen om deze te identificeren, en het zoveel mogelijk beperken van deze risico’s.
8. De partijen verwerken geen gedeelde persoonsgegevens op een wijze die onverenigbaar is met de overeengekomen doeleinden.

VBN kan de klantgegevens bij een aankoop op de webshop gebruiken voor direct-marketing doeleinden op basis van overweging 47 in de GDPR/AVG (gerechtvaardigd belang). VBN is verantwoordelijk voor de actualiteit van de toestemming van de klant voor marketing doeleinden. CJ neemt geen verantwoordelijkheid in deze. CJ levert de gedeelde persoonsgegevens zoals vermeld in artikel 4 van deze overeenkomst voor de overeengekomen doelbindingen, alleen zoals vermeld in artikel 2.5. Als Verantwoordelijke, blijft VBN verantwoordelijk om ervoor te zorgen dat al het gebruik van de persoonsgegevens die gedeeld zijn in overeenstemming is met alle toepasselijke Privacy wet- en regelgeving (GDPR/AVG).

Elke partij moet te allen tijde zorgen voor de naleving van toepasselijke nationale wetten op gebied van bescherming van persoonsgegevens. Opmerking: CJ Wildbird Foods Europe BV neemt momenteel noodzakelijke maatregelen om aan de GDPR te kunnen blijven voldoen gelet op de uitblijvende adequacy beslissing van de EU m.b.t. dataprocessing in de UK na 1-1-2021. Maatregelen waar momenteel aan wordt gewerkt zijn processing van personal data binnen de grenzen van de EU voor Europese burgers en wijziging van de bedrijfsstructuur.

Voor de toepassing van overeengekomen doeleinden 1-4 zoals vermeld in artikel 2.5 van deze overeenkomst, kunnen de volgende soorten persoonsgegevens worden gedeeld tussen de partijen gedurende de looptijd van de overeenkomst bij een koopovereenkomst in de webshop:

1. VBN leden : lidmaatschapsnummer, naam (voornaam, tussenvoegsel, achternaam), adres, postcode, woonplaats, land, telefoonnummer, emailadres en bestelinformatie.
2. Van niet-VBN leden : naam (voornaam, tussenvoegsel, achternaam), adres, postcode, woonplaats, land, telefoonnummer, emailadres en bestelinformatie.

De gedeelde persoonsgegevens mogen niet irrelevant of overbodig zijn voor de overeengekomen doelstellingen.

Elke partij zorgt ervoor dat de gedeelde persoonsgegevens eerlijk en rechtmatig worden verwerkt overeenkomstig artikel 5.2 gedurende de looptijd van deze overeenkomst.

Beide partijen zorgen ervoor (met betrekking tot de gedeelde persoonsgegevens) dat hun privacy verklaringen duidelijke en voldoende informatie verstrekken aan de betrokkenen, zodat zij begrijpen welke persoonsgegevens worden gedeeld tussen de partijen, de omstandigheden waarin deze worden gedeeld, de doelstellingen voor het delen van deze gegevens en de identiteit waarmee de gegevens worden gedeeld of een beschrijving van het type organisatie dat de persoonsgegevens zal ontvangen.

Beide partijen verbinden zich ertoe om de betrokkenen te informeren over de doelstellingen waarvoor hun persoonsgegevens door partijen verwerkt worden, en verstrekken alle vereiste informatie overeenkomstig de eigen privacywetgeving, om zodoende te waarborgen dat de betrokkenen begrijpen op welke wijze hun persoonsgegevens worden verwerkt.

De verstrekker van gegevens zorgt ervoor dat gedeelde persoonsgegevens correct zijn.

Wanneer één van beide partijen kennis heeft of zich bewust is van onjuistheden in de gedeelde persoonsgegevens, informeert zij de andere partij.

Gedeelde persoonsgegevens worden beperkt tot de persoonsgegevens zoals beschreven in artikelen 4.1 en 4.2 van deze overeenkomst.

Betrokkenen hebben het recht om bepaalde informatie te krijgen over de verwerking van hun persoonsgegevens via een toegangsverzoek. Betrokkenen kunnen een verzoek doen tot rectificatie, verwijdering of blokkering van hun persoonlijke gegevens.

De partijen houden een logboek bij van toegangsverzoeken, beslissingen en alle informatie die is uitgewisseld. Logboeken moeten kopieën bevatten van het verzoek om informatie, details van de gegevens die zijn gedeeld en in voorkomend geval, briefwisseling of telefoongesprekken met betrekking tot het verzoek.

De partijen komen overeen dat de verantwoordelijkheid voor het voldoen aan een toegangsverzoek ligt bij de partij die het toegangsverzoek met betrekking tot de persoonsgegevens opgeslagen bij de partij, ontvangt.

De partijen komen overeen om indien nodig elkaar juiste en snelle assistentie te verlenen (binnen 5 werkdagen na een dergelijk verzoek om assistentie) om aan het toegangsverzoek en eventuele andere vragen of klachten van een betrokkene te kunnen voldoen.

De ontvanger van de gedeelde persoonsgegevens zal deze niet langer behouden of verwerken dan noodzakelijk voor het verrichten van de overeengekomen doelstellingen.

Onverminderd artikel 8.1 blijven de partijen gehouden aan wettelijke of professionele bewaartermijnen (van de gedeelde persoonsgegevens) die van toepassing zijn in hun respectieve landen en/of industrie.

Voor de toepassing van dit artikel wordt onder de overdracht van persoonsgegevens verstaan : het delen van persoonsgegevens door de ontvanger van de gegevens met een derde partij, en omvat, maar is niet beperkt tot, het volgende:

1. Het delen van persoonsgegevens met een andere derde partij
2. Publicatie van de gedeelde persoonsgegevens via elk medium, inclusief maar niet beperkt tot: sociale media, websites, publiekelijke communicatiediensten.
3. Het opslaan van gedeelde persoonsgegevens op servers buiten de EER.
4. Uitbesteding van de verwerking van gedeelde persoonsgegevens aan verwerkers van de gegevens buiten de EER.
5. Toekenning van toegangsrechten tot de gedeelde persoonsgegevens aan derde partijen buiten de EER.

De ontvanger van de gegevens draagt geen gedeelde persoonsgegevens over aan een derde partij zonder de uitdrukkelijke schriftelijke toestemming van de verstrekker van de gegevens, uitgezonderd enkele strikt geselecteerde verwerkers binnen de EER.  Waarbij VBN de volledige  verantwoordelijkheid draagt voor de correcte afhandeling binnen de AVG toegestane richtlijnen.

Waar uitdrukkelijke schriftelijke toestemming is verleend t.a.v. artikel 9.2, zal de ontvanger van de gegevens geen gedeelde persoonsgegevens doorgeven buiten de EER zonder dat het betreffende land of gebied een adequaat niveau van persoonsgegevensbescherming hanteert en waarborgt.

Artikel 9.2 is niet van toepassing op elke gegevensverstrekking van gedeelde persoonsgegevens uitgevoerd door de verstrekker van de gegevens.

De verstrekker van de gegevens is verantwoordelijk voor de veiligheid van de overdracht van de gedeelde persoonsgegevens tijdens de transmissie naar de ontvanger met behulp van passende technische maatregelen, zoals hieronder beschreven. CJ zal alleen persoonsgegevens delen met inachtneming van haar encryptiebeleid.

De partijen komen overeen om passende technische en organisatorische maatregelen te nemen ter bescherming van de persoonsgegevens in hun bezit, tegen ongeoorloofde of onwettige verwerking en tegen onbedoeld verlies, vernietiging, beschadiging, wijziging of openbaarmaking. Dit houdt in, maar is niet beperkt tot, dat partijen waarborgen dat:

1. IT-apparatuur, met inbegrip van draagbare apparatuur bewaard wordt in afgesloten werkplekken en -plaatsen wanneer er geen toezicht is;
2. Er geen IT-apparatuur (met inbegrip van draagbare apparatuur) en geen papier en printouts met persoonsgegevens achtergelaten worden zonder toezicht;
3. Medewerkers gebruiken sterke veilige wachtwoorden voor de aanmelding in systemen of databases waar persoonsgegevens in zijn opgeslagen en vernieuwen de wachtwoorden regelmatig
4. Alle IT-apparatuur wordt beschermd door antivirussoftware, firewalls, wachtwoorden en encryptie van apparaten;
5. In het bijzonder dat gevoelige persoonsgegevens opgeslagen en overgedragen worden (met inbegrip van gegevens opgeslagen op draagbare apparaten of verwisselbare media) met behulp van de industriestandaard 256-bits AES-versleuteling of sterkere encryptie;
6. De toegang tot gegevens beperkt wordt tot alleen de relevante databanken en systemen door alleen de medewerkers en extern personeel voor wie toegang tot de persoonsgegevens noodzakelijk is om hun werkzaamheden naar behoren te kunnen uitvoeren. Tevens zorgen partijen ervoor dat er sterke en veilige wachtwoorden worden gebruikt, die regelmatig worden gewijzigd en bijgewerkt om oneigenlijke toegang en gebruik te voorkomen indien individuen niet langer in dienst bij of werkzaam zijn voor de partij;
7. Er regelmatig risicoanalyses en testen op systemen worden uitgevoerd
8. Alle medewerkers die met persoonsgegevens in aanraking komen, in kennis zijn gesteld van hun verantwoordelijkheden met betrekking tot de verwerking van persoonsgegevens.
9. Inspecties en evaluaties verricht door de andere partij met betrekking tot de veiligheidsmaatregelen die zijn genomen worden toegestaan, en dat bewijs van deze maatregelen indien gevraagd wordt overlegd.

De partijen zijn strikt verplicht om elkaar zo spoedig mogelijk te informeren over potentieel of werkelijk verlies van de gedeelde persoonsgegevens, zulks in elk geval binnen 1 werkdag na vaststelling van eventueel of feitelijk verlies. Dit zodat de partijen kunnen overwegen welke acties noodzakelijk zijn om het probleem overeenkomstig de toepasselijke nationale gegevensbeschermingswetten af te handelen.

Artikel 11.1 geldt ook voor elke inbreuk op beveiliging die de veiligheid van de persoonsgegevens in gevaar kan brengen.

De partijen komen overeen om indien nodig adequate assistentie aan elkaar te verlenen, om een snelle en compliant behandeling van een eventuele databeveiligingslek te faciliteren.

In geval van een geschil met of claim van een betrokkene of van de autoriteit voor gegevensbescherming betreffende de verwerking van gedeelde persoonsgegevens tegen één of beide partijen, informeren de partijen elkaar over een dergelijk geschil of dergelijke claim en zullen zij samenwerken met het oog op een minnelijke en tijdige beslechting.

De partijen komen overeen om te reageren op elke algemeen verkrijgbare niet-bindende bemiddelingsprocedure, geïnitieerd door een betrokkene of door de autoriteit voor gegevensbescherming. Als zij aan de procedure deelnemen, kunnen de partijen ervoor kiezen dit op afstand te doen (per telefoon of andere elektronische variant). De partijen komen eveneens overeen om deelname te overwegen aan enige andere arbitrage, bemiddeling of andere geschillenbeslechting.

Ten aanzien van inbreuken op deze overeenkomst, zal elke partij zich houden aan de uitspraak van een bevoegde rechter uit het land van vestiging van de gegevens-verstrekker, of aan een bindend besluit van de betreffende bevoegde autoriteit voor gegevensbescherming.

Elke partij garandeert en verbindt zich ertoe dat zij:

1. De gedeelde persoonsgegevens zal verwerken in overeenstemming met alle wetten, voorschriften, verordeningen, reglementen, normen en andere soortgelijke instrumenten, die van toepassing zijn op haar persoons-gegevensverwerkingen.
2. Op verzoek een afschrift van deze Overeenkomst beschikbaar stelt aan de Betrokkenen, die derde begunstigden zijn, tenzij het artikel vertrouwelijke informatie bevat.
3. Binnen een redelijke termijn en voor zover dit redelijkerwijs mogelijk is, zal reageren op vragen van de desbetreffende autoriteit voor gegevensbescherming met betrekking tot de gedeelde persoonsgegevens.
4. Zal reageren op toegangsverzoeken overeenkomstig de bepalingen van deze overeenkomst en in overeenstemming met de GDPR/AVG.
5. In voorkomend geval, registratie zal handhaven met alle relevante autoriteiten voor gegevensbescherming, om alle gedeelde persoonsgegevens te verwerken voor het overeengekomen doel.
6. Alle benodigde maatregelen zal nemen om naleving van de in artikel 10 van deze overeenkomst vermelde veiligheidsmaatregelen te waarborgen.

De verstrekker van gegevens garandeert en verbindt zich ertoe dat zij erop zal toezien dat de gedeelde persoonsgegevens kloppen.

De ontvanger van de gegevens garandeert en verbindt zich ertoe dat zij geen gedeelde persoonsgegevens bekend zal maken of verstrekken aan derden binnen of buiten de Europese economische ruimte (EER), tenzij het in overeenstemming is met de verplichtingen uiteengezet in de artikelen 9.2 en 9.3 van deze overeenkomst.

Ieder der partijen is ter zake van een tekortkoming in de nakoming van haar verplichtingen aansprakelijk. Indien partijen aansprakelijk zijn voor het eventueel niet of niet juist uitvoeren van de overeenkomst, is deze aansprakelijkheid beperkt tot de directe schade en tot maximaal het hoogste van de maximale dekking van de (bedrijfs)aansprakelijkheidsverzekering van de schadeveroorzakende partij of indien de verzekering niet tot uitkeren overgaat, tot een maximale geaggregeerde aansprakelijkheid van € 100,000.  Partijen zullen zorgdragen dat zij een verzekering aanhouden met in de branche gebruikelijke dekking.

Geen van beide partijen zal aansprakelijkheid jegens de andere partij uitsluiten of beperken in geval van:

1. Fraude of valse verklaring;
2. Overlijden of persoonlijk letsel veroorzaakt door nalatigheid;
3. Elke andere aangelegenheid waarvoor het onwettig zou zijn voor partijen om aansprakelijkheid uit te sluiten.

Deze overeenkomst vangt aan op de dagtekening van deze getekende overeenkomst en blijft van kracht tot de beëindiging van de overeenkomst.

Elke partij benoemt een aanspreekpunt binnen hun organisatie die ten aanzien van vragen of klachten over de GDPR/AVG en/of naleving van de voorwaarden van deze overeenkomst kan worden gecontacteerd.

Niemand anders dan een partij in deze overeenkomst heeft het recht om de voorwaarden uit deze overeenkomst op te leggen.

Geen varianten van deze overeenkomst zijn van kracht tenzij schriftelijk overeengekomen en ondertekend door de partijen (of hun gemachtigde vertegenwoordigers).

Geen fout of vertraging door een partij bij uitoefening van enig recht of enig rechtsmiddel verstrekt onder deze overeenkomst of bij wet, zal een ontheffing vormen van dat of enig ander recht of rechtsmiddel, noch zal het de verdere uitoefening van dat of enig ander recht of rechtsmiddel beletten of beperken. Geen enkel of gedeeltelijke uitoefening van zulks recht of rechtsmiddel zal de verdere uitoefening van dat of elk ander recht of rechtsmiddel beletten of beperken.

Indien enige bepaling (of deel van een bepaling) van deze overeenkomst ongeldig, onwettig of niet afdwingbaar wordt bevonden door een rechterlijke of andere bevoegde autoriteit, wordt die bepaling (of dat deel van de bepaling), voor zover vereist, geacht geen deel uit te maken van deze overeenkomst, de geldigheid en afdwingbaarheid van de andere bepalingen in deze overeenkomst worden niet beïnvloed.

Indien een bepaling van deze overeenkomst (of deel van een bepaling) onwettig, ongeldig of niet afdwingbaar wordt bevonden, dan zal deze bepaling met minimaal benodigde aanpassing van toepassing zijn, zodat deze wettelijk, geldig en uitvoerbaar wordt.

Deze overeenkomst is persoonlijk voor de partijen en geen van beide partijen kan deze overeenkomst toewijzen, overdragen, afsluiten, uitbesteden, een trust oprichten of op enige andere wijze handelen met haar rechten en verplichtingen onder deze overeenkomst.

In het geval dat de geldende gegevensbescherming wetgeving en aanvullende wetten zodanig wijzigen, dat de overeenkomst niet langer toereikend is met het oog op wettige gegevensuitwisseling, komen de partijen overeen dat zij te goeder trouw onderhandelen over de herziening van deze overeenkomst in het licht van de nieuwe wetgeving.

Niets in deze overeenkomst is bedoeld om of wordt geacht een partnerschap of joint venture tussen de partijen tot stand te brengen, een partij als agent van de andere partij aan te stellen, of een partij toe te staan verbintenissen aan te gaan of te sluiten voor of namens de andere partij.

Elke partij bevestigt dat zij namens zichzelf handelt en niet in het voordeel van een andere persoon.

Deze Overeenkomst vormt de volledige overeenkomst tussen de Partijen met betrekking tot het onderwerp, namelijk het delen van Persoonsgegevens, en vervangt en vernietigt alle eerdere overeenkomsten, beloftes, zekerheden, garanties, vertegenwoordigingen en afspraken tussen de Partijen met betrekking tot het onderwerp, zowel schriftelijk als mondeling.

Elke Partij erkent dat zij bij het aangaan van deze Overeenkomst geen beroep doet op en geen rechtsmiddelen heeft met betrekking tot welke verklaring, zekerheid, vertegenwoordiging of garantie dan ook, (hetzij door onschuld of nalatigheid) die niet in deze Overeenkomst zijn vastgelegd.

Elke partij gaat ermee akkoord dat zij geen aanspraak kan maken op een onschuldige of nalatige verkeerde voorstelling van zaken of nalatige valse verklaring op basis van een verklaring in deze overeenkomst.

Niets in dit artikel zal enige aansprakelijkheid voor fraude beperken of uitsluiten.

Geen van de partijen zal deze overeenkomst schenden en evenmin aansprakelijk zijn voor vertraging bij het uitvoeren of niet-nakomen van enige verplichting van deze overeenkomst als deze vertraging of mislukking het gevolg is van gebeurtenissen, omstandigheden of oorzaken buiten haar redelijke controle. In dergelijke omstandigheden heeft de getroffen partij recht op een redelijke verlenging van de tijd voor het uitvoeren van dergelijke verplichtingen. Indien de periode van uitstel of niet-nakoming gedurende 3 maanden voortduurt, kan de niet getroffen Partij deze Overeenkomst beëindigen door de getroffen Partij 30 dagen van tevoren hiervan schriftelijk op de hoogte te stellen.

Elke kennisgeving die krachtens deze Overeenkomst moet worden gedaan, moet schriftelijk zijn en moet persoonlijk worden afgeleverd of worden verzonden per aangetekende brief of per koerier naar de andere partij, zoals uiteengezet in artikel 27.2 hieronder.

Adres en contactpersonen van de Partijen:

Party: CJ Wildbird Foods Europe 

1. Contact: Data Protection Officer, André Lucassen / Ian Overall
2. Adres: Overloonseweg 11c, 5821 EE Vierlingsbeek

Party: Vogelbescherming Nederland

1. Contact: Data Protection Officer, Gerald Derksen
2. Adres: Boulevard 12, 3707 BM Zeist

Elke kennisgeving wordt geacht naar behoren te zijn ontvangen indien persoonlijk afgeleverd op het hierboven vermelde adres of, indien verzonden per aangetekende post, om 10.00 uur op de tweede werkdag na plaatsing, of indien geleverd door een koerier, op de datum en op het moment dat het ontvangstbewijs van de koerier wordt ondertekend.

Dit artikel 27 is niet van toepassing op procedures of documenten in welke juridische actie dan ook.

Een kennisgeving in verband met de Overeenkomst zal niet geldig zijn indien deze wordt verzonden per e-mail of fax.

Bij eventuele geschillen zullen partijen zich maximaal inspannen om middels onderling overleg tot een oplossing te komen. Mocht dit niet volstaan, dan worden deze bij de ten deze bevoegde Rechter te Arnhem neergelegd en afgehandeld (behoudens hoger beroep en cassatie). Hierbij is te allen tijde het Nederlandse recht van toepassing.