ALGEMENE VERWERKERSOVEREENKOMST PRIPARCEL B.V.

1. Partijen

1. PriParcel B.V. - Gevestigd te Laan van Waalhaven 139a, 2497GK Den Haag, ingeschreven bij de Kamer van Koophandel onder nummer 88426882. Hierna te noemen: “Verwerker”.
2. Klant of Webshop - De natuurlijke of rechtspersoon die bij PriParcel een overeenkomst heeft afgesloten voor de verwerking van retourzendingen, inclusief eventueel scannen van retourformulieren en het (digitaal) verwerken van verzendetiketten. Hierna te noemen: "Verantwoordelijke”.
3. Verantwoordelijke en Verwerker worden hierna gezamenlijk aangeduid als de “Partijen”.

2. Definities

1. AVG (GDPR): De Algemene Verordening Gegevensbescherming (EU) 2016/679.
2. Persoonsgegevens: Alle gegevens die direct of indirect herleidbaar zijn tot een geïdentificeerde of identificeerbare natuurlijke persoon. In dit geval kunnen dat klantgegevens zijn (bijv. naam, adres, telefoonnummer, e-mailadres) op retourlabels, retourformulieren of in verpakkingen.
3. Verwerking (of “verwerken”): Iedere bewerking van persoonsgegevens, zoals het scannen, digitaliseren, opslaan, doorzenden of anderszins bewerken van retourformulieren, labels, enz.
4. Datalek / Beveiligingsincident: Een inbreuk op de beveiliging die (mogelijk) leidt tot vernietiging, verlies, wijziging of ongeoorloofde openbaarmaking van, of ongeoorloofde toegang tot, doorgestuurde, opgeslagen of anderszins verwerkte persoonsgegevens.
5. Waar in deze overeenkomst verwezen wordt naar definities uit de AVG, hebben die termen dezelfde betekenis als in artikel 4 van de AVG.

3. Doel en reikwijdte

1. Deze Verwerkersovereenkomst is van toepassing wanneer de Verantwoordelijk de Verwerker inschakelt voor het verwerken van retourzendingen (inclusief het openen, verwerken, scannen en/of digitaliseren van retourformulieren, verzendetiketten en andere documenten).
2. De Verantwoordelijke treedt op als Verwerkingsverantwoordelijke, omdat zij bepaalt dat retouren bij Verwerker afgehandeld worden en persoonsgegevens van (eind)klanten bij de retourzending kunnen zitten. Verwerker is de Verwerker, omdat zij de gegevens enkel in opdracht van de Verantwoordelijke verwerkt.

4. Rollen en verantwoordelijkheden

1. Verantwoordelijke:
   • Bepaalt het doel van en de middelen voor de verwerking van persoonsgegevens in het retourproces (bijv. “we willen retouren verwerken om klanten te kunnen crediteren of een product te vervangen”).
   • Is en blijft eindverantwoordelijk voor de rechtmatigheid van de verwerking en de communicatie met eindklanten, bijv. inzage- of verwijderverzoeken.
2. Verwerker:
   • Verwerkt de persoonsgegevens uitsluitend in opdracht van de Verantwoordelijke, conform deze overeenkomst en de hoofdovereenkomst (retourdienst).
   • Heeft geen zelfstandige zeggenschap over de verwerking en zal persoonsgegevens niet voor eigen doeleinden gebruiken.

5. Verplichtingen van de verwerker

Verwerker garandeert de volgende verplichtingen conform artikel 28 AVG:

5.1 Geheimhouding

1. De Verwerker en haar gelieerde medewerkers (en eventuele subverwerkers) zullen de persoonsgegevens waarvan zij kennisnemen vertrouwelijk behandelen.
2. Deze geheimhoudingsplicht blijft ook gelden na beëindiging van deze Verwerkersovereenkomst.

5.2 Passende beveiligingsmaatregelen

1. Verwerker neemt passende technische en organisatorische beveiligingsmaatregelen om persoonsgegevens te beschermen tegen onbevoegde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
2. Technische maatregelen omvatten bijv. firewalls, virus-scanners, sterke wachtwoorden en (waar relevant) versleuteling volgens de ISO 27001 en ISO 27701 normering. Organisatorische maatregelen omvatten toegangsbeperkingen, screening van personeel en sluiting van ruimtes waar data wordt verwerkt.
3. De beveiligingsmaatregelen zijn minimaal conform de eisen uit artikel 32 AVG en passend bij de aard van de verwerkte gegevens (per poststuk kan dat variëren).

5.3 Verwerking binnen de EU/EER

1. Verwerker zal de verwerking van persoonsgegevens niet buiten de Europese Economische Ruimte (EER) laten plaatsvinden, tenzij schriftelijk anders overeengekomen met de Verantwoordelijke of een wettelijke verplichting dit vereist.
2. Voor overdracht buiten de EER zal Verwerker eerst toestemming vragen aan de Verantwoordelijke en eventuele aanvullende waarborgen (zoals SCC’s) regelen.

5.4 Geen verdere verwerking

1. Verwerker gebruikt de verkregen persoonsgegevens niet voor andere doeleinden (zoals marketing of eigen analyses), tenzij er een uitdrukkelijke opdracht van de Verantwoordlijk hiervoor is.

5.5 Hulp bij nakoming van verplichtingen

1. Voor zover redelijkerwijs mogelijk zal Verwerker de Verantwoordelijke bijstaan om te voldoen aan verplichtingen uit de AVG, zoals het afhandelen van verzoeken van betrokkenen of het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA).

5.6 Informatievoorziening en audit

1. Informatie verschaffen
   De Verwerker zal de Verantwoordelijke, op eerste verzoek en voor zover redelijkerwijs noodzakelijk, alle informatie verstrekken die nodig is om aan te tonen dat de Verplichtingen uit deze Verwerkersovereenkomst en de AVG worden nageleefd.
2. Ondersteuning bij compliance
   Indien de Verantwoordelijke daartoe gegronde redenen heeft (bijvoorbeeld periodieke controle of vermoeden van onregelmatigheden), zal de Verwerker meewerken aan audits of inspecties, waaronder (waar passend) het verstrekken van technische documentatie of rapportages.
3. Voorwaarden audit
   
   De Verantwoordelijke kondigt een voorgenomen audit of inspectie ten minste 30 werkdagen van tevoren schriftelijk aan, met een duidelijke omschrijving van de reikwijdte en het doel, zodat de Verwerker zich kan voorbereiden en de continuïteit van de dienstverlening niet onnodig in het gedrang komt.
   • Audits zullen geen afbreuk doen aan de vertrouwelijkheid van andere klanten of de beveiliging van systemen waarop zich ook gegevens van derden bevinden. De Verantwoordelijke stemt ermee in dat de audit eventueel kan worden uitgevoerd door een onafhankelijke derde, onder geheimhouding, om de privacy van andere klanten te beschermen.
   • De kosten van een audit, waaronder manuren van Verwerker, komen voor rekening van de Verantwoordelijke, tenzij wordt geconstateerd dat de Verwerker in strijd handelt met deze Verwerkersovereenkomst of de AVG, in welk geval de Verwerker de redelijke auditkosten draagt.
4. Uitkomsten en verbeteringen
   De Verwerker zal de Verantwoordelijke informeren over relevante bevindingen uit een audit of inspectie en, indien van toepassing, verbetermaatregelen voorstellen of doorvoeren om de naleving van deze Verwerkersovereenkomst en de AVG te blijven garanderen.

6. Subverwerkers

6.1 Geen inschakeling zonder toestemming

1. De Verwerker zal zonder (specifieke of algemene) toestemming van de Verantwoordelijke geen aanvullende derde partijen (subverwerkers) inschakelen voor de feitelijke verwerking van persoonsgegevens.
2. Heeft de Verwerker een algemene toestemming van de Verantwoordelijke, dan informeert de Verwerker de Verantwoordelijke ten minste 14 dagen vóór het toevoegen of vervangen van een subverwerker, zodat de Verantwoordelijke hiertegen bezwaar kan maken. Indien de Verantwoordelijke niet binnen deze termijn bezwaar maakt, wordt de Verantwoordelijke geacht in te stemmen met de nieuwe subverwerker.

6.2 Huidige subverwerker voor scanning

1. De Verantwoordelijke erkent en stemt ermee in dat de Verwerker reeds een subverwerker inschakelt voor het scannen en digitaliseren van poststukken. Deze subverwerker is gebonden aan dezelfde (privacy)verplichtingen als opgenomen in deze Verwerkersovereenkomst, zodat hij eveneens voldoet aan de AVG.
2. De Verantwoordelijke kan bij de Verwerker informatie opvragen over de identiteit en locatie van deze subverwerker, evenals de wijze waarop passende waarborgen zijn verzekerd.

6.3 Afspraken met subverwerkers

1. Indien de Verwerker een subverwerker inschakelt, zal de Verwerker zorgen voor een schriftelijke overeenkomst met die subverwerker, waarin minimaal dezelfde (privacy)verplichtingen zijn opgenomen als in deze Verwerkersovereenkomst, zodat de subverwerker voldoet aan de AVG.
2. De Verwerker blijft te allen tijde primair aanspreekpunt voor de Verantwoordelijke en behoudt de (contractuele) verantwoordelijkheid voor de verwerking door de subverwerker.

7. Datalekken (Beveiligingsincidenten)

7.1 Meldplicht

1. In geval van een geconstateerd of vermoeden van een beveiligingsincident (mogelijk datalek) dat betrekking heeft op de bij Verwerker verwerkte persoonsgegevens, zal Verwerker dit onverwijld (zonder onredelijke vertraging) melden aan de Verantwoordelijke.
2. Verwerker verstrekt daarbij zoveel mogelijk relevante informatie, zodat de Verantwoordelijke kan voldoen aan zijn eigen meldplicht aan de toezichthouder (en eventueel betrokkenen).

7.2 Ondersteuning

1. Verwerker zal de Verantwoordelijke ondersteunen bij eventuele onderzoeken of maatregelen die naar aanleiding van het datalek moeten worden genomen (zoals forensisch onderzoek, herstellende maatregelen).

8. Verzoeken van betrokkenen

8.1 Afhandeling door Verantwoordelijke

1. Als Verwerker een verzoek (bijv. inzage, correctie, verwijdering) rechtstreeks van een betrokkene ontvangt, zal Verwerker dit verzoek zonder onredelijke vertraging doorsturen aan de Verantwoordelijke.
2. De Verantwoordelijke is verantwoordelijk voor de verdere afhandeling van deze verzoeken.

8.2 Medewerking

1. Verwerker zal, voor zover redelijkerwijs mogelijk, medewerking verlenen om de Verantwoordelijke in staat te stellen aan zijn verplichtingen te voldoen (artikel 12–22 AVG).

9. Duur en Beëindiging

9.1 Duur

1. Deze Verwerkersovereenkomst vangt aan op het moment dat de Verantworodelijk de retourovereenkomst met Verwerker aangaat en blijft gelden zolang de Verwerker persoonsgegevens uit retouren verwerkt.

9.2 Beëindiging

1. Einde hoofdovereenkomst
   Zodra de hoofdovereenkomst eindigt en de Verantwoordelijke geen gebruik meer maakt van de retourservice, zal Verwerker de relevante persoonsgegevens (zoals labels, post en scans) behandelen conform de interne procedures van Verwerker.
2. Bewaartermijn bij beëindiging
   
   • Indien de Verantwoordelijke geen actief digitaal archief heeft bij Verwerker, worden alle scans uiterlijk binnen vier (4) weken na beëindiging van de scanservice verwijderd of vernietigd, tenzij een wettelijke bewaarplicht geldt of de Verantwoordelijke schriftelijk opdracht geeft tot overdracht.
   • Indien de Verantwoordelijke wél beschikt over een digitaal archief bij Verwerker, bewaart Verwerker de scans nog maximaal drie (3) maanden vanaf de opzegdatum. Daarna worden de persoonsgegevens verwijderd of vernietigd, tenzij er een wettelijke grondslag bestaat voor verdere bewaring of de Verantwoordelijke uitdrukkelijk opdracht geeft tot overdracht.
3. Uitzonderingen en wettelijke bewaarplicht
   Indien de Verantwoordelijke en Verwerker op grond van wetgeving (bijv. fiscale of administratieve) verplicht zijn bepaalde gegevens langer te bewaren, kan Verwerker – na overleg met de Verantwoordelijke – de gegevens voor die specifieke (wettelijke) termijn blijven bewaren.
4. Verzoek tot overdracht
   Verantwoordelijke kan binnen de in lid b genoemde periode een verzoek doen tot overdracht van de scans in een digitaal bestand of andere overeengekomen vorm. Verwerker zal – voor zover redelijkerwijs mogelijk – hieraan meewerken. Kosten die hiermee gepaard gaan kunnen bij de Verantwoordelijke in rekening worden gebracht, tenzij anders overeengekomen.
5. Waarborging verwijdering
   Na de in lid b en/of c genoemde termijnen zal Verwerker zorgdragen voor volledige verwijdering of vernietiging van de persoonsgegevens, zodat deze niet langer toegankelijk of herstelbaar zijn. Verwerker kan op verzoek een bevestiging van vernietiging verstrekken.

10. Aansprakelijkheid

1. De aansprakelijkheidsbepalingen uit de hoofd- of algemene voorwaarden van Verwerker zijn van toepassing, voor zover daarin niet in strijd is met deze Verwerkersovereenkomst en de AVG.
2. De Verantwoordelijke blijft eindverantwoordelijk voor de persoonsgegevens en de beoordeling of verwerkingen rechtmatig zijn.

11. Overige bepalingen

1. Alle wijzigingen in deze Overeenkomst moeten schriftelijk zijn (inclusief elektronische vorm) en door beide Partijen worden geaccepteerd (bijvoorbeeld via elektronische acceptatiemechanismen).
2. Partijen spannen zich gezamenlijk in om te voldoen aan de AVG en overige toepasselijke privacywetgeving.
3. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Den Haag, tenzij Partijen anders overeenkomen.
4. In geval van tegenstrijdigheden of verschillen tussen de Nederlandse versie van deze voorwaarden en de vertalingen in andere talen, is de Nederlandse versie bindend.