Privacyverklaring en cookiebeleid

Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
Inleiding
In het kader van de uitoefening van onze activiteiten krijgen wij op verschillende manieren te maken
met ‘persoonsgegevens’ in de zin van de Algemene Verordening Gegevensbescherming (AVG). Al
deze persoonsgegevens vallen onder de bescherming van de AVG (ook wel de General Data
Protection Regulation). De AVG versterkt de positie van de personen van wie gegevens worden
verwerkt. Onder het verwerken van gegevens worden alle handelingen verstaan die we uitvoeren
met die gegevens. Hierbij kan gedacht worden aan het opvragen, opslaan, bewaren, doorsturen,
bewerken en verwijderen van gegevens.
De nadruk in de AVG ligt op de verantwoordelijkheid van organisaties, zoals de onze, om te kunnen
aantonen dat zij zich aan de geldende regels houden. In verband met persoonsgegevens die wij in het
kader van de uitoefening van onze activiteiten verkrijgen hebben wij het onderhavige
privacyreglement opgesteld.
Activiteiten, organisatie Stichting Iepenwacht Fryslân
Onze activiteiten bestaan in hoofdzaak uit de volgende drie (soorten) activiteiten:
(i) Het saneren van zieke dan wel dode iepen;
(ii) Het (her)planten van iepen en andere soorten bomen; en
(iii) Het informeren van belanghebbenden en geïnteresseerden middels periodieke
nieuwsbrieven.
Bij elk van voornoemde activiteiten worden in meer of mindere mate persoonsgegevens verkregen
en verwerkt.
Wij hebben geen werknemers in dienst. Wel kent onze stichting een bestuur.
In verband met de uitvoering van voornoemde activiteiten verstrekken wij derden-adviseurs
opdracht om de dagelijkse gang van zaken binnen en activiteiten van onze organisatie te managen en
regelen. Voor de uitvoering van de hiervoor onder (i) en (ii) benoemde activiteiten worden
aannemers dan wel landschapsorganisaties ingeschakeld. De onder (iii) bedoelde nieuwsbrieven
worden verzorgd door een extern ‘schrijfbureau’.
Doel verwerking persoonsgegevens
Wij verwerken de hierna genoemde persoonsgegevens uitsluitend voor de hierna te noemen
doeleinden:
- het uitvoeren van onze activiteiten, binnen het kader van de doelstelling van onze stichting,
zijnde het in stand houden van de iep in het Friese landschap
- het betalen van facturen van crediteuren en het ook overigens voldoen aan financiële en
administratieve verplichtingen, uit welke hoofde ook
- het informeren van belanghebbenden en geïnteresseerden in verband met onze organisatie,
activiteiten en ontwikkelingen hieromtrent, en
- het voldoen aan onze juridische en wettelijke verplichtingen.
Welke persoonsgegevens worden verwerkt?
Wij verwerken in verband met voormelde doelen de navolgende (soorten of categorieën)
persoonsgegevens:
- voornaam, tussenvoegsel en achternaam
- adres, postcode en woonplaats
- telefoonnummer(s)
- emailadres.
Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
Uitgangspunt hierbij is evenwel te allen tijde dat wij niet meer en in de tijd bezien niet langer
persoonsgegevens verwerken, dan strikt noodzakelijk.
Indien en voor zover zulks van belang is uit hoofde van de wet en/of andere toepasselijke regelgeving
dan wel vanwege de aard en omvang van een activiteit als voormeld kunnen wij van geval tot geval
ook meer en/of andere persoonsgegevens verwerken. Bovenstaand uitgangspunt geldt daarbij
onverkort.
Grondslag verwerking persoonsgegevens
Wij verwerken de hierboven bedoelde persoonsgegevens uitsluitend op basis van de hierna te
noemen gronden als bedoeld in artikel 6 van de AVG:
- een wettelijke verplichting
- de uitvoering van een overeenkomst
- de verkregen toestemming van betrokkene(n); dan wel
- een gerechtvaardigd belang.
Delen van persoonsgegevens met derden
Wij delen verkregen persoonsgegevens alleen met derden, indien en voor zover (i) noodzakelijk op
grond van (de uitvoering van) een wettelijke verplichting, (ii) noodzakelijk in het kader van de
bedrijfsvoering van onze organisatie, (iii) noodzakelijk in het kader van de uitvoering van één of meer
activiteiten als hiervoor bedoeld dan wel (iv) daarvoor desgevraagd expliciet toestemming is
verleend.
Er wordt in dit verband (digitaal) een verwerkingsregister bijgehouden, zodat we altijd kunnen
reconstrueren aan wie, waarom en wanneer welke persoonsgegevens zijn verstrekt.
Met elke derde partij die namens en in opdracht van ons persoonsgegevens verwerkt, wordt in
principe een verwerkersovereenkomst gesloten. In beginsel op basis van het format, dat als bijlage 1
aan dit reglement is gehecht. In voorkomende gevallen kan evenwel ook gebruik gemaakt worden
van het format van de betreffende verwerker.
Door ons ingeschakelde derde partijen, die als verwerkingsverantwoordelijke diensten aanbieden,
zijn voor de (verdere) verwerking van persoonsgegevens zelf verantwoordelijk voor de naleving van
de AVG. Hierbij valt te denken aan een onder meer een accountant of notaris. Met hen kunnen in
voorkomende gevallen andersoortige afspraken worden gemaakt. Uitgangspunt hierbij is evenwel
dat de bescherming van persoonsgegevens door die afspraken overeenkomstig het bepaalde in de
AVG gewaarborgd is.
Beveiliging persoonsgegevens
Zoals gezegd heeft onze stichting geen werknemers in dienst. Het management van onze organisatie
en onze dagelijkse activiteiten is opgedragen aan en dus in handen van een of meer daartoe
ingeschakelde derden-adviseurs, met wie een verwerkersovereenkomst bestaat.
De secretaris van het bestuur van onze organisatie beschikt deels over persoonsgegevens, in het
bijzonder de persoonsgegevens van de (overige) leden van het bestuur van onze organisatie,
alsmede van hen die werkzaam zijn bij de door ons ingeschakelde derden-adviseurs. Deze
persoonsgegevens bevinden zich op de computer van de secretaris (al dan niet door onze organisatie
aan hem/haar ter beschikking gesteld). Wij hechten grote waarde aan de beveiliging en bescherming
van de betreffende persoonsgegevens en zorgen, rekening houdend met de stand van de techniek, 
Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
voor passende technische en organisatorische maatregelen om een op het risico afgestemd
beveiligingsniveau te waarborgen. Zo zijn bijvoorbeeld de volgende maatregelen in dit verband
genomen:
- de secretaris hanteert een wachtwoord voor/op zijn computer;
- er wordt gebruik gemaakt van virusscanners en firewalls;
- er worden back ups van onze gegevens gemaakt, zodat deze bij verlies kunnen worden
hersteld;
- maatregelen worden periodiek gecontroleerd, getest en, zo nodig, bijgesteld.
Overigens zijn digitale persoonsgegevens in alle gevallen alleen toegankelijk voor andere
bestuursleden en de hiervoor bedoelde derden-adviseurs aan wie het management van onze
organisatie en dagelijkse activiteiten is opgedragen. Zij allen zijn op de hoogte van ons beleid als
neergelegd in dit reglement en de wettelijke verplichtingen en zij zorgen er voor dat de privacy van
deze persoonsgegevens gewaarborgd is en blijft.
Tot slot hebben we afspraken gemaakt hoe om te gaan met datalekken. In ieder geval zorgen wij er
voor dat een eventueel datalek altijd binnen de daartoe gestelde (wettelijke) termijn gemeld wordt
bij de daarvoor verantwoordelijke organisaties.
Bewaartermijn persoonsgegevens
Wij bewaren persoonsgegevens die worden verwerkt niet langer dan strikt noodzakelijk is voor de
hiervoor genoemde doeleinden van de gegevensverwerking dan wel op grond van wet- en
regelgeving is vereist.
Systemen dan wel programma’s waarin persoonsgegevens voorkomen worden daartoe periodiek
opgeschoond c.q. geactualiseerd, met inachtneming van het volgende:
- persoonsgegevens verkregen in het kader van door of vanwege ons uitgevoerde
saneringsprojecten worden – vanwege eventuele nazorg – in beginsel maximaal twee jaren
bewaard;
- persoonsgegevens verkregen in het kader van door of vanwege ons uitgevoerde
herplantprojecten worden – vanwege eventuele nazorg en om (financieel) administratieve
redenen – in beginsel maximaal vijf jaren bewaard.
Privacy rechten van betrokkenen
Eenieder wiens persoonsgegevens door ons verwerkt worden heeft de volgende rechten: inzage,
correctie, beperking, verzet, overdraagbaarheid van gegevens, verwijdering van persoonsgegevens of
intrekking van eerder gegeven toestemming. Verzoeken in dit verband kunnen gestuurd worden via
onderstaande contactgegevens. Binnen vier weken na ontvangst van een verzoek zullen wij daarop
reageren.
Er kunnen zich omstandigheden voordoen waarbij wij aan een verzoek geen of niet volledige
uitvoering kan geven. Hierbij valt te denken aan wettelijke bewaartermijnen.
Verzoeken zoals hiervoor bedoeld kunnen gericht worden aan:
Stichting Iepenwacht Fryslân
T.a.v. de heer M. Speerstra
info@iepenwachtfryslan.nl dan wel martenspeerstra@gmail.com
Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
Teneinde zeker te weten dat wij op basis van een verzoek de betreffende persoonsgegevens aan de
juiste persoon verstrekken, vragen wij ter verificatie een kopie over te leggen van een geldig
paspoort, rijbewijs of identiteitsbewijs met een afgeschermde pasfoto en BSN-nummer.
Wij nemen alleen verzoeken in behandeling die betrekking hebben op ‘eigen’ persoonsgegevens.
Cookies
Onze website maakt geen gebruik van cookies.
Nieuwsbrieven
Wij maken gebruik van nieuwsbrieven. In dat verband hebben wij een separate, dit reglement
aanvullende privacy verklaring opgesteld, die als bijlage 2 aan dit reglement is gehecht.
Website
Wij staan ervoor in dat persoonsgegevens van andere personen dan bestuursleden van onze stichting
in beginsel niet op onze website voorkomen.
Dit privacyreglement zal worden gepubliceerd op onze website, zodat dit voor eenieder toegankelijk
en inzichtelijk is. In voorkomende gevallen zullen wij personen, wiens gegevens wij verwerken,
hierop zo nodig attenderen.
Aanpassing privacy statement
Wij hebben het recht de inhoud van dit privacyreglement en voornoemde bijlagen op ieder gewenst
moment zonder voorafgaande kennisgeving te wijzigen. Aanpassingen van het privacyreglement
worden alsdan op onze website geplaatst, zodat belanghebbenden daarvan kennis kunnen nemen.
Vragen & Contact
Bij vragen of opmerkingen over de verwerking van uw persoonsgegevens en dit privacyreglement
kunt u contact opnemen met de heer M. Speerstra (info@iepenwachtfryslan.nl alsmede
martenspeerstra@gmail.com).
Dit privacyreglement geldt per 1 juni 2018 en is op d.d. 18 maart 2019 definitief vastgesteld. 
Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
Bijlage 1 Verwerkersovereenkomst
tussen:
1. Stichting Iepenwacht Fryslân, zetelende te Lemmer, ingeschreven bij de Kamer van Koophandel
onder nummer 01109205, ten deze rechtsgeldig vertegenwoordigd door de heren T. Piersma en M.
Speerstra, hierna te noemen: ‘Opdrachtgever’ of ‘Verantwoordelijke’; en
2. [naam bedrijf], statutair gevestigd en kantoorhoudende te ([postcode]) [plaats] aan [adres],
ingeschreven bij de Kamer van Koophandel onder nummer [kvk-nummer], hierna te noemen
‘Opdrachtnemer’ of ‘Verwerker’,
Hierna gezamenlijk te noemen de ‘Partijen’ of ieder afzonderlijk als de ‘Partij’.
Overwegende dat:
a. Partijen de hen genoegzaam bekende overeenkomst hebben gesloten (‘Hoofdovereenkomst’)
op grond waarvan Verwerker persoonsgegevens van of namens Verantwoordelijke verwerkt;
b. Privacywetgeving, inclusief nationale wetten ter uitvoering van de Privacyrichtlijn en de Algemene
Verordening Gegevensbescherming, vereist dat dergelijke verwerkingen worden geregeld door
een overeenkomst of rechtshandeling die de Verwerker bindt aan de Verantwoordelijke en waarin
het onderwerp, de duur, de aard en het doel van de verwerking, de verplichtingen van de
Verwerker in verband met beveiligingsincidenten en datalekken, het soort persoonsgegevens en
de categorieën van betrokkenen, en de rechten en verplichtingen van de Verantwoordelijke
worden omschreven; en
c. Partijen de bovenstaande vereisten in de onderhavige verwerkersovereenkomst
(‘Verwerkersovereenkomst’) wensen te regelen, welke overeenkomst een integraal onderdeel is
van de Hoofdovereenkomst.
Partijen verklaren te zijn overeengekomen als volgt:
Artikel 1. Definities en Interpretatie
1.1. ‘Betrokkene’, ‘Persoonsgegevens’, ‘Verantwoordelijke’, en ‘Verwerker’ hebben de
betekenis zoals bedoeld in de Privacywetgeving. Daarnaast hebben de volgende woorden en
zinsdelen de volgende betekenis:
‘Beveiligingsincident’ een daadwerkelijke, verwachte of vermoedelijke i) schending van
technische en organisatorische beveiligingsmaatregelen welke
leidt tot onbedoelde of onrechtmatige vernietiging, verlies,
wijziging, onbevoegde openbaarmaking of toegang tot gegevens,
met inbegrip van Persoonsgegevens, ii) schending van
Privacywetgeving of deze Verwerkersovereenkomst door een
huidige of voormalige werknemer, aannemer of agent van de 
Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
Verwerker of door een andere persoon of derde, en/of iii)
gebeurtenis waarbij de beveiliging, vertrouwelijkheid, integriteit of
beschikbaarheid van gegevens, waaronder Persoonsgegevens,
zijn of redelijkerwijs kunnen zijn gecompromitteerd;
‘Privacywetgeving’ de Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en
elektronische communicatie (2002/58/EG), de nationale wetten ter
uitvoering van deze richtlijnen en/of, in voorkomend geval, de
verordening (EU) 2016/679 (‘Algemene Verordening
Gegevensbescherming’) en elke wetgeving of verordening die
het voorgaande van tijd tot tijd wijzigt of aanvult.
1.2. Deze Verwerkersovereenkomst en de Annexen vormen een integraal onderdeel van de
Hoofdovereenkomst en een verwijzing naar de Verwerkersovereenkomst is inclusief een
verwijzing naar de Annexen.
1.3. In geval van inconsistentie tussen de bepalingen van deze Verwerkersovereenkomst en de
Hoofdovereenkomst, gelden de bepalingen van deze Verwerkersovereenkomst.
1.4. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze
Verwerkersovereenkomst blijven de overige bepalingen onverkort van kracht.
2. Werkzaamheden Verwerker
2.1. De voorwaarden van deze Verwerkersovereenkomst zijn van toepassing op de
Persoonsgegevens die de Verwerker, of de toegestane onderaannemers, verwerken tijdens
het verlenen van diensten in het kader van de Hoofdovereenkomst. Partijen komen overeen
dat de Verantwoordelijke de verwerkingsverantwoordelijke van de Persoonsgegevens is of
een verwerker van Persoonsgegevens namens een andere verwerkingsverantwoordelijke.
Partijen komen verder overeen dat Verwerker de Persoonsgegevens verwerkt in het kader
van uitvoering van de Hoofdovereenkomst.
2.2. De Verwerker verwerkt alleen die Persoonsgegevens zoals verder gespecificeerd in Annex 1
en voert deze verwerkingshandelingen alleen uit met betrekking tot de uit de
Hoofdovereenkomst voortvloeiende en in deze Verwerkersovereenkomst of anderszins
goedgekeurde met voorafgaande schriftelijke toestemming van de Verantwoordelijke nader
beschreven aard en doeleinden van de verwerking, onder voorbehoud van Artikel 2.4 van
deze Verwerkersovereenkomst. Verwerker zal in dit kader alle redelijke instructies van de
Verantwoordelijke in verband met de verwerking opvolgen.
2.3. De Verwerker verwerkt geen Persoonsgegevens voor zijn eigen doeleinden of die van
anderen, tenzij i) een op de Verwerker van toepassing zijnde wettelijk voorschrift hem tot
verwerking verplicht; in dat geval stelt de Verwerker de Verantwoordelijke, voorafgaand aan
de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving
om gewichtige redenen van algemeen belang verbiedt of ii) Verantwoordelijke daartoe
nadere schriftelijke instructies heeft gegeven.
2.4. De Verwerker verwerkt de Persoonsgegevens in overeenstemming met de Privacywetgeving
die van toepassing is op de verwerking van Persoonsgegevens onder deze
Verwerkersovereenkomst, waarbij ook rekening wordt gehouden met afzonderlijke
verplichtingen die de Verantwoordelijke krachtens Privacywetgeving kan hebben. De
Verwerker stelt de Verantwoordelijke onmiddellijk in kennis wanneer een instructie van de
Verantwoordelijke betreffende de verwerking van Persoonsgegevens naar haar mening
inbreuk maakt op Privacywetgeving of andere toepasselijke wetgeving.
Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
2.5. De Verwerker zorgt ervoor dat alle Persoonsgegevens die door de Verwerker zijn gecreëerd
namens de Verantwoordelijke nauwkeurig zijn en zo nodig bijgewerkt worden en zorgt ervoor
dat de Persoonsgegevens die onjuist of onvolledig zijn worden gewist of gerectificeerd
overeenkomstig de instructies van de Verantwoordelijke.
2.6. In aanvulling op Artikel 2.5 leggen Partijen vast dat de Verwerker de Persoonsgegevens
aantoonbaar, op behoorlijke en zorgvuldige wijze zal verwerken en in overeenstemming met
de op hem als Verwerker rustende verplichtingen op grond van de Privacywetgeving of
andere toepasselijke wetgeving. De Verwerker zal in dat kader ten minste een register van
verwerkingen aanleggen als bedoeld in Artikel 30 van de AVG en op eerste verzoek van de
Verantwoordelijke zal de Verwerker een kopie van dat register verstrekken.
2.7. De Verwerker zal geen Persoonsgegevens verwerken in- of doorgeven aan een land, gebied
of organisatie buiten de Europese Economische Ruimte (‘EER’) zonder voorafgaande
schriftelijke toestemming van de Verantwoordelijke (en de Verwerker zorgt ervoor dat elke
onderaannemer aan hetzelfde voldoet).
3. Beveiliging
3.1. De Verwerker ontwikkelt, implementeert en onderhoudt een uitgebreid schriftelijk
informatiebeveiligingsbeleid dat vereist dat de Verwerker passende technische en
organisatorische maatregelen neemt om Persoonsgegevens, in het licht van de huidige stand
van de techniek, te beschermen tegen inbreuken op beveiliging, vertrouwelijkheid of
integriteit en andere ongeautoriseerde of onwettige vormen van verwerking. Zulke
maatregelen zullen een passend veiligheidsniveau garanderen, rekening houdend met de
risico's die bij de verwerking betrokken zijn, met name door ongevallen of onwettige
vernietiging, verlies, wijziging, onbevoegde openbaarmaking of toegang tot
persoonsgegevens die worden overgedragen, opgeslagen of anderszins verwerkt, gebaseerd
op de aard van de persoonsgegevens, geldende industriestandaarden en verplichte
veiligheidseisen die van toepassing zijn op de Verwerker.
3.2. Naast de algemene verplichting uit hoofde van Artikel 3.1, omvatten dergelijke technische en
organisatorische beveiligingsmaatregelen ten minste de beveiligingsmaatregelen in Annex 2
van deze Verwerkersovereenkomst.
3.3. De Verwerker zorgt ervoor dat (hij/zij zelf en) het personeel dat bevoegd is om de
Persoonsgegevens te verwerken zich tot vertrouwelijkheid verbindt gedurende en na hun
dienstverband (bijvoorbeeld door middel van een geheimhoudingsovereenkomst), voor zover
het niet reeds tot een wettelijke verplichting tot geheimhouding is gehouden.
3.4. Partijen erkennen dat de in dit Artikel 3 bedoelde technische en organisatorische
maatregelen in de loop van de tijd kunnen veranderen en dat effectieve
beveiligingsmaatregelen regelmatige evaluatie en verbetering van de maatregelen vereisen.
De Verwerker zal deze maatregelen derhalve regelmatig evalueren, aanscherpen en/of
verbeteren om te (blijven) voldoen aan de eisen en verplichtingen zoals genoemd in dit
Artikel 3.
4. Beveiligingsincidenten
4.1. De Verwerker zorgt voor adequate beveiligingsmaatregelen en neemt de technische en
organisatorische beveiligingsmaatregelen die nodig zijn in verband met de toepasselijke 
Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
wettelijke verplichtingen die van toepassing zijn op de Verwerker en de Verantwoordelijke
inzake Beveiligingsincidenten.
4.2. In geval van een Beveiligingsincident zal de Verwerker de Verantwoordelijke onverwijld op de
hoogte stellen via een kennisgeving, maar uiterlijk 36 uur nadat de Verwerker of een
onderaannemer zich bewust is van een dergelijk Beveiligingsincident en op een zodanige
wijze dat de Verantwoordelijke kan voldoen aan van toepassing zijnde wetgeving betreffende
Beveiligingsincidenten, met name relevante kennisgevingsvereisten in verband met
Beveiligingsincidenten en inbreuken op de beveiliging van Persoonsgegevens. Een
kennisgeving van een Beveiligingsincident mag in beginsel mondeling geschieden, maar
dient altijd gevolgd te worden door een schriftelijke bevestiging aan Verantwoordelijke.
4.3. Niettegenstaande de verplichtingen van de Verwerker onder Artikel 4.2, bevat de
kennisgeving van de Verwerker tenminste de punten in Annex 3 sub B, waarbij de Verwerker
zich rekenschap geeft van het belang van een onverwijlde melding, alsook de mogelijkheid
om eerdere kennisgevingen op te volgen en aan te vullen door middel van het invullen van
het ‘Meldingsformulier Beveiligingsincident’.
4.4. Zodra de Verwerker op de hoogte is van een Beveiligingsincident, moet de Verwerker alle
noodzakelijke en passende maatregelen nemen om de gevolgen van het Beveiligingsincident
(en de gevolgen hiervan) te onderzoeken, te reduceren en te herstellen en de
Verantwoordelijke te helpen ervoor te zorgen dat de Verantwoordelijke kan voldoen aan de
Privacywetgeving en eventuele wettelijke en/of contractuele verplichtingen (zoals
verplichtingen om derden in kennis te stellen, inclusief toezichthouders en betrokkenen) in
verband met het Beveiligingsincident. Dit betekent, met zoveel woorden, dat de Verwerker te
allen tijde zijn medewerking verleent aan Verantwoordelijke in het kader van het hiervoor
gestelde en eventuele nadere instructies van de Verantwoordelijke adequaat zal opvolgen.
4.5. Verwerker dient zich te onthouden van het op enigerlei wijze verstrekken van of delen van
informatie over Beveiligingsincidenten aan derde partijen en/of betrokkenen, behoudens voor
zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.
5. Samenwerking en betrokkenen
5.1. De Verwerker zal de Verantwoordelijke binnen 36 uur in kennis stellen, tenzij uitdrukkelijk
door toepasselijke wetgeving verboden, in geval van i) een klacht in verband met de
verwerking van Persoonsgegevens onder de Verwerkersovereenkomst, ii) een verzoek,
vraag of bevel tot de productie, verwerking of toegang tot persoonsgegevens, of iii)
verzoeken van betrokkenen, waaronder verzoeken tot toegang, rectificatie, blokkering van
verwerking van persoonsgegevens, data-overdraagbaarheid en soortgelijke verzoeken. De
Verwerker reageert niet op dergelijke verzoeken, tenzij met voorafgaande toestemming van
de Verantwoordelijke. De Verwerker werkt op dit punt samen met de Verantwoordelijke en
ondersteunt de Verantwoordelijke bij het afhandelen en beantwoorden van dergelijke
klachten, verzoeken en bevelen. Dit houdt voor Verwerker in dat op het eerste daartoe
strekkende verzoek van de Verantwoordelijke alle relevante informatie aan haar wordt
verstrekt betreffende de aspecten van de door de Verwerker verrichte verwerking van
Persoonsgegevens, zodat de Verantwoordelijke, mede aan de hand van die informatie, aan
kan tonen dat Privacywetgeving of andere toepasselijke wetgeving wordt dan wel is
nageleefd. 
Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
5.2. Voor zover mogelijk en rekening houdend met de aard van de verwerking, zal de Verwerker
passende technische en organisatorische maatregelen implementeren voor de vervulling van
zijn verplichtingen genoemd in dit Artikel 5.
6. Onderaanneming
6.1. De Verwerker kan zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst slechts
uitbesteden aan een derde partij met uitdrukkelijke voorafgaande schriftelijke toestemming
van de Verantwoordelijke en alleen middels een schriftelijke overeenkomst met de
onderaannemer (‘Subverwerker’), welke overeenkomst minimaal dezelfde verplichtingen
oplegt als aan de Verwerker onder deze Verwerkersovereenkomst dan wel uit de
Privacywetgeving of andere toepasselijke wetgeving voortvloeit. Het is de (wettelijke) taak
van de Verwerker om toe te zien op naleving daarvan door de Subverwerker.
6.2. De Verwerker blijft volledig aansprakelijk voor de nakoming van zijn verplichtingen uit hoofde
van deze Verwerkersovereenkomst, met inbegrip van de door de Subverwerkers verwerkte
persoonsgegevens, indien de Verwerker gebruik maakt van Subverwerkers.
De toestemming van Verantwoordelijke voor het uitbesteden van werkzaamheden aan een
Subverwerker, zoals bedoeld in dit Artikel, laat onverlet dat Persoonsgegevens niet mogen
worden verwerkt door die Subverwerker in een land buiten de EER, zonder daarvoor
uitdrukkelijke voorafgaande schriftelijke toestemming van de Verantwoordelijke, zoals mede
bedoeld in Artikel 2.7.
7. Vrijwaring en Boete
7.1. De Verwerker zal de Verantwoordelijke vrijwaren ten aanzien van alle schade die door de
Verantwoordelijke wordt geleden of voortvloeit uit schending van deze
Verwerkersovereenkomst door de Verwerker. Te denken valt hierbij aan een toerekenbare
tekortkoming door Verwerker en/of diens onderaannemers (Subverwerkers) in de nakoming
van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door
Verwerker en/of diens onderaannemers (Subverwerkers) van de Privacywetgeving of andere
toepasselijke wetgeving op het gebied van verwerking van Persoonsgegevens. Voor de
toepassing van dit Artikel betekent schade: i) boetes, dwangsommen en andere sancties die
door een toezichthoudende autoriteit of andere overheidsinstantie worden opgelegd, ii)
eventuele schadevergoeding die wordt geëist door derden of onderaannemers; en iii)
redelijke kosten die verband houden met de tenuitvoerlegging van dit Artikel 7.
7.2. Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.
8. Audit en Controle
8.1. De Verwerker houdt gedetailleerde, nauwkeurige en actuele informatie bij met betrekking tot
de verwerking van de Persoonsgegevens door hem in het kader van deze
Verwerkersovereenkomst, waaronder met betrekking tot de verplichtingen en maatregelen op
grond van de Artikelen 2.1, 3, 4, 5 en 6 (‘Bescheiden’). Op verzoek van de
Verantwoordelijke verstrekt de Verwerker deze Bescheiden aan de Verantwoordelijke.
8.2. Verantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder
Artikel 3 genoemde maatregelen. De Verwerker verstrekt de Verantwoordelijke, zijn daartoe
gemachtigde vertegenwoordigers en/of de onafhankelijke auditor die door de 
Stichting Iepenwacht Fryslân
Privacyreglement Persoonsgegevens
Verantwoordelijke is aangewezen, zo vaak als de Verantwoordelijke daar aanleiding toe ziet
in het kader van de uitvoering van deze Verwerkersovereenkomst en bij (het vermoeden van)
informatie- of privacy-incidenten, en met inachtneming van een redelijke termijn van
kennisgeving: i) toegang tot de informatie, locaties en Bescheiden van de Verwerker; ii)
redelijke bijstand en medewerking van het betrokken personeel van de Verwerker; en iii)
redelijke faciliteiten op de locaties van de Verwerker om na te gaan of de Verwerker zijn
verplichtingen uit hoofde van deze Verwerkersovereenkomst en de Privacywetgeving
nakomt.
8.3. De Verwerker zal eventuele door de Verantwoordelijke naar aanleiding van dergelijke audits
en controles in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid
binnen een redelijke termijn opvolgen.
8.4. Elke Partij draagt haar eigen kosten voor de in dit Artikel 8 beschreven audits en controles,
tenzij blijkt dat de Verwerker een wezenlijke inbreuk heeft gepleegd op de bepalingen van
deze Verwerkersovereenkomst, in welk geval de Verwerker alle kosten zal dragen,
onverminderd andere rechten en rechtsmiddelen waarover de Verantwoordelijke beschikt.
9. Termijn en Beëindiging
9.1. Deze Verwerkersovereenkomst vangt aan vanaf datum van ondertekening door beide
Partijen en blijft van kracht tot de beëindiging of afloop van de Hoofdovereenkomst.
9.2. Indien de Hoofdovereenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch;
de Verwerkersovereenkomst kan niet tussentijds of separaat worden opgezegd.
9.3. Alle bepalingen van deze Verwerkersovereenkomst die uitdrukkelijk of impliciet zijn bedoeld
om van kracht te blijven na beëindiging of afloop van deze Verwerkersovereenkomst, met
inbegrip van de Artikelen 3.3 (geheimhouding), 4.2 (melden Beveiligingsincidenten), 7
(vrijwaring), 8.1 (bijhouden van Bescheiden) en 10.1 (retour Persoonsgegevens) blijven
volledig van kracht.
10. Overig
10.1. Na beëindiging of aflopen van deze Verwerkersovereenkomst, of op schriftelijk verzoek
van de Verantwoordelijke, zal de Verwerker, op eventuele aanwijzing van de
Verantwoordelijke binnen 30 dagen alle Persoonsgegevens retourneren aan de
Verantwoordelijke, en bestaande kopieën van alle bestaande exemplaren verwijderen.
10.2. Deze Verwerkersovereenkomst wordt beheerst door en geïnterpreteerd in
overeenstemming met Nederlands recht. Elk geschil dat voortkomt uit deze
Verwerkersovereenkomst of daarmee verband houdt (van contractuele of niet-contractuele
aard) wordt uitsluitend voorgelegd aan de daartoe in de Hoofdovereenkomst aangewezen
rechtbank of arbiter(s) of andere daartoe overeengekomen vorm van geschillenbeslechting,
waarbij wordt opgemerkt dat Partijen te allen tijde nastreven een eventueel geschil eerst in
onderling overleg op passende wijze op te lossen.
10.3. Wijzigingen van deze Verwerkersovereenkomst zijn slechts van kracht indien zij
schriftelijk zijn vastgelegd en ondertekend door Partijen (of hun gemachtigde
vertegenwoordigers).