Verwerkersovereenkomst NTFU Verenigingen

 

De onderqetekenden.
1. Wieler Team Dynamic Cycling (relatienummer 1 10081) statutair gevestigd.te Oosterhout Nb, aan
de Ferdinand Bolstraat 10,4907 ME bij deze overeenkomst rechtsgeldig vertegenwoordigd door
haar bestuurde(s) , hierna te noemen: “de Vereniging”;
en
2. Nederlandse Toer Fiets Unie statutair gevestigd en kantoorhoudende te Veenendaal, aan de
Landjuweel 62 (3905 PH) te dezen rechtsgeldig vertegenwoordigd door haar directeur de heer A.
de Vries, hierna te noemen: “NTFU”;
Hierna ook afzonderlijk te noemen: “partij” en gezamenlijk: “partijen”;
Ovenveqen als volqt:
l. De Vereniging is als vereniging lid van NTFU. Leden van de Vereniging worden als zodanig
aangemeld bij NTFU en worden via hun vereniging tevens lid van NTFU.
ll. De Vereniging maakt als lid gebruik van diverse diensten van NTFU.
lll. De Vereniging verstrekt in het kader van haar lidmaatschap van NTFU Persoonsgegevens
aan NTFU. Deze persoonsgegevens worden door NTFU in haar systemen verwerkt.
lV. Partijen hebben afspraken gemaakt over de wijze waarop zij de van elkaar verkregen
persoonsgegevens verwerken. Deze afspraken zijn vastgelegd in deze overeenkomst.
Verklaren de volqende afspraken te hebben qemaakt:
Artikel 1: Begrippen
Alle in deze overeenkomst gebruikte begrippen hebben de betekenis die de Algemene Verordening
Gegevensbescherming (AVG) daar aan geeft.
Artikel2: Hoedanigheid paÉijen
De Vereniging is verwerkingsverantwoordelijke ten aanzien van de persoonsgegevens van haar
individuele leden (hierna te noemen: de betrokkenen). NTFU is aan te merken als verwerker van de
van de Vereniging ontvangen persoonsgegevens.
Artikel 3: Verwerking persoonsgegevens
a. NTFU zal de persoonsgegevens van de Vereniging behoorlijk en zorgvuldig verwerken en
passende maatregelen nemen ter bescherming tegen datalekken.
b. De persoonsgegevens worden uitsluitend venrverkt ten behoeve van de Vereniging en enkel in het
kader van de uitvoering van het lidmaatschap van de Vereniging en de betrokkenen. Dat betekent
dat de verwerking wordt uitgevoerd in verband met de in artikel 4 van deze overeenkomst
omschreven doeleinden.
c. Het is NTFU niet toegestaan de persoonsgegevens:
ii. voor andere of verdergaande doeleinden te verwerken dan in het kader van de af te
nemen dienst van NTFU is bepaald;
iii. aan derden te verstrekken voor zover dat niet is toegestaan op basis van de
overeen gekomen doeleinden.
d. De Vereniging verklaart dat zij bevoegd is om de persoonsgegevens voor de verwerking zoals in
deze overeenkomst is beschreven aan NTFU te verstrekken,
e. De Vereniging zal er voor zorg dragen dat zij de betrokkenen ten tijde van het aangaan van het
Iidmaatschap van haar vereniging en van NTFU erop wijst:
dat de Vereniging zijnpersoonsgegevens aan NTFU verstrekt ten behoeve van de in deze
overeenkomst genoemde doeleinden;
dat NTFU de persoonsgegevens ter uitvoering van de in deze overeenkomst genoemde
doeleinden kan verstrekken aan sub verwerkers en/of andere derden;
Verwerkersovereenkomst NTFU 8 mei 2018 Pagina 1 van 5-.’^::
{{ifitu=Ift ,.3’ï. *ielersPortbond
dat het van tijd tot tijd door NTFU gehanteerde privacy beleid van toepassing is;
dat de persoonsgegevens van de betrokkene ook na het einde van het lidmaatschap door
NTFU worden bewaard als dat noodzakelijk is in verband met de in deze overeenkomst
opgesomde doeleinden tenzij de betrokkene verzoekt deze te vernietigen.
AÉikel 4: aard en doelvan de verwerking
a. De volgende persoonsgegevens worden door NTFU verwerkt:
Naam;
geslacht;
geboortedatum;
adres;
(mobiele)telefoonnummer;
Naam en telefoonnummer voor noodgevallen (lCE);
lidmaatschapsnummer betrokkene;
lidmaatschapsnummer vereniging
Iand;
– provincie;
e-mailadres;
overige door de Vereniging naar eigen inzicht aangeleverde persoonsgegevens;
b. Het doelvan de verwerking is:
het faciliteren van de ledenadministratie van de Vereniging;
het aanmaken van een Scan&Go pas en lidmaatschapsnummer ten behoeve van de
betrokkenen;
het verlenen van toegang tot de webshop van NTFU;
het verzenden aan de betrokkenen van door NTFU uitgegeven magazine’s per post;
het verzenden van mailingen met betrekking tot informatie over fietssport en daaraan
gerelateerde evenementen, waarbij de betrokkenen altijd de mogelijkheid hebben zich
hiervoor uit te schrijven;
het verstrekken van persoonsgegevens aan andere bU NTFU aangesloten verenigingen die
een toertocht of gelijksoortig wielerevenement organiseren waarvoor de betrokkenen zich
inschrijven met gebruikmaking van de van NTFU ontvangen Scan&Go pas en/of het
individuele lidmaatschapsnummer (al dan niet via Scan&Go);
het beschikbaar stellen van de (persoons)gegevens van de bestuursleden van de Vereniging
aan andere bU NTFU aangesloten verenigingen en derden en het vindbaar maken op internet
van de Vereniging door het publiceren van de namen en/of e-mailadressen en/of
telefoonnummers van haar bestuursleden op de volgende websites: www.ntfu.nl en
www.fietssport.nl;
het delen van de persoonsgegevens met de vezekeraar in het geval een betrokkene een
schade-incident aan meldt;
het op initiatief van de betrokkenen aanmaken van een profiel op www.fietssport.nl;
het opnemen van contact met de Vereniging of de betrokkenen in verband met het
lidmaatschap van NTFU;
het (geanonimiseerd) verwerken van gegevens voor statistische doeleinden.
AÉikel5: Geheimhouding
a. NTFU is verplicht de persoonsgegevens geheim te houden en de verplichting tot
geheimhouding ook aan door haar bij de verwerking betrokken werknemers of derden op te
leggen.
b. Door ondertekening van deze overeenkomst verleent de Vereniging NTFU toestemming haar
werknemers en/of andere bij de verwerking ingeschakelde derden toegang te geven tot de
persoonsgegevens van de betrokkenen als dat door NTFU noodzakelijk wordt geacht voor de
goede uitoefening van haar diensten.
c. NTFU zal haar werknemers en/of door haar ingeschakelde derden die geautoriseerd worden
om toegang te krijgen tot de persoonsgegevens informeren over hun verplichtingen met
betrekking tot de rechtmatige verwerking van de persoonsgegevens op basis van de
toepasselijke wetgeving, deze overeenkomst, inclusief de verplichting om de
persoonsgegevens enkel te verwerken voor zover vereist voor de correcte uitvoering van de in
deze overeenkomst opgesomde doeleinden.
d. NTFU zal:
i. verleende autorisaties tijdig aanpassen als een werknemer of derde de toegang tot de
persoonsgegevens niet meer nodig heeft;
Verwerkersovereenkomst NTFU 8 mei 2018 Pagina 2 van 5ïïrruui. .. wÍelersPortbond
ii. de verleende bevoegdheden alsmede alle mutaties hierop periodiek evalueren;
iii. het benaderen, verstrekken en verdere gebruik van de persoonsgegevens zodanig
registreren, dat mogelijk misbruik op individueel niveau tijdig kan worden gesignaleerd en
stopgezet.
AÉikel6: (sub)-verwerkerschap
a. NTFU garandeert dat er in het kader van de uitvoering van de in deze overeenkomst
opgesomde doeleinden geen persoonsgegevens worden verwerkt buiten de Europese
Economische Ruimte (EER), althans, dat als dat het geval zou zijn de verwerking geschiedt met
inachtneming van de binnen de EER geldende regelgeving.
b. de Vereniging staat het NTFU toe om delen van de venryerking uit te besteden aan andere sub-
verwerkers/onderaannemers indien dat noodzakelijk is voor een goede uitvoering van de in
deze overeenkomst opgesomde doeleinden en op voorwaarde dat NTFU schriftelijk bedingt dat
deze sub-veniverkers/onderaannemers minimaal hetzelfde niveau van beveiliging van de
persoonsgegevens hanteren als NTFU en voorts dat zij de volledige beperkingen en
verplichtingen zoals vervat in deze overeenkomst na zullen leven, om zo een equivalent
beschermingsniveau van de persoonsgegevens te waarborgen.
c. Bij uitbesteding van (delen van) de verwerking van de persoonsgegevens door NTFU
derden blijft NTFU onverkort verantwoordelijk voor de juiste verwerking van
persoonsgegevens.
AÉikel 7: Beveiligingsmaatregelen
a. NTFU neemt passende maatregelen voor de bescherming van persoonsgegevens waarbij de
de beleidsrichtlijnen van de Autoriteit Persoonsgegevens kaderstellend zijn. NTFU heeft haar
beveiligingsbeleid schriftelijk gedocumenteerd. Dit beleid wordt jaarlijks geëvalueerd en waar
nodig geacht bijgesteld. ln geval van belangrijke wijzigingen in het beveiligingsbeleid zal NTFU
de Vereniging informeren. Op verzoek geeft NTFU de Vereniging inzage in haar
beveiligingsbeleid.
b. NTFU zorgt ervoor dat het beveiligingsbeleid en de uitvoering van het beveiligingsbeleid
tenminste voldoet aan het criterium van “passende technische en organisatorische maatregelen
om een op het risico afgestemd beveiligingsniveau tewaarborgen” als bepaald in artikel 32van
de AVG.
c. de Vereniging en NTFU zullen zich inspannen om de te verwerken persoonsgegevens te
beveiligen en beveiligd te houden tegen indringers en tegen van buiten komend onheil alsmede
onzorgvuldig, ondeskundig of ongeoorloofd gebruik;
d. Eventuele door of vanwege NTFU aan de Vereniging en de betrokkenen verstrekte toegangs-
of identificatiecodes en certificaten zijn vertrouwelijk en zullen door NTFU als zodanig worden
aan
de
behandeld en slechts aan geautoriseerde medewerkers uit haar eigen
worden gemaakt.
e. NTFU informeert de Vereniging schriftelijk of per e-mail over alle feiten
organisatie kenbaar
en omstandigheden
zodra ztl heeft geconstateerd dat de beveiliging van de persoonsgegevens niet (meer) voldoet
aan de beveiligingsmaatregelen zoals omschreven in deze overeenkomst, de diensten, en/of
nader overeengekomen beveiligingsmaatregelen en dienstverleningsniveaus of
beleidsrichtlijnen van de Autoriteit Persoonsgegevens.
Artikel 8: Onbevoegde toegang of datalek
a. NTFU informeert de voorzitter of een ander bestuurslid van de Vereniging onverwijld nadat zij
constateert dat toegang tot de persoonsgegevens voor onbevoegden mogelijk is of was of
daadwerkelijk heeft plaatsgevonden of er sprake is geweest van een datalek.
b. NTFU zal onverwijld na constatering van een omstandigheid zoals bedoeld in lid a. van dit
artikel, de voorzitter of ander bestuurslid van de Vereniging per e-mail en/of telefoon informeren
over alle feiten en omstandigheden die van belang zijn. Daarbij wordt in ieder geval voor zover
bekend vermeld:
l. of toegang tot de persoonsgegevens voor onbevoegden mogelijk is geweest en of dit
daadwerkelijk heeft plaats gevonden;
ll. of onbevoegde toegang tot de persoonsgegevens nog steeds mogelijk is;
lll. de aard van het datalek
Verwerkersovereenkomst NTFU 8 mei 2018 Pagina 3 van 5wat de oorzaak is geweest van de onbevoegde toegang of het datalek;
bijwie de Vereniging terecht kan voor meer informatie;
wat de gevolgen zijn en wat er is gedaan – of nog zal worden gedaan om de gevolgen te
beperken;
c. Als zich een incident als bedoeld in lid a. voordoet en dit incident (mogelijk) gevolgen heeft
voor de betrokkenen, zal NTFU waar nodig meewerken aan ofzorgdragen voor het adequaat
informeren van de betrokkenen. Tevens stelt NTFU maatregelen voor die de Vereniging of de
betrokkenen kunnen treffen om deze gevolgen te verhelpen of te beperken.
d. Als zich een incident als bedoeld in lid a. voordoet, overleggen partijen binnen 24 uur op welke
wijze ztl hierover communiceren en wie de communicatie op zich neemt, waaronder begrepen
het doen van melding aan de Autoriteit Persoonsgegevens.
AÉikel 9: Controle en controlerecht
a. Als er gegronde redenen zijn om te veronderstellen dat NTFU haar beveiliging niet op orde
heeft, heeft de Vereniging het recht om een audit te laten uitvoeren door een onafhankelijk en
gekwalificeerde auditor om na te gaan of NTFU haar beveiligingsverplichtingen uit hoofde van
deze overeenkomst nakomt. De kosten van een audit komen voor rekening van de Vereniging.
b. NTFU zal, waar mogelijk en redelijk, verbeterpunten van de auditor uitvoeren.
c. NTFU en de door haar ingeschakelde sub-verwerkers die de persoonsgegevens verwerken,
zullen aan de Vereniging of een geautoriseerde derde partij die door haar is ingeschakeld
toegang verlenen en informatie verschaffen die redelijkeruvijs relevant is voor de verwerking
van de persoonsgegevens. NTFU zal in dat kader alle medewerking verlenen die redelijkerwijs
nodig is en zal schriftelijk bedingen dat de door haar ingeschakelde sub-verwerkers deze
medewerking eveneens verlenen.
d. ln geval van controle en aanwijzingen van toezichthouders zoals de Autoriteit
Persoonsgegevens, volgt NTFU die aanwijzingen op.
e. NTFU verstrekt de Vereniging, desgevraagd en voor zover de wet dit toestaat, een kopie van
de gegevens die zij de toezichthouder heeft gegeven.
Artikel í0: Verzoeken van de betrokkenen en derden
a. NTFU stelt de Vereniging te allen tijde in staat om ruim binnen de wettel’tjke termijnen te
voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder het naleven van de
rechten van de betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering,
aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een
gehonoreerd aangetekend verzet, of uitoefening van het recht om vergeten te worden.
b. NTFU stelt de Vereniging onmiddellijk op de hoogte zodra NTFU een verzoek om inzage
verstrekking van de bestanden waarin de persoonsgegevens van de betrokkenen
opgeslagen ontvangt van een rechtshandhavingsinstantie. leder verzoek dat juridisch
bindend is, zal door NTFU worden afgewezen.
Artikel 11: Naleving wet- en regelgeving
a. de Vereniging en NTFU zullen zich gedragen overeenkomstig de AVG en toekomstige
(Europese) wet- en regelgeving op het gebied van verwerklng van persoonsgegevens. Indien
toekomstige wet- en regelgeving noopt tot aanpassing van deze overeenkomst, zullen partijen
in overleg treden en nieuwe of aanvullende afspraken maken waarbij de strekking van deze
overeenkomst zo veel mogelijk wordt gehandhaafd.
b. Het onder a. bepaalde geldt ook ten aanzien van persoonsgegevens die de Vereniging ontvangt
van NTFU (deelnemers toertochten). de Vereniging zal dergelijke gegevens met de grootst
mogelijke zorgvuldigheid behandelen en alleen gebruiken voor het doel waarvoor zr1zryn
ontvangen. Dergelijke gegevens worden door de Vereniging niet zonder voorafgaande
toestemming van de betrokkenen openbaar gemaakt.
tv.
V.
vt.
in of
zinniet
Verwerkersovereenkomst NTFU B mei 2018 Pagina 4 van 5