Verwerkersovereenkomst
Versie 1.0, Mei 2026
Partijen
Verwerkingsverantwoordelijke:De organisatie of persoon die een account heeft bij postkamer.nl en die Mailings verstuurt via het platform (hierna: “Verwerkingsverantwoordelijke”).
Verwerker:postkamer.nl, exploitant van het platform via postkamer.nl (hierna: “postkamer.nl” of “Verwerker”).
Samen aangeduid als de “Partijen”.
Overwegingen
- De Verwerkingsverantwoordelijke maakt gebruik van de diensten van postkamer.nl voor het aanmaken en verzenden van fysieke direct-mailings.
- Bij de uitvoering van deze dienst verwerkt postkamer.nl persoonsgegevens van geadresseerden namens de Verwerkingsverantwoordelijke.
- Partijen willen hun rechten en verplichtingen vastleggen conform artikel 28 van de AVG.
Artikel 1. Definities
- AVG: de Algemene Verordening Gegevensbescherming (EU 2016/679).
- Persoonsgegevens: alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon.
- Verwerking: elke bewerking van persoonsgegevens, zoals vastlegging, opslag, gebruik of doorgifte.
- Datalek: een inbreuk op de beveiliging die leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van persoonsgegevens.
- Sub-verwerker: een derde partij die door postkamer.nl wordt ingeschakeld bij de uitvoering van de verwerking.
Artikel 2. Onderwerp en duur van de verwerking
2.1 postkamer.nl verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van Mailings die de Verwerkingsverantwoordelijke via het platform aanmaakt.
2.2 De verwerking vindt plaats voor de duur van de overeenkomst tussen Partijen, en eindigt zodra de accountrelatie wordt beeindigd of zodra de Verwerkingsverantwoordelijke een specifieke verwijderingsopdracht geeft.
Artikel 3. Aard en doel van de verwerking
| Aspect | Omschrijving |
|---|---|
| Categorieen data | Naam en postadres van geadresseerden van de Mailing |
| Doel | Uitsluitend de productie en bezorging van de fysieke brief via de Drukpartner |
| Betrokkenen | Natuurlijke personen op de adressenlijst van de Verwerkingsverantwoordelijke |
3.1 postkamer.nl verwerkt de persoonsgegevens niet voor eigen doeleinden, tenzij hiertoe een wettelijke verplichting bestaat.
Artikel 4. Verplichtingen van de Verwerkingsverantwoordelijke
4.1 De Verwerkingsverantwoordelijke garandeert dat zij beschikt over een rechtmatige grondslag voor de verwerking van de adressenlijst en voor de verzending van de Mailing.
4.2 De Verwerkingsverantwoordelijke is verantwoordelijk voor de nauwkeurigheid en volledigheid van de aangeleverde gegevens.
4.3 De Verwerkingsverantwoordelijke informeert betrokkenen over de verwerking van hun persoonsgegevens in het kader van de Mailing, voor zover de AVG dat vereist.
Artikel 5. Verplichtingen van postkamer.nl als Verwerker
5.1 postkamer.nl verwerkt de persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Verwerkingsverantwoordelijke, zoals neergelegd in de overeenkomst.
5.2 postkamer.nl zorgt ervoor dat de personen die toegang hebben tot de persoonsgegevens zijn gebonden aan een geheimhoudingsplicht of onderworpen zijn aan een wettelijke geheimhoudingsverplichting.
5.3 postkamer.nl neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (zie Artikel 8).
5.4 postkamer.nl informeert de Verwerkingsverantwoordelijke onverwijld indien een instructie naar het oordeel van postkamer.nl in strijd is met de AVG of andere toepasselijke privacywetgeving.
Artikel 6. Sub-verwerkers
6.1 De Verwerkingsverantwoordelijke geeft postkamer.nl algemene toestemming voor het inschakelen van sub-verwerkers, mits postkamer.nl:
- dezelfde gegevensbeschermingsverplichtingen oplegt aan de sub-verwerker als in deze overeenkomst;
- de Verwerkingsverantwoordelijke informeert over (voorgenomen) wijzigingen met betrekking tot sub-verwerkers.
6.2 Huidige sub-verwerkers:
| Sub-verwerker | Rol | Locatie |
|---|---|---|
| Drukpartner | Afdrukken en bezorgen van brieven (ontvangt adressenlijst) | EER |
| Mollie B.V. | Betalingsverwerking (geen adressenlijst ontvangen) | Nederland |
| Hostingpartner | Serverinfrastructuur voor het platform | EER |
6.3 Persoonsgegevens worden niet doorgegeven aan landen buiten de Europese Economische Ruimte, tenzij passende waarborgen van toepassing zijn (bijv. standaardcontractbepalingen conform art. 46 AVG).
6.4 postkamer.nl blijft jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming door sub-verwerkers.
Artikel 7. Rechten van betrokkenen
7.1 postkamer.nl ondersteunt de Verwerkingsverantwoordelijke bij het nakomen van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, bezwaar, beperking, dataportabiliteit).
7.2 Indien een betrokkene rechtstreeks contact opneemt met postkamer.nl, stuurt postkamer.nl het verzoek onverwijld door naar de Verwerkingsverantwoordelijke.
Artikel 8. Beveiliging
postkamer.nl implementeert en onderhoudt tenminste de volgende beveiligingsmaatregelen:
- Versleuteling van persoonsgegevens tijdens opslag en transport (TLS 1.2 of hoger).
- Toegangscontrole op basis van het “need-to-know” principe.
- Regelmatige back-ups met toegangsbeveiliging.
- Procedures voor het detecteren en rapporteren van beveiligingsincidenten.
- Bewustzijnstraining voor medewerkers met toegang tot persoonsgegevens.
Artikel 9. Datalekken
9.1 postkamer.nl meldt een Datalek dat betrekking heeft op de persoonsgegevens van de Verwerkingsverantwoordelijke zo spoedig mogelijk, en in ieder geval binnen 36 uur na ontdekking, aan de Verwerkingsverantwoordelijke.
9.2 De melding bevat tenminste:
- de aard van het Datalek;
- de categorieen en het geschatte aantal betrokken personen;
- de waarschijnlijke gevolgen;
- de maatregelen die postkamer.nl heeft genomen of voorstelt te nemen.
9.3 De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor de melding aan de Autoriteit Persoonsgegevens binnen de wettelijke termijn van 72 uur (art. 33 AVG), en voor eventuele communicatie aan betrokkenen.
Artikel 10. Auditrechten
10.1 postkamer.nl verstrekt aan de Verwerkingsverantwoordelijke alle informatie die nodig is om de naleving van de verplichtingen uit artikel 28 AVG aan te tonen.
10.2 postkamer.nl werkt mee aan audits en inspecties die worden uitgevoerd door de Verwerkingsverantwoordelijke of een door haar aangestelde auditor, mits:
- de audit minimaal 4 weken van tevoren schriftelijk wordt aangekondigd;
- de kosten van de audit worden gedragen door de Verwerkingsverantwoordelijke;
- de audit niet vaker dan eenmaal per jaar plaatsvindt, tenzij er concrete aanleiding bestaat voor vaker toezicht.
Artikel 11. Verwijdering en teruggave van gegevens
11.1 Na afloop van de verwerkingsopdracht (of op uitdrukkelijk verzoek van de Verwerkingsverantwoordelijke) verwijdert postkamer.nl alle persoonsgegevens en eventuele kopieeen daarvan, tenzij een wettelijke bewaarplicht van toepassing is.
11.2 postkamer.nl bevestigt de verwijdering desgevraagd schriftelijk.
Artikel 12. Aansprakelijkheid
12.1 Indien postkamer.nl als Verwerker aansprakelijk wordt gesteld voor schade die het gevolg is van een verwerking die in strijd is met de AVG, kan postkamer.nl haar aansprakelijkheid beperken of uitsluiten voor zover zij aantoont dat zij voor de schadeveroorzakende gedraging niet verantwoordelijk is.
12.2 De aansprakelijkheid van postkamer.nl is in elk geval beperkt conform artikel 10 van de Algemene Voorwaarden.
Artikel 13. Toepasselijk recht en geschillenbeslechting
Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Amsterdam.
Artikel 14. Wijzigingen
postkamer.nl behoudt zich het recht voor deze Verwerkersovereenkomst te wijzigen in overeenstemming met gewijzigde wetgeving of gewijzigde dienstverlening. Materiele wijzigingen worden minimaal 30 dagen van tevoren aangekondigd.
postkamer.nl - Verwerkersovereenkomst v1.0