ISRES
Digitalisering onderhoudsproces
Eindgebruikerslicentieovereenkomst Planon
ISRES
Kruisboog 42
3905 TG Veenendaal
T x00 000 00 00 00
E xxxx@xxxxxxxxxxx.xxx W xxx.xxxxxxxxxxx.xxx
K.v.K. 3017 7702
BTW NL8105.55.827.B01 IBAN XX00XXXX0000000000
Contents
Reseller: Planon International B.V.
Gegevens Klant
Naam | Zie verkoopovereenkomst Planon International B.V. |
Adres | Zie verkoopovereenkomst Planon International B.V. |
KvK-nummer | Zie verkoopovereenkomst Planon International B.V. |
Technisch contactpersoon | Zie verkoopovereenkomst Planon International B.V. |
GLN | Zie verkoopovereenkomst Planon International B.V. |
Abonnement
Applicatie | Planon Software |
API-specificatie/Berichtstandaard | API-specificatie |
Geldige Partnerovereenkomst | Nee |
Specificaties
Gebruikersvoorwaarden | Algemene Productvoorwaarden |
Verwerkersovereenkomst | Standaard Verwerkersovereenkomst |
Op de dienstverlening van ISRES zijn de Algemene Productvoorwaarden van toepassing. Deze voorwaarden zijn door ISRES aan Reseller ter beschikking gesteld en tevens na te lezen op xxx.xxxxxxxxxxx.xxx. De overeenkomst komt tot stand na ondertekening door Klant en Reseller van de onderhavige verkoopovereenkomst waar deze eindgebruikerslicentieovereenkomst onderdeel van uitmaakt. Klant verklaart door ondertekening van de verkoopovereenkomst van Xxxxxxxx kennis genomen te hebben van deze Opdrachtovereenkomst, de Algemene Productvoorwaarden en de Verwerkersovereenkomst en de toepasselijkheid hiervan integraal te aanvaarden.
Definities
In deze Algemene Productvoorwaarden worden de navolgende begrippen met een (begin)hoofdletter gebruikt:
Aansluitvereisten: technische vereisten waar de Applicatie van Partner of Softwareleverancier aan moet voldoen om communicatie met de Datarotonde mogelijk te kunnen maken.
Alles-in-1-abonnement: Partner en ISRES bieden Dienstverlening, als één gezamenlijke dienst aan Klant aan, waarbij ISRES de Overeenkomst aangaat met Klant.
Algemene Productvoorwaarden: (de ‘APV') de onderhavige voorwaarden.
API-specificaties: De combinatie van de specificatie van het Authenticatiemechanisme, het
Communicatieprotocol/Architectuur en de Berichtspecificatie.
Applicatie: specifieke applicatie waarmee Klant communiceert met de Datarotonde.
Authenticatiemechanisme: het mechanisme waarmee de Datarotonde bepaalt of de communicatie afkomstig is van de bevoegde combinatie van Applicatie en Klant.
Bericht(en): elektronische communicatie tussen Applicatie en Datarotonde volgens een overeengekomen Berichtstandaard.
Berichtenomzet: Omzet met betrekking tot het SALES Standaard; opdrachtbericht, statusbericht en factuurbericht.
Berichtspecificatie: De door Partner aangeleverde specificaties als alternatief voor de VERA standaard of SALES Standaard en die zijn goedgekeurd door ISRES.
Berichtstandaard: VERA standaard of SALES Standaard.
Beschikbaarheid: de tijd waarop de Datarotonde in staat is om een bericht te ontvangen van- c.q. een bericht te verzenden aan de Applicatie conform de vooraf overeengekomen Aansluitvereisten.
Communicatieprotocol/Architectuur: een door de Datarotonde ondersteund communicatieprotocol zoals bijvoorbeeld SOAP of een Representational state transfer (REST) architectuur.
Datarotonde: een integratieplatform waar meerdere organisaties tegelijk gebruik van kunnen maken in eigendom van- en geëxploiteerd door ISRES. Onder Datarotonde vallen tevens nieuwe versies van het integratieplatform.
Dienstverlening: de op grond van deze Algemene Productvoorwaarden door ISRES te leveren diensten.
Gebruiksrapportage: kwantitatieve rapportage opgesteld door ISRES over het gebruik van de Dienstverlening door Klant.
Geldigheid Krediet: Beschrijft de termijn waarin afgenomen berichten inzake de Minimale Afname die door ISRES in rekening gebracht zijn en nog niet verbruikt zijn alsnog verbruikt kunnen worden.
Incident Management Systeem: (het ‘IMS’) Betekent een web interface met de functionaliteit om een Incident te kunnen melden, en de status van een Incident ervan te kunnen raadplegen en om
ISRES in kennis te kunnen stellen van gewijzigde Aansluitvereisten. Het IMS is te raadplegen via de URL: xxxxxxx.xxxxxxxxxxx.xxx.
Incident: Een gebeurtenis die niet tot de standaardoperatie van de Datarotonde behoort én een interruptie of vermindering van de Dienstverlening veroorzaakt én is gemeld door Klant of Partner bij de Servicedesk.
ISRES: Info Support Real Estate Services b.v., gevestigd te Veenendaal, ingeschreven in het handelsregister onder nummer: 30177702.
Klant: de rechtspersoon of natuurlijke persoon waarmee ISRES een Opdrachtovereenkomst of andersoortige overeenkomst heeft gesloten, op basis waarvan gebruik gemaakt wordt van de Datarotonde.
Minimale Afname: het aantal Berichten dat minimaal door ISRES in rekening gebracht wordt bij Klant ongeacht het daadwerkelijke gebruik gespecificeerd per kalenderjaar.
Opdrachtovereenkomst: de overeenkomst tussen Klant en ISRES met betrekking tot de Dienstverlening. Een Opdrachtovereenkomst omvat tevens de APV en een Verwerkersovereenkomst.
Overeenkomst: een Opdrachtovereenkomst of een Partnerovereenkomst.
Partner: de rechtspersoon die de Applicatie aan Klant beschikbaar stelt en waarmee ISRES een Partnerovereenkomst heeft gesloten.
Partnerovereenkomst: een overeenkomst tussen Partner en ISRES, onder andere met betrekking tot de Aansluitvereisten. Een Partnerovereenkomst omvat tevens de APV.
Partnervergoeding: Vergoeding te betalen door ISRES aan Partner inzake het Alles-in-1-abonnement.
Probleemdiagnose: vaststelling van het wel of niet voldoen aan de Aansluitvereisten.
Reseller: Softwareleverancier en ISRES bieden Dienstverlening, als één gezamenlijke dienst aan Klant aan, waarbij Softwareleverancier de Overeenkomst aangaat met Klant.
SALES Standaard: een berichtenstandaard voor elektronische communicatie tussen ketenpartijen in de bouw- en installatiesector. De SALES Standaard wordt beheerd door de Stichting Ketenstandaard Bouw en Installatie.
Schriftelijk: per brief en/of e-mail.
Servicedesk: het centrale communicatiekanaal tussen ISRES, Klant en-of Partner te bereiken via telefoonnummer x00 (0)000 00 00 00 of via het IMS.
Softwareleverancier: de rechtspersoon of natuurlijk persoon die de Applicatie aan Klant beschikbaar stelt en waarmee ISRES geen Partnerovereenkomst heeft gesloten.
XXXX Xxxxxxxxx: een berichtenstandaard voor elektronische communicatie. De VERA standaard wordt beheerd door de Stichting VERA. De VERA Standaard is van- en voor de corporatiesector en richt zich op gegevensuitwisseling binnen deze sector en met aanpalende sectoren.
Versie Berichtstandaard: de door de Datarotonde ondersteunde versie van een Berichtstandaard zoals overeengekomen met Partner of Klant.
Verwerkersovereenkomst: de standaard Verwerkersovereenkomst van ISRES die integraal onderdeel uitmaakt van de Opdrachtovereenkomst.
Voorwaarden
Toepasselijkheid
Afwijkingen van- en aanvullingen op de APV of Overeenkomsten – waaronder begrepen mondelinge afspraken – zijn slechts geldig indien zij door beide Partijen schriftelijk door middel van een addendum zijn bevestigd.
De toepasselijkheid van inkoop- of andere voorwaarden van Klant en Partner wordt uitdrukkelijk van de hand gewezen.
Dienstverlening
ISRES zal zich naar beste kunnen inspannen haar Dienstverlening met zorg uit te voeren overeenkomstig de met Klant en Partner schriftelijk vastgelegde afspraken en procedures. Dit is slechts anders, indien en voor zover ISRES in de Overeenkomst uitdrukkelijk een resultaat heeft toegezegd, welk resultaat met voldoende bepaaldheid is omschreven.
Onder de door ISRES te leveren Dienstverlening valt:
1. het koppelen van de Applicatie van Klant aan de Datarotonde (eventuele noodzakelijke wijzigingen aan de Applicatie zelf om de koppeling te realiseren vallen hier expliciet buiten en dient Klant zelf te (laten) verrichten);
2. Het ontvangen en verzenden van Berichten door Klant respectievelijk van en aan de Datarotonde;
3. het realiseren van een Beschikbaarheid van 99,8% per kalenderjaar;
4. het administreren van (gewijzigde) Aansluitvereisten die van toepassing zijn op de Dienstverlening;
5. het updaten van de koppeling als gevolg van gewijzigde Aansluitvereisten die van toepassing zijn op de Dienstverlening;
6. het stellen van een Probleemdiagnose in geval van een Incident;
één en ander steeds op voorwaarde dat Klant en/of Partner zich houdt/houden aan de toepasselijke voorwaarden (waaronder de Aansluitvereisten).
Andere werkzaamheden, waaronder begrepen installatie, implementatie en/of support, vallen niet onder de Dienstverlening, tenzij Schriftelijk anders overeengekomen.
Klant en Partner kunnen gebruik maken van het IMS van ISRES. Hier kan melding gemaakt worden van Incidenten. Incidenten dienen door Klant en/of Partner zo spoedig mogelijk gemeld te worden. ISRES zal zich ervoor inspannen om een probleemdiagnose uit te voeren binnen 5 werkdagen na ontvangst van de incidentmelding.
Levertijden
ISRES streeft er naar dat de Dienstverlening binnen 15 werkdagen na ondertekening van het Opdrachtovereenkomst door Klant en ISRES gereed voor gebruik is. De Dienstverlening is gereed voor gebruik indien er berichten uitgewisseld kunnen worden tussen Applicatie en Datarotonde. Indien een afwijkende oplevertermijn gewenst is, kan deze Schriftelijk worden overeengekomen tussen Klant, Partner of Softwareleverancier en ISRES gezamenlijk.
Partner en/of Klant, afhankelijk van met welke partij de Aansluitvereisten overeengekomen zijn, is verplicht op eerste verzoek van ISRES mee te werken aan het aansluiten van de Applicatie op de Datarotonde gedurende de maximale levertijd, indien van toepasing.
Aansluitvereisten
De tussen Partner of Klant en ISRES overeengekomen Aansluitvereisten geven geen garantie dat de Applicatie met de Datarotonde en aangesloten Klant kan communiceren. ISRES
draagt zorg voor de correcte ondersteuning van de overeengekomen versie van de Berichtenstandaard. Partner of Klant draagt zorg voor het blijven voldoen aan de vastgestelde Aansluitvereisten, dan wel het tijdig melden van een wijziging op deze afspraken conform de Overeenkomst. Indien door Partner of Klant API-specificaties gehanteerd worden dient ISRES deze API- specificaties Schriftelijk goed te keuren voorafgaand aan het sluiten van de Overeenkomst. Deze API-specificaties worden als bijlage aan de Overeenkomst toegevoegd.
Indien de API-specificaties niet voorafgaand aan het sluiten van de Overeenkomst zijn goedgekeurd door ISRES dienen Klant en ISRES de Aansluitvereisten voorafgaand aan ingebruikname van de Dienstverlening alsnog gezamenlijk vast te leggen. Vastlegging geschiedt Schriftelijk en onder voorbehoud van inhoudelijke Schriftelijke goedkeuring van de API-specificaties door ISRES.
Minimale termijn kennisgeving in geval van wijziging
Indien Partner of Klant Aansluitvereisten wenst te wijzigen mogen wijzigingen pas in werking treden indien de daartoe in de Overeenkomst aangeduide minimale termijn overschreden is en ISRES derhalve tijdig in kennis gesteld is. De mogelijke wijzigingen zijn beperkt tot:
1. Wijziging Authenticatiemechanisme: cliëntcertificaat, JWT of WS-Security zijn mogelijk. In geval er een Berichtstandaard gehanteerd wordt dient het mechanisme geaccepteerd te zijn voor het toepassen van de Berichtstandaard door de beheerder van deze standaard en ondersteund te worden op de Datarotonde.
2. Wijziging Communicatieprotocol/Architectuur: In geval er een Berichtstandaard gehanteerd wordt dient dit protocol/deze architectuur geaccepteerd te zijn voor het toepassen van de Berichtstandaard door de beheerder van deze standaard en ondersteund te worden op de Datarotonde.
3. Wijziging Berichtspecificatie/Berichtstandaard: alleen SALES Standaard of VERA standaard zijn mogelijk in geval er een Berichtstandaard gehanteerd wordt.
4. Wijziging versie Berichtstandaard: geen restricties mits onderhouden en gepubliceerd door de standaardisatie organisatie.
Wijzigingen in punt 1 t/m 3 dienen vooraf Schriftelijk goedgekeurd te worden door ISRES indien door Partner of Klant API-specificaties gehanteerd worden. Deze wijzigingen in de API-specificaties dienen Schriftelijk te worden vastgelegd. Kennisgeving door Partner of Klant aan ISRES van gewijzigde Aansluitvereisten dient plaats te vinden via het IMS.
Indien er geen minimale termijn van kennisgeving in geval van een wijziging is overeengekomen met Klant en/of Softwareleverancier dan geldt een minimale termijn van 6 (zes) weken voor de bij punt 1 tot en met 4 genoemde wijzigingen inzake de Aansluitvereisten.
Partner
Partner is zelf verantwoordelijk voor de beschikbaarstelling van haar Applicatie aan Klant.
In de Partnerovereenkomst worden afspraken gemaakt over de Aansluitvereisten op basis waarvan ISRES de Applicatie kan aansluiten op de Datarotonde. ISRES en Partner zijn hiervoor geen vergoedingen aan elkaar verschuldigd, tenzij expliciet anders overeengekomen in de Partnerovereenkomst. ISRES sluit rechtstreeks met Klant een Opdrachtovereenkomst of
andersoortige overeenkomst, op basis waarvan gebruik kan worden gemaakt van de Datarotonde.
In geval van een Alles-in-1-abonnement zal ISRES een vergoeding betalen aan Partner ter grootte van een vast percentage van de berichtenomzet. Partner brengt geen extra kosten in rekening aan Klant met betrekking tot de integratieoplossing inzake het ontvangen en verzenden van Berichten door Klant respectievelijk van en aan de Datarotonde.
Facturatie en betaling Partnervergoeding
De door ISRES aan Partner verschuldigde vergoeding inzake het Alles-in-1-abonnement staat vermeld in de Partnerovereenkomst.
Alle door ISRES vermelde bedragen zijn exclusief BTW en andere overheidsheffingen, tenzij anders overeengekomen.
ISRES zal maandelijks achteraf binnen 30 dagen aan Partner een creditnota verzenden op basis van de Gebruiksrapportage conform Partnerovereenkomst. Facturatie geschiedt digitaal middels een vooraf gecommuniceerd e-mailadres, welke is opgenomen in de Partnerovereenkomst. ISRES zal de aan Partner toegezonden creditfacturen betalen binnen 30 dagen na factuurdatum.
ISRES is gerechtigd de Partnervergoeding op te schorten indien Klant minimaal één facturatieperiode verzuimt om de factuur tijdig aan ISRES te voldoen tot het moment waarop Klant alle openstaande en vervallen factuurbedragen volledig voldaan heeft.
Periodiek, gelijktijdig met de creditfactuur, ontvangt Partner een Gebruiksrapportage van ISRES inzake het Alles-in-1-abonnement per Klant die gebruik maakt van het Alles-in-1-abonnement. De verbruiksadministratie van ISRES is leidend voor het vaststellen van de Berichtenomzet. Partner is gerechtigd om maximaal eenmaal per kalenderjaar een audit uit te laten voeren door een onafhankelijke derde voor rekening van Partner ter controle van de verbruiksadministratie inzake het Alles-in-1-abonnement. Aan een dergelijke audit kunnen aanvullende voorwaarden gesteld worden door ISRES.
Facturatie en betaling
De door Klant aan ISRES verschuldigde vergoedingen inclusief afrekeneenheden voor de te leveren Dienstverlening staan vermeld in de Opdrachtovereenkomst. Eenmalige kosten zullen op de eerste factuur met betrekking tot de Overeenkomst in rekening gebracht worden. Het abonnement wordt in rekening gebracht vanaf de eerste dag van een kalendermaand waarin een Bericht in het kader van de Overeenkomst voor het eerst verwerkt is. Indien in de Overeenkomst een uiterlijke ingangsdatum en Minimale Afname expliciet zijn overeengekomen dan geldt de ingangsdatum uit de Overeenkomst.
Alle door ISRES vermelde bedragen zijn exclusief BTW en andere overheidsheffingen, tenzij anders overeengekomen.
ISRES is gerechtigd haar prijzen in januari van elk jaar aan te passen met het prijsindexcijfer voor xxx xxxxx per uur, inclusief bijzondere beloningen, zakelijke dienstverlening (M-N), de eerst gepubliceerde cijfers zoals dat is vastgesteld door het Centraal Bureau voor de Statistiek. Dit indexcijfer wordt in oktober bepaald.
ISRES zal maandelijks achteraf aan Klant factureren op basis van de Gebruiksrapportage conform de Overeenkomst. Facturatie geschiedt digitaal middels een vooraf gecommuniceerd e- mailadres welke is opgenomen in de Opdrachtovereenkomst. Klant zal haar toegezonden facturen betalen binnen 30 dagen na factuurdatum.
Indien een factuur niet tijdig wordt voldaan, is Klant zonder nadere ingebrekestelling vanaf de vervaldatum van de factuur in verzuim. Alsdan is Klant, onverminderd de (overige) rechten van ISRES, vanaf de datum van verzuim tot aan de dag der algehele voldoening een vertragingsrente verschuldigd gelijk aan 1,5% per maand.
Indien ISRES door het verzuim van Klant genoodzaakt is om haar vordering ter incasso uit handen te geven, komen alle daarmee gepaard gaande kosten, zoals administratiekosten, gerechtelijke en buitengerechtelijke kosten, waaronder begrepen de kosten voor een faillissementsaanvraag, voor rekening van Klant. De buitengerechtelijke incassokosten bedragen tenminste 15% van het onbetaald gebleven bedrag, met een absoluut minimum van EUR 350, - (driehonderdvijftig euro).
Beëindiging, gevolgen van beëindiging en looptijd
Beëindiging van de Overeenkomst gebeurt schriftelijk aan het einde van de looptijd, per aangetekende brief, met inachtneming van ten minste één (1) maand opzegtermijn. Indien in de Overeenkomst expliciet een langere opzegtermijn overeengekomen is dan prevaleert de opzegtermijn uit de Overeenkomst. Indien er geen initiële looptijd overeengekomen is in de Overeenkomst dan geldt er een initiële looptijd van twaalf (12) maanden. De Overeenkomst wordt stilzwijgend verlengd met een termijn van één (1) kalendermaand, behoudens opzegging, tenzij de in de Overeenkomst een langere optieperiode is overeengekomen is.
Beide partijen zijn, zonder tot enige restitutie van ontvangen gelden gehouden te zijn, gerechtigd de Overeenkomst zonder ingebrekestelling en met onmiddellijke ingang geheel of gedeeltelijk schriftelijk op te zeggen, zodra:
a. Ten aanzien van één van partijen faillissement wordt aangevraagd of één van partijen failliet wordt verklaard;
b. Ten aanzien van één van partijen al dan niet voorlopig surseance van betaling wordt aangevraagd of verleend;
c. De onderneming van één van partijen wordt geliquideerd of beëindigd anders dan ten behoeve van reconstructie of samenvoeging van ondernemingen;
d. De Partnerovereenkomt tussen Partner en ISRES opgezegd of ontbonden is, waardoor de Dienstverlening voortvloeiende uit de Opdrachtovereenkomst met Klant (deels) niet meer uitvoerbaar is.
Elke Partij is gerechtigd de Overeenkomst te ontbinden indien de andere Partij in verzuim is, waaronder maar niet beperkt tot het niet (meer) voldoen aan de Aansluitvereisten, en nadat die Partij een redelijke termijn van vijfenveertig (45) dagen is gegund om haar verplichtingen alsnog te voldoen maar zij deze onverlet laat.
Wanneer Klant de Overeenkomst beëindigt door ontbinding, terwijl hij op dat moment reeds prestaties heeft ontvangen van ISRES ter uitvoering van de Overeenkomst, dan zullen deze prestaties en de daarmee samenhangende betalingsverplichting geen voorwerp van ongedaan making zijn, tenzij Klant aantoont dat ISRES ten aanzien van die prestaties in verzuim is. Bedragen die ISRES vóór de ontbinding heeft gefactureerd ten aanzien van reeds verrichte prestaties of leveringen, blijven met inachtneming van het in de vorige volzin bepaalde onverminderd verschuldigd en worden op het moment van de ontbinding direct opeisbaar.
Intellectueel eigendom
Alle intellectuele eigendomsrechten met betrekking tot Dienstverlening en Datarotonde berusten uitsluitend bij ISRES en/of haar toeleveranciers.
Tenzij anderszins Schriftelijk overeengekomen mag Klant de ter beschikking gestelde Dienstverlening en Datarotonde uitsluitend in- en ten behoeve van zijn eigen bedrijf of organisatie gebruiken
voor het daarmee bij het sluiten van de Overeenkomst beoogde gebruik.
Persoonsgegevens
Op de verwerking van persoonsgegevens via de Datarotonde is de afzonderlijk tussen Klant en ISRES gesloten Verwerkersovereenkomst van toepassing. ISRES is gerechtigd haar dienstverlening op te schorten zolang de Verwerkersovereenkomst niet is ondertekend.
Aansprakelijkheid
De totale aansprakelijkheid van ISRES wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst en anderszins
– inclusief garantie- en vrijwaringsverplichtingen - is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de voor die Overeenkomst bedongen prijs (excl. BTW). Indien de Overeenkomst hoofdzakelijk een duurovereenkomst is met een looptijd van meer dan één jaar, wordt de voor de Overeenkomst bedongen prijs gesteld op het totaal van de vergoedingen (excl. BTW) bedongen voor één jaar. In geen geval zal de totale vergoeding voor directe schade echter meer bedragen dan EUR 5.000, - (vijfduizend euro).
Aansprakelijkheid van ISRES voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade als gevolg van aanspraken van afnemers van Klant of Partner, verminking of verlies van data, schade verband houdende met het gebruik van door Klant of Partner aan ISRES voorgeschreven zaken, materialen of software van derden is uitgesloten.
De in voorgaande leden van dit artikel genoemde beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of grove schuld van ISRES of diens leidinggevenden.
Klanten bepalen welke informatie met behulp van de Datarotonde wordt opgeslagen en/of uitgewisseld. Klanten zijn er dan ook verantwoordelijk voor dat die informatie rechtmatig is en geen inbreuk maakt op (intellectuele eigendoms)rechten van derden of anderszins onrechtmatig is jegens derden. ISRES aanvaardt geen enkele aansprakelijkheid voor de met behulp van de Datarotonde opgeslagen en/of uitgewisselde informatie.
Overige bepalingen
Behoudens bewijs van het tegendeel door Klant en Partner zijn de administratieve gegevens van ISRES beslissend en bindend voor het bestaan, de inhoud en de uitvoering van de Overeenkomst en de verplichtingen van Klant en Partner. Deze gegevens dienen als bewijs van de inhoud en de uitvoering van de Overeenkomst.
Elk der partijen zal gedurende de looptijd en voor een periode van drie (3) jaar na beëindiging van de Overeenkomst, zonder uitdrukkelijke voorafgaande toestemming van de wederpartij, direct of indirect, verzoeken, overtuigen, interfereren met, aanmoedigen, verleiden of proberen elkaars personeel dat betrokken is of is geweest bij de uitvoering van de Overeenkomst, te bewegen om hun dienstverband te beëindigen en bij elkaars bedrijf, een filiaal, een van elkaars klanten of leveranciers, of een bedrijf waarmee een van beide partijen een contractuele relatie heeft, in dienst te treden.
De rechten en verplichtingen uit deze Overeenkomst kunnen niet door Klant, Partner of ISRES worden overgedragen aan een derde, behoudens voorafgaande schriftelijke toestemming van de andere partij(en). Aan deze toestemming kunnen door Klant, Partner of ISRES voorwaarden verbonden worden. Uitgezonderd op voorgaande volzin, Klant en Partner gaan reeds nu voor alsdan akkoord met de overdracht van rechten en verplichtingen uit deze
Overeenkomst van ISRES naar een andere besloten vennootschap binnen het concern Info Support International Group B.V., welke is ingeschreven in het handelsregister onder nummer 30177700.
Op alle Overeenkomsten en daarmee samenhangende verbintenissen is uitsluitend Nederlands recht van toepassing. De toepasselijkheid van het Weens Koopverdrag 1980 is uitdrukkelijk uitgesloten.
Alle geschillen die voortvloeien uit of samenhangen met de Overeenkomst, zullen uitsluitend ter beslechting worden voorgelegd aan de rechtbank te Midden-Nederland.
Deze verwerkersovereenkomst omhelst nadere afspraken over de verwerking van persoonsgegevens ten behoeve van de dienstverlening voortvloeiende uit Datarotonde Licentieovereenkomst c.q. opdrachtovereenkomst (hierna ‘dienstverlening’), waarbij deze verwerkersovereenkomst is toegevoegd als Bijlage. Deze dienstverlening brengt met zich mee dat persoonsgegevens worden verwerkt. Opdrachtgever is in het kader van deze dienstverlening verwerkingsverantwoordelijke en Info Support Real Estate Services B.V. (hierna ‘ISRES’) is verwerker in de zin van de Algemene Verordening Gegevensbescherming (hierna ‘AVG’). Partijen hechten belang aan de bescherming van de privacy van betrokkenen, in het kader waarvan zij de volgende afspraken vastleggen.
Artikel 1 Opdracht en toepasselijkheid
1.1 Opdrachtgever geeft ISRES de opdracht om voor de uitvoering van de dienstverlening benodigde persoonsgegevens te verwerken. Opdrachtgever staat er tegenover ISRES voor in dat de inhoud, het gebruik en/of de verwerking van de persoonsgegevens niet onrechtmatig is en geen inbreuk maakt op enig recht van een derde, op basis waarvan ISRES deze opdracht, waarin zij wordt gekenmerkt als verwerker in de zin van de Algemene verordening gegevensbescherming (hierna: AVG), aanvaardt.
1.2 Deze verwerkersovereenkomst is integraal van toepassing op de dienstverlening en heeft dezelfde ingangsdatum als de hoofdovereenkomst.
1.3 De verwerkersovereenkomst is geldig gedurende de looptijd van de door ISRES geleverde dienstverlening plus één kalendermaand extra i.v.m. de doorlooptijd van het verwijderen en/of overdragen van persoonsgegevens.
1.4 Personeel van ISRES, en ieder ander die door haar is ingeschakeld, is gehouden aan de AVG en het gestelde in deze verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken is bij de verwerking van de persoonsgegevens.
1.5 ISRES verwerkt de persoonsgegevens uitsluitend ten behoeve en op basis van schriftelijke instructies van Opdrachtgever en zal deze niet voor enig ander doel verwerken dan zoals door Opdrachtgever is vastgesteld.
1.6 Indien partijen oordelen dat een specifieke tot de dienstverlening behorende verwerking van persoonsgegevens ten opzichte van deze verwerkersovereenkomst nadere afspraken behoeft, dan zullen partijen ten aanzien van deze verwerking nadere afspraken in een specifieke verwerkersovereenkomst overeenkomen. Deze specifieke verwerkersovereenkomst zal opgesteld worden in aanvulling op en verwijzend naar deze generieke verwerkersovereenkomst.
2.1 Alle door Opdrachtgever bij de uitvoering van de dienstverlening verstrekte persoonsgegevens houdt ISRES strikt geheim. Uitzondering hierop vormt de situatie waarin een bindend verzoek van een bevoegde instantie ISRES verplicht tot verstrekking van de persoonsgegevens. ISRES zal haar uiterste best doen om de grondslag van een dergelijk verzoek en de identiteit van de verzoeker te verifiëren. ISRES zal Opdrachtgever onverwijld in kennis stellen van een dergelijk verzoek, tenzij dit ISRES op grond van enige verplichting niet is toegestaan. Als ISRES persoonsgegevens verstrekt aan een verzoekende partij dan zal zij indien mogelijk een ontvangstbevestiging opvragen en deze aan Opdrachtgever toezenden indien en nadat deze aan ISRES is verstrekt.
Artikel 3 Inschakelen subverwerker
3.1 ISRES kan de verwerking van persoonsgegevens of delen daarvan uitbesteden aan een derde, een zogenaamde subverwerker. ISRES zal Opdrachtgever vooraf inlichten welke subverwerkers voor de uitvoering van de dienstverlening worden ingeschakeld en in het geval van beoogde veranderingen inzake de toevoeging of vervanging van subverwerkers, waarbij Opdrachtgever de mogelijkheid heeft om tegen deze veranderingen bezwaar te maken. Ten tijde van het sluiten van deze verwerkersovereenkomst zullen de volgende subverwerker worden ingeschakeld: Info Support MITS B.V.
3.2 Het feit dat de ISRES bevoegd is om subverwerkers in te schakelen, laat de verantwoordelijkheden en aansprakelijkheden van ISRES onverlet. ISRES blijft tegenover de Opdrachtgever verantwoordelijk en aansprakelijk voor de tijdige en de behoorlijke uitvoering van de werkzaamheden, ook van onderdelen waarvoor door hem een subverwerker is ingeschakeld. ISRES zal met de subverwerker
gelijksoortige schriftelijke contractuele afspraken maken als de afspraken die zijn opgenomen in deze verwerkersovereenkomst.
Artikel 4 Persoonsgegevens van betrokkenen
4.1 In bijlage A worden de bij de dienstverlening verwerkte (categorieën van) betrokkenen en (typering van) persoonsgegevens en de doeleinden waarvoor zij verwerkt worden beschreven.
Artikel 5 Beveiliging
5.1 Partijen spannen zich ertoe in om met de in deze verwerkersovereenkomst vermelde afspraken een beveiligingsniveau te bieden dat recht doet aan de bescherming van persoonlijke levenssfeer van betrokkenen wiens persoonsgegevens door partijen worden verwerkt.
5.2 ISRES treft tenminste de maatregelen zoals opgenomen in bijlage B, teneinde persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.
5.3 Opdrachtgever geeft ten behoeve van de beveiliging van de dienstverlening te allen tijde aan welke (aanvullende) beveiligingsmaatregelen vereist zijn.
5.4 Voorafgaand aan de aanvang van de verwerking van de persoonsgegevens stelt Opdrachtgever vast dat het beveiligingsniveau passend is.
5.5 ISRES zal naar de schriftelijk gedocumenteerde veiligheidsinstructies van Opdrachtgever handelen voor zover redelijkerwijs van haar verwacht mag worden en zij daartoe in staat wordt gesteld.
5.7 Mocht ISRES en/of Opdrachtgever op enig ander moment dan de in 5.6 bedoelde geplande momenten menen dat het beveiligingsniveau niet meer afdoende is, zal zij Opdrachtgever daarvan op de hoogte stellen op basis waarvan partijen in overleg zullen treden over de te nemen maatregelen.
Artikel 6
6.1 Mochten de in de dienstverlening door ISRES verwerkte persoonsgegevens, ondanks de in stelling gebrachte technische en organisatorische veiligheidsmaatregelen, blootgesteld worden aan a) verlies of b) onrechtmatige verwerking waarvan redelijkerwijs niet kan worden uitgesloten dat dit daadwerkelijk heeft plaatsgevonden (hierna: datalek) dan zal ISRES het datalek zo snel als redelijkerwijs mogelijk rapporteren aan Opdrachtgever middels een initiële melding.
6.2 Opdrachtgever heeft een contactpersoon of functionaris kenbaar gemaakt die belast is met de afhandeling van datalekken aan wie de initiële melding gericht wordt. Een eventuele wijziging van contactpersoon/functionaris geeft Opdrachtgever tijdig door.
6.3 De initiële melding bestaat tenminste uit de feitelijke vaststelling van een zich voordoend datalek als ook op basis van welke informatie deze vaststelling is gedaan. Zodra deze vrijkomt zal ISRES, zo spoedig mogelijk en voor zover redelijkerwijs van haar verlangd mag worden, aanvullende informatie verstrekken over de aard, omvang en impact van het datalek, waaronder de categorieën en aantallen van betrokkenen en gecompromitteerde persoonsgegevens, de getroffen maatregelen en eventueel aanbevolen maatregelen om verdere negatieve gevolgen te mitigeren en de contactpersoon van ISRES waar meer informatie verkregen kan worden zodat adequaat en in samenspraak tussen partijen vervolgacties uitgezet kunnen worden.
6.4 Opdrachtgever stelt zelf de xxxxx van het datalek vast en bepaalt zelf of zij hiervan melding maakt bij de Autoriteit Persoonsgegevens c.q. de betrokkene of overige toezichthoudende autoriteiten.
Artikel 7 Toezicht
7.1 ISRES zal Opdrachtgever alle informatie ter beschikking stellen die nodig is om aantoonbaar te maken dat de verplichtingen op grond van de AVG rondom het inzetten van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken.
Artikel 8 Assisteren Opdrachtgever
8.1 ISRES zal Opdrachtgever de mogelijke ondersteuning bieden bij het nakomen van diens verplichtingen met het oog op de beantwoording van verzoeken rondom de rechten van betrokkenen.
8.2 ISRES zal in deze a) enkel overgaan tot het verstrekken van gegevens op uitdrukkelijk verzoek van Opdrachtgever en enkel ten aanzien van gegevens waartoe Opdrachtgever zelf geen toegang heeft en/of b) slechts andersoortige verwerkingshandelingen verrichten die niet door Opdrachtgever zelf kunnen worden uitgevoerd.
Artikel 9 Aansprakelijkheid
9.1 Opdrachtgever vrijwaart ISRES tegen elke rechtsvordering van een derde, uit welke hoofde dan ook, in verband met deze persoonsgegevens of de uitvoering van de verwerkersovereenkomst, tenzij Opdrachtgever bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan ISRES toerekenbaar zijn.
9.2 Behoudens opzet of grove schuld is de totale aansprakelijkheid van ISRES wegens een toerekenbare tekortkoming in de nakoming van deze verwerkersovereenkomst of op welke rechtsgrond dan ook, daaronder uitdrukkelijk inbegrepen iedere tekortkoming in de nakoming van een met Opdrachtgever overeengekomen garantie- of vrijwaringsverplichting, beperkt tot vergoeding van schade tot maximaal het bedrag van de bedongen prijs (exclusief BTW) van de overeenkomst van opdracht waaronder de dienstverlening wordt uitgevoerd en waarbinnen het schadeveroorzakende voorval heeft plaatsgevonden. Indien deze overeenkomst van opdracht hoofdzakelijk een duurovereenkomst is met een looptijd van meer dan één jaar, wordt de voor deze overeenkomst van opdracht bedongen prijs gesteld op het totaal van de door Opdrachtgever aan ISRES betaalde vergoedingen (exclusief BTW) in de periode van maximaal één jaar direct voorafgaande aan het schadeveroorzakende voorval.
Artikel 10 Wijziging en beëindiging dienstverlening
10.1 Indien de opdracht om (een deel van) de persoonsgegevens door ISRES te laten verwerken ten gevolge van een wijziging of beëindiging van de dienstverlening stopt, dan stemmen partijen hieraan voorafgaand af hoe wordt omgegaan met de nog bij ISRES aanwezige persoonsgegevens.
ISRES zal deze desgewenst op bruikbare wijze ter beschikking stellen aan Opdrachtgever. Indien Opdrachtgever geen keuze maakt zullen de persoonsgegevens uiterlijk een maand na afloop van de dienstverlening worden verwijderd.
Artikel 11 Vergoedingen
11.1 De wijze waarop doorberekening van kosten plaatsvindt, maakt geen onderdeel uit van deze verwerkersovereenkomst, maar zal elders in de dienstverleningsovereenkomst waar deze verwerkersovereenkomst integraal onderdeel van uitmaakt, zijn of worden bepaald. Tenzij expliciet schriftelijk anders overeengekomen, zullen de kosten die ISRES maakt in de uitvoering van deze verwerkersovereenkomst voor rekening van Opdrachtgever komen.
11.2 Indien ter uitvoering van de verwerkersovereenkomst door ISRES werkzaamheden moeten worden verricht, waarover geen (tarief)afspraken zijn gemaakt in de dienstverlening(sovereenkomst) en ISRES aanzienlijk hogere inspanningen moet doen dan zij had (mogen) verwacht(en), is Opdrachtgever gehouden om deze werkzaamheden te vergoeden op basis van de uurtarieven zoals overeengekomen in de betreffende dienstverleningsovereenkomst.
Artikel 12 Overige Bepalingen
12.1 In overleg met Opdrachtgever is in aanvulling op artikel 7, 8 en 11.2 het volgende overeengekomen: Indien ISRES aanvullende werkzaamheden of handelingen verricht voor Opdrachtgever in het kader van deze Verwerkersovereenkomst in combinatie met de Dienstverlening (Het begrip Dienstverlening is gespecificeerd in de Algemene Productvoorwaarden van de Opdrachtovereenkomst) die aanvullende kosten met zich meebrengen dan zal ISRES dit vooraf communiceren aan Opdrachtgever en pas na schriftelijk akkoord van Opdrachtgever starten met de werkzaamheden of handelingen.
12.2 Opdrachtgever is verantwoordelijk voor het tijdig indienen van een verzoek tot aanvullende werkzaamheden of handelingen die verricht moeten worden voor Opdrachtgever in het kader van deze verwerkersovereenkomst. Een dergelijk verzoek dient ingediend te worden via de Servicedesk. De bereikbaarheid en beschikbaarheid van de Servicedesk staan gespecificeerd in de Algemene Productvoorwaarden van de Opdrachtovereenkomst. Indien er geen uurtarief is opgenomen in de dienstverleningsovereenkomst dan geldt er een uniform uurtarief ad EUR 125,00.
Artikel 13 Slotbepalingen
13.1 Indien een bepaling van deze verwerkersovereenkomst nietig, vernietigbaar, of anderszins niet-afdwingbaar is of wordt, dan blijven de overige bepalingen van deze verwerkersovereenkomst volledig van kracht. Partijen treden in dat geval te goeder trouw in onderhandeling om te komen tot een uitvoerbare alternatieve bepaling, waarbij zoveel mogelijk rekening gehouden wordt met het doel en strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
13.2 Partijen treden onverwijld met elkaar in overleg indien uit gewijzigde wet- en/of regelgeving, rechtspraak of publicaties van, of handhaving (al dan niet bij Partijen) door de toezichthouder(s) voortvloeit dat er (mogelijk) verplichtingen komen te rusten bij een van Partijen waarin niet is voorzien bij deze verwerkersovereenkomst.
Bijlage A
Ingangsdatum overeenkomst : Zie dienstverlening
Kenmerk/titel contract : Zie dienstverlening
Verwerker : Opdrachtnemer
Verantwoordelijke : Opdrachtgever
Contactpersoon/functionaris gegevensbescherming Opdrachtgever : Zie Dossier Afspraken en Procedures c.q. Opdrachtovereenkomst Contactpersoon/functionaris gegevensbescherming Opdrachtnemer : Zie Dossier Afspraken en Procedures c.q. Opdrachtovereenkomst
Korte omschrijving dienstverlening
De aard van de verwerking, de soort te verwerken persoonsgegevens, de categorieën van betrokkenen wier persoonsgegevens worden verwerkt en de doeleinden van de verwerking zijn niet op voorhand noch limitatief te bepalen, aangezien deze afhankelijk zijn van het gebruik van de betreffende dienst(en) door Opdrachtgever. De dienst(en) is/zijn voor een breed scala aan verwerkingen van persoonsgegevens te gebruiken, doch is/zijn noodzakelijkerwijs niet allemaal voor dit brede scala geschikt. Het risico dat de dienst(en) geschikt is/zijn voor het door de Opdrachtgever (beoogde) gebruik ligt uitdrukkelijk bij Opdrachtgever. ISRES kan Opdrachtgever hier desgewenst nader over informeren. Zie verkoopovereenkomst/opdrachtovereenkomst en/of licentieovereenkomst voor een uitgebreidere omschrijving van de dienstverening.
Bijlage B
Beveiligingsmaatregelen
1. Verwerking van persoonsgegevens vindt louter plaats binnen de grenzen van de Europese Economische Ruimte (EER) tenzij met Opdrachtgever expliciet anders is overeengekomen.
2. Gebruik van externe datacenters vindt enkel plaats in datacenters die ISO27001 gecertificeerd zijn. Eventuele back-ups die hierbuiten geplaatst worden, zijn altijd versleuteld opgeslagen.
3. Bij de dienstverlening betrokken personeel is gescreend en heeft een geheimhoudingsverklaring van ISRES getekend.
4. Toegang tot de persoonsgegevens is afgeschermd tot bij de dienstverlening betrokken personeel.
5. Intern wordt toegezien op de naleving van privacywet- en regelgeving door een bij de Autoriteit Persoonsgegevens geregistreerde Functionaris voor de Gegevensbescherming (FG).
6. Server (Datarotonde) authenticatie is ingeregeld.
7. Encryptie van transport laag (TLS/SSL) is aangebracht.
8. Client (Klantapplicatie) authenticatie en autorisatie is in stelling.
9. Authenticatie en autorisatie is ingericht voor medewerkers met toegang tot datacenters middels 2FA.
10. Remote verbindingen met datacenters worden bewerkstelligd middels het SSH-protocol (Versleuteld).
11. Er is sprake van autorisatie van medewerkers in relatie tot de Datarotonde broncode.
Authenticatie/Autorisatie Client Certificaat
Om een gebruiker van de Datarotonde te authentiseren wordt gebruik gemaakt van client certificaten die uitgegeven zijn door het root certificaat van de Datarotonde, betreffende ISRES Real Estate Services Datarotonde CA. De certificaten zijn verder voorzien van een Distinguished Name met onder andere een organizational unit name (OU) en common name (CN). Deze worden gebruikt voor een TenantName (OU) en UserName (CN). De TenantName zal voorzien worden van de klantnaam en de UserName van het systeem dat de aanroep verricht. Op het moment dat een request binnenkomt op de Datarotonde zal eerst gecontroleerd wordt of een client certificaat aanwezig is en deze uitgegeven is door het Datarotonde root certificaat. Vervolgens zal in een vastgestelde lijst van geldige certificaten, een zogenaamde white-list, gekeken worden of het client certificaat daarin voor komt. Deze controle zorgt ervoor dat het niet mogelijk is om een test certificaat op de productieomgeving te kunnen gebruiken en vice versa.
Daarnaast voorkomt dit dat onrechtmatig verkregen certificaten niet kwaadwillend gebruikt kunnen worden.
Zodra dit authenticatieproces succesvol afgehandeld is, treedt het autoriseren in werking. Doordat de Datarotonde een multi-tenant oplossing is, is het van groot belang dat het niet mogelijk is om koppelingen van andere klanten of systemen aan te roepen. Hiervoor zullen de TenantName (OU) en UserName (CN) uit het client certificaat gebruikt worden.
Web Service Security (WS-Security) Specifiek voor gebruik van integratieoplossingen op basis van de Ketenstandaard MessageService wordt gebruik gemaakt van beveiliging op basis van WS-Security. De Ketenstandaard schrijft deze oplossing voor bij het gebruik van de MessageService vanaf versie 3.0. Op het moment dat een request binnenkomt op de Datarotonde zal gecontroleerd worden dat de UserName en Password, onderdeel van de WS-Security, overeenkomen met een geldige Datarotonde gebruiker. Hierbij zal een bewust onderscheid gemaakt worden tussen gebruikers die enkel toegang hebben tot de test-/acceptatieomgeving en de productieomgeving. Zodra dit authenticatieproces succesvol afgehandeld is, treedt het autoriseren in werking. Doordat de Datarotonde een multi-tenant oplossing is, is het van groot belang dat het niet mogelijk is om koppelingen van andere klanten of systemen aan te roepen. De geconfigureerde WS-Security UserName zal hiervoor gesplitst worden in de Datarotonde TenantName en UserName:
{TenantName}.{UserName}.
Authenticatie/Encryptie (Server certificaat en SSH)
De functie van het server certificaat is tweeledig. Ten eerste kan de Datarotonde server geauthentiseerd worden door gebruikers (gekoppelde servers/applicaties van Opdrachtgevers). Doormiddel van deze authenticatie is een gebruiker ervan verzekerd dat de gevonden server ook is wie het zegt dat het is. Ten tweede wordt de communicatie tussen beide partijen versleuteld door gebruik te maken van symmetrische cryptografie. Hierdoor is het voor iets of iemand die de communicatie afluistert onmogelijk om tegen aanvaardbare inspanning uit de getransporteerde data af te leiden welke informatie er door de zender is verzonden en welke partijen daarbij betrokken waren. Remote verbindingen met datacenters, die tot stand komen bij het uitvoeren van beheerswerkzaamheden, komen tot stand doormiddel van het SSH-protocol. Hierdoor is de verbinding versleuteld waardoor het zo goed als om mogelijk is om ingevoerde
wachtwoorden en commando’s te achterhalen indien er wordt
afgeluisterd.
Multi factor authentication (MFA)
De Datarotonde (componenten) worden extern gehost in data/rekencenters. De toegang tot deze datacenters voor medewerkers van ISRES is beveiligd middels Two Factor Authentication. De eerste authenticatie vindt plaats op basis van de credentials; username en password. De tweede authenticatie vindt plaats op basis van een (disconnected) token. De token wordt gebruikt als authenticatie gegeven. De token wordt per SMS verzonden naar het mobiele nummer van de persoon waarvan de credentials zijn opgegeven.
9