Inhoud

Naast de Algemene Bepalingen in de Algemene Inkoopvoorwaarden UNIGARANT 2022 zijn de in dit Addendum ICT Inkoopvoorwaarden 2022 uiteengezette bepalingen van toepassing op alle door Wederpartij geleverde ICT-Prestaties en de resultaten daarvan. Het Addendum ICT Inkoopvoorwaarden 2022 geldt dus altijd in aanvulling op de Algemene Bepalingen in de Algemene Inkoopvoorwaarden UNIGARANT 2022. Het Addendum ICT Inkoopvoorwaarden 2022 bestaat uit de volgende onderdelen:

a) Algemeen;

b) Licentie op Programmatuur;

c) Ontwikkeling van Programmatuur:

d) Onderhoud van Programmatuur;

e) ICT Prestatie “As s Service”;

f) Hosting;

g) Security.

Afhankelijk van de ICT-Prestatie(s) die Wederpartij levert, zijn de bepalingen uit één of meerdere van de onderdelen b t/m f, zoals hierboven genoemd, van toepassing. De bepalingen uit het onderdeel A) (Algemeen) zijn altijd van toepassing en de bepalingen uit onderdeel H (Security) aanvullend op de overige bepalingen als dat blijkt uit de aard van de bepaling.

A. ALGEMEEN

De in het onderhavige onderdeel opgenomen bepalingen zijn altijd van toepassing als Wederpartij aan UNIGARANT ICT-prestaties levert.

A1. Garanties

1.1 Wederpartij garandeert, gedurende een periode van tenminste twaalf maanden, welke termijn afwijkt van artikel 19.7 van de Algemene Bepalingen in de Algemene Inkoopvoorwaarden UNIGARANT 2022, hetzij vanaf de Levering hetzij, als Partijen Acceptatie zijn overeengekomen, vanaf de Acceptatiedatum, dat:

a) de ICT-Prestatie voldoet aan de Specificaties en gebruikt kan worden voor het doel dat UNIGARANT schriftelijk aan Wederpartij kenbaar heeft gemaakt;

b) de ICT-Prestatie geen fouten bevat;

c) Wederpartij de ICT-Prestatie en het volledige functioneren daarvan grondig heeft getest en op basis van de effectiefste antivirus- en anti-spyware-tools die op het testmoment beschikbaar waren heeft geconcludeerd dat ICT-Prestatie op het moment van Levering vrij van virussen en kwetsbaarheden was en dat Wederpartij de schriftelijke uitkomst van die tests op eerste verzoek van UNIGARANT aan UNIGARANT ter beschikking zal stellen;

d) de ICT-Prestatie compleet en klaar voor gebruik is en wordt geleverd met alle voorzieningen die voor een juiste werking vereist zijn.

1.2 Wederpartij garandeert, hetzij vanaf de Levering hetzij, als Partijen Acceptatie zijn overeengekomen, vanaf deAcceptatiedatum, dat:

a) Wederpartij, als na de Levering een virus, andersoortige malware, een kwetsbaarheid en/of Fout wordt aangetroffen of vermoed, UNIGARANT daarvan onmiddellijk in kennis zal stellen en onmiddellijk alle mogelijke maatregelen zal nemen om problemen te

voorkomen of op te lossen die door het virus, andersoortige malware, een kwetsbaarheid en/of Fout zijn of mogelijk zullen worden veroorzaakt;

b) Wederpartij UNIGARANT, op haar verzoek, schriftelijk zal informeren over de tools die worden gebruikt om de ICT-Prestatie te bouwen en te beheersen, met inbegrip van versienummers en -data;

c) de ICT-Prestatie in wezenlijk opzicht in overeenstemming is met monsters, proefzendingen respectievelijk voorbeeldprogrammatuur die aan UNIGARANT ter beschikking zijn gesteld en die door UNIGARANT schriftelijk zijn goedgekeurd;

d) de ICT-Prestatie kan worden gebruikt in overeenstemming met de gebruikelijke bestemming en openbare verklaringen van Wederpartij;

e) Onderhoud aan de ICT-Prestatie mogelijk is gedurende ten minste zeven (7) jaar nadat deze voor het eerst commercieel beschikbaar is geworden (in afwijking van artikel 19.5 van de Algemene Bepalingen in de Algemene Inkoopvoorwaarden UNIGARANT 2022).

1.3 Als er tijdens de garantieperiode zoals genoemd in artikel 1.1 een Fout wordt ontdekt of zich voordoet, zal Wederpartij, naar keuze van UNIGARANT, de ICT-Prestatie, op kosten van Wederpartij onmiddellijk repareren of vervangen zonder aanzienlijke ongemakken voor UNIGARANT, en zal UNIGARANT kosteloos assisteren bij het verrichten van werkzaamheden die ten gevolge van die Fout (opnieuw) moeten worden uitgevoerd, onverminderd het recht op schadevergoeding van UNIGARANT. Als dit voor Wederpartij niet mogelijk is, heeft UNIGARANT, onverminderd het recht op schadevergoeding:

a) recht op verlaging van de aankoopprijs en/of Licentievergoeding van de ICT-Prestatie:

b) het recht de Overeenkomst te ontbinden, in welk geval Wederpartij de betaalde aankoopprijs en/of Licentievergoeding aan UNIGARANT zal vergoeden;

c) het recht de Fout op kosten van Wederpartij te (doen) corrigeren.

1.4 Wederpartij garandeert, in afwijking van artikel 19.6 van de Algemene Bepalingen in de Algemene Inkoopvoorwaarden UNIGARANT 2022, dat Wederpartij bereid en in staat is om de Programmatuur te onderhouden gedurende tenminste zeven jaar vanaf de Leveringsdatum, of als dit is overeengekomen, vanaf de Acceptatiedatum.

1.5 Als Wederpartij met Releases werkt, zal Wederpartij in ieder geval de meest recente versie en de voorgaande versie van de Programmatuur ondersteunen en onderhouden. Wederpartij zal oudere versies van de Programmatuur ondersteunen gedurende ten minste achttien maanden na de introductie van een nieuwe versie.

1.6 UNIGARANT is gerechtigd de Overeenkomst, en een eventueel in het verlengde daarvan afgesloten onderhoudsovereenkomst, geheel of gedeeltelijk te ontbinden als de boven omschreven onvolkomenheden in de ICT-Prestatie niet door Wederpartij verholpen worden binnen de in de tussen partijen gesloten SLA overeengekomen termijn, of binnen een redelijke termijn nadat UNIGARANT hem daartoe gemaand heeft.

A2. Intellectuele eigendomsrechten

2.1 Het auteursrecht en alle intellectuele eigendomsrechten met betrekking tot Standaard Programmatuur en eventuele wijzigingen, aanpassingen, verbeteringen, herzieningen of veranderingen die Wederpartij in de Standaard Programmatuur heeft aangebracht bij de nakoming van zijn verplichtingen ingevolge de Overeenkomst, blijven berusten bij Wederpartij of haar licentiegevers.

2.2 Als de wijzigingen in de Standaard Programmatuur waarom UNIGARANT heeft verzocht zodanig zijn dat het resultaat van de wijzigingen onafhankelijk kan functioneren, dat wil zeggen zonder de Standaard Programmatuur van Wederpartij, draagt Wederpartij de intellectuele eigendomsrechten op het resultaat van de wijzigingen kosteloos over aan UNIGARANT, gelijk UNIGARANT die intellectuele eigendomsrechten accepteert. Doel daarbij

is dat de overdracht van kracht zal worden bij het ontstaan van genoemde intellectuele eigendomsrechten. Voor zover nodig stemt Wederpartij ermee in een overeenkomst aan te gaan, de nodige documenten te ondertekenen en voorts zijn volledige medewerking aan UNIGARANT te verlenen om de overdracht van genoemde intellectuele eigendomsrechten volledig te bewerkstelligen en af te ronden.

2.3 Als Wederpartij Maatwerk Programmatuur vervaardigt en/of levert, berusten alle intellectuele eigendomsrechten met betrekking tot de Maatwerk Programmatuur bij de vervaardiging van die Maatwerk Programmatuur bij UNIGARANT, zoveel mogelijk tezamen met alle vernieuwde versies daarvan en uitbreidingen daarop. Voor zover nodig draagt Wederpartij hierbij deze (toekomstige) intellectuele eigendomsrechten kosteloos aan UNIGARANT over, welke overdracht UNIGARANT accepteert. Wederpartij verleent onvoorwaardelijk zijn volledige medewerking aan UNIGARANT bij alle (gerechtelijke) procedures en Wederpartij verricht alle handelingen die nodig zijn om de eigendom van UNIGARANT van de intellectuele eigendomsrechten op de Maatwerk Programmatuur tot stand te brengen.

A3. Toegang tot en eigendom van gegevens

3.1 Alle (intellectuele) eigendomsrechten en/of overige rechten met betrekking tot gegevens van UNIGARANT berusten bij UNIGARANT. Wederpartij mag de gegevens slechts gebruiken voor zover dit nodig is voor de uitvoering van de ICT-Prestatie en in overeenstemming met de instructies zoals door UNIGARANT gegeven.

3.2 Wederpartij zal ervoor zorgdragen dat UNIGARANT te allen tijde toegang heeft tot haar gegevens, behoudens in geval van buitengebruikstelling voor Onderhoud door Wederpartij. In geval van buitengebruikstelling zal Wederpartij deze niet langer laten durendan noodzakelijk, zoveel mogelijk laten plaatsvinden buiten kantoortijden en na voorafgaande schriftelijke mededeling aan UNIGARANT.

A4. Bewaren en vernietigen van Unigarant gegevens

4.1 Wederpartij conformeert zich aan het beleid van UNIGARANT met betrekking tot het bewaren van gegevens en houdt zich aan de wettelijke bewaartermijnen.

4.2 Na beëindiging van een Overeenkomst met betrekking tot de ICT-Prestatie zal Wederpartij direct alle (gegevensdragers met daarop) UNIGARANT-gegevens aan UNIGARANT retourneren dan wel, als UNIGARANT daarom verzoekt, alle gegevens (en/of de gegevensdragers waarop de gegevenszich bevinden) vernietigen en direct een bewijs van vernietiging aan UNIGARANT verstrekken.

A5. Beveiligingstests

5.1 Voorafgaand aan de start van de uitvoering van de Overeenkomst zal Wederpartij voor de aangedragen/aangeboden ICT-Prestatie een (security) penetratietest uitvoeren op basis van de UNIGARANT-security richtlijnen. Als Wederpartij haar eigen penetratietesten al heeft uitgevoerd zal UNIGARANT de resultaten van deze testen ter inzage ontvangen en toetsen. Mocht Wederpartij niet in het bezit zijn van het verslag van de resultaten van een penetratietest, dan kunnen de penetratietesten worden afgenomen bij een door UNIGARANT goedgekeurde partij. De kosten voor de penetratietest komen voor rekening van Wederpartij.

5.2 Daarnaast dienen nieuwe Releases en Updates door Wederpartij vooraf te worden gemeld en met UNIGARANT afgestemd en deze zullen ook door Wederpartij weer getoetst worden

op veiligheid conform de UNIGARANT security richtlijnen. Wederpartij zal de uitkomst daarvan direct schriftelijk aan UNIGARANT ter beschikking stellen.

5.3 Als uit de testen genoemd in het eerste en tweede lid van dit artikel blijkt dat de ICT- Prestatie fouten bevat die door het volgen van de secure coding of hardening principes voorkomen hadden kunnen worden, dan worden deze fouten door Wederpartij kosteloos gecorrigeerd. Als deze fouten niet binnen een door UNIGARANT te stellen redelijke termijn door Wederpartij worden gecorrigeerd, is UNIGARANT gerechtigd de Overeenkomst, en een eventueel in het verlengde daarvan afgesloten onderhoudsovereenkomst, geheel of gedeeltelijk te ontbinden.

A6. Ongestoord gebruik

6.1 Wederpartij garandeert UNIGARANT een ongestoord gebruik van de Programmatuur.

a) Het is UNIGARANT toegestaan de Programmatuur ten behoeve van tests, implementatievoorbereiding en/of ontwikkeling, alsmede in geval van een storing kosteloos tijdelijk te gebruiken op andere apparatuur dan die waarvoor het gebruikersrecht wordt verleend.

b) Als UNIGARANT gebruik maakt van het recht als bepaald in dit artikel, heeft zij ook het recht twee back-upkopieën van de Programmatuur te maken, onder de voorwaarde om deze zo spoedig mogelijk na beëindiging van het tijdelijk gebruik Standaardprogrammatuur volledig uit de tijdelijke gebruikte apparatuur te verwijderen.

A7. Virus Protectie

7.1 Wederpartij voldoet aan de UNIGARANT security richtlijnen en onderneemt alle noodzakelijke stappen om virusinfectie en/of malware in de systemen UNIGARANT te

voorkomen. Voor het doel van dit artikel wordt onder het begrip ‘virus’ ook begrepen ‘logic bombs’, ‘worms’ of andere gebruiksvreemde elementen, welke begrippen algemeen door de computer (software) industrie worden gebruikt.

A8. Escrow-Overeenkomst

8.1 Wederpartij zal, op eerste schriftelijk verzoek van UNIGARANT, binnen dertigkalenderdagen na dat verzoek een Escrow-overeenkomst ondertekenen. Alle kosten verband houdend met die Escrow-overeenkomst komen voor rekening van UNIGARANT.

8.2 Als de genoemde Escrow-Overeenkomst aan het eind van de in dit artikel genoemde periode niet is ondertekend en/of niet is gedeponeerd, heeft UNIGARANT het recht de Overeenkomst met onmiddellijke ingang te ontbinden. In dat geval zal Wederpartij alle door UNIGARANT betaalde bedragen restitueren.

A9. Exit Regeling

9.1 Op eerste verzoek van UNIGARANT zullen Partijen een exit-plan opstellen waarin wordt vastgelegd wat er moet gebeuren ter voorbereiding op en uitvoering van de in dit artikel beschreven werkzaamheden.

9.2 Wederpartij doet bij het - op welke grond ook - beëindigen van de Overeenkomst, op eerste verzoek van UNIGARANT datgene wat redelijkerwijs noodzakelijk is om ervoor te zorgen dat een nieuwe leverancier of UNIGARANT zelf zonder belemmeringen een soortgelijke ICT- Prestatie ten behoeve van UNIGARANT kan verrichten (zulks met uitzondering van de afgifte van de broncode van de Standaard Programmatuur en Derden programmatuur).

9.3 Onder de in het vorige lid bedoelde redelijke maatregelen in het kader van de overstap naar een andere leverancier/ander systeem worden in ieder geval verstaan (naar keuze van UNIGARANT):

9.3.1 het toegang geven tot de met de ICT-Prestatie ten behoeve van UNIGARANT verwerkte gegevens en de daarbij ingestelde autorisaties;

9.3.2 het vernietigen van alle gegevens (tegen afgifte van bewijs van vernietiging);

9.3.3 het technisch ontvlechten en ontmantelen van (een deel van) de ICT-Prestatie. De diensten sub 9.3.1. t/m 9.3.3 worden kosteloos verricht indien sprake is van een toerekenbaar tekortschieten door Wederpartij.

9.4 Wederpartij verklaart zich reeds nu voor alsdan bereid bij beëindiging van de Overeenkomst

– op welke grond dan ook – op eerste verzoek van UNIGARANT:

9.4.1 een nieuwe ICT-Prestatie of beperkte voortzetting van de bestaande ICT-Prestatie te leveren waarmee UNIGARANT in staat blijft de met de huidige ICT-Prestatie opgeslagen gegevens te raadplegen; en

9.4.2 een beperkte vorm van Onderhoud te (blijven) verlenen op de in het vorige lid bedoelde ICT-Prestatie (namelijk binnen de kaders van de in het vorige lid bedoelde beperkte functionaliteit), met inachtneming van de UNIGARANT security richtlijnen.

9.5 Voor de duur en kosten voor de in het vorige lid bedoelde ICT-Prestatie geldt dat:

9.5.1 de duur ten minste een zodanige duur is dat UNIGARANT aan de wettelijke administratieplichten kan voldoen;

9.5.2 de kosten in redelijke verhouding staan tot de oorspronkelijke kosten voor de gehele ICT-Prestatie (naar rato van de verminderde functionaliteit), met dien verstande dat noodzakelijke verlengingen van Derden programmatuur en daarbij behorende licenties volledig kunnen worden doorbelast.

9.6 Wederpartij verklaart zich bereid om UNIGARANT desgewenst toe te staan het gebruik van de ICT-Prestatie na de beëindigingsdatum voor een redelijke periode te verlengen, indien de werkzaamheden overeenkomstig het exit plan niet tijdig zijn afgerond. Hiervoor zal een vergoeding in rekening worden gebracht naar rato van de laatst geldende gebruiksvergoedingen (waarbij noodzakelijke verlengingen van Derden programmatuur volledig kunnen worden doorbelast), tenzij de niet-tijdige afronding van de overeengekomen exit werkzaamheden toerekenbaar is aan Wederpartij (de verlenging is dan kosteloos).

B. LICENTIE OP PROGRAMMATUUR

Naast de in het onderdeel A) (Algemeen) opgenomen bepalingen, zijn de in het onderhavige onderdeel opgenomen bepalingen van toepassing als Wederpartij Programmatuur op basis van een Licentie voor gebruik aan UNIGARANT ter beschikking stelt.

B10. Licentie

10.1 Wederpartij verleent aan UNIGARANT en op verzoek van UNIGARANT, tevens aan de aan UNIGARANT Gelieerde Ondernemingen, een wereldwijde, eeuwigdurende en onherroepelijke Licentie om de Programmatuur (met inbegrip van alle interfaces tussen de Programmatuur en alle hardware of Programmatuur van Derden die van Wederpartij in licentie zijn verkregen) en Documentatie voor de bedrijfsdoeleinden van UNIGARANT te gebruiken, uit te voeren, op te slaan, te dupliceren en te distribueren zoals uiteengezet in het volgende lid op alle locaties van UNIGARANT of aan UNIGARANT Gelieerde Ondernemingen in overeenstemming met de bepalingen van de Overeenkomst.

10.2 De Licentie omvat, onder andere:

10.2.1 het recht om de Programmatuur voor test-, ontwikkelings- en disaster/recoverydoeleinden tegebruiken, tenzij uitdrukkelijk anders overeengekomen;

10.2.2 het recht om de Programmatuur van de Wederpartij te kopiëren of een deel daarvan te vertalen, welke Programmatuur door een central processing unit (“CPU”) of ander apparaat kan worden gelezen, in een leesbare of gedrukte vorm die door een CPU of ander apparaat kan worden gelezen, in zodanige mate dathet gebruik van de Programmatuur wordt ondersteund;

10.2.3 het recht om kosteloos een redelijk aantal kopieën van de Programmatuur te maken ten behoeve van gebruik, tests, ontwikkeling, training, archivering, onderhoud, temporary load balancing, failover, back-up en disaster recovery (testing);

10.2.4 het recht om de Documentatie van de Wederpartij onbeperkt te bewerken en te dupliceren voor gebruik binnen UNIGARANT;

10.2.5 het recht om de Programmatuur naar elke soort vervangende apparatuur te migreren;

10.2.6 het recht om op afstand, onder andere via internet, toegang tot de Programmatuur te verkrijgen;

10.2.7 het recht voor Gelieerde Ondernemingen om, indien nodig en vereist, dataverwerkingop afstand te plegen.

10.3 De Licentie gaat in op de leveringsdatum, of als dat is overeengekomen, op de Acceptatiedatum.

10.4 De Licentie strekt zich uit tot alle nieuwe versies en Releases van de Programmatuur, zelfs als de functionaliteit verdeeld is over verschillende nieuwe producten onder een nieuwe naam die samen de functionaliteit van het eerdere product omvatten, tenzij schriftelijk anders overeengekomen.

10.5 Toegang tot en gebruik van de Programmatuur door zakelijke klanten, partnerbedrijven of vertegenwoordigers van UNIGARANT of aan UNIGARANT Gelieerde Ondernemingen wordt beschouwd als geautoriseerd gebruik ingevolge een Overeenkomst, mits dat gebruik plaatsvindt in samenhang met de dienstverlening door UNIGARANT of aan UNIGARANT Gelieerde Ondernemingen aan dergelijke zakelijke klanten, partnerbedrijven of, in geval van vertegenwoordigers, namens UNIGARANT of aan UNIGARANT Gelieerde Ondernemingen.

10.6 De Licentie heeft betrekking op de Programmatuur en op alle toepassingen en functionaliteit die de Programmatuur biedt, zelfs als daar in de Documentatie niet naar verwezen wordt.

10.7 Wederpartij garandeert dat de Licentie geen verplichting inhoudt voor UNIGARANT of voor de aan UNIGARANT Gelieerde Onderneming om onderhoud of andere diensten van Wederpartij af te nemen. UNIGARANT of de aan UNIGARANT Gelieerde Onderneming is gerechtigd onderhoud te verrichten ten behoeve van zichzelf en/of om onderhoud voor de Programmatuur af te nemen van een Derde.

10.8 Als de Programmatuur uitgerust is met zodanige beveiligingsmaatregelen dat er wijzigingen in de Programmatuur nodig zijn om de Programmatuur naar vervangende apparatuur te migreren, heeft UNIGARANT het recht dergelijke wijzigingen aan te brengen of Wederpartij te vragen deze aan te brengen. Wederpartij zal de wijzigingen kosteloos op eerste verzoek van UNIGARANT aanbrengen.

10.9 Wederpartij garandeert dat de Standaard Programmatuur geen technische voorzieningen, functies of andere vreemde elementen bevat die op enig moment, al dan niet tijdelijk, aan het overeengekomen gebruik in de weg (kunnen) staan.

10.10 Wederpartij garandeert dat, indien hij niet de rechthebbende op de Standaard Programmatuur is, hij door de rechthebbende is gemachtigd om namens deze Licenties aan Derden te verschaffen en dat het verstrekken van de Licentie geen inbreuk maakt op de

(intellectuele eigendoms)rechten van Xxxxxx. Wederpartij zal daarvan op eerste verzoek van UNIGARANT bewijs overleggen.

B11. Overdracht Licentie

11.1 Overdracht van Licenties aan de aan UNIGARANT Gelieerde Ondernemingen is altijd toegestaan.

C. ONTWIKKELING VAN PROGRAMMATUUR

Naast de in het onderdeel A) (Algemeen) opgenomen bepalingen, zijn de in het onderhavige onderdeel opgenomen bepalingen van toepassing als Wederpartij in opdracht van UNIGARANT Programmatuur ten behoeve van UNIGARANT of een of meer Derden ontwikkelt en eventueel installeert.

C12. Acceptatieprocedure maatwerkprogrammatuur

12.1 Wederpartij stelt UNIGARANT tijdig op de hoogte van de oplevering van de Maatwerkprogrammatuur.

12.2 Als UNIGARANT een Acceptatietest (laat) verricht(en), stelt zij zo spoedig mogelijk een testverslag op en stuurt zij dat ondertekend aan Wederpartij. In het testverslag worden geconstateerde Xxxxxx vastgelegd en of UNIGARANT de Maatwerkprogrammatuur goed- of afkeurt.

12.3 Als UNIGARANT de Maatwerkprogrammatuur goedkeurt, geldt de datum van ondertekening van het testverslag als datum van Acceptatie.

12.4 Als UNIGARANT de Maatwerkprogrammatuur niet bij eerste uitvoering van de Acceptatietest goedkeurt, zal zij deze test binnen een door haar vast te stellen redelijke termijn geheel of gedeeltelijk herhalen. In een aanvullend testverslag legt UNIGARANT vervolgens vast of de bij de eerste test geconstateerde Xxxxxx zijn verholpen en of zij de Maatwerkprogrammatuur dan wel goedkeurt.

12.5 Als UNIGARANT de Maatwerkprogrammatuur afkeurt, herstelt Wederpartij de geconstateerde Xxxxxx voor eigen rekening binnen een daartoe door UNIGARANT te verlenen redelijke termijn die ingaat op de datum van ondertekening van het testverslag. Als Wederpartij daaraan niet voldoet, mag UNIGARANT de Fouten na voorafgaande mededeling aan Wederpartij voor diens rekening zelf verhelpen of door een derde laten verhelpen. Wederpartij verleent daaraan in dat geval kosteloos zijn volledige medewerking onder meer door daarvoor noodzakelijke informatie op eerste verzoek aan UNIGARANT te verstrekken. Indien UNIGARANT een Fout om reden als hiervoor bedoeld zelf verhelpt of door een derde laat verhelpen, laat dat de overeengekomen verantwoordelijkheden van Wederpartij voor de Maatwerkprogrammatuur geheel onverlet.

12.6 Als UNIGARANT de Maatwerkprogrammatuur na de tweede Acceptatietest opnieuw afkeurt, is Wederpartij als gevolg daarvan in verzuim. UNIGARANT kan de Overeenkomst in dat geval met onmiddellijke ingang buiten rechte ontbinden zonder dat daarvoor enige aanmaning of ingebrekestelling is vereist.

C13. Oplevering maatwerkprogrammatuur

13.1 Bij de oplevering van de Maatwerkprogrammatuur – of een Update of Upgrade van de Maatwerkprogrammatuur – levert Wederpartij de broncode, de objectcode, en de

bijbehorende Documentatie, aan UNIGARANT op een nader overeen te komen gegevensdrager.

13.2 Wederpartij staat ervoor in dat bij de Maatwerkprogrammatuur Updates, Upgrades en nieuwe versies van de onderliggende software mogelijk zijn.

13.3 Wederpartij staat ervoor in dat in Maatwerkprogrammatuur geen merktekens (bijvoorbeeld copyright-tekens) worden aangebracht.

13.4 Wederpartij zal slechts na schriftelijke goedkeuring van UNIGARANT de knowhow die door toedoen van UNIGARANT is verkregen bij het ontwikkelen van de Maatwerkprogrammatuur aanwenden ten behoeve van Derden, een en ander op straffe van een onmiddellijke

opeisbare boete van € 100.000,- onverminderd het recht van UNIGARANT-vergoeding van de werkelijk geleden schade te vorderen.

C14. Onderhoud maatwerkprogrammatuur

14.1 Als UNIGARANT Maatwerkprogrammatuur zelf onderhoudt of door een Derde laat onderhouden, ondersteunt Wederpartij hem daarbij op verzoek tegen een marktconforme vergoeding. Wederpartij verstrekt daartoe op verzoek de daarvoor benodigde (aanvullende) informatie aan UNIGARANT of een door deze daarvoor ingeschakelde derde. Het vorenstaande is ook van toepassing op beheeractiviteiten voor Maatwerkprogrammatuur die UNIGARANT zelf uitvoert dan wel door een derde laat uitvoeren.

14.2 Als UNIGARANT met Wederpartij ook Onderhoud is overeengekomen, geldt hetgeen dienaangaande in die Overeenkomst en in onderdeel D) (Onderhoud van Programmatuur) van dit Addendum ICT is bepaald.

D. ONDERHOUD VAN PROGRAMMATUUR

Naast de in het onderdeel A) (Algemeen) opgenomen bepalingen, zijn de in het onderhavige onderdeel opgenomen bepalingen van toepassing als Wederpartij diensten verricht op het gebied van onderhoud van Programmatuur.

D15. Locatie, Tijdstippen en wijze uitvoering onderhoud

15.1 Wederpartij voert Onderhoud uit op of vanaf zijn eigen locatie. Alleen als dat redelijkerwijs noodzakelijk is, voert Wederpartij Onderhoud uit op de locatie(s) van UNIGARANT.

15.2 Onderhoud dat kan leiden tot verstoring van het arbeidsproces bij UNIGARANT, wordt altijd na voorafgaande schriftelijke toestemming van UNIGARANT en in beginsel buiten de bij UNIGARANT gebruikelijke werkuren uitgevoerd.

15.3 Als verstoring van de bedrijfsactiviteiten van UNIGARANT, gelet op het belang van onmiddellijk herstel van de storing, onvermijdelijk is, stelt Wederpartij UNIGARANT daarvan tijdig en schriftelijk op de hoogte. Wederpartij vangt pas met het Onderhoud aan na schriftelijke toestemming van UNIGARANT.

15.4 Wederpartij rapporteert aan UNIGARANT over het verloop van zijn werkzaamheden, waarbij hij inzicht geeft in het verloop en de status van zijn werkzaamheden, het bestede aantal uren en andere voor de uitvoering daarvan relevante aspecten.

15.5 Wederpartij zorgt voor een adequate vastlegging en archivering van de oorzaken van storingen en de resultaten van Onderhoud, alsmede indien nodig voor aanpassing van Documentatie. Wederpartij verstrekt op eerste verzoek van UNIGARANT, en in elk geval binnen 72 uur, een rapportage van de oorzaken van storingen en de resultaten van Onderhoud.

D16. Omvang onderhoud en ondersteuning

16.1 Onderhoud van de ICT-Prestatie bestaat tenminste uit Correctief Onderhoud en uit Preventief Onderhoud en ondersteuning.

16.2 Als UNIGARANT dat wenst omvat Onderhoud van Programmatuur ook Innovatief Onderhoud.

16.3 Wederpartij verstrekt aan UNIGARANT op verzoek ondersteuning in de vorm van advies over het gebruik en functioneren van de ICT-Prestatie.

16.4 UNIGARANT kan Wederpartij om ondersteuning vragen op de in de Overeenkomst tot Onderhoud vermelde tijden.

D17. Correctief onderhoud en tijdelijke oplossingen

17.1 Onderhoud omvat tenminste Correctief Onderhoud.

17.2 De garantie van artikel 1.2 sub e) dat Wederpartij de ICT-Prestatie gedurende tenminste zeven (7) jaar nadat deze voor het eerst commercieel beschikbaar is geworden overeenkomstig deze bepalingen kan onderhouden, geldt voor Correctief Onderhoud onverkort ook als UNIGARANT niet wenst over te gaan tot het afnemen van nieuwe versies van de ICT-Prestatie.

17.3 Wederpartij brengt een tijdelijke oplossing alleen aan met voorafgaande toestemming van UNIGARANT. Tenzij Partijen daarover in een concreet geval een andere afspraak maken, vervangt Wederpartij een tijdelijke oplossing zo snel mogelijk door een definitieve oplossing, na schriftelijke toestemming van UNIGARANT te hebben gekregen.

D18. Preventief onderhoud

18.1 Als onderdeel van Preventief Onderhoud onderzoekt Wederpartij de ICT-Prestatie regelmatig en tenminste één (1) keer per jaar op haar goede werking.

D19. Afhandeling storingen en nakoming service levels

19.1 UNIGARANT meldt storingen aan en af op de in de Overeenkomst voorgeschreven wijze.

19.2 UNIGARANT stelt bij het melden van een storing, overeenkomstig het bepaalde in de Overeenkomst tot Onderhoud, het daaraan toe te kennen prioriteitsniveau vast.

19.3 De reactie van Wederpartij op een melding als bedoeld in dit artikel, is steeds gericht op het zo spoedig mogelijk verhelpen van de storing al dan niet door het tot stand brengen van een tijdelijke oplossing. Het bepaalde in artikel 17.3 is daarbij van toepassing.

19.4 Wederpartij spant zich tot het uiterste in om service levels te realiseren. De gevolgen van het niet halen daarvan worden in de Overeenkomst geregeld. Ontbinding van de Overeenkomst is in ieder geval mogelijk bij het meerdere meetperiodes achtereenvolgens niet halen van dezelfde service levels. Eventueel in de SLA bedongen maatregelen laten de overige rechten van UNIGARANT onverlet, waaronder begrepen het recht om de door haar geleden schade te verhalen.

19.5 Tussen Partijen overeengekomen Functiehersteltijden en Reactietijden gelden als fatale termijnen.

19.6 UNIGARANT mag (laten) testen of een storing daadwerkelijk is verholpen. Wederpartij is verplicht daaraan zijn medewerking te verlenen. Indien uit de test blijkt dat een storing niet naar behoren is verholpen, kan UNIGARANT de kosten van het testen op Wederpartij verhalen.

D20. Verbeterde en nieuwe versies

20.1 Wederpartij zorgt voor een consistent versiebeleid. Daarbij geldt als uitgangspunt dat verbeterde en nieuwe versies tijdig beschikbaar komen. Wederpartij onderzoekt met het oog daarop regelmatig de noodzaak om dergelijke versies uit te brengen en informeert UNIGARANT zo snel mogelijk over de uitkomsten van zijn onderzoek.

20.2 Tussentijdse wijzigingen in Programmatuur als gevolg van Correctief Onderhoud, maken zoveel mogelijk onderdeel uit van verbeterde en nieuwe versies.

20.3 Wederpartij stelt UNIGARANT op verzoek kosteloos een exemplaar van een nieuwe versie ter beschikking voor test- en evaluatiedoeleinden. UNIGARANT is niet verplicht tot ingebruikname van nieuwe versies.

20.4 Indien is overeengekomen dat Wederpartij de Programmatuur installeert, geldt deze verplichting tevens voor nieuwe versies die UNIGARANT in gebruik wil nemen.

20.5 Indien Wederpartij ervoor kiest om in plaats van een nieuwe versie andere Programmatuur uit te brengen en te stoppen met Innovatief Onderhoud op de bij UNIGARANT in gebruik zijnde Programmatuur, kan UNIGARANT aanspraak maken op hetzij onverkorte nakoming van de Overeenkomst van Onderhoud hetzij op een Licentie op die nieuwe Programmatuur tegen de in de Overeenkomst vastgelegde voorwaarden voor een nieuwe versie.

E. ICT-PRESTATIE “AS A SERVICE”

Naast de in het onderdeel A) (Algemeen) opgenomen bepalingen, zijn de in het onderhavige onderdeel opgenomen bepalingen van toepassing als Wederpartij de ICT-Prestatie “As a Service” aanbiedt, waaronder bijvoorbeeld zijn begrepen Software as a Service (SAAS), Infrastructure as a Service (IAAS), Platform as a Service (PAAS), hierna tezamen te noemen: “ICT-Prestatie As a Service”.

E21. Licentie en Dienstverlening

21.1 Wederpartij verleent gedurende de looptijd van een Overeenkomst aan UNIGARANT een onherroepelijk, wereldwijd, niet-exclusief recht de ICT-Prestatie As a Service (inclusief alle interfaces tussen de Programmatuur en alle hardware of Programmatuur van Derden die Wederpartij in licentie geeft) te gebruiken op alle locaties van UNIGARANT tenbehoeve van UNIGARANT en haar Gelieerde Ondernemingen en in overeenstemming met de bepalingen van een Overeenkomst.

21.2 Het recht de ICT-Prestatie As a Service te gebruiken omvat ook de toegang tot, en gebruik van de ICT-Prestatie As a Service door klanten of intermediairs van UNIGARANT, uitsluitend als en voor zover dit noodzakelijk is voor de dienstverlening van UNIGARANT aan haar klanten en/of intermediairs.

21.3 Wederpartij garandeert dat zij bevoegd is de ICT-Prestatie As a Service te leveren ook in geval een Derde rechthebbende is van de Licentie ten aanzien van de Programmatuur.

21.4 Wederpartij kan slechts wijzigingen in de inhoud of omvang van de ICT-Prestatie As a Service aanbrengen na tijdige mededeling aan en voorafgaande schriftelijke toestemming van UNIGARANT. Als dergelijke wijzigingen een verandering van bij UNIGARANT geldende procedures tot gevolg hebben, komen (i) de betreffende kosten voor rekening van Wederpartij of (ii) heeft UNIGARANT het recht de ICT-Prestatie As a Service kosteloos te beëindigen met een opzegtermijn van 1 (één) maand.

21.5 Wederpartij is zich bewust van de afhankelijkheid van UNIGARANT van de beschikbaarheid en correcte werking van de ICT-Prestatie As a Service. In dit verband is Wederpartij niet gerechtigd het gebruik van de ICT-Prestatie As a Service door technische maatregelen te belemmeren of te blokkeren, anders dan nadat Wederpartij UNIGARANT in gebreke heeft gesteld ten aanzien van een aan UNIGARANT toerekenbaar tekortschieten in de nakoming van haar verplichtingen uit de Overeenkomst, met daarbij een redelijke termijn voor UNIGARANT te stellen haar verplichtingen alsnog na te komen.

E22. Garanties

22.1 Wederpartij zorgt voor een geschikte oplossing om de continuïteit van de data en de ICT- Prestatie As a Service voor UNIGARANT te garanderen. Ter waarborging van de continuïteit, beschikbaarheid, het gebruik en het onderhoud van de ICT-Prestatie As a Service en de toegang tot de daarin opgeslagen gegevens van UNIGARANT, zullen Partijen uiterlijk vóór ingangsdatum een voor UNIGARANT adequate continuïteitsregeling treffen voor calamiteiten, zoals (maar niet beperkt tot) niet-beschikbaarheid van het platform waarop de ICT-Prestatie As a Service is geïnstalleerd. Indien er op genoemde datum naar oordeel van UNIGARANT geen adequate continuïteitsregeling is getroffen, heeft UNIGARANT het recht de Overeenkomst onmiddellijk te beëindigen

E23. Unigarant functionaliteit

23.1 Wederpartij zal op verzoek van UNIGARANT de door haar gewenste functionaliteit implementeren, zonder dat de vergoeding van het Onderhoud als gevolg hiervan stijgt.

23.2 Wederpartij draagt er zorg voor dat de door UNIGARANT gewenste functionaliteit direct wordt opgenomen in de standaard ICT-Prestatie As a Service. Wederpartij zal zich inspannen de door UNIGARANT gewenste functionaliteit gedurende de implementatie van die functionaliteit als standaard ICT-Prestatie As a Service op te nemen.

23.3 Het is Wederpartij of Derden niet toegestaan de UNIGARANT-functionaliteit te gebruiken, behoudens uitdrukkelijke voorafgaande schriftelijke toestemming van UNIGARANT.

E24. Back-ups

24.1 Wederpartij is, met inachtneming van de tussen Wederpartij en UNIGARANT schriftelijk overeen te komen periodes en bij gebreke daarvan dagelijks, verplicht een volledige back-up te maken van alle bij Wederpartij in bezit zijnde gegevens van UNIGARANT.

24.2 Wederpartij zal de back-ups bewaren gedurende ten minste 7 (zeven) jaar na afloop van een Overeenkomst of zoveel korter indien UNIGARANT dat verzoekt.

24.3 Wederpartij is verantwoordelijk voor een zorgvuldige bewaring van de back-ups.

24.4 UNIGARANT kan te allen tijde kosteloos een back-up op een fysieke drager ontvangen zo spoedig mogelijk nadat UNIGARANT hier om verzoekt, in een voor UNIGARANT leesbare vorm en/of digitaal formaat.

24.5 De door wederpartij gemaakte back-ups waarop vertrouwelijke data van UNIGARANT aanwezig is, zijn fysiek (tijdens opslag) en logisch (tijdens transport) dusdanig beschermd dat enkel geautoriseerde beheerders toegang tot deze back-ups hebben.

24.6 Data voor test- of ontwikkeldoeleinden is geanonimiseerd.

24.7 Er is een backup- en restoreplan uitgewerkt en getest conform afspraken in de SLA.

E25. Uitwijk

25.1 Tenzij anders overeengekomen, is Wederpartij verplicht te beschikken over een uitwijkcentrum of andere uitwijkfaciliteit.

F. HOSTING

Naast de in het onderdeel A) (Algemeen) opgenomen bepalingen, zijn de in het onderhavige onderdeel opgenomen bepalingen van toepassing als Wederpartij diensten verricht op het gebied van Hosting.

F26. Hosting

26.1 Wederpartij erkent dat de Richtlijn Externe hosting en ontwikkeling van websites en mobiele applicaties van UNIGARANT van toepassing is op hem en zijn dienstverlening en Wederpartij verklaart deze te zullen naleven.

26.2 Wederpartij zal alle noodzakelijke gegevens, zoals URL’s en inloggegevens, aan UNIGARANT ter beschikking stellen die noodzakelijk zijn om daadwerkelijk gebruik te kunnen maken van de Hosting.

26.3 Wederpartij is niet gerechtigd de Hosting op te schorten, behalve voor zover voortzetting van Wederpartij niet gevergd kan worden. De enkele eenmalige niet-betaling door UNIGARANT rechtvaardigt dit niet.

26.4 UNIGARANT is zelf te allen tijde volledig verantwoordelijk voor het gebruik dat zij maakt van de Hosting en voor de gegevens die zij met behulp van de Hosting opslaat, opvraagt, verspreidt en anderszins gebruikt.

26.5 Als en voor zover er aanwijzingen of vermoedens bestaan dat de middels de Hosting verwerkte gegevens onrechtmatig jegens Derden zijn, zal Wederpartij UNIGARANT daarover zo spoedig mogelijk schriftelijk informeren.

26.6 Wederpartij zal de betreffende gegevens niet zonder voorafgaand overleg met UNIGARANT verwijderen, tenzij de gegevens zodanig evident onrechtmatig zijn en de spoedeisendheid van het geval maakt dat voorafgaand overleg met UNIGARANT niet kan worden afgewacht.

26.7 Vanaf het moment van Acceptatie van de ICT-Prestatie as A Service zijn de specifieke afspraken over het Onderhoud (ook) op de Hosting van toepassing (zoals de gegarandeerde service-levels en de overeengekomen beschikbaarheid).

26.8 Als en voor zover in de Overeenkomst geen service levels over de Beschikbaarheid van de Hosting zijn afgesproken, geldt een Service Level van 99,99% Beschikbaarheid per maand.

26.9 Wederpartij verzorgt op haar kosten bij Hosting de installatie van Updates en Upgrades.

26.10 Het recht om de ingebruikname van Updates en/of Upgrades te weigeren is niet van toepassing bij generieke Hosting die door Wederpartij aan meerdere klanten wordt aangeboden, tenzij in de Overeenkomst anders is bepaald.

26.11 Gelet op de grote afhankelijkheid van Wederpartij alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement) die er bij Hosting bestaat, verklaart Wederpartij zich reeds nu voor alsdan bereid aanvullende afspraken met UNIGARANT te maken om voornoemde risico’s te verkleinen.

26.12 De in het vorige lid bedoelde aanvullende afspraken kunnen onder meer bestaan uit (allen tegen een redelijke vergoeding):

i. het maken van afspraken over het periodiek terug of aan een Derde partij leveren

van de door Wederpartij verwerkte gegevens (‘data Escrow’); en/of

ii. het met een Derde partij sluiten van een overeenkomst die ertoe strekt dat de betreffende Derde partij zich hoofdelijk verbindt tot of borg staat voor de nakoming van de Overeenkomst; en/of

iii. het met een Derde partij sluiten van een (tripartite) overeenkomst die ertoe strekt dat de betreffende Derde partij (voortdurend) over alle benodigde gegevens komt te

beschikken om in voorkomend geval (een deel van) de ICT-Prestatie uit de Overeenkomst – al dan niet op basis van een nieuwe overeenkomst – in plaats van Wederpartij te kunnen (gaan) verrichten.

G. SECURITY

De volgende bepalingen gelden als aanvulling op de rubrieken A tot en met F waarbij uit de aard van de bepaling duidelijk is of en in hoeverre zij toepasselijk is op de levering van software, maatwerk software, hosting of saas en bijbehorende rubriek.

G27. Bedrijfseisen voor logische toegangsbeveiliging

De stelregel voor logische toegangsbeveiliging is dat de applicatie wordt gekoppeld aan het

‘identity and accessmanagementplatform van UNIGARANT’ (IAM).

Als een leverancier hier niet aan kan voldoen, dan moet worden voldaan alle voorwaarden zoals hieronder vermeld.

27.1 UNIGARANT-gebruikers/beheerders zijn in staat om zelf hun wachtwoord te wijzigen.

27.2 Voor UNIGARANT-medewerkers en IT-personeel wordt het UNIGARANT wachtwoordbeleid (sterkte van het wachtwoord en de geldigheidsduur) binnen de applicatie technisch afgedwongen.

27.3 Klanten en leden (relaties) worden bij het kiezen van een wachtwoord getoond of een wachtwoord zwak, gemiddeld of krachtig is. Het kiezen van een sterk wachtwoord is de verantwoordelijkheid van de relatie. Zolang relaties enkel toegang hebben tot hun eigen gegevens, hoeft technisch niet afgedwongen te worden dat wachtwoorden van relaties aan de UNIGARANT wachtwoord policy voldoen.

27.4 Wachtwoorden (van gebruikers/leden/relaties/beheerders) worden op het systeem en/of in een database nooit in leesbare vorm opgeslagen. In plaats daarvan wordt een “one-way hash” van het wachtwoord inclusief salt vastgelegd om de authenticatie uit te kunnen voeren.

27.5 Indien applicaties communiceren met andere systemen (zoals databases of webservices) binnen de afgenomen dienst, dan zijn de hiervoor gebruikte accounts voorzien van een sterk wachtwoord, certificaat of token. Deze webservices en databases zijn nooit direct vanaf internet toegankelijk, maar voorzien van een passende manier om toegang tot het systeem te beperken.

27.6 De applicatie beschikt over mogelijkheden om rollen (uniek én generiek) plus rechten in te richten volgens het principe van need-to-know en least privileged, dit geldt eveneens voor tot de applicatie. Indien een applicatie voor databasetoegang een generiek (dus geen eindgebruiker-specifiek) account inzet, dan zijn de rechten van dit account zoveel mogelijk beperkt.

27.7 Indien een record/gegeven met een nummer geïdentificeerd moet kunnen worden, dan wordt er gebruik gemaakt van GUID-aanduidingen. Binnen het platform worden er nooit voorspelbare volgnummers gebruikt. Het gebruik van onvoorspelbare en willekeurige volgnummers zoals GUID’s is een aanvulling op (en geen invulling van) reguliere autorisatiemaatregelen (OWASP).

27.8 Applicatie(onderdelen) die alleen door UNIGARANT-medewerkers/ -beheerders worden gebruikt, zijn op een andere passende manier beveiligd.

27.9 In het verlengde van 27.8: voor systeemkoppelingen wordt gebruik gemaakt van mTLS en bij webdiensten voor medewerkers van MFA.

27.10 De applicatie dient dusdanig te worden geconfigureerd dat alleen legitieme gebruikers de applicatie kunnen gebruiken (bijvoorbeeld door IP filtering en/of een VPN koppeling).

27.11 Als een gebruiker of beheerder van UNIGARANT- of leverancier misbruik van zijn account vermoedt, is hij zelfstandig in staat om alle sessies die onder zijn naam actief zijn in te trekken.

27.12 Gebruikers worden automatisch uitgelogd indien ze hun sessie enige tijd niet gebruiken. Deze timeout-periode wordt bepaald o.b.v. een risicoafweging en is daardoor bij voorkeur configureerbaar.

27.13 Er zijn afspraken en procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben. Dit om onbevoegde toegang tot informatiesystemen te voorkomen.

27.14 Voor een beheeromgeving is het verplicht om sterke authenticatie ingericht te hebben om deze vanaf internet te kunnen benaderen.

27.15 Ook voor gegevens (met een verhoogde vertrouwelijkheids- of integriteitsclassificatie) afkomstig uit externe bronnen is geborgd dat deze niet ongeautoriseerd kunnen worden ingezien of gemanipuleerd.

G28. Cryptografie

28.1 Alle netwerkverbindingen met de webserver zijn beveiligd met sterke encryptie, hierbij is de meest actuele richtlijn van het NCSC van toepassing en leidend.

28.2 Het systeem dient minimaal een A-score te hebben op: xxxxx://xxx.xxxxxxx.xxx/xxxxxxx/xxxxxxx.xxxx.

28.3 Persoonsgegevens worden versleuteld opgeslagen, waarbij de versleuteling op applicatieniveau plaatsvindt.

28.4 Technieken die het tot stand komen van een versleutelde verbinding ondersteunen (zoals DNS-sec en andere DNS-encryptieprotocolen) zijn van passende beveiligingsmaatregelen voorzien.

28.5 Wanneer de hostingpartij als een (Public) Cloud leverancier aangemerkt kan worden, dienen de encryption-based security systems FIPS 140-2 gecertificeerd te zijn. Dit is tevens van toepassing wanneer de hostingpartij onderdelen van de dienst onderbrengt in de Public Cloud.

28.6 Voor Cloud toepassingen waar data van UNIGARANT wordt opgeslagen, anders dan in een applicatie, is encryption toegepast (data-at-rest).

G29. Fysieke beveiliging en beveiliging van de omgeving

29.1 Er zijn maatregelen genomen om te voorkomen dat er onbevoegde toegang mogelijk is tot fysieke data van UNIGARANT.

29.2 Op alle plekken waar op een fysieke manier data zijn opgeslagen (bijv. back-uptape) wordt gewerkt met een registratiesysteem.

G30. Beveiliging bedrijfsvoering

Patchmanagement

30.1 Er is een proces waarmee geborgd wordt dat de gehele IT-omgeving voorzien is (en blijft) van de laatste security updates

Hardening

30.2 Op systemen die gebruikt worden voor het hosten van applicaties is alleen de hoogst noodzakelijke functionaliteit beschikbaar. De systemen zijn gehardend conform voorschriften van de leverancier en eventueel aangevuld met internationaal erkende standaarden voor hardening (voorkeur: CIS).

30.3 De applicatie toont gebruikers geen gedetailleerde (systeemtechnische) foutmeldingen in de productieomgeving.

30.4 Indien een dienst waarop een UNIGARANT website of database wordt gehost gebruikt wordt voor het hosten van meerdere websites, dan garandeert de leverancier scheiding tussen de verschillende tennants, dit om te voorkomen dat mogelijk misbruik gemaakt kan worden van data bij misconfiguraties.

30.5 Voor alle IT- componenten (Operating systeem, Webserver, etc.) van de af te nemen dienst, worden benchmarks (zoals CIS) gebruikt als uitgangspunt voor hardening.

Logging

30.6 De klokken van alle relevante informatiesystemen van de organisatie behoren te worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron om accurate tijdstippen in log- en transactiegegevens te kunnen garanderen.

30.7 Alle activiteiten die gebruikers uitvoeren met persoonsgegevens (of andere gegevensgroepen waarvan UNIGARANT heeft aangegeven dat er verhoogde vertrouwelijkheidseisen van toepassing zijn) worden vastgelegd in vastgesteld format logbestanden (voorkeur SYS-log).

30.8 Systeem- en applicatielogs worden minimaal 12 maanden bewaard en dusdanig opgeslagen dat hun integriteit na een systeeminbraak is gewaarborgd. UNIGARANT moet deze data ten alle tijden kunnen opvragen.

30.9 De juistheid van loggegevens is belangrijk om de oorzaak van een systeeminbraak te kunnen achterhalen en om vast te stellen of er sprake is geweest van een datalek.

30.10 De inhoud van de logs is voldoende gedetailleerd om bij aanvallen de handelswijze en netwerkidentiteit van de aanvaller te achterhalen. Een dergelijk detailniveau is belangrijk om de oorzaak van een systeeminbraak te kunnen achterhalen.

30.11 Kritieke systeemfuncties worden gemonitord. De alarmering van de monitoring sluit aan op de afspraken in de SLA.

30.12 Monitoring helpt om problemen te signaleren en tijdig met een oplossing te kunnen komen zodat de beschikbaarheidsgaranties kunnen worden waargemaakt.

30.13 Logberichten worden (near) realtime op de aanwezigheid van aanvalspatronen gecontroleerd middels bijvoorbeeld een SIEM/SOC bij de leverancier (indien niet voorhanden op de tooling van UNIGARANT), afhankelijk van het type Clouddienst welke afgenomen wordt. Alarmen worden continu gemonitord en opgevolgd conform een formeel ingericht proces.

Veilig beheer

30.14 Beheerwerkzaamheden worden uitgevoerd vanaf beveiligde beheerstations. Deze stations bevatten alleen goedgekeurde software, bevatten sterke wachtwoorden, bevatten bijgewerkte End-Point-Protection (EPP) software en zijn voorzien van de laatste beveiligingsupdates. Dit laatste geldt voor alle programmatuur, dus besturingssysteem en applicatiesoftware zoals Java, .NET, C# etc. De harde schijven van mobiele beheerwerkplekken zijn volledig versleuteld.

30.15 Er zijn procedures aanwezig die het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging borgen (zodra ze zijn gerapporteerd), dit is vastgelegd in de SLA tussen leverancier en UNIGARANT.

30.16 Er zijn maatregelen getroffen die borgen dat de applicatie en gegevensverwerking conform de in de SLA gestelde maximale downtime hersteld kan worden.

30.17 Er zijn aan leverancierszijde maatregelen getroffen die borgen dat UNIGARANT-data (bijvoorbeeld na een succesvolle ransomware aanval) snel hersteld kan worden, waarbij het maximale dataverlies binnen de in de SLA gedefinieerde grenzen blijft.

30.18 Gegevens én het opslagmedium worden vernietigd conform de NIST 800-88 R1 aanbevelingen. Hergebruik is niet toegestaan.

30.19 Voor cloud workloads moet er gebruik gemaakt worden van passende maatregelen om data te vernietigen.

30.20 Op productiesystemen van de leverancier zijn geen ontwikkeltools, testhulpmiddelen of broncode aanwezig.

30.21 Binnen shared-platforming diensten zijn er maatregelen getroffen om te voorkomen dat data van UNIGARANT onbevoegd in kan worden gezien door andere klanten van het platform (instance isolation).

G31. Acquisitie, ontwikkeling en onderhoud van informatiesystemen

31.1 De leverancier werkt conform de principes van Security-by-design. De leverancier heeft een vastgestelde manier van veilige software ontwikkeling en beheer, zoals SSDLC.

31.2 De webapplicatie bevat geen kwetsbaarheden zoals beschreven in de OWASP Top 101.

31.3 Ontwikkelaars houden zich aan de OWASP ontwikkelprincipes2 of vergelijkbaar en kennen de OWASP development Guide3.

31.4 Binnen de webapplicatie is zeer expliciet aandacht voor input- en outputvalidatie. Ook wordt er binnen de applicatielogica nooit van eindgebruikers afkomstige data gedeserialiseerd4 . Het serialiseren en deserialiseren van data vindt alleen plaats indien volledig zeker is dat de data die het betreft betrouwbaar is.

31.5 Waar mogelijk worden applicatieonderdelen vanaf eigen servers van de leveranciers aangeboden, zodat de afhankelijkheid van diensten van derden is beperkt. Dit voorkomt het onnodig delen van UNIGARANT-informatie.

G32. Beheer van (beveiligings-)incidenten

32.1 Van de leverancier wordt geëist dat in informatiesystemen of diensten waargenomen of vermeende zwakke plekken en/of incidenten worden geregistreerd, gemeld en gerapporteerd, zoals vastgelegd in de SLA behorende bij het contract.

32.2 Van de leverancier wordt geëist dat hij UNIGARANT zo spoedig mogelijk op de hoogte stelt zoals vastgelegd in de SLA van incidenten die hun eigen organisatie dusdanig beïnvloeden, stilleggen, verlammen of publiciteit opleveren dat dit een ernstig verstorend effect heeft op de eigen werkzaamheden/prestaties of reputatie maar ook effect heeft of kan hebben op de onderlinge samenwerking met of reputatie van UNIGARANT Onder incidenten vallen in ieder geval cyber incidenten (digitale criminaliteit).

Voorbeelden van cyber incidenten zijn:

- Aanvallen van buitenaf (b.v. DDoS-aanval, Malware, een hack of diefstal/vernietiging van gegevens) op (ICT-) systemen;

- Menselijk handelen (verlies of kopie van gegevens, (on-)gewild toegang verschaffen tot gegevens en/of informatiesystemen, gegevensbanken, klantbestanden);

- Technische mankementen (uitval of disfunctioneren van eigen ICT systemen of externe ICT systemen waarvan men gebruik maakt).

32.3 De leverancier zorgt voor een overzicht van de te gebruiken communicatiekanalen voor bovengenoemde. Periodiek wordt dit door de leverancier en UNIGARANT contactpersoon herzien.

32.4 De leverancier moet procedures definiëren en toepassen voor het identificeren, verzamelen, verkrijgen en bewaren van informatie die als bewijs kan dienen.

G33. Naleving

33.1 Right to audit. UNIGARANT kan er periodiek en/of bij nieuwe releases en major updates (upgrades) voor kiezen om de dienst op veiligheid te toetsen. Indien hieruit blijkt dat het platform fouten bevat die door het volgen van de secure coding of hardening principes voorkomen hadden kunnen worden, dan worden deze fouten zonder extra kosten gecorrigeerd. Hetzelfde is van toepassing indien er (bij afronding van de implementatie of tijdens exploitatie) afwijkingen van de in dit document beschreven normen worden vastgesteld.

33.2 De hostingpartij bestuurt de beveiliging van de hosting (en het beheer van de hosting) van de applicatie en UNIGARANT gegevens conform een beveiligingsmanagementsysteem (ISMS) waar in minimaal de relevante onderdelen uit de ISO 27002 zijn opgenomen.

33.3 Wanneer de hostingpartij als een (Public) Cloud leverancier aangemerkt kan worden, dient deze te beschikken over een geldige ISO 27001, ISO 27018 certificering of vergelijkbaar. In het beveiligingsmanagementsysteem (ISMS) zijn minimaal de relevante onderdelen uit de ISO 27002 & ISO 27017 opgenomen overeenkomend met de SOA.

G34. Ontwikkeling en gebruik van een mobiele applicatie

Deze passage is alleen van toepassing indien het daadwerkelijk de aanschaf van een mobiele applicatie (hierna te noemen: app) betreft. De overige passages 27 tot en met 31 zijn niet van toepassing:

34.1 Indien er vanuit een App een SSL-verbinding wordt opgezet beschermt de App tegen zgn. man-in-the-middle aanvallen. Dit doordat de App de integriteit van een SSL-verbinding controleert voordat deze wordt opgezet.

34.2 Indien een App vertrouwelijke data op het mobiele device opslaat (zoals Persoonsgegevens), dan wordt deze data op een veilige plek versleuteld opgeslagen.

34.3 Indien er binnen de App gebruik wordt gemaakt van een Analytics provider, dan wordt deze provider in overleg met UNIGARANT gekozen.

34.4 In het verlengde van 9.3: met de analytics provider zullen tevens afspraken gemaakt moeten worden rondom privacy en beveiliging.

34.5 Indien een App verbinding maakt met een Clouddienst van waaruit persoonlijke gegevens, profielen of betaalde content wordt aangeboden, dan biedt deze webservice krachtige authenticatie- en autorisatiewaarborgen die voldoen aan het UNIGARANT-beleid op dit gebied.

34.6 Beveiligingsmaatregelen worden nooit enkel cliënt-side binnen de App geïmplementeerd, maar altijd server-side op een webserver (bijvoorbeeld binnen een webservice).

34.7 De App-ontwikkelaars zijn bekend met de OWASP Top 10 voor mobiele apps5 en passen actief maatregelen toe om misbruik via de hier beschreven bedreigingen te voorkomen.

34.8 De App vraagt op het smart device geen onnodige toegang tot resources zoals de camera,

microfoon, locatie, telefoon, contacten en foto’s indien dit niet noodzakelijk is voor het goed functioneren van de App. De App blijft waar mogelijk (op onderdelen) functioneren indien de gebruiker besluit om de toegang tot resources weer in te trekken.

1 xxxxx://xxx.xxxxx.xxx/xxxxx.xxx/XXXXX_Xxx_Xxx_Xxxxxxx

2 xxxx://xxx.xxxxx.xxx/xxxxx.xxx/Xxxxxxxx:Xxxxxxxxx

3 xxxx://xxx.xxxxx.xxx/xxxxx.xxx/XXXXX_Xxxxx_Xxxxxxx

4 xxxxx://xxx.xxxxx.xxx/xxxxx.xxx/Xxxxxxxxxxxxxxx_xx_xxxxxxxxx_xxxx

5 xxxxx://xxx.xxxxx.xxx/xxxxx.xxx/XXXXX_Xxxxxx_Xxxxxxxx_Xxxxxxx

BIJLAGE DEFINITIES

De woorden met hoofdletters die in dit Addendum ICT of in de Overeenkomst worden gebruikt, hebben de betekenis zoals zijn opgenomen in de bijlage Definities van de Algemene Inkoopvoorwaarden UNIGARANT 2022. Definities die specifiek van toepassing zijn op dit Addendum ICT, hebben de hieronder omschreven betekenis.

Acceptatie	Schriftelijke acceptatie van de ICT-Prestatie en/of de resultaten van de ICT-Prestatie door UNIGARANT na een geslaagde uitvoering van de Acceptatietest, één en ander volledig ter beoordeling van UNIGARANT.
Acceptatiedatum	datum waarop UNIGARANT de ICT-Prestatie heeft geaccepteerd.
Acceptatietest	Controle die wordt uitgevoerd door of namens UNIGARANT waardoor UNIGARANT kan bepalen of de ICT-Prestatie en/of deliverables aan de afgesproken Specificaties voldoen.
Correctief Onderhoud	Het opsporen en herstellen door Wederpartij van storingen, die door UNIGARANT zijn gemeld of die Wederpartij anderszins bekend zijn geworden.
Derde	Alle natuurlijke en rechtspersonen niet zijnde UNIGARANT, Gelieerde Onderneming of Wederpartij.
Derden programmatuur	Programmatuur waarvan zowel (a) de intellectuele eigendomsrechten geheel niet bij Wederpartij en/of een aan Wederpartij gelieerde vennootschap rusten als (b) waarbij Wederpartij niet in staat is bepaalde ontwikkelingen aan/wijzigingen in die programmatuur af te dwingen.
Documentatie	Gebruikershandleidingen, technische handleidingen, flowcharts, logische diagrammen, ontwerpen (functioneel en technisch), release notes en lijsten, al dan niet in elektronische vorm, en alle overige door Wederpartij verstrekte documenten die nodig of nuttigzijn voor de effectieve Installatie, werking, begrip, gebruik en onderhoud van de ICT-Prestatie in de door UNIGARANT gespecificeerde taal.
Fout	Het geheel of gedeeltelijk niet voldoen van de ICT-Prestatie aan de Specificaties, het overeengekomen gebruik en/of aan alle andere door Wederpartij gegarandeerde eigenschappen van de ICT-Prestatie.
Functiehersteltijd	De periode gelegen tussen het moment waarop een storing bij Wederpartij wordt gemeld en het moment waarop die is verholpen.
Gelieerde onderneming	Een dochteronderneming van UNIGARANT B.V.
Hosting	Het door Wederpartij door middel van technieken voor communicatie op afstand aan UNIGARANT ter beschikking stellen van de ICT-Prestatie
Implementatie	Alle activiteiten (exclusief Programmatuuraanpassingen) die Wederpartij moet uitvoeren om de ICT-Prestatie te leveren, waaronder: - projectmanagement, gedetailleerd ontwerp van functionaliteiten, productconfiguratie, levering, Installatie en integratie van de ICT- Prestatie in

	overeenstemming met de Specificaties blijkend uit test rapportages; - assistentie bij de migratie van UNIGARANT ’s brongegevens naar de aangewezen apparatuur, dataconversie (inclusief toolontwikkeling), Training, systeem- en integratietests; - alle assistentie die UNIGARANT nodig heeft om Acceptatietests uit te voeren en om de ICT-Prestatie in werking te stellen.
Innovatief Onderhoud	Het beschikbaar stellen door Wederpartij aan UNIGARANT van Updates en/of Upgrades van de Programmatuur en/of nieuwe Documentatie.
ICT-Prestatie	Alle door Wederpartij op grond van de Overeenkomst te leveren ICT -diensten en goederen en/of de door Wederpartij te verstrekken Licentie, waaronder begrepen Programmatuur en Documentatie.
ICT-Prestatie as a Service	Het door Wederpartij ‘op afstand’ beschikbaar stellen en beschikbaar houden van Programmatuur aan UNIGARANT via internet of een ander netwerk, zonder dat aan UNIGARANT een fysieke drager met de desbetreffende Programmatuur wordt verstrekt.
Levering	De levering door Wederpartij van de ICT-Prestatie aan UNIGARANT, in overeenstemming met de Overeenkomst.
Licentie	Het recht om de ICT-Prestatie of ander bedrijfsmiddel in overeenstemming met de Overeenkomst te gebruiken.
Licentievergoeding	De vergoeding die UNIGARANT aan Wederpartij verschuldigd is ter zake de Xxxxxxxx.
Maatwerk Programmatuur	Voor UNIGARANT ontwikkelde Programmatuur die exclusief aan UNIGARANT beschikbaar wordt gesteld.
Onderhoud	Door de Wederpartij uit te voeren werkzaamheden gericht op het herstellen en/of verbeteren van de ICT-Prestatie, waaronder in elk geval wordt verstaan Correctief Onderhoud, Preventief Onderhoud, Innovatief Onderhoud en gebruiksondersteuning, een en ander zoals uitgewerkt in de Overeenkomst en de eventuele service level agreement (SLA).
Overeenkomst	De tussen Partijen gesloten overeenkomst met betrekking tot de ICT-Prestatie.
Partijen	UNIGARANT en Wederpartij gezamenlijk.
Preventief Onderhoud	Het treffen van maatregelen door Wederpartij ter voorkoming van storingen en andere daarmee verband houdende vormen van dienstverlening.
Programmatuur	De door Wederpartij op te leveren set programmaregels zoals die, op directe of indirecte wijze, door een computer kan worden gebruikt om een bepaald, nader omschreven, resultaat tot stand te brengen.
Reactietijd	De periode waarbinnen Wederpartij op een melding door UNIGARANT van een storing en/of andere verzoeken van UNIGARANT om dienstverlening, adequaat moet reageren.
Release	Een toevoeging aan de ICT-Prestatie, die gewoonlijk uitsluitend uit correcties bestaat.
Specificaties	De overeengekomen functionele en/of technische definitie van de ICT-Prestatie, met inbegrip van de technische specificaties vande omgeving waarin de ICT- Prestatie moet functioneren. Dit kan onder meer betreffen: hardware, besturingssysteem, overige Programmatuur, enz.
Standaard Programmatuur	Voor algemeen gebruik ontwikkelde Programmatuur die niet exclusief aan UNIGARANT beschikbaar wordt gesteld.
Update	Een nieuwe versie van de Programmatuur bestaande uit, onder andere, (i)patches, (ii)bug fixes (iii)correctie van Fouten en/of (iv) kleineverbeteringen van de functionaliteit van de Programmatuur, waaronder in elk geval minor updates, critical updates en major updates.
Upgrade	Een nieuwe versie van de Programmatuur die bestaat uit significante wijzigingen of grote verbeteringen van de (functionaliteit van de) eerdere versie van de Programmatuur, inclusief alle Updates met betrekking tot de eerdere versies.

Document Metadata

Table of Contents

Inhoud

Document Metadata