Algemene Inkoopvoorwaarden Coöperatie
Nadere bepalingen inzake de inkoop van ICT(diensten)
Algemene Inkoopvoorwaarden Coöperatie
Royal FloraHolland U.A.
Gedeponeerd bij de griffie van de Rechtbank Amsterdam op 16 november 2022 onder nummer 62/2022.
34. Definities
• Documentatie: iedere technische en functionele beschrijving van de Programmatuur en de eigenschappen daarvan.
• Backend-as-a-Service (BaaS): het door Leverancier beschikbaar stellen van diensten en/of een virtuele omgeving via een Clouddienst waarbij Royal FloraHolland de mogelijkheid geboden wordt om de in gebruik zijnde webapplicaties en/of mobiele applicaties te verbinden met “de Cloud”.
• Correctief onderhoud: het opsporen en herstellen van Gebreken in de Programmatuur, nadat deze door Royal FloraHolland zijn gemeld.
• Clouddienst: de door Leverancier op afstand te leveren dienst door middel van “de Cloud” op het gebied van Software-as-a-Service ( Saas), Platform-as-a-Service (Paas) of Infrastructure-as-a-Service ( IaaS), Backend-as-a- Service (BaaS) en Mobility-as-a-Service (MaaS).
• Gebrek of Gebreken: het niet of niet volledig voldoen aan de overeengekomen eisen, functionele en technische specificaties of eigenschappen van de Programmatuur.
• - Gebruiksrecht: Het recht op grond waarvan Royal FloraHolland bevoegd is tot het gebruik van de Programmatuur overeenkomstig het Overeengekomen gebruik.
• Infrastructure-as-a-Service (IaaS): het door Leverancier op afstand beschikbaar stellen en beschikbaar houden van een desktopomgeving via een Clouddienst, zulks door virtualisatie via servers, waarbij Royal FloraHolland als eindgebruiker het beheer behoudt over de ICT infrastructuur waaronder database, apps/Programmatuur en gegevens.
• Maatwerkprogrammatuur: de door Leverancier ten behoeve van Royal FloraHolland te ontwikkelen en aan te passen Programmatuur, waaronder begrepen de wijzigingen en aanvullingen van de Programmatuur, met bijbehorende Documentatie en materialen.
• Mobility-as-a-Service (MaaS): het door Leverancier op afstand beschikbaar stellen en beschikbaar houden van een ICT functionaliteit via een Clouddienst, waarbij Royal FloraHolland en haar medewerkers via applicaties allerlei mogelijke vormen van vervoer en/of mobiliteitsoplossingen kunnen plannen, reserveren, boeken en betalen.
• Overeengekomen gebruik: het door Royal FloraHolland beoogde gebruik zoals dat ten tijde van het sluiten van de overeenkomst voor Leverancier kenbaar is of redelijkerwijs moet zijn, een en ander voor zover dat gebruik in de overeenkomst niet uitdrukkelijk is uitgesloten of beperkt.
• Platform-as-a-Service- dienst ( Paas): het door Leverancier op afstand beschikbaar stellen en beschikbaar houden van een ICT platform functionaliteit, waarbij de infrastructuur van IAAS is inbegrepen en waarop Royal FloraHolland
haar software applicaties kan ontwikkelen, gebruiken en beheren.
• Programmatuur: Standaard- en/of Maatwerkprogrammatuur en/of SaaS, IaaS, BaaS of Paas- dienst.
• Software-as-a-Service (SaaS): het door Leverancier op afstand beschikbaar stellen en beschikbaar houden van functionaliteit aan Royal FloraHolland via een Clouddienst
/ internet of een ander datanetwerk, zonder dat aan Royal FloraHolland een fysieke drager of download met de betreffende onderliggende Programmatuur ter beschikking wordt gesteld.
• Source code: De tekst van de Programmatuur welke ten grondslag ligt aan de objectcode en geschreven is in een algemeen gehanteerde programmeertaal met de bijbehorende Documentatie.
• Standaardprogrammatuur: Programmatuur die niet specifiek ten behoeve van Royal FloraHolland is ontwikkeld
35. Toepasselijkheid
Deze aanvullende bepalingen (hierna te noemen: “ICT- inkoopvoorwaarden”) zijn van toepassing op elk door Royal FloraHolland gedaan verzoek aan Leverancier tot het uitbrengen van een offerte, op de door Leverancier uit te
brengen offerte, op alle opdrachten van Royal FloraHolland en op alle met Leverancier te sluiten en gesloten overeenkomsten waarbij Royal FloraHolland als (potentiële) afnemer van producten en diensten op het vlak van ICT optreedt alsmede alle daaruit voortvloeiende rechtsbetrekkingen.
36.Gebruiksrecht Standaardprogrammatuur
1. Leverancier verleent aan Royal FloraHolland een eeuwigdurend en onherroepelijk Gebruiksrecht op de Standaardprogrammatuur. Het Gebruiksrecht omvat geen overdracht door Leverancier aan Royal FloraHolland van octrooi-, auteurs-, of merkenrechten op de betreffende Xxxxxxxxxxxxxxxxxxxxxx.Xx het Gebruiksrecht is in ieder geval begrepen:
• a) Het recht om alle voor Royal FloraHolland toegankelijke functionaliteiten van de Standaardprogrammatuur te gebruiken ook als die niet in de Documentatie staan vermeld;
• b) Het recht om kopieën van de Standaardprogrammatuur te (doen) vervaardigen, voor back-up doeleinden;
• c) Het recht om de Standaardprogrammatuur zonder enige beperking of begrenzing met betrekking tot plek, apparatuur, tijdsduur of anderszins te gebruiken waaronder begrepen het gebruik daarvan door derden ten behoeve van Royal FloraHolland;
• d) Het in het kader van uitbesteding/outsourcing doen beheren van de Programmatuur door derden.
37. Maatwerkprogrammatuur
1. Alle intellectuele eigendomsrechten ten aanzien van de ten behoeve van Royal FloraHolland ontwikkelde Maatwerk- programmatuur, waaronder ook de voor het gebruik van de Maatwerkprogrammatuur benodigde materialen en Documentatie berusten bij Royal FloraHolland. Deze rechten worden op grond van deze ICT-inkoopvoorwaarden door Leverancier aan Royal FloraHolland overgedragen, welke overdracht terstond na het ontstaan van die rechten door Leverancier reeds nu voor alsdan wordt aanvaard.
2. Voor zover voor de overdracht van dergelijke rechten een nadere akte zou zijn vereist, machtigt Leverancier Royal FloraHolland reeds nu voor alsdan onherroepelijk een zodanige akte op te maken en namens Leverancier te ondertekenen, onverminderd de verplichting van
Leverancier om op eerste verzoek van Royal FloraHolland aan de overdracht van zodanige rechten zijn medewerking te verlenen, zonder daarbij voorwaarden te kunnen stellen.
3. Leverancier doet hierbij afstand jegens Royal FloraHolland van alle eventueel aan hem toekomende zogenaamde persoonlijkheidsrechten op de Maatwerkprogrammatuur, in die mate als de toepasselijke regelgeving zodanige afstand toestaat.
4. Indien tussen Partijen verschil van mening zal bestaan over de (intellectuele) eigendomsrechten op (delen van) de Programmatuur, wordt ervan uitgegaan dat die rechten bij Royal FloraHolland berusten behoudens tegenbewijs te leveren door Leverancier. In alle gevallen is Royal FloraHolland gerechtigd tot het Overeengekomen gebruik van de Programmatuur.
5. Bij Maatwerkprogrammatuur zal Leverancier de Source code met inbegrip van de Documentatie en voorbereidende materialen op een duurzame gegevensdrager afleveren. Ten aanzien van Standaardprogrammatuur geldt hetgeen is bepaald in artikel 41.
38. Clouddiensten
1. Leverancier verricht de SaaS-dienst, IaaS-dienst, MaaS- dienst, BaaS-dienst, of PaaS-dienst (“Clouddienst”) in opdracht van Royal FloraHolland. Royal FloraHolland is gerechtigd de desbetreffende dienst ten behoeve van haar eigen bedrijf of organisatie te gebruiken voor zover dat noodzakelijk is voor het door Royal FloraHolland Overeengekomen gebruik. Het staat Royal FloraHolland
vrij derden gebruik te laten maken van de door Leverancier verleende dienst, voor zover dit noodzakelijk is voor het Overeengekomen gebruik.
2. Leverancier kan wijzigingen in de inhoud of omvang van de Clouddienst aanbrengen, mits deze wijzigingen geen
betrekking hebben op de overeengekomen eigenschappen of functionaliteiten en deze wijzigingen geen verandering van de bij Royal FloraHolland geldende procedures tot gevolg hebben.
39. Derdenprogrammatuur
1. Indien de door Leverancier te leveren Programmatuur en/of eventuele koppelingen (mede) bestaat uit derdenprogrammatuur, zal Leverancier dit in het aanbod uitdrukkelijk specificeren.
2. Leverancier specificeert de mogelijkheid de betreffende derdenprogrammatuur elders te betrekken en in hoeverre de keuze daartoe over te gaan consequenties heeft voor het aanbod van Leverancier.
3. Indien het functioneren van de Programmatuur afhankelijk is van derdenprogrammatuur, zal Leverancier zulks uitdrukkelijk in het aanbod specificeren. Leverancier is verplicht kenbaar te maken waar die afhankelijkheid in
is gelegen en welke effecten die afhankelijkheid heeft voor (de kwaliteit van) de door Leverancier te leveren Programmatuur.
4. Leverancier zal in het kader van onderhoud tijdig updates en upgrades uitbrengen teneinde de compatibiliteit
met derdenprogrammatuur waarvan de Programmatuur afhankelijk is te blijven borgen.
5. Leverancier zal deze updates en upgrades kosteloos uitbrengen ofwel tegen voorafgaand schriftelijk overeengekomen vergoedingen.
40. Documentatie
1. Leverancier zal Royal FloraHolland voorzien van voldoende en begrijpelijke documentatie (“Documentatie”)
over de eigenschappen, technische inpasbaarheid en gebruiksmogelijkheden van de Programmatuur. De Documentatie voor eindgebruikers is in de Nederlandse taal opgesteld, overige Documentatie mag ook in het Engels zijn gesteld (tenzij anders overeengekomen).
2. De Documentatie zal zodanig zijn en blijven:
• i) dat zij een juiste, volledige en gedetailleerde beschrijving geeft van de door Leverancier te leveren Programmatuur, alsmede de functies daarvan;
• ii) dat zij een juiste en volledige beschrijving geeft van de door de Leverancier in het kader van
de implementatie of het onderhoud gemaakte instellingen/parametriseringen;
• iii) dat gebruikers van alle mogelijkheden van de Programmatuur gebruik kunnen maken en de werking ervan goed kunnen begrijpen;
• iv) dat zij geschikt is om op basis hiervan de Programmatuur te kunnen testen in het kader van een – indien van toepassing - acceptatieprocedure;
• v) dat zij geschikt is om op basis hiervan de Programmatuur adequaat te kunnen beheren en te kunnen inpassen in het applicatielandschap
• vi) dat zij steeds actueel is. Zodra blijkt dat de Documentatie niet of niet langer juist of volledig
is, zal Leverancier de Documentatie zo spoedig mogelijk en op zijn kosten actualiseren.
3. De relevante Documentatie zal steeds tijdig aan Royal FloraHolland ter beschikking worden gesteld. Bij het leveren van updates, upgrades, nieuwe versies of het leveren van aanvullende Programmatuur, zal steeds bij de terbeschikkingstelling daarvan de Documentatie worden meegeleverd.
41. Source code
1. Leverancier zal op eerste verzoek van Royal FloraHolland een Source code escrow-overeenkomst aangaan met Royal FloraHolland. De kosten van deze Source code escrow- overeenkomst komen voor rekening van de Leverancier.
Indien Leverancier een Clouddienst levert verplicht hij zich op eerste verzoek een Clouddienst escrow-regeling overeen te komen met een in onderling overleg nader overeen te komen professionele escrow-agent, waarbij afspraken zullen worden gemaakt over continuïteit van de Clouddiensten, de content, de data en eventueel het
depot van de broncode en benodigde Documentatie van de applicatie in het geval van discontinuïteit aan de zijde van Leverancier.
2. De in lid 1 bedoelde overeenkomst zal voldoen aan hetgeen dienaangaande ten tijde van het afsluiten daarvan op
de Nederlandse markt gebruikelijk is en omvat alle niet openbaargemaakte informatie die Royal FloraHolland redelijkerwijs nodig heeft voor foutherstel, onderhoud en beheer van de Programmatuur zodat hij daarvan het Overeengekomen gebruik kan blijven maken.
42. Onderhoud
1. Indien Partijen in de overeenkomst de soorten van onderhoud terzake van Programmatuur niet anders hebben gedefinieerd wordt onder de hierna vermelde soorten van onderhoud verstaan:
• a) Preventief onderhoud: het in stand houden van de Programmatuur, dat wil zeggen het nemen van geëigende maatregelen en waarborgen zodat de Programmatuur conform de specificaties functioneert;
• b) Correctief onderhoud: het opsporen en herstellen van Gebreken in de Programmatuur, nadat deze door Royal FloraHolland zijn gemeld;
• c) Vernieuwend onderhoud: het aanpassen van de Programmatuur aan nieuwe technologische inzichten en/of nieuwe wettelijke regelingen en/of verbeteringen c.q. uitbreidingen van de
functionaliteit. Onderhoud als benoemd in dit artikel vindt kosteloos plaats, behoudens schriftelijke voorafgaande andersluidende afspraken. Preventief en vernieuwend onderhoud zal niet tijdens kantooruren worden uitgevoerd.
2. De service levels (kwaliteit en niveau) van het onderhoud worden in een Service Level Agreement (“SLA”) uitgewerkt.
3. Het is Leverancier niet toegestaan functionele wijzigingen in de Programmatuur aan te brengen tenzij Royal FloraHolland hiervoor vooraf schriftelijk toestemming heeft gegeven dan wel hierom expliciet heeft verzocht.
43. Preventief onderhoud
1. Leverancier erkent dat het in het kader van de continuïteit essentieel is dat de Programmatuur aan de overeengekomen eisen, functionele en technische specificaties en eigenschappen blijft voldoen en kan
worden aangepast aan de ontwikkelingen op het gebied van technologie. Leverancier zal in het kader van het preventief onderhoud de daarvoor geëigende preventieve maatregelen nemen.
44. Correctief Onderhoud
1. In de SLA wordt bepaald op welke wijze een Gebrek aan Leverancier wordt gemeld. Als de SLA hiervoor geen voorschrift bevat wordt een Gebrek zo spoedig en zo gedetailleerd mogelijk, schriftelijk (bij voorkeur via e-mail) aan Leverancier gemeld.
2. In verband met het verrichten van Correctief onderhoud, worden Gebreken in de volgende categorieën verdeeld tenzij Partijen in de overeenkomst Gebreken in andere categorieën hebben onderverdeeld:
• Prioriteitsgroep 1: De Programmatuur functioneert in het geheel of grotendeels niet en is in redelijkheid niet meer bruikbaar.
• Prioriteitsgroep 2: De Programmatuur vertoont ernstig verlies aan functionaliteit, maar kan naar de mening van Royal FloraHolland nog worden gebruikt.
• Prioriteitsgroep 3: De Programmatuur vertoont hinder- lijke tekortkomingen, maar kan normaal worden gebruikt.
• Royal FloraHolland beslist in welke prioriteitsgroep een Gebrek valt.
3. In de SLA wordt per prioriteitscategorie vastgesteld binnen welke termijn Leverancier met Correctief onderhoud moet aanvangen en binnen welke termijn het Gebrek moet zijn verholpen. De periode vangt aan op het moment van de melding als bedoeld in het eerste lid van dit artikel.
4. Indien Correctief onderhoud tijdens de overeengekomen uren is aangevangen heeft Royal FloraHolland het recht te verlangen dat dit onderhoud buiten deze uren wordt voortgezet indien zij van mening is dat de aard van het Gebrek daartoe aanleiding geeft.
5. In de SLA wordt vastgesteld op welke wijze Leverancier aan Royal FloraHolland meldt dat het Gebrek is verholpen alsmede op welke wijze Leverancier over (het verhelpen van) het Gebrek zal rapporteren.
6. Tijdelijke probleemoplossingen, programma-omwegen of probleem-vermijdende restricties zullen door Leverancier niet eerder worden aangebracht dan nadat Leverancier Royal FloraHolland hierover heeft geïnformeerd, waarbij zij heeft aangetoond dat het Gebrek vooralsnog niet op een andere manier kan worden verholpen en de tijdelijke probleemoplossing, programma-omweg of probleem- vermijdende restrictie geen nadelige gevolgen zal hebben voor het gebruik van de Programmatuur door Royal FloraHolland.
45. Vernieuwend onderhoud
1. Leverancier is verplicht de mogelijkheid om de Programmatuur kwalitatief te verbeteren in voldoende mate te onderzoeken en zodra daartoe aanleiding is nieuwe versies aan Royal FloraHolland beschikbaar te stellen. Leverancier verbindt zich jegens Royal FloraHolland om het niveau van zijn technische en organisatorische maatregelen te handhaven, waar mogelijk te verbeteren en te verfijnen en aan te passen aan de voortschrijdende technologische, maatschappelijke ontwikkelingen van Royal FloraHolland is niet verplicht deze nieuwe versies af te nemen.
2. Leverancier zal ervoor zorg dragen dat alle voorafgaande versies van de Programmatuur, ondersteund en onderhouden worden.
46. Acceptatie en risico overgang
1. Royal FloraHolland is gerechtigd de Programmatuur te onderwerpen aan een acceptatietest, die ertoe strekt Royal FloraHolland voor zichzelf te laten vaststellen dat de Programmatuur goed werkt, als in zijn geheel en in samenhang met de apparatuur en (in voorkomend geval) andere Programmatuur. Royal FloraHolland zal daartoe gezamenlijk met Leverancier een testplan opstellen waarin ook de doelstellingen van de acceptatietest nader worden omschreven.
2. Nadat Royal FloraHolland een acceptatietest heeft uitgevoerd, zal door Partijen een proces-verbaal worden opgemaakt en ondertekend. In dit proces-verbaal zal worden vastgelegd welke gebreken zijn geconstateerd en voorts of de Programmatuur door Royal FloraHolland is goedgekeurd, dan wel afgekeurd.
3. Kleine Gebreken, waartoe gerekend worden gebreken die de werking van de Programmatuur naar de mening van Royal FloraHolland niet merkbaar belemmeren, zullen geen reden tot onthouding van de goedkeuring zijn,
onverminderd de verplichting van Leverancier tot kosteloos en spoedig herstel van zodanig kleine gebreken.
4. Indien Royal FloraHolland de Programmatuur niet bij de eerste uitvoering van de acceptatietest heeft goedgekeurd, zal uiterlijk binnen vijftien werkdagen na de datum van
het proces-verbaal van deze eerste acceptatietest de acceptatietest geheel of gedeeltelijk worden herhaald. In een tweede proces-verbaal zal worden vastgelegd of de in het eerste proces-verbaal opgenomen gebreken zijn verholpen en of de Programmatuur is goedgekeurd.
5. Indien alle testresultaten voldoen aan de in het Acceptatietestplan opgenomen acceptatiecriteria en het in lid 2 bedoelde proces-verbaal door Royal FloraHolland is
ondertekend, dan geldt het ter acceptatie aangebodene als geaccepteerd.
6. Tot het moment van acceptatie van de Programmatuur verkrijgt Royal FloraHolland een niet-exclusief recht tot het gebruik daarvan voor installatie- en testdoeleinden. Indien Leverancier patches of verbeterde versies uitbrengt, heeft Royal FloraHolland, ook al is met Leverancier geen onderhoud overeengekomen, recht op de kosteloze ontvangst en het gebruik daarvan.
47. Intellectueel eigendom
1. Leverancier zal Royal FloraHolland vrijwaren tegen elke vordering welke gebaseerd is op een beweerde inbreuk op een intellectueel of industrieel eigendomsrecht met betrekking tot de Programmatuur afkomstig van Leverancier. De in dit lid genoemde vrijwaring geldt eveneens voor Programmatuur van derden, die door Leverancier in het kader van de overeenkomst wordt geleverd.
2. Indien wordt vastgesteld dat de aanspraak gegrond is, zal Leverancier zorg dragen dat Royal FloraHolland het recht verkrijgt de Programmatuur te blijven gebruiken dan wel de Programmatuur zodanig wijzigen dat deze geen inbreuk meer maakt dan wel de Programmatuur vervangen. Een en ander zal niet tot gevolg hebben dat Royal FloraHolland wezenlijk wordt beperkt in het Overeengekomen gebruik.
48. Open source Programmatuur
1. Indien Leverancier bij de uitvoering van de opdracht (mede) gebruik maakt van open source Programmatuur, stelt hij zich vooraf op de hoogte van de kwaliteit daarvan en onderzoekt hij nauwgezet of en zo ja door wie en met welk resultaat daarop intellectueel eigendomsrechtelijke aanspraken zijn of naar redelijke verwachting gaan worden gemaakt. Leverancier vrijwaart Royal FloraHolland tegen elke vordering welke gebaseerd is op een beweerde inbreuk op een intellectueel of industrieel eigendomsrecht met betrekking tot de open source Programmatuur.
49. Privacy
1. Voor zover Leverancier in het kader van de uitvoering van de overeenkomst persoonsgegevens voor Royal FloraHolland verwerkt, wordt Leverancier als verwerker in de zin van de Algemene Verordening Gegevensbescherming aangemerkt. Onder persoonsgegevens wordt verstaan: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan
worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meerdere elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon. Partijen zullen een verwerkersovereenkomst cf. model Royal FloraHolland, zoals bedoeld in artikel 28 lid 3 van de AVG overeenkomen.
2. Leverancier draagt zorg voor voldoende kennis inzake de toepasselijke privacy wet- en regelgeving.
3. Leverancier zal Royal FloraHolland schriftelijk informeren over de wijze waarop hij uitvoering geeft aan zijn verplichtingen uit hoofde van toepasselijke privacy wet- en regelgeving.
4. Leverancier zal persoonsgegevens zoals die in het kader van de overeenkomst aan hem bekend worden, uitsluitend verwerken ter uitvoering van de overeenkomst en geheimhouding in acht nemen. Verwerking van persoonsgegevens buiten de EER behoeft uitdrukkelijke voorafgaande schriftelijke toestemming van Royal FloraHolland
50. Garanties
1. Leverancier is verplicht zich te vergewissen van de doelen waarvoor Royal FloraHolland de Programmatuur en/of Clouddienst wil gebruiken, bij gebreke waarvan het aangenomen wordt dat Leverancier volledig geïnformeerd is van dergelijke doelen en de omstandigheden waaronder de levering van de Programmatuur en/of Clouddienst plaats moet vinden.
2. Leverancier garandeert te allen tijde voor de gehele duur van de overeenkomst dat:
• a) De Programmatuur - ook bij piekbelasting - de overeengekomen eigenschappen bevat, zoals vastgelegd in de overeenkomst en voldoet aan de overeengekomen functionele en technische specificaties;
• b) De Programmatuur efficiënt, deugdelijk en onderling samenhangend is geschreven;
• c) De Programmatuur geen andere beveiligingsmaatregelen of functies of voor de Programmatuur vreemde elementen (zoals logic bombs, virussen; worms, etc.) bevat dan die in de Documentatie zijn vermeld;
• d) De Programmatuur onder gelijkblijvende omstandigheden niet leidt tot een hogere belasting van de apparatuur van Royal FloraHolland;
• e) De structuur van Maatwerkprogrammatuur zodanig is dat in het geval de Standaardprogrammatuur wordt gewijzigd deze met behulp van beperkte middelen en het behoud van de overeengekomen functionaliteit kan worden aangepast;
• f) Personeel van Leverancier voor de duur van de overeenkomst voldoet en zal blijven voldoen aan de overeengekomen kwaliteiten ten aanzien van opleiding, deskundigheid en ervaring;
• g) Leverancier staat er voor in dat de Programmatuur functioneert conform de overeengekomen beschikbaarheidsgarantie;
• h) Leverancier staat er voor in dat Gebreken worden verholpen binnen de overeengekomen hersteltijd;
• i) Leverancier staat er voor in dat de Programmatuur en/of Clouddienst tijdig wordt aangepast aan wijzigingen in relevante wet- en regelgeving;
• j) Leverancier garandeert dat hij de Programmatuur en/of Clouddienst minimaal de duur van de overeenkomst en in ieder geval tot 5 jaar na
de ingangsdatum van de overeenkomst zal onderhouden en door ontwikkelen en aan zal
passen aan de voortschrijdende technologische, maatschappelijke ontwikkelingen.
3. Indien Royal FloraHolland tijdens de looptijd van de overeenkomst op enig tijdstip constateert dat de Clouddienst en/of Programmatuur of delen daarvan niet voldoen aan voornoemde garanties, zal Royal FloraHolland Leverancier hiervan schriftelijk of per email en in spoedgevallen ook telefonisch op de hoogte stellen. Indien Leverancier van mening is dat Royal FloraHolland geen beroep kan doen op de garantiebepalingen, rust de bewijslast ter zake op Leverancier
51. Gebreken in de samenwerking met andere Programmatuur of apparatuur
1. Leverancier neemt op verzoek van Royal FloraHolland deel aan het overleg met door Royal FloraHolland aangewezen andere leveranciers van Royal FloraHolland indien op enige moment blijkt dat Programmatuur niet goed functioneert in samenhang met andere bij Royal FloraHolland in gebruik zijnde of te nemen Programmatuur en/of apparatuur.
2. Het overleg, zoals bedoeld in het vorige lid, is gericht op het achterhalen van de oorzaak van het onvoldoende in samenhang functioneren en het zo snel mogelijk vinden van een oplossing daarvoor. Leverancier verplicht zich ook mee te werken aan het uitwerken en bewerkstelligen van een oplossing. Aan het overleg en het uitwerken van de oplossing verbonden redelijke kosten komen voor rekening van Royal FloraHolland, tenzij het onvoldoende in samenhang functioneren toerekenbaar blijkt aan Leverancier.
52. Exit-procedure
1. Indien de Overeenkomst om welke reden dan ook (tussentijds) eindigt, is Leverancier verplicht op eerste verzoek van Royal FloraHolland alle maatregelen te nemen die redelijkerwijs noodzakelijk zijn om ervoor te zorgen dat een nieuwe leverancier of Royal FloraHolland zelf zonder belemmeringen de uitvoering van de Overeenkomst kan overnemen en/of een soortgelijke prestatie ten behoeve van Royal FloraHolland kan verrichten. Tevens retourneert Leverancier aan Royal FloraHolland onverwijld alle haar door Royal FloraHolland ter hand gestelde documenten, boeken, bescheiden en andere goederen (waaronder begrepen gegevens- en informatiedragers) en verwijdert Leverancier alle digitale kopieën hiervan. Leverancier draagt voor het sluiten van de Overeenkomst zorg voor een concept exit plan. Leverancier zorgt ervoor dat dit concept exit plan steeds up to date is. Op het moment dat duidelijk is dat de Overeenkomst om welke reden dan ook (tussentijds) zal eindigen, zal tijdig een compleet en definitief transitieplan worden opgesteld.
2. De exit-procedure wordt uitgevoerd tegen de in de overeenkomst bepaalde tarieven en condities. Indien zulks leidt tot het verlenen van extra diensten geldt dat Leverancier in beginsel het recht heeft de bedoelde diensten tegen de in de overeenkomst bepaalde tarieven en condities of bij Gebreke daarvan tegen markconforme tarieven bij Royal FloraHolland in rekening te brengen, mits daarover voorafgaande en schriftelijke overeenstemming is bereikt tussen Partijen. In het geval van beëindiging van de Overeenkomst wegens een tekortkoming van Leverancier, dient Leverancier deze extra diensten kosteloos te verrichten.
53. (Informatie)beveiliging
1. Leverancier draagt zorg voor passende, contractuele, fysieke, technische en organisatorische maatregelen om (persoons) gegevens te beveiligen tegen verlies, aantasting en tegen enige vorm van onrechtmatige verwerking. Deze maat- regelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend
beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn erop gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Leverancier zal de maatregelen schriftelijk vastleggen en op eerste verzoek aan Royal Floraholland toezenden.
2. Leverancier verbindt zich jegens Royal FloraHolland om het niveau van zijn technische en organisatorische (beveiligings) maatregelen te handhaven, waar mogelijk te verbeteren en te verfijnen en aan te passen aan de voortschrijdende technologische, maatschappelijke ontwikkelingen en wijzigingen in van wet- en regelgeving. Leverancier zal hiertoe actuele ontwikkelingen volgen en additionele voorzieningen treffen voor zover dat redelijkerwijs van hem kan worden verwacht.
3. Indien Royal FloraHolland aan Leverancier buiten het in dit artikel bepaalde kader verzoekt aanvullende beveiligings- maatregelen te treffen, zal Leverancier voor zover zulks binnen haar mogelijkheden ligt, aan dat verzoek voldoen.
4. Leverancier heeft een adequaat informatiebeveiligingsbeleid dat niet ouder is dan één jaar en voert dit beleid consequent uit. Securityprocessen en maatregelen zijn gedocumenteerd en aantoonbaar ingericht volgens in de ICT-branche algemeen erkende best practices. Leverancier beschikt voorts over een gedragscode inzake informatiebeveiliging voor haar medewerkers. Leverancier zal het meest recente informatiebeveiligingsbeleid en de meest recente gedragscode op eerste verzoek aan Royal FloraHolland overhandigen.
5. Leverancier zal Royal FloraHolland desgevraagd een independent assurance report leveren ten aanzien van door Leverancier geleverde diensten die een (in)directe relatie hebben met de financiële verslaglegging van Royal FloraHolland.
6. Leverancier heeft maatregelen getroffen op netwerk- en applicatieniveau om de dienstverlening aan Royal FloraHolland te beschermen tegen DDoS-aanvallen en cyberaanvallen.
7. Leverancier heeft een proces ingericht voor het managen van beveiligingsincidenten. Beveiligingsincidenten dienen onmiddellijk te worden gemeld bij de contactpersoon en Security Officer van Royal FloraHolland, zoals ook vermeld in de Verwerkersovereenkomst.
8. Het is Royal FloraHolland toegestaan om periodiek een beveiligingsonderzoek (of audit) uit te voeren of uit te doen voeren (right to audit). Leverancier zal hieraan zijn medewerking verlenen en Royal FloraHolland en/of een door haar aangewezen derde(n) toegang verlenen tot de benodigde Documentatie en/of systemen. Het rapport met bevindingen zal aan Leverancier ter beschikking worden gesteld. Leverancier zal alle bevindingen zo spoedig mogelijk (kosteloos) oplossen.
9. Leverancier heeft een proces geïmplementeerd om te waarborgen dat haar toeleveranciers aan de door Royal FloraHolland gestelde beveiligingseisen voldoen. Leverancier geeft Royal FloraHolland op eerste verzoek inzage in dit proces en de daaruit voortvloeiende rapportages. Leverancier zal haar toeleveranciers bovendien op verzoek van Royal FloraHolland vragenlijsten laten invullen met betrekking tot de beheersing van informatiebeveiliging.
10. Leverancier die remote toegang verkrijgt tot de systemen en/ of data van Royal FloraHolland, voert een geformaliseerd en gedocumenteerd autorisatieproces uit voor beheer- en gebruikersaccounts. Minimaal eens per kwartaal wordt de toegang tot de informatiesystemen gecontroleerd op geldigheid en indien nodig worden rechten ingetrokken. Beheer- en gebruikersaccounts, passwords, tokens, etc. zijn individueel toegewezen en mogen niet worden gedeeld met andere personen.
11. Indien sprake is van privileged account, heeft Leverancier een privileged access management proces ingericht dat voorziet in additionele beveiligingsmaatregelen voor privileged accounts. Hieronder vallen in ieder geval maatregelen met betrekking tot multifactor authenticatie, just-in-time toegang verlenen en monitoren van het gebruik van privileged accounts
54. Beveiliging met betrekking tot ontwikkeling en onderhoud Maatwerkprogrammatuur
1. Leverancier ontwikkelt Maatwerkprogrammatuur volgens “security & privacy by design”. Hierbij wordt specifieke aandacht besteed aan invoervalidatie, authenticatie en autorisatie, logging, audit trail, foutafhandeling.
2. Een log of audit trail legt in ieder geval de volgende gebeurtenissen vast: (a) administratieve gebeurtenissen en veranderingen in de configuratie; (b) (pogingen tot het) veranderen en verwijderen van (vertrouwelijke) gegevens; (c) verdachte acties zoals herhaalde autorisatie-blokkades. Een gelogde gebeurtenis bevat tenminste de volgende informatie: (i) de actie die is uitgevoerd; (ii) de identiteit van de gebruiker en het IP-nummer; (iii) het moment wanneer de gebeurtenis voorkomt (tijdstempel); en (iv) een referentie en verwijzing naar het object waar de wijziging op van toepassing is.
3. Maatwerkprogrammatuur wordt door Leverancier ontwikkeld en onderhouden op basis van de standaarden van het Open Web Application Security Project (OWASP). Leverancier zal periodiek testen of deze standaarden op een juiste wijze worden nageleefd.
4. Leverancier dient ervoor zorg te dragen dat de ontwikkel-, test-, acceptatie- en productieomgevingen dusdanig van elkaar gescheiden zijn, dat de productieomgeving niet (ongecontroleerd) vanuit andere omgevingen kan worden beïnvloed. Leverancier dient zorg te dragen voor een gecontroleerde overdracht van ontwikkelde Maatwerkprogrammatuur tussen de ontwikkel-, test-, acceptatie- en productieomgevingen. Deze overdracht kan pas plaatsvinden na succesvolle afronding van de overeengekomen test- en acceptatieprocedures.
5. Leverancier heeft een proces ingericht om de Maatwerkprogrammatuur periodiek op kwetsbaarheden te testen en kwetsbaarheden tijdig te adresseren.
55. Beveiliging met betrekking tot hosting van informatiesystemen en/of Royal FloraHolland gegevens
1. Gegevens van (en met betrekking tot) Royal FloraHolland mogen uitsluitend worden verwerkt binnen de EER.
2. Leverancier voert periodiek beveiligingsonderzoeken uit op de omgeving. Rapportages over deze beveiligingsonderzoeken worden op verzoek beschikbaar gesteld aan Royal FloraHolland.
November 2022
Coöperatie Royal FloraHolland U.A. Legmeerdijk 313
1431 GB AALSMEER