Algemene Voorwaarden, Serviceovereenkomst en Verwerkersovereenkomst
Algemene Voorwaarden, Serviceovereenkomst en Verwerkersovereenkomst
Fortes is erop gericht om haar dienstverlening en de samenwerking met haar klanten continu verder te optimaliseren. Dit kan betekenen dat wij aanpassingen maken in onze dienstverlening. Als dit grote wijzigingen zijn, zullen wij deze altijd aan onze klanten kenbaar maken, bijvoorbeeld met een speciale nieuwsbrief of een gerichte e-mail.
Omdat wij een standaard applicatie (Fortes Change Cloud) en standaard dienstverlening leveren, is de Verwerkersovereenkomst opgenomen in deze Algemene Voorwaarden en Serviceovereenkomst. De definities die wij hiervoor gebruiken, sluiten aan bij de AVG. Wij verwerken alleen persoonsgegevens in opdracht van de klant en om de overeenkomst uit te voeren.
V3.0
Augustus 2022
Inhoud
1 OVER DEZE ALGEMENE VOORWAARDEN, SERVICEOVEREENKOMST EN VERWERKERSOVEREENKOMST
3
4
2.4 Automatische verlenging van lopende contractperiode en beëindiging van overeenkomst 4
5
3.2 Beroeps- en Bedrijfsaansprakelijkheidsverzekering 5
6
4.3 Implementatie en consultancy 6
7
5.1 Algemene informatie met betrekking tot ondersteuning en incidenten 7
5.2 Registratie van incidenten 7
5.3 Prioriteiten en responsetijden 7
5.4 Beschikbaarheid van het Customer Support Center 8
5.5 Extra ondersteuning buiten werktijd 8
9
6.1 Ontwikkeling en versiebeheer 9
10
7.4 TOEGANGSBEVEILIGING (GEBRUIKERSAUTHENTICATIE) 10
7.7 Beperkte beschikbaarheid door onderhoud 10
7.9 Ontwikkel-, Test- en Acceptieomgevingen 11
8 VERWERKERSOVEREENKOMST FORTES CHANGE CLOUD
12
15
9.1 Toepasselijk recht en geschillen 15
1 Over deze Algemene Voorwaarden, Serviceovereenkomst en Verwerkersovereenkomst
Als je zaken doet met Fortes Solutions BV (Fortes) begrijpen we dat je wilt weten wat je van ons kunt verwachten. Daarom hebben wij deze “Algemene Voorwaarden, Serviceovereenkomst en Verwerkersovereenkomst” opgesteld, waarin we onze dienstverlening, inclusief verwerking van persoonsgegevens, duidelijk beschrijven. Wij willen graag zo transparant mogelijk zijn. Daarom hebben we geen aparte Algemene Voorwaarden of Verwerkersovereenkomst met juridische artikelen en uitzonderingen. Iedereen moet onze overeenkomsten goed kunnen begrijpen. Individuele afspraken die in het contract staan, zijn ook van toepassing en zijn leidend als deze strijdig zijn met dit document. Als er toch iets niet helemaal duidelijk is, horen we dat graag.
1.1 Wijzigingen
Fortes is erop gericht om haar dienstverlening en de samenwerking met haar klanten continu verder te optimaliseren. Dit kan betekenen dat wij wijzigingen maken in onze dienstverlening. Als dit grote wijzigingen zijn, zullen wij deze altijd aan onze klanten kenbaar maken, bijvoorbeeld met een speciale nieuwsbrief of een gerichte e-mail.
2 Overeenkomst
De overeenkomst die we hebben, geldt voor de duur van twaalf (12) maanden tenzij er een andere afspraak is gemaakt in het contract. Als je deze overeenkomst aangaat, krijg je een licentie voor het gebruik van de software applicatie Fortes Change Cloud. Voor deze licentie ontvang je jaarlijks een factuur vooraf.
2.1 Licentie
In de licentie zijn de productonderdelen die je afneemt met bijbehorende aantallen, zoals gebruikers, editie en omgevingen opgenomen. Je mag de licentie alleen gebruiken voor je eigen organisatie. Wijzigingen in de licentie kunnen telefonisch of via e-mail (xxxxx@xxxxxx.xx) worden aangevraagd, rekening houdend met een eventuele opzegtermijn.
2.2 Service
Zolang de overeenkomst duurt, heb je ook recht op service (Customer Support en Product Updates).
2.3 Prijsbepaling
Fortes heeft het recht om de prijzen jaarlijks te indexeren op basis van het consumentenprijsindexcijfer (CPI) van het Centraal Bureau voor de Statistiek (CBS).
2.4 Automatische verlenging van lopende contractperiode en beëindiging van overeenkomst
Na afloop van de contractperiode wordt het contract telkens automatisch verlengd voor een periode van één (1) jaar tenzij je de overeenkomst tenminste twee (2) maanden voor het aflopen van de dan geldende periode per e- mail of brief opzegt of als er een andere afspraak is gemaakt in het contract.
Wij hebben het recht de overeenkomst te beëindigen als jij je verplichtingen niet nakomt, surseance van betaling of een faillissement hebt aangevraagd. Ook jij kunt de overeenkomst beëindigen als wij onze verplichtingen uit de overeenkomst niet nakomen. Beide partijen krijgen de gelegenheid hun verplichtingen alsnog na te komen.
Hoe gaan we om met klantdata na beëindiging van de overeenkomst?
Vóór beëindiging kun je alle gegevens in gebruikelijke formats (zoals MS-Excel, CSV en PDF) exporteren. Wij bewaren een back-up van alle gegevens op de productieomgeving. Na 30 dagen verwijderen we deze gegevens definitief. Op verzoek kunnen we de data ook eerder verwijderen. Gegevens blijven volledig beschikbaar als je het abonnement met minder gebruikers voortzet.
2.5 Facturatie
Fortes factureert:
- Licenties: vooraf, per jaar;
- Consultancy: maandelijks op basis van nacalculatie of via afgesproken termijnen; De betalingstermijn is 30 dagen na factuurdatum.
3 Aansprakelijkheid
3.1 Aansprakelijkheid
Wij garanderen dat Fortes Change Cloud voldoet aan de specificaties die wij opgeven. In geval van fouten zullen wij deze altijd zo snel mogelijk herstellen. Tenzij daar een expliciete afspraak over is gemaakt, kunnen wij helaas geen garantie afgeven dat onze software aan alle doelen zal voldoen die jij hebt. Als deze doelen kenbaar worden gemaakt, kunnen wij daar natuurlijk wel over meedenken. Wij besteden grote zorg aan een juiste werking van Fortes Change Cloud en een correcte uitvoering van onze dienstverlening.
Mocht ondanks deze inspanningen het gebruik van de Fortes Change Cloud leiden tot schade waarvoor wij aansprakelijk worden gesteld, dan is onze aansprakelijkheid beperkt tot het laagste van de volgende twee bedragen:
Eerste bedrag: € 1.000.000,-- per gebeurtenis of serie van gebeurtenissen met gemeenschappelijke oorzaak
waarbij het samengesteld nooit hoger kan zijn dan € 2.000.000,- per kalenderjaar.
Tweede bedrag: het totale bedrag dat wij aan jou in rekening hebben gebracht voor Licenties in de twaalf (12) maanden voorafgaand aan de gebeurtenis.
Wij sluiten onze aansprakelijkheid uit voor indirecte schade (dit is onder meer, maar niet beperkt tot: gederfde omzet, gederfde winst en gemiste kansen).
Wij kunnen geen beroep doen op de aansprakelijkheidsbeperkingen als er sprake is van opzettelijk of bewust roekeloos handelen van Fortes of onze medewerkers. Onze aansprakelijkheid is uitgesloten als jij of door jou ingeschakelde derden wijzigingen in onze producten hebben aangebracht, wat niet is toegestaan. Fortes en de klant zijn niet aansprakelijk ten opzichte van elkaar als er sprake is van overmacht in de zin van de wet. Onder overmacht wordt ook verstaan: overmacht bij toeleveranciers van partijen, ondeugdelijke nakoming van verplichtingen van toeleveranciers die door jou als klant aan ons zijn voorgeschreven, storingen in het elektriciteitsnet en storingen die dataverkeer belemmeren voor zover de oorzaak daarvan niet is te wijten aan partijen zelf.
3.2 Beroeps- en Bedrijfsaansprakelijkheidsverzekering
Wij hebben een gecombineerde Beroeps- en Bedrijfsaansprakelijkheidsverzekering voor uitzonderlijke calamiteiten die wij zelf niet kunnen of willen dragen.
Als je een klacht of claim hebt, is het zaak dat je die zo snel mogelijk bij ons meldt. Wij kunnen dan direct aan de slag om een oplossing te vinden. Bovendien moeten wij een claim ook melden bij onze verzekeraar. Wat er ook misgaat, wij willen altijd in goed overleg de juiste oplossing vinden.
4 Dienstverlening
Om het maximale uit Fortes Change Cloud te halen, is het van belang om deze vanaf het begin goed in te richten. Wij ondersteunen jou bij het implementeren van Fortes Change Cloud met consultants. Om goed met Fortes Change Cloud te kunnen werken, is het noodzakelijk dat de gebruikers trainingen of workshops volgen. Wij hebben geselecteerde partners waarmee wordt samengewerkt voor het ondersteunen van klanten gedurende de implementatie en daarna.
4.1 Customer Support
4.2 Accountmanager
4.3 Implementatie en consultancy
Wij benoemen een lead consultant voor de begeleiding van het implementatietraject. Deze stelt samen met jou een projectplan op met de planning, doelstellingen en verantwoordelijkheden. Jij zorgt ervoor dat er een contactpersoon beschikbaar is om mee samen te werken aan het succes van het traject. Incidentele of aanvullende consultancywerkzaamheden van één (1) of meer losse dagen kun je in overleg met de accountmanager plannen. Een consultancywerkdag is effectief acht (8) uur, een halve dag vier (4) uur.
Consultancy draagt de klant over aan het Customer Support Center zodra het implementatieproject is afgerond.
4.4 Trainingen
Om goed met Fortes Change Cloud te kunnen werken, is het noodzakelijk dat de gebruikers trainingen en/of workshops volgen. Deze worden gefaciliteerd door onze geselecteerde partners.
4.5 Functioneel beheer
Om zorg te dragen voor continu goed ingerichte software en beheer hiervan, is het goed beleggen en inrichten van functioneel beheer bij jou als klant van groot belang. Wij verwachten van onze klanten dat minimaal één (1) persoon in de klantorganisatie wordt aangewezen voor het uitvoeren van het functioneel beheer van onze software.
5 Customer Support Center
5.1 Algemene informatie met betrekking tot ondersteuning en incidenten
De medewerkers van ons Support Center verhelpen problemen en beantwoorden vragen over Fortes Change Cloud. Elke melding aan het Support Center wordt een ‘incident’ genoemd. Een incident kan een fout, storing, wens of gebruikersvraag zijn. Geregistreerde gebruikers en beheerders van Fortes Change Cloud kunnen via de Customer Support Portal een incident registreren en contact opnemen met het Support Center voor ondersteuning.
Voorwaarden voor het ontvangen van support zoals beschreven in deze Serviceovereenkomst zijn:
- Je dient de applicatie te gebruiken conform het bedoelde gebruik;
- Je dient ons naar redelijkheid ondersteuning te geven voor het oplossen van het incident;
- Je dient ons toegang te geven tot systemen indien noodzakelijk om het probleem te kunnen analyseren en/of op te lossen.
Onder onze support en bijbehorende responsetijden vallen niet: werkzaamheden op locatie van de klant, installatie van updates/patches, advies of ondersteuning voor externe systemen/software, het analyseren/oplossen van problemen als gevolg van hardware en/of operating systemen van de klant (tenzij ontstaan door direct toedoen van Fortes).
5.2 Registratie van incidenten
Wij verwachten dat je altijd eerst de Customer Support Portal en alle overige beschikbare documentatie (online/print) raadpleegt. Wanneer er geen oplossing voorhanden is, kun je direct online een incident voor het Support Center registreren via de Customer Portal. Elk incident krijgt door de supportmedewerker een prioriteit toegekend die bepalend is voor de afhandeling van het incident. Bij een acute situatie kan de klant na het registreren van het incident op de Customer Support Portal direct telefonisch contact zoeken met het Support Center, maar in alle gevallen dient het incident op gedetailleerde wijze gemeld te worden via de Customer Support Portal.
Via de Customer Support Portal kun je de afhandeling van het incident volgen. Bij elke statuswijziging krijg je hiervan een update per e-mail. Je bent betrokken bij de afhandeling van het incident en je kunt een reactie en andere aanvullende informatie eraan toevoegen.
5.3 Prioriteiten en responsetijden
Elk incident krijgt een prioriteit toegewezen. Deze wordt toegekend door de supportmedewerker die het incident in behandeling neemt. De richtlijnen voor prioritering en bijbehorende responsetijden zijn als volgt.
Urgent (Prio 1)
Een urgent incident impliceert dat de applicatie in het geheel niet gebruikt kan worden of functioneel zodanig verstoord is dat de applicatie niet gebruikt kan worden. Bedrijfskritieke taken kunnen niet uitgevoerd worden. Bij deze incidenten zullen wij continu bezig zijn met het realiseren van een (tijdelijke) oplossing. Een tijdelijke oplossing zal later omgezet worden naar een definitieve oplossing, indien van toepassing. Je wordt minimaal tweemaal per dag op de hoogte gehouden. Eerste response binnen 1 uur, inhoudelijk binnen 4 werkuren.
Hoog (Prio 2)
Een incident met hoge prioriteit impliceert dat de functionaliteit van de applicatie serieus aangetast is maar er wel doorgewerkt kan worden. Belangrijke taken kunnen niet uitgevoerd worden. Bij deze incidenten zullen wij zo spoedig mogelijk een (tijdelijke) oplossing realiseren. Een tijdelijke oplossing zal later omgezet worden naar een definitieve oplossing, indien van toepassing. Je wordt minimaal éénmaal per dag op de hoogte gehouden. Eerste response binnen 4 werkuren, inhoudelijk binnen 8 werkuren.
Normaal (Prio 3)
Een incident met normale prioriteit raakt het dagelijks gebruik, maar er kan wel normaal doorgewerkt worden. Belangrijke taken kunnen worden uitgevoerd. Bij deze incidenten zullen wij een oplossing realiseren op de kortst mogelijke termijn, rekening houdend met planning en beschikbaarheid. Je wordt minimaal één keer per week op de hoogte gehouden tijdens het analyseren van het probleem en bepalen van de oplossing. Eerste response binnen 8 werkuren, inhoudelijk binnen 16 werkuren.
Laag (Prio 4)
Een incident met lage prioriteit heeft geen effect op het dagelijks gebruik. Bij deze incidenten zullen wij naar redelijkheid een oplossing realiseren, rekening houdend met planning en beschikbaarheid. Je wordt minimaal één keer per twee weken op de hoogte gehouden tijdens het analyseren van het probleem en het bepalen van de oplossing. Eerste response binnen 16 werkuren, inhoudelijk binnen 96 werkuren.
Een gelijksoortig incident voor niet-productieomgevingen (OTA-omgevingen) wordt één niveau lager geclassificeerd.
5.4 Beschikbaarheid van het Customer Support Center
Via de Customer Support Portal kan 24/7 actuele en relevante informatie geraadpleegd worden, welke voorziet in antwoorden op het merendeel van de gestelde vragen. Telefonisch is het Support Center bereikbaar op maandag t/m vrijdag van 09:00 uur - 17:00 uur (Nederlandse tijd), met uitzondering van algemene Nederlandse feestdagen.
5.5 Extra ondersteuning buiten werktijd
Voor ondersteuning tijdens kritische momenten buiten bovengenoemde reguliere beschikbaarheid van het Customer Support Center is het mogelijk extra ondersteuning van het Support Center te krijgen (bijvoorbeeld voor ondersteuning bij het upgraden van systemen die niet door ons gehost worden). Dit moet minimaal vijf (5) werkdagen van tevoren aangevraagd worden via de accountmanager. De extra ondersteuning wordt op basis van nacalculatie verrekend.
5.6 Toegang klantomgeving
Tijdens het afhandelen van een incident kan een medewerker van het Support Center op verschillende wijzen toegang vragen tot de klantomgeving:
- Door op afstand met jou mee te kijken via schermdeel software zoals TeamViewer.
- De supportmedewerker vraagt een back-up van de klantomgeving op voor intern onderzoek.
- Je geeft de supportmedewerker tijdelijke toegang tot de klantomgeving waarbij je zelf het autorisatieniveau bepaalt.
6 Product
6.1 Ontwikkeling en versiebeheer
Wij zorgen ervoor dat je met de meest recente versie van Fortes Change Cloud kunt werken. Wettelijke wijzigingen en noodzakelijke updates worden alleen doorgevoerd in de laatste versie van de programmatuur. Elke uitlevering wordt voorzien van release notes waarin wordt beschreven welke onderdelen zijn aangepast. De verwachte installatie van een nieuwe versie wordt van tevoren aangekondigd en met jou afgestemd.
6.2 Eigendomsrechten
Wij ontwikkelen en leveren het software product Fortes Change Cloud. Het intellectuele eigendomsrecht van Fortes Change Cloud berust (en blijft berusten) bij Fortes. Jij mag Fortes Change Cloud gedurende de looptijd van de overeenkomst alleen voor je eigen organisatie gebruiken onder de afgesproken voorwaarden. Als een derde beweert dat het intellectuele eigendomsrecht van de programmatuur bij hem ligt, zal Fortes jou vrijwaren. Een voorwaarde daarvoor is wel, dat jij ons hierover zo spoedig mogelijk informeert, medewerking verleent aan onderzoek en de afhandeling van de zaak verder geheel overlaat aan Fortes. Wanneer de rechter heeft vastgesteld dat het intellectuele eigendom inderdaad bij een derde ligt, zullen wij ervoor zorgen dat jij gebruik kunt blijven maken van de programmatuur of jou voorzien van gelijkwaardige software.
6.3 Lokale installatie
Je kunt ervoor kiezen om Fortes Change Cloud lokaal te installeren (dit wordt niet geadviseerd). Je bent in dat geval zelf verantwoordelijk voor de installatie en het updaten van Fortes Change Cloud. Het oplossen van incidenten kan bij lokale installaties een langere doorlooptijd tot gevolg hebben. Voor advies en ondersteuning van de lokale infrastructuur kun je gebruik maken van onze diensten, welke op basis van afzonderlijke afspraken rechtstreeks in rekening worden gebracht.
Systeemeisen en productondersteuning
De systeemeisen en productondersteuning die noodzakelijk zijn voor een goede werking van Fortes Change Cloud staan beschreven in de documentatie die te vinden is op de Customer Service Portal. Je dient ervoor te zorgen dat je infrastructuur hiermee minimaal in overeenstemming is.
Licentiecode
Bij een lokale installatie ontvang je elke twaalf maanden een nieuwe licentiecode waarin de aangeschafte productonderdelen van Fortes Change Cloud met bijbehorende aantallen (o.a. gebruikers, editie) versleuteld zijn.
7 Fortes Change Cloud
Onze software producten zijn betrouwbaar en veilig. Wij werken samen met externe partijen voor het beschikbaar stellen van Fortes Change Cloud. De datacenters waar onze servers gehuisvest zijn, bevinden zich in Europa en vallen onder Europese wet- en regelgeving. Zij voldoen aan de strengste eisen op het gebied van fysieke beveiliging.
7.1 Beschikbaarheid
Het software product Fortes Change Cloud heeft een beschikbaarheid van 99,9% of beter. De beschikbaarheid en performance van Fortes Change Cloud wordt continu gemonitord. Als er sprake is van een storing dan zul je hierover per e-mail worden geïnformeerd en op de hoogte worden gehouden over het verloop van de storing.
Naast niet beschikbaar zijn door verstoringen kan er sprake zijn van niet beschikbaar zijn van Fortes Change Cloud in de volgende situaties (niet meetellend voor de beschikbaarheid van 99,9% zoals hierboven vermeld):
- Vooraf aangekondigd preventief onderhoud
- Installeren nieuwe versie Fortes Change Cloud
- Gepland onderhoud dat met de klant is overeengekomen
- Calamiteiten als gevolg van natuurrampen en andere overmacht situaties
7.2 Performance
Fortes Change Cloud behoort een goede performance te hebben. De uiteindelijke performance is mede afhankelijk van jouw internetverbinding en inrichting van jouw Fortes Change Cloud omgeving. Bij performancehinder kan contact gezocht worden met het Support Center. Lokale installaties worden op basis van best effort ondersteund, zonder dat daarbij garanties voor performance kunnen worden gegeven aangezien deze mede afhankelijk is van de hardware van de klant.
7.3 Beveiliging
Wij zorgen voor de juiste inzet van middelen, methoden en technieken om de beschikbaarheid, integriteit en vertrouwelijkheid van Fortes Change Cloud te waarborgen. Controle op misbruik is onderdeel van de (dagelijkse) standaard monitoringswerkzaamheden. Het gehele systeem van informatiebeveiliging is gecontroleerd door een externe auditor en ISO 27001 gecertificeerd. Ook de datacenters waar Fortes Change Cloud wordt gehost, zijn ISO 27001 gecertificeerd. Meer informatie over de datacenters kan op verzoek beschikbaar gesteld worden.
7.4 Toegangsbeveiliging (gebruikersauthenticatie)
Elke gebruiker heeft een persoonlijk profiel gekoppeld aan een unieke gebruikersnaam. Wij adviseren om voor gebruikersauthenticatie gebruik te maken van de techniek Single-Sign-On (SSO) zodat gebruikers maar één keer hoeven in te loggen. Dit is veiliger en handiger voor gebruikers. Wij kunnen ondersteuning leveren bij het koppelen van de Fortes applicatie aan Single-Sign-On (SSO). Eventueel kan Fortes Change Cloud ook werken op basis van gebruikersnaam en een specifiek wachtwoord.
7.5 Continuïteit
Wij beschikken over calamiteitenprocedures om verlies van data door systeemuitval, fysieke vernietiging of anderszins te voorkomen en het herstel van data te bevorderen. Onze servers en infrastructuur zijn volledig redundant uitgevoerd en verdeeld over meerdere datacenters.
7.6 Monitoring
Wij monitoren systemen, processen en gebruikers 24/7 met als doel:
- Storingen te voorkomen of in een vroeg stadium op te lossen. Monitoring is gericht op het tijdig ontdekken van storingen en ongewenst gedrag.
- Verzamelen van algemene gebruikersstatistieken, zoals responsetijden. Deze informatie wordt geanalyseerd en mogelijk ter verbetering besproken met de klant.
- Verzamelen van anonieme statistieken uit de klantomgeving ter verbetering van producten en diensten.
7.7 Beperkte beschikbaarheid door onderhoud
Je wordt bij voorkeur zeven (7) dagen van tevoren en minimaal één (1) dag van tevoren geïnformeerd als Fortes Change Cloud (mogelijk) niet of beperkt beschikbaar is door onderhoudswerkzaamheden. Deze werkzaamheden worden regulier uitgevoerd tussen 20:00 uur en 07:00 uur of in het weekend. De werkzaamheden worden, indien
vereist, in overleg met de klant gepland. Incidentele patches en hotfixes kunnen automatisch en zonder
vooraankondiging ‘s nachts worden uitgevoerd.
7.8 Back-up & restore
Van de productieomgeving wordt elke nacht een back-up gemaakt; de ontwikkel-, test- of acceptatieomgevingen (OTA) worden wekelijks geback-upt. Deze back-ups hebben een retentie van 30 dagen en kunnen op verzoek teruggezet worden. Hiervoor kunnen kosten in rekening worden gebracht.
7.9 Ontwikkel-, Test- en Acceptieomgevingen
In overleg met Fortes kunnen OTA omgevingen beschikbaar worden gesteld. Deze omgevingen worden voornamelijk gebruikt om een nieuwe versie van Fortes Change Cloud te testen. Op het OTA systeem wordt een kopie van de productieomgeving geplaatst. Een nieuwe ontwikkel-, test- of acceptatieomgeving (of een refresh hiervan) kan via het Support Center aangevraagd worden. Het OTA-systeem en support daarop is niet standaard bij de licentie op Fortes Change Cloud inbegrepen, hieraan kunnen aanvullende kosten verbonden zijn.
7.10 Fair use
Wij hanteren een "fair use principe". Dit wordt toegepast op het gebruik en de inzet van onderdelen van Fortes Change Cloud anders dan waarvoor ze bedoeld zijn. Xxx nemen contact met je op wanneer in strijd met het fair use principe gehandeld wordt en zullen in overleg met jou zoeken naar een oplossing. Pas wanneer in overleg met jou geen oplossing gevonden kan worden, hebben wij het recht om het gebruik van Fortes Change Cloud te stoppen.
8 Verwerkersovereenkomst Fortes Change Cloud
Fortes verwerkt persoonsgegevens voor en in opdracht van de klant. De Algemene Verordening Gegevensbescherming merkt Fortes daarom aan als 'verwerker' en de klant aan als 'verantwoordelijke'. In de zin van deze wet Algemene Verordening Gegevensbescherming is vereist dat Fortes en de klant een verwerkersovereenkomst sluiten. Omdat wij een standaard applicatie (Fortes Change Cloud) en standaard dienstverlening leveren, is de Verwerkersovereenkomst opgenomen in deze Algemene Voorwaarden en Serviceovereenkomst. De definities die wij hiervoor gebruiken, sluiten aan bij de AVG. Wij verwerken alleen persoonsgegevens in opdracht van jou en om de overeenkomst uit te voeren.
8.1 Instructies verwerking
Onze verwerking bestaat uit het beschikbaar stellen van onze applicaties met daarin beschikbaar de door jou ingevoerde en gegenereerde data. Wij zullen geen gegevens toevoegen, aanpassen of verwijderen zonder schriftelijke instructie. Die instructie kun je geven via een verzoek of via de applicatie.
Binnen onze software kun je verschillende soorten persoonsgegevens vastleggen. Deze en eventueel nog zelf aan te maken persoonsgegevens of categorieën kan je invoeren in onze software. Deze gegevens worden door ons verwerkt. Je bent zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking bij onze dienstverlening past.
Wij verzamelen gegevens over het gebruik van onze producten. Hierdoor krijgen wij een beter inzicht of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden en kunnen wij onze producten en dienstverlening verbeteren. Wij zullen deze gegevens niet voor een ander doel gebruiken of zonder jouw expliciete toestemming aan derden verstrekken. Wij kunnen jouw gegevens wel aan derden verstrekken voor zover wij daartoe op basis van wettelijke bepalingen verplicht zijn. Wij nemen verschillende maatregelen om de klantdata optimaal te beschermen. Door het toepassen van zowel administratieve als technische systemen hebben alleen geautoriseerde gebruikers toegang.
Alle klantdata wordt per klant apart opgeslagen. Alleen beheerders van Fortes hebben de mogelijkheid om toegang tot alle klantdata te verkrijgen. De datacenters waar onze servers gehuisvest zijn, bevinden zich in West- Europa en voldoen aan de strengste eisen op het gebied van fysieke beveiliging.
8.2 Geheimhoudingsplicht
We zijn ons ervan bewust dat de informatie die je met ons deelt en opslaat binnen Fortes Change Cloud een geheim en bedrijfsgevoelig karakter heeft. Onze medewerkers zullen, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met jouw informatie omgaan.
8.3 Privacy rechten
Wij hebben geen zeggenschap over de persoonsgegevens die je beschikbaar stelt. Xxxxxx jouw expliciete toestemming of wettelijke verplichting verstrekken wij geen gegevens aan derden. Ook verwerken we ze niet voor andere doeleinden dan afgesproken. Je garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag. Voor zover vereist op grond van toepasselijke wet- en regelgeving mogen auditors (intern of extern) van de klant (of door de toezichthouder ingehuurde auditors) audits doen om te controleren of wij voldoen aan de voorwaarden en bepalingen zoals die in de overeenkomst, toezichtregels en/of toepasselijke dwingende wetgeving staan. Wij informeren je zo snel mogelijk over een dergelijke audit, tenzij dit verboden is.
8.4 Betrokkenen
Je bent zelf verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en voor het informeren en bijstaan van de rechten van de betrokkenen. Wij gaan nooit in op verzoeken van betrokkenen en verwijzen altijd naar de verantwoordelijke. Als een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving voor de verwerking van persoonsgegevens, helpen wij je altijd, als dat binnen de applicatie kan, zodat jullie aan wettelijke verplichtingen kunnen voldoen.
8.5 Beveiliging
Wij doen er op technisch en organisatorisch vlak alles aan om je persoonsgegevens te beveiligen tegen verlies of andere onrechtmatige verwerking. Wij zijn daarvoor ISO 27001 gecertificeerd. Deze maatregelen zijn de basis voor een passend beveiligingsniveau dat aansluit bij de AVG. Wij zullen je altijd helpen om verplichtingen rondom de AVG en andere wet- en regelgeving voor de verwerking van persoonsgegevens goed in te vullen. In overleg kun je tijdens de looptijd van de overeenkomst een audit laten uitvoeren. Dit is op eigen kosten.
Wij zijn aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van Fortes of de subverwerker. Hierbij geldt de aansprakelijkheidsbeperking uit het hoofdstuk Aansprakelijkheid. Wij kunnen geen beroep doen op een aansprakelijkheidsbeperking voor een verhaalsactie op grond van artikel 82 van de AVG.
8.6 Subverwerkers
Wij verwerken klantdata in datacenters van onze subverwerker, Equinix B.V. (KvK: 24429748). Hun datacenters staan uitsluitend in Nederland en vallen onder Nederlandse wet- en regelgeving. Ze voldoen aan de strenge Nederlandse en Europese wetgeving voor logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door ons en onze subverwerker alleen binnen de Europese Economische ruimte verwerkt. Voor ons en onze subverwerker(s) gelden dezelfde verplichtingen.
In de optionele Premium Editie van Fortes Change Cloud maken we gebruik van PowerBI Embedded (Microsoft Azure service) voor het leveren van management dashboards. Deze worden geleverd vanuit Microsoft datacenters in West-Europa. Microsoft Ireland Operations Ltd (KvK: IE8256796) is hiermee ook een subverwerker.
Wij laten nieuwe subverwerkers geen gegevens verwerken zonder je er tijdig (minimaal 4 weken van tevoren) over te informeren. Je kunt bij ons ook altijd bezwaar maken tegen een subverwerker. Deze bezwaren handelen wij op directieniveau af. Als wij de nieuwe subverwerker toch gegevens laten verwerken, kun je de overeenkomst per direct beëindigen.
8.7 Meldplicht datalekken
Indien blijkt dat bij Fortes sprake is van een datalek (als bedoeld in artikel 33 van de Algemene Verordening Gegevensbescherming) dat door jou als klant gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zullen wij jou daarover zo snel mogelijk informeren nadat wij bekend zijn geworden met het datalek. Wij probetren jou direct alle informatie te verstrekken die je nodig hebt om een volledige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene te verrichten. Indien deze informatie nog niet bekend is (bijvoorbeeld omdat het datalek door ons wordt onderzocht), zullen wij jou de informatie verstrekken die je nodig hebt om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene te kunnen verrichten.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene over een datalek bij Fortes, terwijl zonder meer voor de klant duidelijk is dat bij Fortes geen sprake is van een datalek als bedoeld in artikel 33 van de Algemene Verordening Gegevensbescherming, dan is de klant aansprakelijk voor alle door Fortes in dat kader geleden schade en kosten (waaronder begrepen de reputatieschade welke Fortes daardoor lijdt). De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
We verzoeken je, als je een (voorlopige) melding bij de AP en/of de betrokkene(n) doet over een datalek bij Fortes, ons eerst te informeren. We kunnen dan samen de juiste beslissingen nemen over de te nemen acties.
Bepaling datalek
Voor het bepalen van een inbreuk in verband met persoonsgegevens, gebruiken we de AVG en de Beleidsregels meldplicht datalekken als leidraad.
Melding aan de klant
Wanneer wij een beveiligingsincident of datalek hebben, hoor je dat zo snel mogelijk nadat dit bij ons bekend is. Om dit ook waar te maken, kunnen al onze medewerkers een datalek melden via de interne procedure (workflow). Wij verwachten ook van opdrachtnemers dat zij ons hierbij helpen. Voor de duidelijkheid: wij melden een datalek bij een subverwerker uiteraard ook. In dat geval zijn wij je contactpunt.
Termijn van informeren
Volgens de AVG moet een beveiligingslek ‘onverwijld’ gemeld worden. Dit is volgens de AP zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking door de verantwoordelijke. Bij een beveiligingsincident informeren we je zo snel mogelijk, maar uiterlijk binnen 48 uur na de ontdekking. Je moet zelf beoordelen of het beveiligingsincident valt onder de term ‘datalek’ en of een melding aan de AP nodig is. Nadat je door ons op de hoogte bent gesteld, heb je hiervoor 72 uur de tijd.
Informatie verstrekken
Wij proberen je altijd direct alle informatie te geven voor een eventuele melding bij de AP en/of de betrokkene(n).
Voortgang en maatregelen
Wij informeren je over de voortgang en onze maatregelen. Hierover maken we afspraken met de primaire contactpersoon bij de melding. We houden je in ieder geval op de hoogte als de situatie wijzigt, er extra informatie is en over de maatregelen die we nemen. Wij registreren alle security-incidenten en handelen deze via een vaste procedure (workflow) af. De registratie en afhandeling van security-incidenten toetsen we via een audit voor de ISO 27001 certificering.
8.8 Gegevens verwijderen
Na afloop van de overeenkomst verwijderen we alle klantgegevens, zoals is vastgelegd in Hoe gaan we om met klantdata na beëindiging van de overeenkomst?. Je kunt een verzoek indienen als je gegevens eerder verwijderd wilt hebben. Wij zijn dan verplicht om dat te doen.
9 Juridische Zaken
9.1 Toepasselijk recht en geschillen
De klant en Fortes kiezen voor de toepasselijkheid van Nederlands recht op alle overeenkomsten en geschillen. Om die reden is het Weens Koopverdrag, dat eigen regels kent voor internationale koopovereenkomsten, uitgesloten. Mochten er geschillen ontstaan tussen klant en Fortes, dan zullen die exclusief worden voorgelegd aan de rechtbank Midden-Nederland, locatie Utrecht.
Fortes behoudt zich het recht voor om de Serviceovereenkomst, Algemene Voorwaarden en Verwerkersovereenkomst te wijzigen. Wijzigingen zullen worden gepubliceerd op de Customer Support Portal en bij grote aanpassingen zullen klanten hiervan per email op de hoogte worden gesteld.