Overeenkomst uitvoering van de IBD Netwerk Inventarisatie

Overeenkomst uitvoering van de IBD Netwerk Inventarisatie


De ondergetekenden:

1. <naam gemeente>, ingeschreven in het Handelsregister onder nummer [invullen] te dezen rechtsgeldig vertegenwoordigd door de heer/mevrouw <naam verantwoordelijke>, Hoofd <naam afdeling>, hierna te noemen: Deelnemer.


en


2. VNG Realisatie B.V., statutair gevestigd te ‘s-Gravenhage, ingeschreven in het Handelsregister onder nummer KvK27348329, onderdeel Informatiebeveiligingsdienst, hierna te noemen: IBD.


Hierna ieder apart te noemen ‘Partij’ of gezamenlijk ‘Partijen’.


Overwegende dat:

  • Het beheer van de ICT-infrastructuur is ondergebracht bij de Deelnemer of is uitbesteed, maar onder verantwoordelijkheid van Deelnemer.

  • Deelnemer in het kader van het configuratie managementproces een doorlopende netwerkinventarisatie (hierna te noemen: NWI) wenst uit te laten voeren op hun ICT-infrastructuur.

  • Het doel van de NWI is het verzamelen van informatie over alle aanwezige hardware- en softwarecomponenten die te vinden zijn binnen de ICT-infrastructuur van Deelnemer door middel van een geautomatiseerde scan via een interne netwerkaansluiting. Dit om de digitale weerbaarheid van de gemeente mogelijk te verhogen.

  • De IBD bereid is een dergelijke NWI voor de Deelnemer uit te voeren.

  • Partijen gelet op de voorgaande overwegingen hun afspraken in verband met de uitvoering van de NWI in deze overeenkomst wensen vast te leggen.



Zijn het volgende overeengekomen:


Artikel 1 Voorwerp van de overeenkomst

1. XXX voert de volgende werkzaamheden uit, ten behoeve van de NWI, op hoofdlijnen bestaande uit:

  1. Het uitvoeren van een doorlopende NWI.

  2. Het aan deelnemer aanleveren van de resultaten van NWI.

  3. Het verwerken van een sub-set van de resultaten naar een IBD ICT-Foto van Xxxxxxxxx.

  4. Het verrichten van overige werkzaamheden die noodzakelijk zijn in het kader van de NWI.



Artikel 2 Uitvoering van de opdracht

1. De IBD zal pas van start gaan met het uitvoeren van de NWI na instemming en afstemming met Xxxxxxxxx. De planning en mogelijke afhankelijkheden van Xxxxxxxxx zijn leidend. De IBD spant zich in om verstoringen in de ICT-Infrastructuur van Deelnemer te voorkomen als gevolg van de NWI.


2. Deelnemer is verantwoordelijk voor het realiseren van de aanpassingen in de ICT-infrastructuur van Deelnemer zelf. Deelnemer voorziet de IBD van de netwerkgegevens noodzakelijk voor het configureren en uiteindelijk plaatsen van de IBD netwerk scanner in het netwerk.


3. Alle informatie en gegevens die tussen de IBD en Deelnemer worden uitgewisseld, worden als vertrouwelijk behandeld door beide partijen. De partij die vertrouwelijke informatie ontvangt, zal deze informatie niet aan derden verstrekken of kenbaar maken.


4. De personen die de contacten over de uitvoering van de NWI onderhouden zijn:

Deelnemer : [invullen: naam, rol]

IBD


5. IBD staat ervoor in dat Deelnemer onmiddellijk contact kan opnemen met de IBD met betrekking tot de NWI in geval van vragen of mogelijk (ongewenste) effecten in de infrastructuur.


6. Op eerste verzoek van Xxxxxxxxx zal de IBD de uitvoering van de NWI onmiddellijk staken. Reden van het verzoek wordt daarna geëvalueerd.


7. De IBD spant zich in om bij het uitvoeren van de NWI als een professionele, zorgvuldige en vakbekwame partij te werk te gaan. Dit betekent onder meer dat de IBD gebruik zal maken van gekwalificeerd personeel en enkel middelen ter uitvoering van de NWI zal inzetten in overeenstemming met geldende standaarden, zoals:

  • SysAdmin, Audit, Network, Security (SANS).

  • National Institute of Standards and Technology (NIST).

  • Information Systems Security Assessment Framework (ISSAF).

  • PTLU lijst van het Forum Standaardisatie.


8. De IBD handelt in overeenstemming met de geldende ethische standaarden/gedragsregels conform de Code of Ethics van (ISC)2.


9. Xxxxxxxxx is verantwoordelijk voor het passend fysiek beschermen van het door de IBD geleverde scanapparaat in verband met de gevoeligheid van de opgeslagen scanresultaten.


10. De IBD is verantwoordelijk voor een adequate bescherming van de op het netwerk scan apparaat opslagen informatie. De maatregelen, die de IBD daartoe neemt zijn omschreven in de risicoanalyse van de NWI.


Artikel 3 Verwerkersovereenkomst

1. Bij de uitvoering van de NWI zal de IBD geen persoonsgegevens verwerken. Een verwerkersovereenkomst is daarom voor de uitvoering van de NWI niet noodzakelijk.


2. De IBD stelt Xxxxxxxxx in staat te controleren dat bij het uitvoeren van de NWI geen persoonsgegevens door IBD verwerkt worden. De IBD zal te allen tijde op eerste verzoek van Deelnemer onmiddellijk alle verwerkte gegevens met betrekking tot de NWI aan Deelnemer ter hand stellen.


Artikel 4 Beschikbaar stellen van de NWI resultaten

1. De resultaten van de NWI worden door de IBD, door middel van een voor Deelnemer specifiek geformatteerd bestand ter beschikking gesteld aan Deelnemer. De exacte inhoud zal tussen de IBD en Deelnemer in detail worden afgestemd, opdat het bruikbaar is voor Deelnemer. Partijen streven ernaar dat Deelnemer deze informatie kan vergelijken met of importeren in de huidige CMDB van Deelnemer. Dit om de CMDB zo actueel en accuraat mogelijk te krijgen/houden.


2. De IBD gebruikt een sub-set van de verzamelde informatie om de IBD ICT-Foto van Xxxxxxxxx aan te vullen en te actualiseren. Met deze ICT-Foto kan de IBD vanuit de CERT-dienstverlening voor Deelnemer relevante kwetsbaarheidsmeldingen aanleveren waarmee Xxxxxxxxx haar kwetsbaarheden managementproces en patchmanagementproces beter kan inrichten om de kans op verstoringen als gevolg van aanwezige kwetsbaarheden te verkleinen.


3. Indien de IBD tijdens de uitvoering van de NWI (potentiële) beveiligingsincidenten opmerkt, of het vermoeden daarvan, meldt de IBD deze onmiddellijk bij de contactpersoon van Deelnemer, zo mogelijk vergezeld van een voorgestelde oplossing om het incident zo spoedig mogelijk te kunnen verhelpen.


Artikel 5 Toestemming

1. Deelnemer geeft aan de IBD hierbij toestemming tot het uitvoeren van de NWI op de ICT-systemen, gebaseerd op Module 1 uit het programma Verhogen Digitale Weerbaarheid voor Nederlandse Gemeenten (VDW).


2. Xxxxxxxxx geeft toestemming voor de opslag en het verwerken van scanresultaten op de door de IBD geplaatste en beheerde scanner.


3. De reikwijdte van de NWI betreft de gehele ICT-infrastructuur, inclusief mogelijke SCADA/OT/IoT systemen, tenzij anders overeengekomen tijdens het intake gesprek(intake-formulier) voor de NWI met Deelnemer.


4. IBD zal voor deze NWI enkel werkzaamheden uitvoeren die binnen de reikwijdte van deze overeenkomst vallen. De IBD zal alleen gegevens vastleggen of verwerken noodzakelijk voor een succesvolle uitvoering van de NWI.


5. Xxxxxxxxx is zich ervan bewust dat de werkzaamheden van de IBD zijn gericht op het identificeren van hardware en software, aanwezig in de ICT-Infrastructuur van Deelnemer. Dit met het oogmerk om Deelnemer te ondersteunen bij het configuratie management proces en het vormen van een basis voor het kunnen managen van mogelijk aanwezige kwetsbaarheden (o.a. Patchmanagement).


Artikel 6 Aansprakelijkheid

1. Partijen zijn jegens elkaar niet aansprakelijk voor kosten of schaden als gevolg van tekortkomingen in de nakoming van deze overeenkomst of als gevolg van onrechtmatig handelen jegens de andere partij.


2. Deelnemer vrijwaart de IBD tegen aansprakelijkheden op grond van vorderingen van derden als gevolg van handelen of nalaten van IBD in verband met de door IBD in het kader van deze overeenkomst uitgevoerde werkzaamheden, daaronder begrepen vorderingen wegens inbreuk op IE-rechten en het geval dat een derde zich beroept op de artikelen 161sexies, 161septies, 351, 351bis, 138ab en/of 138b van het Wetboek van Strafrecht.


3. De vrijwaring als omschreven in het voorgaande artikellid geldt slechts indien, en voor zover is voldaan aan de daar genoemde voorwaarden en:

  1. De IBD het feit dat zij door een derde in of buiten rechte is aangesproken onverwijld bij aangetekende brief meedeelt aan Deelnemer.

  2. De IBD geen aansprakelijkheid jegens de derde erkent, afziet van verweer en ter zake van de aanspraak geen schikking aangaat, tenzij met de voorafgaande schriftelijke toestemming van Xxxxxxxxx.

  3. De IBD het verweer tegen de aanspraak van de derde geheel overlaat aan Deelnemer en alle medewerking verleent om dat verweer te voeren.


Artikel 7 Uitzondering op vrijwaring

1. De vrijwaring als omschreven in artikel 6 lid 2 ziet niet op schade die is ontstaan door opzet of bewuste roekeloosheid, aan de zijde van IBD.


Artikel 8 Looptijd en beëindiging van de overeenkomst

Looptijd

1. Deze overeenkomst treedt in werking op het moment van ondertekening door beide partijen en duurt voort totdat minimaal één der partijen deze schriftelijk opzegt.


Tussentijdse opzegging/ontbinding

2. Zowel Deelnemer als de IBD zijn gerechtigd schriftelijk en eenzijdig de overeenkomst tussentijds op te zeggen c.q. te ontbinden. In geval van opzegging/ontbinding staakt de IBD haar NWI-werkzaamheden voor Deelnemer en zal de IBD de netwerk scanner bij Deelnemer ophalen. Deelnemer stelt de IBD daarbij in staat de netwerk scanner uit het netwerk te verwijderen en op te halen.


3. Beëindiging van de overeenkomst ontslaat partijen niet van verplichtingen daaruit, die naar hun aard doorlopen. Tot deze verplichtingen behoren in ieder geval: aansprakelijkheid en vrijwaring, geheimhouding, vernietiging van verzamelde gegevens, geschillen en toepasselijk recht.


Artikel 9 Algemeen

1. De toepasselijkheid van algemene en bijzondere voorwaarden van de IBD of Deelnemer, dan wel derden, is uitgesloten, tenzij partijen expliciet schriftelijk anders overeenkomen.


2. Partijen maken het bestaan en de inhoud van de overeenkomst alsmede hetgeen hen bij de uitvoering van de overeenkomst ter kennis komt en waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden op geen enkele wijze verder bekend. Tenzij enig wettelijk voorschrift of een onherroepelijke uitspraak van de rechter hen tot bekendmaking daarvan verplicht. Bekendmaking vindt in laatstgenoemd geval plaats in overleg met de andere partij en op een zodanige manier dat de belangen van die andere partij daardoor zo min mogelijk worden geschaad.


3. De IBD is niet gerechtigd rechten en/of verplichtingen uit de overeenkomst zonder voorafgaande schriftelijke toestemming van Xxxxxxxxx aan een derde over te dragen.


4. Indien IBD bij de uitvoering van de opdracht gebruik wil maken van (de diensten van) derden (onderaanneming), dan is zij daartoe slechts bevoegd na verkregen schriftelijke goedkeuring van Deelnemer, welke goedkeuring niet op onredelijke gronden zal onthouden.


Artikel 10 Toepasselijk recht en geschillen

1. Op deze overeenkomst en alle daaruit voortvloeiende gevolgen is Nederlands recht van toepassing. Geschillen inzake deze overeenkomst en de uitvoering daarvan worden voorgelegd aan de bevoegde rechter te Den Haag.


Artikel 11 Begrippen

1. ICT-Infrastructuur: Alle hardware- en softwarecomponenten aanwezig in een samenhangend geheel, voor de verwerking van digitale informatie, ten dienste van de bedrijfsvoering van Xxxxxxxxx.


2. CMDB: Configuratie Management DataBase, centrale database om alle gegevens over de ICT-Infrastructuur in op te slaan en beschikbaar te maken voor het Configuratie Managementproces.


3. IBD ICT-Foto: Specifieke vorm (extract) van gemeentelijke CMDB gebruikt door de IBD om de gemeenten gericht, passende kwetsbaarheidsmeldingen te kunnen sturen. (Onderdeel van de dienstverlening van de IBD)


4. VDW Module 1: Verhogen Digitale Weerbaarheid voor Nederlandse gemeenten Module 1. Set van processen en maatregelen die gemeenten kunnen inzetten om hun digitale weerbaarheid te kunnen verhogen. Het volledige VDW programma bestaat uit meerdere modules.


5. SCADA/OT/IoT: Apparaten en toepassingen die op de ICT-Infrastructuur zijn aangesloten, niet vallende onder standaard kantoorautomatisering. Denk hierbij aan bv: Gebouw Beheer Systemen(GBS), besturingen verkeersregelinstallaties, besturingen bruggen, zwembad pompen, IP camera’s, SmartCity toepassingen, etc.


6. NWI: Doormiddel van een IBD netwerkscanner, te plaatsen in de ICT-infrastructuur van Deelnemer, alle hardware en software in kaart brengen, welke vanaf het netwerk benaderbaar zijn.


Aldus op de laatste van de 2 hierna genoemde data overeengekomen en in tweevoud ondertekend:


Namens de Deelnemer, genoemd onder 1,

Naam : [invullen]

Functie : [invullen]

Datum : [invullen]

Plaats : [invullen]


Namens VNG Realisatie B.V., genoemd onder 2,

Naam : ……………………………………………………………….

Functie : ……………………………………………………………….

Datum : ……………………………………………………………….

Plaats : ……………………………………………………………….



5

Shape1


Document Metadata

Filed: August 22nd, 2022