AANVULLENDE VOORWAARDEN IDIN EVIDOS B.V.
AANVULLENDE VOORWAARDEN IDIN EVIDOS B.V.
Versie: 1.0
Datum: 6 februari 2020
Deze Aanvullende Voorwaarden zijn van toepassing op iedere Overeenkomst tussen Evidos B.V. (hierna: “Evidos”), waarbij Evidos de rol van DISP inneemt, en waarbij de Opdrachtgever (hierna: “Acceptant”) gebruik wenst te maken van iDIN. Hierna gezamenlijk te noemen de “Partijen” en afzonderlijk “Partij”. Evidos wordt in haar rol als DISP door Currence verplicht om bepaalde voorwaarden op te leggen aan Acceptant en dient toe te zien op de naleving daarvan. Deze verplicht op te leggen voorwaarden en de wijze van toezicht zijn vastgelegd in deze Aanvullende Voorwaarden.
ARTIKEL 1. AANVULLENDE DEFINITIES
De in deze Aanvullende Voorwaarden met hoofdletters geschreven termen hebben de hiernavolgende betekenis. Indien en voor zover de in deze Aanvullende Voorwaarden met hoofdletter geschreven termen in dit artikel niet worden genoemd, geldt de definitie zoals opgenomen in de Algemene Voorwaarden van Evidos.
1.1. Acceptant(en): de natuurlijke persoon of rechtspersoon met wie Evidos een Overeenkomst heeft gesloten ten aanzien van het gebruik van iDIN.
1.2. Acceptatiecriteria: de door Currence opgelegde acceptatiecriteria waar Acceptant aan moet voldoen, welke (mede) gebaseerd zijn op de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
1.3. Acquirer(s): de partij die een licentieovereenkomst heeft afgesloten met Currence en contracten afsluit met Acceptanten/DISP’s voor de dienst iDIN.
1.4. Aanvullende Voorwaarden: de voorwaarden uit het onderhavige document.
1.5. Algemene Voorwaarden: de algemene voorwaarden zoals gehanteerd door Evidos, welke integraal onderdeel uitmaken van de Overeenkomst.
1.6. Betrouwbaarheidsniveau(s): de betrouwbaarheidsniveaus voor authenticatiemiddelen en de daaraan verbonden criteria zoals vastgelegd in de Europese verordening nr. 910/2014 (eIDAS- verordening). De eIDAS verordening maakt onderscheid in drie verschillende betrouwbaarheidsniveaus: laag, substantieel en hoog.
1.7. Bijlage(n): een bijlage bij deze Aanvullende Voorwaarden en/of de Overeenkomst, welke integraal onderdeel uitmaakt van de Overeenkomst.
1.8. BIN: het Bank Identificatie Nummer, een uniek nummer voor elke combinatie Issuer, Acceptant en Gebruiker.
1.9. Currence: de onderneming Currence Holding B.V., enig aandeelhouder van iDIN B.V.
1.10. DISP: de Digital Identity Service Provider, de rol die Evidos inneemt, waarbij Evidos een overeenkomst voor iDIN heeft gesloten met Currence. Evidos maakt als DISP afspraken met Acceptanten. De DISP kan daarnaast de technische koppeling van het iDIN-berichtenverkeer verzorgen met de Acquirer en/of de Acceptant. Tot slot kan de DISP ook de iDIN data ten behoeve van de Acceptant ontsleutelen en verwerken van de gegevens van de Gebruiker(s).
1.11. Xxxxxxxxx(s): de persoon die toegang krijgt tot het Online Kanaal van zijn Issuer, waarmee deze persoon vervolgens via het Online Kanaal van de Issuer een iDIN-bericht kan autoriseren. De Gebruiker heeft een overeenkomst met de Issuer (bijvoorbeeld als onderdeel van de overeenkomst
c.q. algemene voorwaarden voor internet- en mobielbankieren dan wel betaaldiensten).
1.12. Fraude: alle pogingen (succesvol of niet succesvol) tot het onrechtmatig of onder misleidende voorstelling van zaken verkrijgen van vertrouwelijke en/of gevoelige informatie met betrekking tot de Overeenkomst.
1.13. iDIN: de online identificatiedienst van Currence waarmee Xxxxxxxxxx zich bij Acceptanten kenbaar kunnen maken via het Online Kanaal van de eigen Issuer. Middels iDIN worden één of enkele specifieke (persoons)gegevens uit de administratie van de Issuer verstrekt aan Acceptanten via het Online Kanaal.
1.14. iDIN-bericht(en): een bericht waarmee een Gebruiker via het Online Kanaal van zijn Issuer bij een Acceptant online zich kan identificeren en (persoons)gegevens kan verstrekken, zodat de Acceptant zeker is van de identiteit van de Gebruiker.
1.15. Issuer: de partij die een overeenkomst heeft gesloten met Currence, die beschikt over een vergunning als betaaldienstverlener of een vrijstelling daarvoor heeft. De Issuer verzorgt alle activiteiten die betrekking hebben op het autoriseren van iDIN-berichten middels het Online Kanaal.
1.16. Misbruik: Oneigenlijk gebruik van (één van) de Product(en) 'op een manier die' of 'voor een doel dat' niet voor het Product bedoeld is, zoals Witwassen, Fraude en een toerekenbare tekortkoming in nakoming van afspraken uit de Overeenkomst.
1.17. Online Kanaal: hiermee wordt internetbankieren, de internetbankierenomgeving, de internetbankier applicatie of ieder ander toegangsportaal voor de authenticatie en autorisatie van de Issuer.
1.18. Product-betaallinks: dit is een link die een Acceptant kan versturen naar de Gebruiker en die leidt naar de landingspagina van de Acceptant of een DISP. Vanaf deze pagina kan de Gebruiker de transactie starten.
1.19. Witwassen: Het uitvoeren van transacties ten einde de illegale oorsprong van geldsommen te maskeren. Het doel van Xxxxxxxxx is om illegaal verkregen vermogen te kunnen besteden of investeren zonder dat de illegale oorsprong bewezen kan worden.
ARTIKEL 2. VERDELING VAN VERANTWOORDELIJKHEID
2.1. Zowel de Acquirer als de Issuer en de DISP zijn in geen geval partij in de (dienstverlenings-)relatie tussen Acceptant en Gebruiker.
2.2. De iDIN-gegevens van Gebruiker worden verstrekt conform de geldende datakwaliteitseisen, zoals vastgelegd in de administratie van de Issuer; Evidos heeft hier geen invloed op.
2.3. Evidos stelt als DISP de van de Issuer ontvangen iDIN-gegevens ter beschikking aan Acceptant en draagt daarbij zorg voor het hanteren van een gelijk of hoger Betrouwbaarheidsniveau, dan waarom de Acceptant in zin iDIN-bericht heeft verzocht. Gebruiker bepaalt echter zelf of, en zo ja welke, gegevens die door de Issuer getoond worden, worden gedeeld door akkoord te geven en Gebruiker identificeert zich daartoe met een authenticatiemiddel dat de Issuer aan de Gebruiker heeft verstrekt. De BIN voor Acceptant is altijd hetzelfde als Gebruiker een authenticatiemiddel van dezelfde Issuer gebruikt.
2.4. Acceptant vraagt de iDIN-gegevens van Xxxxxxxxxx op grond van een duidelijk vooraf aan de Gebruiker bekendgemaakt doel. Hierbij hanteert de Acceptant op zijn website dezelfde juridische en eventuele handelsnaam als vastgelegd in het contract met de Acquirer.
2.5. Evidos verwerkt als DISP de via iDIN verkregen gegevens op geen andere wijze dan zij is overeengekomen met Acceptant. Evidos zal de iDIN data uitsluitend in het kader van de Overeenkomst en haar dienstverlening gebruiken en zal de iDIN data niet gebruiken voor eigen producten of doorverkopen aan derden (niet zijnde de Acceptant). Acceptant zal een akkoordverklaring geven aan Evidos als DISP dat Evidos namens de Acceptant berichten met de Acquirer mag uitwisselen en ontsleutelen; Evidos zal desgevraagd de akkoordverklaring van de Acceptant overleggen aan de Acquirer. Gebruiker verleent toestemming voor verstrekking van iDIN- gegevens aan de Acceptant.
2.6. Het Acceptant is uitsluitend toegestaan om de iDIN data voor eigen gebruik in te zetten. Het is Acceptant uitdrukkelijk verboden om als iDIN-dienstverlener richting derden op te treden.
2.7. Acceptant zal nimmer de Issuer aansprakelijk stellen voor schade in verband met iDIN, tenzij in geval van opzet, grove schuld of ernstige, structurele afwijkingen van de R&R Online en de technische standaarden.
ARTIKEL 3. NALEVING WET- EN REGELGEVING
3.1. Acceptant zal bij gebruik van iDIN voldoen aan alle relevante wet- en regelgeving, waaronder – maar niet uitsluitend – de geldende privacywetgeving. In het bijzonder verwerkt Acceptant de iDIN- gegevens in overeenstemming met de Algemene Verordening Gegevensbescherming.
3.2. Bij niet-naleving van de wet- en regelgeving zoals genoemd in het vorige lid en/of in geval van (vermeend) Misbruik, zal Evidos Acceptant waarschuwen en Acceptant de mogelijkheid bieden de handelswijze aan te passen. In urgente of ernstige gevallen is Evidos gerechtigd alle benodigde (nood)maatregelen te treffen, onverminderd het recht van Evidos om aanvullende schadevergoeding te eisen en het recht van Evidos om de Overeenkomst met onmiddellijke ingang op te schorten en/of te beëindigen, zonder dat Evidos aansprakelijk is voor vergoeding van schade als gevolg van de onmiddellijke beëindiging van de Overeenkomst.
3.3. Acceptant zal alle voorwaarden uit de Overeenkomst ten aanzien van iDIN die voor haar gelden naleven, waaronder – maar niet uitsluitend – de voorwaarden die gelden voor het gebruik van het iDIN logo zoals nader uitgewerkt in ‘Richtlijnen en instructies gebruik iDIN-logo’1 en de ‘Merchant Implementatie Gids (MIG)’2, welke zijn opgenomen als Bijlage bij deze Aanvullende Voorwaarden.
3.4. Indien de Acceptant gebruik gaat maken van Product-betaallinks, dient de Acceptant Evidos als DISP voorafgaand schriftelijk om toestemming te vragen en dient hij zich te houden aan de voorwaarden voor het gebruik deze dienst, waaronder de ‘Regels voor het gebruik van de Product-link’ zoals opgenomen als Bijlage bij deze Aanvullende Voorwaarden.
ARTIKEL 4. KLACHTENPROCEDURE
4.1. Acceptant is verplicht een deugdelijke klachtenprocedure in te richten, waarbij Gebruikers de mogelijk hebben om op een snelle en makkelijke wijze in direct contact te treden met Acceptant. Acceptant zal Gebruikers in ieder geval de mogelijkheid bieden om per e-mail in direct contact te treden met Acceptant. Acceptant zal daarnaast minimaal één andere mogelijkheid voor direct contact (bijvoorbeeld telefoonnummer, chatbox, of ander medium) aanbieden, waarbij Acceptant goed te bereiken is.
4.2. Acceptant staat ervoor in dat informatie over de klachtenprocedure zoals bedoeld in dit artikel op een duidelijke wijze en op een makkelijk vindbare plaats aan Gebruikers wordt aangeboden.
ARTIKEL 5. INFORMATIEVERZOEKEN
5.1. Acceptant is te allen tijde verplicht om mee te werken aan alle informatieverzoeken, die tot nader onderzoek noodzaken met betrekking tot iDIN. Acceptant zal op eerste verzoek van Evidos alle gevraagde informatie onverwijld ter beschikking stellen.
5.2. Ten aanzien van de Acceptatiecriteria die gelden voor Acceptant zal Acceptant op eerste verzoek van Evidos alle informatie ter beschikking stellen waaruit blijkt dat Acceptant voldoet aan de Acceptatiecriteria. Acceptant zal Evidos onmiddellijk in kennis stellen van wijzigingen die relevant zijn voor de naleving van de Acceptatiecriteria.
5.3. Indien Evidos vaststelt dat Acceptant niet voldoet aan de Acceptatiecriteria dan is Evidos gerechtigd de Overeenkomst met onmiddellijke ingang te ontbinden, zonder aansprakelijk te zijn voor enige schade of kosten aan de zijde van Opdrachtgever of derden als gevolg van de ontbinding.
ARTIKEL 6. INSCHAKELEN VAN DERDEN
6.1. Indien Acceptant bij de uitvoering van haar werkzaamheden gebruik maakt van derden, dan is en blijft Acceptant volledig verantwoordelijk en aansprakelijk ten aan zien van de verplichtingen die voor Acceptant gelden met betrekking tot iDIN.
ARTIKEL 7. IDIN ONDERTEKENEN
7.1 Indien en voor iDIN Ondertekenen deel uitmaakt van de Diensten, geldt voorts hetgeen zoals bepaald in dit artikel.
7.2 Acceptant staat ervoor in dat de Diensten niet worden gebruikt:
1 xxxxx://xxx.xxxx.xx/xxxxx-xxxxxxxxxx/
2 xxxxx://xxxxxxxxxxxxxxxx.xxxxxxxxx.xxx/xxxx/xxxxxx/XXXXXXX/xxxxxxxx
i. als Acceptant weet of vermoed dat er sprake is, of kan zijn, van fraude of anderszins onrechtmatig en/of strafbaar handelen door Xxxxxxxxx;
ii. in strijd met toepasselijke wet- of regelgeving;
iii. in strijd met de rechten van derden;
iv. voor handelingen waarmee schade aan de reputatie van Currence en/of het imago van iDIN wordt aangebracht of kan worden.
7.3 Acceptant is verantwoordelijk voor het vaststellen of Gebruiker bevoegd en in staat is om overeenkomsten aan te gaan dan wel zich te binden in relatie tot het te ondertekenen document.
7.4 Acceptant zal Xxxxxxxxx informeren op het moment dat het document succesvol is ondertekend en het ondertekende document beschikbaar stellen aan Gebruiker.
7.5 Acceptant ondersteunt Gebruiker, eventueel op verzoek van Evidos als DISP, bij navraag door Xxxxxxxxx naar aanleiding van de ondertekening. Acceptant zal de ondertekende documenten, inclusief het ondersteunende bewijsmateriaal waaruit blijkt dat Xxxxxxxxx het document ondertekend heeft en niet is gewijzigd, overleggen aan Xxxxxxxxx op diens expliciete verzoek.
BIJLAGE 1 – IDIN DOCUMENTATIE
De onderstaande iDIN documentatie is van toepassing op de Overeenkomst en maakt integraal en onlosmakelijk daarvan uit.
- ‘Huisstijlhandboek – Richtlijnen en instructies voor het gebruik van het iDIN-logo’ zoals te vinden onder xxxxx://xxx.xxxx.xx/xxxxx-xxxxxxxxxx/ .
- ‘Merchant Implementatie Gids (MIG)’ zoals te vinden onder xxxxx://xxxxxxxxxxxxxxxx.xxxxxxxxx.xxx/xxxx/xxxxxx/XXXXXXX/xxxxxxxx .
Regels voor het gebruik van een Product-link:
Een Transactie-link is een URL die naar de online omgeving van een Acceptant of DISP (hierna Scheme- deelnemer genoemd) leidt waar de Gebruiker de transactie kan controleren en een Product-transactie kan opstarten. De Transactie-link kan via diverse communicatiemiddelen (email, WhatsApp, sms, etc.) worden verstuurd.
De link mag nooit direct naar de schermen van een Issuer leiden.
Indien een Scheme-deelnemer gebruik wenst te maken van Transactie-links, dan dienen de onderstaande regels te worden gevolgd:
• De Transactie-link mag geen persoonlijke – of transactie-informatie bevatten (informatie over de transactie mag alleen in de omgeving van de Scheme-deelnemer worden getoond.). Het is de verantwoordelijkheid van de Scheme-deelnemer om voor de Gebruiker vooraf inzichtelijk te maken aan wie hij/zij (uiteindelijk) betaalt (de zogenaamde inzake constructie);
• De Transactie-link om een Product-transactie te initiëren moet leiden naar de betaalomgeving van de Scheme-deelnemer, die gebruik maakt van TLS of gelijkwaardige beveiligingstechnieken, zodat de Gebruiker altijd kan verifiëren of het certificaat van de Transactie-link hoort bij de Scheme- deelnemer.
• De Scheme-deelnemer dient over de mogelijkheid te beschikken om de Transactie-links (acuut) in te kunnen trekken zodat zij per direct niet meer ingezet kunnen worden voor het doen van transacties.
• De Scheme-deelnemer die gebruik maakt van een Transactie-link dient marktconforme maatregelen te treffen om risico’s verbonden aan (spear)phishing en spoofing te mitigeren.
• Indien de Transactie-link wordt aangeboden middels een e-mail dient de Scheme-deelnemer tenminste de volgende standaarden te hebben geïmplementeerd:
o Sender Policy Framework (SPF);
o Domain-based Message Authentication;
o Reporting and Conformance (DMARC);
o DomainKeys Identified Mail (DKIM).
• De toegestuurde Transactie-link dient vooraf door de Scheme-deelnemer met de Gebruiker te zijn afgesproken en te zijn verzonden binnen de afgesproken tijd, ofwel met een bepaalde frequentie, ofwel te verwachten zijn ten gevolge van het niet (tijdig) betalen van een factuur in een herinneringsproces. Het dient dus immer een solicited link te betreffen;
• De toegestuurde Transactie-link dient voor de Gebruiker duidelijk herkenbaar te zijn als een Transactie-link afkomstig van de betreffende Scheme-deelnemer;
• De toegestuurde Transactie-link moet de Gebruiker middels referentie of link leiden naar de omgeving van de Scheme-deelnemer, of zijn dienstverlener, welke vooraf bij de Gebruiker bekend is gemaakt;
• De omgeving van de Scheme-deelnemer biedt de Gebruiker een beschrijving van het product/dienst waarop de Transactie betrekking heeft;
• De mogelijkheid tot het uitvoeren van de transactie (vanuit de door de Scheme-deelnemer toegestuurde Transactie-link) dient te vervallen na het verstrijken van de expiratieperiode of het succesvol afronden van de transactie door de Gebruiker.