RET Inkoopvoorwaarden voor ICT-opdrachten (RIIT)
RET Inkoopvoorwaarden voor ICT-opdrachten (RIIT)
Versie 2023
I ALGEMEEN
Artikel 1 Begrippen
In deze Inkoopvoorwaarden van de Rotterdamse Electrische Tram N.V. (RET) bij ICT opdrachten (RIIT- 2023) worden de navolgende begrippen met een (begin)hoofdletter gebruikt:
1.1. Acceptatie: de formele goedkeuring van (onderdelen van) de ICT Prestatie, afzonderlijk en in samenhang met elkaar, door middel van een succesvol uitgevoerde (integrale) Acceptatieprocedure.
1.2. Acceptatieprocedure: de testprocedure waarmee kan worden aangetoond dat de ICT Prestatie geen Gebrek(en) bevat.
1.3. Adaptief Onderhoud: het beschikbaar stellen van Updates en Upgrades om te kunnen blijven voldoen aan eisen van de rechthebbende van de Standaard- of Derdenprogrammatuur.
1.4. Applicatielandschap: het geheel van interne en externe systemen, software, databanken, koppelingen, apparatuur, ICT-infrastructuur en hulpmiddelen die voor de Opdrachtgever de geautomatiseerde informatievoorziening vormt waarbinnen de ICT Prestatie ingepast wordt.
1.5. Beschikbaarheid: de mate waarin de ICT Prestatie daadwerkelijk beschikbaar is voor Opdrachtgever en gebruikt kan worden.
1.6. Conversie: het converteren en migreren van gegevensbestanden van Opdrachtgever van het oude systeem naar de nieuwe ICT Prestatie, zonder daarbij de volledigheid, de integriteit en de metadata van de gegevens aan te tasten.
1.7. Correctief Onderhoud: het opsporen en herstellen door Opdrachtnemer van Xxxxxxxx die Opdrachtgever hem heeft gemeld of die Opdrachtnemer anderszins bekend zijn geworden.
1.8. Derdenprogrammatuur: Programmatuur waarvan zowel (a) de intellectuele eigendomsrechten geheel niet bij Opdrachtnemer en/of een aan Opdrachtnemer gelieerde vennootschap rusten als (b) waarbij Opdrachtnemer niet in staat is bepaalde ontwikkelingen, aanpassingen en/of wijzigingen in die Programmatuur af te dwingen.
1.9. Documentatie: de documentatie als bedoeld in artikel 8.
1.10. Functiehersteltijd: de periode gelegen tussen het moment waarop een Gebrek bij Opdrachtnemer wordt gemeld en het moment waarop dit is verholpen.
1.11. Gebrek: Het niet of niet volledig voldoen van de ICT Prestatie aan het Overeengekomen gebruik.
1.12. Gebruiksrecht: het recht op grond waarvan Opdrachtgever bevoegd is tot het Overeengekomen gebruik van de ICT Prestatie..
1.13. Hosting: het door Opdrachtnemer door middel van technieken voor communicatie op afstand aan Opdrachtgever ter beschikking stellen van de ICT Prestatie.
1.14. ICT Prestatie: alle door Opdrachtnemer op grond van de Overeenkomst te leveren goederen, waaronder zaken, Gebruiksrechten en diensten.
1.15. Implementatie: het geheel van handelingen en activiteiten dat nodig is om alle onderdelen van de ICT Prestatie, afzonderlijk en in onderlinge samenhang, in gebruik te kunnen nemen in de organisatie van Opdrachtgever, zodanig dat alle gebruikers van Opdrachtgever ermee kunnen werken overeenkomstig het Overeengekomen gebruik. Tot de Implementatie behoort tevens de Conversie, het realiseren van de voor het Overeengekomen gebruik noodzakelijke Koppelingen en het uitvoeren van de Acceptatieprocedure.
1.16. Implementatieplan: het plan van aanpak voor de Implementatie, waarin een concrete uitwerking is opgenomen van de door de betrokken partijen in dit kader te verrichten activiteiten, de te implementeren en/of te ontwikkelen ICT Prestatie, de verantwoordelijkheden van Opdrachtnemer en Opdrachtgever en de tijdsplanning.
1.17. Innovatief Onderhoud: het beschikbaar stellen door Opdrachtnemer aan Opdrachtgever van Upgrades van de ICT Prestatie.
1.18. Interoperabiliteitseisen: de in de Overeenkomst opgenomen eisen die aan de ICT Prestatie worden gesteld om gegevens uit te kunnen wisselen met of anderszins samen te kunnen werken met andere onderdelen van het Applicatielandschap.
1.19. Jaarvergoeding: de gemiddelde jaarlijkse vergoeding, te berekenen door de Vergoeding te delen door de initieel beoogde looptijd van de Overeenkomst in jaren. Voor Overeenkomsten zonder looptijd, of met een looptijd korter dan 1 jaar, staat de Jaarvergoeding gelijk aan de Vergoeding.
1.20. Koppeling: de systematiek voor uitwisseling van gegevens tussen enerzijds de ICT Prestatie en anderzijds (onderdelen van) het Applicatielandschap.
1.21. Maatwerkprogrammatuur: specifiek ten behoeve van Opdrachtgever te ontwikkelen of ontwikkelde Programmatuur dan wel aanpassingen in Standaardprogrammatuur specifiek ten behoeve van Opdrachtgever.
1.22. Onderhoud: Adaptief Onderhoud, Correctief Onderhoud, Preventief Onderhoud, Innovatief Onderhoud en gebruikersondersteuning, een en ander voor zover overeengekomen en zoals nader uitgewerkt in de RIIT-2023, de Overeenkomst en de (eventuele) SLA.
1.23. Opdrachtgever: de partij ten behoeve waarvan de Overeenkomst wordt gesloten, zijnde RET of een aan haar gelieerde dochteronderneming.
1.24. Opdrachtnemer: de partij waarmee Opdrachtgever een Overeenkomst gesloten heeft.
1.25. Overeengekomen gebruik: het door Opdrachtgever beoogde gebruik van de ICT Prestatie zoals dat ten tijde van het sluiten van de Overeenkomst voor Opdrachtgever (al dan niet op basis van de offerteaanvraag of andere aan de Overeenkomst voorafgaande documenten) bekend was of op grond van artikel 3 voor Opdrachtnemer bekend behoorde te zijn, een en ander voor zover dat gebruik in de Overeenkomst niet uitdrukkelijk is uitgesloten of beperkt.
1.26. Overeenkomst: de afspraken tussen Opdrachtgever en Opdrachtnemer met betrekking tot de levering van de ICT Prestatie, waarvan de RIIT-2023 onderdeel uitmaakt.
1.27. Personeel: de door partijen bij de uitvoering van de Overeenkomst in te schakelen personeelsleden en/of hulppersonen.
1.28. Preventief Onderhoud: het treffen van maatregelen door Opdrachtnemer ter voorkoming van Xxxxxxxx en andere technische problemen en andere daarmee verband houdende vormen van dienstverlening, al dan niet door het ter beschikking stellen van Updates.
1.29. Programmatuur: het geheel van de door Opdrachtnemer te leveren programmatuur (software). Programmatuur kan worden onderscheiden in Standaard-, Derden- of Maatwerkprogrammatuur.
1.30. Reactietijd: de tijd waarbinnen Opdrachtnemer op een melding door Opdrachtgever van een Gebrek en andere verzoeken van Opdrachtgever om dienstverlening adequaat moet reageren.
1.31. RIIT-2023: de onderhavige inkoopvoorwaarden van de RET bij ICT opdrachten, zoals vastgesteld door de RET d.d. 01 februari 2023.
1.32. SaaS-dienstverlening: een dienst dat bestaat uit het aanbieden en instandhouden van een web- applicatie, met bijbehorend Onderhoud, Updates en Upgrades uitgevoerd en aangeboden door Opdrachtnemer.
1.33. Service Levels: ten aanzien van Onderhoud en andere overeengekomen vormen van dienstverlening in de Overeenkomst opgenomen eisen en prestatienormen zoals Reactie- en Functiehersteltijden.
1.34. Standaardprogrammatuur: voor algemeen gebruik ontwikkelde Programmatuur die niet exclusief aan Opdrachtgever beschikbaar wordt gesteld.
1.35. Service Level Agreement (SLA): de nadere overeenkomst met betrekking tot het Onderhoud, waaronder begrepen het soort Onderhoud dat wordt verleend en de daarop toepasselijke Service Levels, en Beschikbaarheid.
1.36. Update(s): een opvolgende versie van de ICT Prestatie waarin Xxxxxxxx zijn hersteld en/of de werking van de ICT Prestatie anderszins is verbeterd.
1.37. Upgrade(s): een opvolgende versie van de ICT Prestatie met in overwegende mate nieuwe of gewijzigde functionaliteiten, al dan niet onder een andere naam uitgebracht.
1.38. Vergoeding: de in totaal voor de ICT Prestatie overeengekomen prijs, te berekenen op basis van de initieel beoogde looptijd van de Overeenkomst en inclusief de initiële begroting van de werkzaamheden waarvoor geen (vaste) prijs is overeengekomen (alles excl. BTW).
1.39. Verwerkersovereenkomst: de op basis van de in bijlage A bijgevoegde “model RET verwerkersovereenkomst” bij de Overeenkomst gevoegde verwerkersovereenkomst.
1.40. Werkdagen: kalenderdagen, behoudens weekenden en algemeen erkende feestdagen in de zin van art. 3 van de Algemene termijnenwet.
Artikel 2 Toepasselijkheid
2.1. De RIIT-2023 is van toepassing op en maakt deel uit van alle aanvragen, offertes, aanbiedingen, opdrachtbevestigingen, bestellingen, overeenkomsten en alle andere rechtshandelingen tussen partijen die betrekking hebben op de in de Overeenkomst gespecificeerde en daarmee samenhangende ICT Prestaties.
2.2. De RIIT-2023 bestaat uit vier hoofdstukken:
i. hoofdstuk I (dat altijd van toepassing is); en
ii. hoofdstuk II inzake Hosting (dat van toepassing is bij het verlenen van Hosting);
iii. hoofdstuk III inzake SaaS (dat van toepassing is bij het verrichten van Software-as-a-service – wanneer Opdrachtnemer een web-applicatie aan Opdrachtgever aanbiedt); en
iv. hoofdstuk IV inzake privacy, beveiliging en archiefbeheer inclusief bijlage A inzake model RET verwerkersovereenkomst (dat van toepassing is indien met de ICT Prestatie gegevens van Opdrachtgever worden verwerkt).
2.3. De toepasselijkheid van enige algemene of specifieke voorwaarden of bedingen van Opdrachtnemer, onder welke benaming ook, wordt uitdrukkelijk van de hand gewezen.
2.4. Mocht enige bepaling van de RIIT-2023 nietig zijn of vernietigd worden, of mocht enige bepaling van de RIIT-2023 naar het oordeel van de rechter niet van toepassing of ongeldig zijn, dan zal slechts de betreffende bepaling als niet geschreven worden beschouwd. Voor het overige zal de RIIT-2023 volledig van kracht blijven. Partijen zullen in overleg treden om de betreffende niet toepasselijke of ongeldige bepaling te vervangen door een nieuwe bepaling, waarbij zoveel mogelijk het doel en de strekking van de eerdere bepaling in acht zal worden genomen.
2.5. In geval van strijdigheid tussen het bepaalde in de RIIT-2023 en het bepaalde in de Overeenkomst prevaleert het bepaalde in de Overeenkomst op het bepaalde in de RIIT-2023.
2.6. Wijzigingen van en aanvullingen op de RIIT-2023 gelden slechts indien deze schriftelijk rechtsgeldig tussen partijen zijn overeengekomen. Mondelinge toezeggingen binden de Opdrachtgever niet. De wijziging en/of aanvulling geldt slechts voor de in artikel 2.1 bedoelde Overeenkomst.
Artikel 3 Totstandkoming overeenkomst
3.1. Een aanvraag voor een offerte of een andere uitnodiging tot het doen van een aanbod bindt Opdrachtgever niet.
3.2. Alvorens een aanbod aan Opdrachtgever te doen hebben partijen zich in voldoende mate op de hoogte gesteld van:
i. de doelstellingen, in verband waarmee Opdrachtgever de Overeenkomst wil aangaan;
ii. de organisatie en het Applicatielandschap van Opdrachtgever, voor zover van belang voor de aanvraag of het aanbod.
3.3. Indien en voor zover partijen beschikken over onvoldoende informatie om aan de in het vorige lid bedoelde verplichting te voldoen, dient zij hieromtrent navraag te doen. Partijen zullen alle in redelijkheid verlangde informatie verstrekken (tenzij deze vertrouwelijk van aard is en in redelijkheid ook niet onder een geheimhoudingsovereenkomst verstrekt kan worden).
3.4. Bij het doen van een aanbod zal Opdrachtnemer:
i. rekening houden met de in de vorige twee leden bedoelde informatie; en
ii. de uit die informatie voortvloeiende risico’s en de in dat kader benodigde beheersmaatregelen in het aanbod adresseren (“risicoanalyse”), behoudens het bepaalde in artikel 4.3;
iii. voldoen aan artikel 20.1.
3.5. In geval van een aanbesteding in de zin van de Aanbestedingswet worden de in de leden 2 t/m 4 bedoelde verplichtingen begrensd door de inhoud, aard en omvang van de in de aanbestedingsdocumenten verstrekte informatie.
3.6. Een overeenkomst komt eerst tot stand nadat hetzij (1) Opdrachtgever een schriftelijk aanbod van Opdrachtnemer schriftelijk heeft aanvaard, (2) partijen een schriftelijk opgemaakte overeenkomst hebben ondertekend of (3) Opdrachtnemer uitvoering geeft aan een schriftelijke opdracht van Opdrachtgever.
Artikel 4 Uitvoering overeenkomst
4.1. Overeengekomen termijnen gelden alleen als vast en fataal indien zulks uitdrukkelijk schriftelijk is overeengekomen.
4.2. De volgende termijnen zijn – in afwijking van het vorige lid – in alle gevallen fataal:
i. een in de Overeenkomst of het Implementatieplan opgenomen specifieke einddatum voor de Implementatie (waarbij daarmee verband houdende tussentijdse opleverdata niet fataal zijn);
ii. indien het Overeengekomen gebruik omvat dat de Implementatie of de levering van Updates en/of Upgrades tijdig voor de inwerkingtreding van (een wijziging in) wet- en regelgeving is afgerond: de ingangsdatum van die (gewijzigde) wet- en regelgeving.
4.3. De in artikel 3.4 ii) bedoelde risicoanalyse kan ook – behoudens bij een aanbesteding als bedoeld in artikel 3.5 – eerst na totstandkoming van de Overeenkomst, doch voorafgaand aan de Implementatie, worden uitgevoerd. Indien het voorstel van Xxxxxxxxxxxxx over de wijze waarop met gesignaleerde risico’s wordt omgegaan voor Opdrachtgever niet aanvaardbaar is, is Opdrachtgever gerechtigd de Overeenkomst per direct te ontbinden, zonder schadeplichtig te zijn, doch tegen vergoeding van de tot dan toe door Opdrachtnemer gemaakte directe kosten (waaronder de kosten voor het uitvoeren van de risicoanalyse).
4.4. Opdrachtgever zal zijn verplichtingen uit de Overeenkomst en de daarmee samenhangende nadere overeenkomsten (Implementatieplan, SLA, etc.) nakomen en steeds de daartoe redelijkerwijs vereiste medewerking verlenen.
Artikel 5 Risico en Eigendomsovergang
5.1. Het risico van beschadiging of verlies van zaken die het voorwerp van de ICT Prestatie zijn of onderdeel van de ICT Prestatie uitmaken gaat bij feitelijke aflevering en in ontvangstname door Opdrachtgever over op Opdrachtgever.
5.2. Voor zover uit de Overeenkomst voortvloeit dat Opdrachtnemer het transport van de bij de ICT Prestatie behorende zaken verzorgt, rust het risico van beschadiging of verlies gedurende dat transport bij Opdrachtnemer.
5.3. Onverminderd het bepaalde in artikel 17 gaat de eigendom van (onderdelen van) de ICT Prestatie bij levering over op Opdrachtgever.
Artikel 6 Implementatie ICT Prestatie
6.1. Tenzij in de Overeenkomst uitdrukkelijk anders is bepaald, of de ICT Prestatie naar zijn aard niet geïmplementeerd kan worden, zal Opdrachtnemer zorgdragen voor de Implementatie van de ICT Prestatie in de organisatie van Opdrachtgever, overeenkomstig het (voor zover van toepassing) hieromtrent bepaalde in de Overeenkomst en het Implementatieplan.
6.2. Indien er ten tijde van ondertekening van de Overeenkomst nog geen Implementatieplan is opgesteld, zal dit op eerste verzoek van een der partijen binnen redelijke termijn alsnog in onderling
overleg tussen partijen worden opgesteld. Opdrachtnemer is penvoerder van het Implementatieplan. De kosten voor het opstellen van het Implementatieplan liggen besloten in de Vergoeding.
6.3. Indien wordt overgegaan tot het opstellen van een Implementatieplan, zal dit plan het navolgende vermelden (steeds voor zover van toepassing):
i. Gedetailleerde beschrijving van de doelstellingen van het project om te komen tot de Implementatie van de ICT Prestatie alsmede de randvoorwaarden en de geldende kaders en normen, mede in het licht van de uitgevoerde risicoanalyse;
ii. De projectorganisatie inclusief de wijze van verslaglegging en de wijze van projectmanagement;
iii. De werkverdeling en verdeling van verantwoordelijkheden, waaronder de van Opdrachtgever verlangde inzet en beschikbaarheid;
iv. Een overzicht van de benodigde Koppelingen, de functionele specificaties daarvan en de eventuele medewerking van derde partijen die voor het aanleggen daarvan vereist is;
v. De relatie tussen de ICT Prestatie en de andere onderdelen van het Applicatielandschap en de eventuele medewerking van derde partijen die gelet op die relatie voor de Implementatie vereist is;
vi. De deelleveringen (‘milestones’) van het project en de functionele specificaties voor de deelleveringen waaraan moet worden voldaan (in relatie tot het Overeengekomen gebruik);
vii. Het tijdschema van de Implementatie (inclusief de deelleveringen), overeenkomstig de eisen die in de Overeenkomst aan de planning zijn gesteld;
viii. De wijze waarop iedere deellevering wordt opgeleverd;
ix. De wijze waarop de Acceptatieprocedure zal worden uitgevoerd;
x. De wijze waarop de Conversie zal plaatsvinden;
xi. De wijze waarop Opdrachtgever middels opleidingen/trainingen vertrouwd zal worden gemaakt met het gebruik en het (technisch en functioneel) beheer van de ICT Prestatie, voor zover overeengekomen.
6.4. Omtrent de voor Implementatie eventueel vereiste medewerking en afhankelijkheid van derde partijen is het bepaalde in artikel 9.6 van toepassing.
6.5. Indien tijdens de Implementatie blijkt dat aanpassingen aan het Applicatielandschap noodzakelijk zijn die Opdrachtnemer niet heeft voorzien in het aanbod en/of de in artikel 3.4 ii) bedoelde risicoanalyse, en aan Opdrachtnemer toe te rekenen valt dat hij deze in redelijkheid wel had behoren te voorzien, komen de kosten voor de betreffende aanpassingen voor rekening van Opdrachtnemer.
6.6. Opdrachtnemer verklaart zich bereid en in staat om na afloop van de (initiële) Implementatie, op verzoek van Opdrachtgever, aan de Implementatie gerelateerde werkzaamheden te verrichten. Deze werkzaamheden zullen alsdan worden verricht tegen de in de Overeenkomst daartoe vermelde tarieven (met inachtneming van artikel 10.7). Bij gebreke daarvan, verricht Opdrachtnemer deze werkzaamheden tegen de reguliere tarieven van Opdrachtnemer. Artikel 6 is van overeenkomstige toepassing op deze werkzaamheden.
Artikel 7 Onderhoud en ondersteuning
Algemeen
7.1. Tenzij anders overeengekomen, verricht Opdrachtnemer Onderhoud aan de ICT Prestatie tegen de in de Overeenkomst beschreven Vergoeding. Het Onderhoud gaat in vanaf de Acceptatie van (het betreffende deel van) de ICT Prestatie.
7.2. De hierna te beschrijven voorwaarden gelden als (minimum) voorwaarden voor Onderhoud, tenzij hiervan in de Overeenkomst/SLA is afgeweken.
7.3. Het Onderhoud omvat, tenzij anders overeengekomen, ten minste de volgende diensten:
i. Adaptief Onderhoud;
ii. Correctief Onderhoud;
iii. Preventief Onderhoud;
iv. Innovatief Onderhoud;
v. Gebruikersondersteuning.
7.4. Het moment van het verrichten van Onderhoud wordt in onderling overleg bepaald. Uitgangspunt daarbij is dat Onderhoud op zodanige wijze plaatsvindt dat het minst verstorende is voor de bedrijfsprocessen van Opdrachtgever. Onderhoud dat verstorend is of kan werken voor de bedrijfsprocessen van Opdrachtgever wordt bovendien tijdig vooraf aangekondigd.
Bereikbaarheid, melden storingen en Gebreken
7.5. Opdrachtnemer is in het kader van Onderhoud ieder geval bereikbaar op Werkdagen tussen 08.00-18.00 uur.
7.6. Bij Opdrachtnemer kunnen zowel Gebreken als andere storingen worden gemeld.
7.7. Indien en voor zover Opdrachtnemer bewijst dat een storing of Gebrek niet aan hem toerekenbaar is, is hij niet verplicht tot herstel daarvan. Indien Opdrachtgever niettemin opdracht geeft tot het pogen tot voornoemd herstel, is Opdrachtnemer gerechtigd de kosten gemoeid met het herstel separaat door te berekenen.
Service Level Agreement
7.8. Indien één of meerdere Service Level Agreements (SLA’s) niet geregeld is in de Overeenkomst, verklaart Opdrachtnemer zich bereid om op eerste verzoek van Opdrachtgever één of meer SLA’s te sluiten, waarin concrete Service Levels ter zake van het in artikel 7.3 bedoelde Onderhoud worden vastgelegd.
7.9. De maatregelen en gevolgen van het niet halen van Service Levels worden in de Overeenkomst/SLA geregeld. Opdrachtgever is gerechtigd tot (gedeeltelijke) ontbinding van de Overeenkomst bij het achtereenvolgens niet halen van dezelfde Service Levels over meerdere meetperiodes. Eventueel in de SLA bedongen maatregelen laten de overige rechten van Opdrachtgever onverlet, waaronder begrepen het recht om naast de maatregel de door hem geleden schade te verhalen. Betaalde sancties (als onderdeel van de afgesproken maatregelen) worden in mindering gebracht op de eventueel te betalen schadevergoeding.
Adaptief, Preventief en Innovatief Onderhoud
7.10. In het kader van Adaptief, Preventief en/of Innovatief Onderhoud garandeert Opdrachtnemer ten minste:
i. dat de ICT Prestatie zal blijven voldoen aan de voor het Overeengekomen gebruik relevante Wet- en regelgeving;
ii. de ICT Prestatie geschikt zal blijven voor gegevensuitwisseling met de overige relevante onderdelen van het Applicatielandschap
iii. de ICT Prestatie aan de overeengekomen Interoperabiliteitseisen zal blijven voldoen;
iv. dat de ICT Prestatie door middel van het tijdig uitbrengen van Updates en/of Upgrades zal blijven voldoen aan nieuwe versies van normen die in de Overeenkomst als vereiste normen zijn gespecificeerd;
v. dat bij het uitbrengen van Updates en/of Upgrades de performance van de ICT Prestatie ten minste gelijk blijft en dat de ICT Prestatie blijft voldoen aan het Overeengekomen gebruik.
7.11. Op verzoek van Opdrachtgever verzorgt Opdrachtnemer de Implementatie van Updates en Upgrades, tegen een nader overeen te komen vergoeding. De bepalingen omtrent Implementatie en Acceptatie zijn in dat geval van overeenkomstige toepassing, met dien verstande dat bij Implementatie van een Update in beginsel geen Acceptatieprocedure zal plaatsvinden.
Rapportage en controle
7.13. Opdrachtnemer zal periodiek aan Opdrachtgever rapport uitbrengen over de nakoming door hem van de overeengekomen Service Levels. In de rapportage wordt in ieder geval opgenomen:
i. de Beschikbaarheid van de ICT Prestatie
ii. het niveau van de diensten, waaronder het Onderhoud van de ICT Prestatie en het geplande Adaptief en/of Innovatief Onderhoud.
Opdrachtnemer beschrijft de inhoud en frequentie van deze rapportage in de SLA.
7.14. Na ontvangst van het rapport stelt Opdrachtgever vast of Opdrachtnemer zijn verplichtingen uit hoofde van het Onderhoud, inclusief de door hem gegarandeerde Service Levels, heeft gehaald.
Onderhoud Derdenprogrammatuur
7.15. Op het Onderhoud van Derdenprogrammatuur zijn in afwijking van de voorgaande leden van dit artikel de eventueel overeenkomstig artikel 20 kenbaar gemaakte voorwaarden van toepassing.
Aanvullende onderhoudsovereenkomst
7.16. Indien partijen overeengekomen zijn dat Opdrachtnemer geen of slechts voor onderdelen van de ICT Prestatie Onderhoud verricht, verklaart Xxxxxxxxxxxxx zich bereid te zijn om op eerste verzoek van Opdrachtgever alsnog in overleg te treden om tot overeenstemming te komen voor het verrichten van aanvullende Onderhoudsdiensten.
Artikel 8 Documentatie
8.1. Opdrachtnemer zal Opdrachtgever voorzien van voldoende en begrijpelijke Documentatie.
8.2. De Documentatie voor eindgebruikers is in de Nederlandse taal opgesteld, overige documentatie mag ook in het Engels zijn gesteld (tenzij anders overeengekomen).
8.3. De Documentatie zal zodanig zijn:
i. dat zij een juiste, volledige en gedetailleerde beschrijving geeft van de door Opdrachtnemer te leveren ICT Prestatie, alsmede de functies daarvan;
ii. dat zij een juiste en volledige beschrijving geeft van de door Opdrachtnemer in het kader van de Implementatie of het Onderhoud gemaakte instellingen/parametriseringen;
iii. dat gebruikers van alle mogelijkheden van de ICT Prestatie gebruik kunnen maken en de werking ervan goed kunnen begrijpen;
iv. dat zij geschikt is om op basis hiervan de ICT Prestatie te kunnen testen in het kader van een Acceptatieprocedure;
v. dat zij geschikt is om op basis hiervan de ICT Prestatie adequaat te kunnen beheren en te kunnen inpassen in het Applicatielandschap.
8.4. Zodra blijkt dat de Documentatie niet of niet langer juist of volledig is, zal Opdrachtnemer de Documentatie zo spoedig mogelijk en op zijn kosten actualiseren.
Artikel 9 Interoperabiliteitseisen, normen en standaarden
9.1. Tot het Overeengekomen gebruik behoort dat de ICT Prestatie voldoet aan de in de Overeenkomst gespecificeerde Interoperabiliteitseisen, normen en standaarden.
9.2. Opdrachtnemer voert voorafgaand aan de Implementatie de preventieve testen uit die in voornoemde normen, eisen en standaarden zijn voorgeschreven. Deze testen worden uitgevoerd op een omgeving van Opdrachtnemer. Opdrachtnemer overlegt het testrapport waaruit blijkt dat de ICT Prestatie aan voornoemde norm(en) voldoet.
9.3. Opdrachtnemer is niet verplicht de in het vorige lid bedoelde preventieve testen uit te voeren indien hij een rapportage kan overleggen waaruit blijkt dat voornoemde testen reeds in positieve zin zijn afgerond op exact dezelfde versie van de ICT Prestatie en met vergelijkbaar Overeengekomen gebruik.
9.4. Gedurende de Acceptatieprocedure zal worden getoetst in hoeverre de ICT Prestatie na Implementatie bij Opdrachtgever daadwerkelijk voldoet aan hetgeen in artikel 9.1 is benoemd.
9.5. Indien en voor zover de ICT Prestatie mede bestaat uit Koppelingen, zal – als onderdeel van de Acceptatieprocedure – een ketentest worden uitgevoerd. Daarbij worden alle Koppelingen tussen de ICT Prestatie en het Applicatielandschap getest op de overeengekomen interoperabiliteit.
9.6. Opdrachtgever is verantwoordelijk voor het tijdig betrekken van de leveranciers van onderdelen van het Applicatielandschap die bij de in het vorige lid bedoelde ketentest worden betrokken. De verantwoordelijkheid voor het coördineren van de werkzaamheden van alle betrokken partijen ligt, tenzij anders overeengekomen, bij Opdrachtnemer.
9.7. Indien de in artikel 9.5 bedoelde ketentest niet slaagt, en Opdrachtnemer aantoont dat dit niet aan hem toerekenbaar is, dan:
i. wordt voor wat betreft de in artikel 9.5 bedoelde ketentest de Acceptatie geacht te hebben plaatsgevonden; en
ii. wordt de Acceptatieprocedure voor het overige vervolgd; en
iii. zal een overleg plaatsvinden met alle betrokken partijen teneinde nadere afspraken te maken om te komen tot een passende oplossing. Het initiatief voor dit overleg wordt genomen door de partij die op grond van het vorige lid de coördinatiewerkzaamheden verricht. Zodra partijen overeenstemming hebben bereikt over de passende oplossing, zullen zij deze vastleggen in een (gewijzigd of aanvullend) Implementatieplan. Artikel 6 is van overeenkomstige toepassing op het opstellen/wijzigen van dit plan. Voor zover het uitvoeren van dit plan leidt tot meerwerk, zal dit niet aanvangen dan na uitdrukkelijke instemming van Opdrachtgever.
Artikel 10 Acceptatie(procedure)
10.1. Tenzij in de Overeenkomst anders is bepaald, deelt Opdrachtgever binnen 10 Werkdagen na levering aan Opdrachtnemer mee of Opdrachtgever de ICT Prestatie accepteert. Opdrachtgever kan deze termijn verlengen tot maximaal 30 Werkdagen gerekend vanaf het moment van levering.
10.2. Tenzij in de Overeenkomst anders is bepaald, is de Acceptatieprocedure als volgt:
i. Na iedere levering van (delen van) de ICT Prestatie, wordt de betreffende levering door Opdrachtgever getest op Gebreken. Door partijen wordt daarbij een testverslag opgemaakt en ondertekend. In dit testverslag zal worden vastgelegd of de ICT Prestatie Gebreken vertoont en voorts of de ICT Prestatie (deels) is goedgekeurd, dan wel afgekeurd;
ii. Binnen een redelijke termijn, na de datum van de ondertekening van het testverslag, zal Opdrachtnemer een planning afgeven waarbinnen de in het testverslag vastgelegde Gebreken voor eigen rekening worden verholpen;
iii. Opdrachtnemer zal na afloop van de in het vorige lid bedoelde termijn (het gedeelte van) de bijgewerkte ICT Prestatie opnieuw ter Acceptatie middels de Acceptatieprocedure voorleggen.
10.3. De in het kader van de Acceptatieprocedure gehanteerde termijnen en (bijgestelde) planningen dienen te passen in de algehele planning van de Overeenkomst en mogen niet tot vertraging leiden.
10.4. Indien en voor zover tijdens de Acceptatieprocedure sprake is van medewerking en afhankelijkheid van derde partijen als bedoeld in artikel 9.6, is het bepaalde in artikel 9.7 van overeenkomstige toepassing.
10.5. Indien (delen van) de ICT Prestatie bij het voor de tweede maal doorlopen van de Acceptatieprocedure op Gebreken wordt/worden afgekeurd, is Opdrachtgever gerechtigd om:
i. de Overeenkomst – geheel of gedeeltelijk – zonder nadere ingebrekestelling buiten rechte te ontbinden, waarbij geldt dat Opdrachtnemer dan aansprakelijk is voor de door Opdrachtgever geleden en te lijden schade; of
ii. onverminderd zijn recht op vergoeding van de reeds geleden schade Opdrachtnemer toe te staan de Xxxxxxxx alsnog voor diens rekening te herstellen; of
iii. de ICT Prestatie onder een nader overeen te komen voorwaarde voorwaardelijk te accepteren, waarbij geldt dat indien Opdrachtgever niet tijdig aan de bij de voorwaardelijke acceptatie gestelde voorwaarden voldoet, het bepaalde onder i van toepassing is.
10.6. Het bepaalde in het vorige lid is niet van toepassing indien Opdrachtnemer aantoont dat Acceptatie wordt onthouden als gevolg van Gebreken die aan Opdrachtgever vallen toe te rekenen dan wel Opdrachtgever redelijkerwijs bij het voor de eerste maal doorlopen van de Acceptatieprocedure had moeten constateren.
10.7. Voor Gebreken die niet binnen de overeengekomen planning kunnen worden opgelost, kan met wederzijds goedvinden worden besloten om tijdelijk een acceptabele workaround aan te brengen en/of om hiervoor later een oplossing te vinden.
10.8. Gebreken die (individueel noch gezamenlijk) niet in de weg staan aan het gebruik voor productieve doeleinden van (het betreffende onderdeel van) de ICT Prestatie, kunnen geen grond vormen voor niet-Acceptatie, onverminderd de verplichting van Opdrachtnemer om die op korte termijn te herstellen.
10.9. Indien de ICT Prestatie in deelleveringen wordt geleverd, vindt na iedere levering een Acceptatieprocedure plaats en vindt na Acceptatie van het laatste deel van de ICT Prestatie vervolgens een integrale Acceptatieprocedure plaats, waarbij de gehele ICT Prestatie alsmede de samenhang van deelleveringen (‘som der delen’) op Gebreken wordt getoetst. Er is pas sprake van Acceptatie na het succesvol doorlopen van de integrale Acceptatieprocedure.
Artikel 11 Vergoeding, facturatie en betaling
11.1. De door Opdrachtgever ten behoeve van de ICT Prestatie aan Opdrachtnemer te betalen Vergoedingen zijn vastgelegd in de Overeenkomst.
11.2. De facturering van de Vergoedingen vindt, tenzij anders overeengekomen, als volgt plaats.
i. Voor eenmalige Vergoedingen is Opdrachtgever 70% na levering verschuldigd. De overige 30% is Opdrachtgever na (integrale) Acceptatie verschuldigd, behoudens indien sprake is van Gebreken die zijn opgenomen in het testverslag en die na Acceptatie op korte termijn dienen te worden hersteld, in welk geval de laatste 10% eerst is verschuldigd na herstel van al die Gebreken.
ii. Voor periodieke Vergoedingen vindt vooruitbetaling plaats.
iii. Voor Derdenprogrammatuur is Opdrachtgever 100% na levering verschuldigd.
11.3. Indien Opdrachtnemer aantoont dat de op grond van artikel 7.10 te verrichten werkzaamheden redelijkerwijs niet te voorzien waren of disproportioneel in omvang zijn, is hij gerechtigd dat onvoorziene en/of disproportionele deel van de werkzaamheden als meerwerk in rekening te brengen, mits daarvoor vooraf toestemming is verkregen van Opdrachtgever. Het uitblijven van toestemming ontslaat Opdrachtnemer van de plicht tot het verrichten van het meerwerk.
11.4. Meerwerk wordt tijdig schriftelijk aan Opdrachtgever gemeld, steeds apart gefactureerd en komt niet voor vergoeding in aanmerking dan na instemming van Opdrachtgever.
11.5. Een factuur dient te voldoen aan de wettelijke eisen alsmede de eisen die in de Overeenkomst worden gesteld.
11.6. De betalingstermijn bedraagt 30 dagen na ontvangst factuur, tenzij anders overeengekomen.
11.7. Opdrachtnemer verzendt de factuur overeenkomstig de geldende eisen, tenzij anders tussen partijen overeengekomen.
11.8. Jaarlijks per 1 januari kunnen de overeengekomen (jaar)tarieven en doorlopende vergoedingen door Opdrachtnemer worden aangepast, mits deze aanpassing minimaal één maand voorafgaand is aangekondigd. Een stijging is gelimiteerd tot maximaal de (eventuele) stijging van het laatst door het Centraal Bureau voor de Statistiek (CBS) gepubliceerde prijsindexcijfer dienstenprijzen in vergelijking met het prijsindexcijfer van 12 maanden daarvoor voor groep J62, althans sectie J, conform CPA 2008, althans de opvolger daarvan.
11.9. Opdrachtnemer is voorts gerechtigd de aantoonbare prijsstijging van Derdenprogrammatuur per 1 januari door te belasten, mits deze prijsstijging ten tijde van het sluiten van de Overeenkomst nog niet voorzienbaar was. Indien de prijzen van Derdenprogrammatuur gedurende de looptijd van de Overeenkomst dalen, zal Opdrachtnemer van Derdenprogrammatuur steeds de actuele (verlaagde) prijs in rekening brengen.
11.10. Het bepaalde in dit artikel omtrent Derdenprogrammatuur geldt alleen voor zover Opdrachtnemer heeft voldaan aan het bepaalde in artikel 20.1.
Artikel 12 Garanties
12.1. Opdrachtnemer garandeert dat:
i. de ICT Prestatie de overeengekomen eigenschappen zal bevatten en voldoet aan het Overeengekomen gebruik;
ii. hij alleen Personeel inzet dat beschikt over de overeengekomen dan wel voor het verrichten van de ICT Prestatie benodigde vaardigheden en kwalificaties, rekening houdend met de aard van de te leveren ICT Prestatie en de wijze waarop Opdrachtnemer zich als deskundige heeft gepresenteerd. Opdrachtnemer garandeert ook dat het door hem ingezette Personeel voldoet aan de eisen die dienaangaande aan een vergelijkbare dienstverlener als redelijk bekwaam en redelijk handelend vakgenoot mogen worden gesteld;
iii. hij tot ten minste tot 2 jaar na datum van Acceptatie Onderhoud kan plegen op de ICT Prestatie.
iv. de ICT Prestatie voldoet en Opdrachtnemer bij Onderhoud zal blijven voldoen aan de voor het Overeengekomen gebruik relevante Wet- en regelgeving.
12.2. Indien Opdrachtgever tijdens de looptijd van de Overeenkomst op enig tijdstip constateert dat de ICT Prestatie of delen daarvan niet voldoen aan voornoemde garanties, zal Opdrachtgever Opdrachtnemer hiervan schriftelijk en in spoedgevallen ook telefonisch op de hoogte stellen.
12.3. De bewijslast rust op Opdrachtnemer, indien Opdrachtnemer van mening is dat Opdrachtgever geen beroep kan doen op de garantiebepalingen, omdat de afwezigheid van een Gebrek niet behoort tot de gegarandeerde eigenschappen of de aanwezigheid van het Gebrek terug te voeren is op niet aan Opdrachtnemer toe te rekenen oorzaken of op niet door Opdrachtnemer geleverde of geadviseerde Programmatuur of apparatuur.
Artikel 13 Productmanagement
13.1. Onverminderd het eventueel overeengekomen Onderhoud zal Opdrachtnemer Opdrachtgever tijdig informeren over de planning en beoogde functionaliteiten voor Upgrades (soms ‘roadmap’ genoemd).
13.2. Voor zover Opdrachtnemer een generiek (fysiek of virtueel) platform faciliteert ten behoeve van (een deel van) zijn klanten voor het delen van kennis en ervaring over de ICT Prestatie en/of het bespreken van de (te verwachten) ontwikkelingen van de ICT Prestatie, zal Opdrachtnemer Opdrachtgever daar kosteloos en zonder beperkingen toegang toe verlenen.
Artikel 14 Contactpersonen en Mededelingen
14.1. Partijen wijzen elk een contactpersoon aan die de contacten over de uitvoering van de Overeenkomst onderhoudt. Partijen informeren elkaar over wie zij als contactpersoon hebben aangewezen.
14.2. Contactpersonen kunnen partijen alleen vertegenwoordigen en binden voor zover het betreft de uitvoering van de Overeenkomst. Tot wijziging van de Overeenkomst zijn zij niet bevoegd.
14.3. Mededelingen, waaronder begrepen toezeggingen of (nadere) afspraken, van de ene aan de andere partij van belang voor de uitvoering van de Overeenkomst, binden partijen alleen indien ze schriftelijk door een daartoe bevoegde persoon zijn gedaan of bevestigd.
14.4. Partijen beschikken over een interne escalatieprocedure of zij dragen zorg voor het opstellen daarvan.
Artikel 15 Verzekering
15.1. Opdrachtnemer heeft zich op een naar verkeersnormen passende en gebruikelijke wijze verzekerd en houdt zich zodanig verzekerd tegen alle aansprakelijkheid voortvloeiende uit de Overeenkomst en de onderhavige voorwaarden, waaronder in ieder geval begrepen beroeps- en bedrijfsaansprakelijkheid, althans biedt anderszins aantoonbaar voldoende waarborgen ter dekking van eventuele aansprakelijkheid.
Artikel 16 Geheimhouding
16.1. Partijen maken hetgeen hun bij de uitvoering van de Overeenkomst ter kennis komt, en waarvan zij het vertrouwelijke karakter kennen of redelijkerwijs kunnen vermoeden, op geen enkele wijze verder bekend behalve voor zover enig wettelijk voorschrift, onderzoek door een bevoegde toezichthouder of uitspraak van de rechter of een door partijen aangewezen geschillenbeslechter hen tot bekendmaking daarvan verplicht.
16.2. Partijen verplichten hun personeel en andere ingeschakelde hulppersonen om de geheimhoudingsverplichting opgenomen in de vorige leden na te komen.
16.3. Partijen geven alle gegevens die zij van elkaar hebben ontvangen en die vertrouwelijk van aard zijn op eerste verzoek terug.
Artikel 17 Intellectuele eigendom
17.1. Tenzij anders overeengekomen, berusten alle rechten van intellectuele eigendom op de krachtens de Overeenkomst door Opdrachtnemer ter beschikking gestelde ICT Prestatie uitsluitend bij Opdrachtnemer of diens licentiegever(s).
17.2. Alle rechten op de met de ICT Prestatie van Opdrachtgever afkomstige verwerkte gegevens (blijven) rusten bij Opdrachtgever, ongeacht waar deze gegevens staan opgeslagen en ongeacht of de gegevens na initiële ontvangst zijn bewerkt of niet.
17.3. Opdrachtnemer verleent, behoudens andersluidende afspraken in de Overeenkomst, een Gebruiksrecht op de ICT Prestatie. Indien voor het Gebruiksrecht periodiek een vergoeding verschuldigd is, is de duur van het Gebruiksrecht gelijk aan de looptijd van de Overeenkomst. In overige gevallen is het Gebruiksrecht eeuwigdurend en onherroepelijk. Het Gebruiksrecht omvat in ieder geval het recht de ICT Prestatie (en alle daarin besloten liggende informatie/kennis) te gebruiken voor het Overeengekomen gebruik, alsmede voor testdoeleinden, met inbegrip van alle daarvoor redelijkerwijs noodzakelijke al dan niet tijdelijke verveelvoudigingen en openbaarmakingen. Het Gebruiksrecht omvat niet het recht zelf exploitatiehandelingen te verrichten, tenzij anders overeengekomen.
17.4. In afwijking van het bepaalde in artikel 17.1 en artikel 17.3 berusten de rechten van intellectuele eigendom op Maatwerkprogrammatuur bij Opdrachtgever. Voor zover nodig worden de betreffende rechten nu voor alsdan overgedragen door Opdrachtnemer aan Opdrachtgever, die deze overdracht nu voor alsdan aanvaardt. Deze overdracht ziet op alle huidige en toekomstige rechten in de meest ruime zin van het woord. Opdrachtnemer doet nu voor alsdan voorts – voor zover de wet dat toestaat – onherroepelijk afstand van eventuele persoonlijkheidsrechten op de Maatwerkprogrammatuur. Opdrachtnemer zal voorts alle broncodes van de betreffende ontwikkelde Maatwerkprogrammatuur aan Opdrachtgever ter beschikking stellen. De eenmalige koopprijs voor deze overdracht wordt geacht besloten te hebben gelegen in de Vergoeding. De overdracht en de levering van de rechten en eerder genoemde broncode vindt plaats onder de opschortende voorwaarde van betaling van de betreffende Vergoeding.
17.5. Opdrachtnemer garandeert dat de door hem aan Opdrachtgever verstrekte ICT Prestatie geen inbreuk maken op enige intellectuele eigendomsrechten of andere rechten, waaronder persoonlijkheidsrechten, van derden. Opdrachtnemer vrijwaart Opdrachtgever en stelt Opdrachtgever schadeloos voor alle aanspraken van derden gebaseerd op de stelling dat door Opdrachtnemer aan Opdrachtgever ter beschikking gestelde ICT Prestatie, inbreuk maken op bedoelde rechten van die derden, onder voorwaarde dat Opdrachtgever Opdrachtnemer onverwijld schriftelijk informeert over het bestaan en de inhoud van de aanspraak en de afhandeling van de zaak, waaronder het treffen van eventuele schikkingen, geheel overlaat aan Opdrachtnemer. Opdrachtgever zal daartoe de nodige volmachten, informatie en medewerking verlenen, zodat Opdrachtnemer zich effectief tegen deze aanspraken kan verweren.
17.6. Indien Opdrachtgever door een derde het recht tot gebruik van de ICT Prestatie of delen daarvan wordt ontzegd, zal Opdrachtnemer voor zijn rekening en te harer keuze onverwijld hetzij:
i. zorgen dat Opdrachtgever alsnog het recht verkrijgt het gebruik voort te zetten;
ii. het inbreuk makende onderdeel vervangen door een ander onderdeel dat geen inbreuk maakt op dergelijke rechten van derden;
iii. het inbreuk makende onderdeel zodanig wijzigen dat de inbreuk wordt opgeheven.
17.7. Bij vervanging of wijziging als onder (ii) en (iii) bedoeld, zal de functionaliteit van de vervangende onderdelen minimaal gelijkwaardig zijn aan de vervangen onderdelen en zullen de garanties van artikel 12 volledig intact blijven.
17.8. In het geval derden Opdrachtgever ter zake van een beweerdelijke schending van intellectuele eigendomsrechten aansprakelijk stellen, is Opdrachtgever – onverminderd het voorgaande – gerechtigd om de Overeenkomst schriftelijk, buiten rechte geheel of gedeeltelijk te ontbinden. Een dergelijke ontbinding laat de overige rechten van Opdrachtgever onverlet.
17.9. Het bepaalde in artikel 17.5 t/m 17.8 is niet van toepassing indien de verweten inbreuk verband houdt met door Opdrachtgever ter gebruik, bewerking, verwerking of onderhoud aan Opdrachtnemer ter beschikking gestelde Programmatuur of andere materialen, dan wel met wijzigingen die Opdrachtgever zonder schriftelijke toestemming van Opdrachtnemer aan de ICT Prestatie heeft aangebracht.
Artikel 18 Toegang tot data en autorisaties
18.1. Opdrachtnemer stelt Opdrachtgever gedurende de looptijd van de Overeenkomst in staat om tijdens normale kantoortijden dan wel overeengekomen beschikbaarheidstijden toegang te krijgen tot de met de ICT Prestatie ten behoeve van Opdrachtgever verwerkte gegevens, alsmede de daarbij ingestelde (instellingen met betrekking tot) autorisaties en de specifiek voor Opdrachtgever gemaakte instellingen (bedrijfsregels, macro’s, etc).
18.2. Opdrachtnemer kan aan de in het vorige lid beschreven verplichting onder meer voldoen door:
i. het aanleveren van de in de ICT Prestatie opgeslagen gegevens;
ii. aan Opdrachtgever Koppelingen ter beschikking te stellen en de daarbij horende Documentatie, teneinde Opdrachtgever in staat te stellen de gegevens/autorisaties middels de Koppelingen op te vragen;
iii. aan Opdrachtgever Documentatie te verstrekken met een juiste, volledige en gedetailleerde beschrijving van de aan de ICT Prestatie ten grondslag liggende datamodellen, teneinde Opdrachtgever in staat te stellen de gegevens zelf te ontsluiten.
18.3. Indien en voor zover door het verlenen van toegang tot de opgeslagen gegevens een bepaalde beveiliging (waaronder begrepen autorisaties) wordt omzeild, zal Opdrachtnemer Opdrachtgever daarover informeren en uitdrukkelijk waarschuwen.
18.4. Opdrachtgever is zelf aansprakelijk voor het gebruik van de op grond van artikel 18 verkregen gegevens. Opdrachtgever vrijwaart Opdrachtnemer voor eventuele aanspraken van derden die uit dit gebruik voortvloeien.
Artikel 19 Beveiligingsprocedures, Huisregels
19.1. Voor zover werkzaamheden bij Opdrachtgever op locatie worden uitgevoerd, zorgt Opdrachtgever voor een adequate en veilige werkplek.
19.2. Voor zover de ICT Prestatie bij Opdrachtgever wordt verricht draagt Opdrachtnemer haar Personeel op de door Opdrachtgever aangegeven beveiligingsprocedures en huisregels in acht te nemen.
19.3. Opdrachtgever kan vorderen dat van Personeel van Opdrachtnemer uiterlijk drie Werkdagen voor aanvang van de werkzaamheden bij Opdrachtgever verklaringen omtrent het gedrag worden overgelegd.
19.4. Opdrachtgever kan het Personeel van Opdrachtnemer dat voor de uitvoering van de Overeenkomst is of wordt ingeschakeld, aan een veiligheidsonderzoek, overeenkomstig de bij Opdrachtgever gebruikelijke regels, (doen) onderwerpen. Opdrachtnemer verleent aan dat onderzoek zijn volledige medewerking. Opdrachtgever kan op grond van de uitkomsten daarvan de inzet van het betrokken personeelslid bij de uitvoering van de Overeenkomst weigeren.
19.5. Opdrachtnemer meldt de komst van zijn Personeel op een locatie van Opdrachtgever tijdig bij de contactpersoon van Opdrachtgever. Opdrachtnemer zorgt ervoor dat zijn Personeel zich op verzoek van Opdrachtgever kan legitimeren en kan aantonen dat zij voor of namens haar werkzaam is. Opdrachtgever mag een ieder de toegang tot één van zijn locaties weigeren.
19.6. Indien een persoon die behoorde of behoort tot het Personeel van Opdrachtnemer en in die hoedanigheid locaties van Opdrachtgever bezoekt, om wat voor reden ook niet meer voor Opdrachtnemer werkzaam is respectievelijk zal zijn, meldt Opdrachtnemer dat onverwijld aan de contactpersoon van Opdrachtgever.
Artikel 20 Derdenprogrammatuur
20.1. Indien de ICT Prestatie (geheel of gedeeltelijk) bestaat uit Derdenprogrammatuur, zal Opdrachtnemer in of bij het aanbod:
i. specificeren welk deel van de ICT Prestatie daaruit bestaat;
ii. de eventueel toepasselijke (licentie- en onderhouds)voorwaarden ter beschikking stellen;
iii. slechts indien dit verzocht is: specificeren in hoeverre het mogelijk is de betreffende Derdenprogrammatuur elders te betrekken en in hoeverre de keuze daartoe over te gaan consequenties heeft voor het aanbod;
iv. voor zover er sprake is van afhankelijkheid tussen de Derdenprogrammatuur en de overige delen van de ICT Prestatie, duidelijk kenbaar maken waar die afhankelijkheid in is gelegen en welke effecten die afhankelijkheid heeft voor (de kwaliteit van) de ICT Prestatie.
20.2. Opdrachtnemer zal in het kader van Onderhoud tijdig Updates en Upgrades uitbrengen teneinde de compatibiliteit met Derdenprogrammatuur waarvan de ICT Prestatie afhankelijk is te blijven garanderen.
20.3. Indien en voor zover Opdrachtnemer bewijst dat een Gebrek in de ICT Prestatie wordt veroorzaakt door een fout in Derdenprogrammatuur, wordt het betreffende Gebrek eveneens als Gebrek beschouwd, tenzij Opdrachtnemer aan kan tonen dat van Opdrachtnemer niet gevergd kan worden de betreffende fout in de Derdenprogrammatuur te behoren te kennen, en Opdrachtnemer maatregelen heeft getroffen om het effect van de betreffende fout in de eigen ICT Prestatie te vermijden.
20.4. Het in het vorige lid bepaalde laat onverlet dat Opdrachtnemer in voorkomend geval binnen de kaders van het Onderhoud alle redelijke inspanningen zal betrachten om zo spoedig mogelijk het Gebrek alsnog op te lossen, bijvoorbeeld door de fout in de Derdenprogrammatuur in de eigen ICT Prestatie te omzeilen en/of door Opdrachtgever zo spoedig mogelijk te voorzien van Updates en/of Upgrades op de ICT Prestatie en/of de Derdenprogrammatuur.
20.5. De in het kader van artikel 20.1 meegeleverde licentie- en onderhoudsvoorwaarden prevaleren boven hetgeen in de Overeenkomst is bepaald, enkel voor zover het betreft de Derdenprogrammatuur.
20.6. Het bepaalde in artikel 20.3 en 20.5 is uitsluitend van toepassing indien Opdrachtnemer heeft voldaan aan de in artikel 20.1 bedoelde informatieverplichtingen.
Artikel 21 Onderaanneming
21.1. Bij het uitvoeren van de Overeenkomst mag Opdrachtnemer alleen met voorafgaande toestemming van Opdrachtgever gebruik maken van de inzet van derden. Deze toestemming, waaraan door Opdrachtgever nadere voorwaarden kunnen worden verbonden, wordt niet zonder redelijke grond geweigerd.
21.2.Toestemming van Opdrachtgever laat de eigen verantwoordelijkheid en aansprakelijkheid van Opdrachtnemer voor de nakoming van de krachtens de Overeenkomst op hem rustende verplichtingen en de krachtens de belasting-, zorgverzekerings- en sociale verzekeringswetgeving op hem als werkgever rustende verplichtingen, onverlet.
Artikel 22 Vervanging Personeel
22.1. Opdrachtgever kan vervanging verlangen van Personeel, indien hij de inzet daarvan om redenen in de persoon gelegen niet langer wenselijk acht.
22.2. Opdrachtnemer vervangt Personeel die Opdrachtgever als sleutelfunctionaris heeft gekwalificeerd alleen met voorafgaande toestemming van Opdrachtgever. Opdrachtgever weigert zijn toestemming niet op onredelijke gronden en kan daaraan voorwaarden verbinden.
22.3. Bij vervanging van Personeel brengt Opdrachtnemer geen daarmee verband houdende kosten aan Opdrachtgever in rekening, tenzij Opdrachtnemer aantoont dat het verzoek tot vervanging geen redelijke grondslag had.
22.4. Bij vervanging van Personeel stelt Opdrachtnemer tegen hetzelfde tarief Personeel beschikbaar dat qua deskundigheid, opleiding en ervaring ten minste gelijkwaardig is aan het oorspronkelijk ingezette Personeel.
Artikel 23 Overmacht
23.1. Een tekortkoming in de nakoming van de Overeenkomst, die niet te wijten is aan schuld van een partij en evenmin krachtens, wet, rechtshandeling of in het maatschappelijk rechtsverkeer geldende opvatting voor rekening van de betreffende partij komt, levert overmacht op.
23.2. Onder overmacht aan de zijde van Opdrachtnemer wordt in ieder geval niet verstaan: gebrek aan Personeel, stakingen, ziekte van Personeel (m.u.v. pandemie), verlate aanlevering of ongeschiktheid van voor het verrichten van de ICT Prestatie benodigde goederen dan wel liquiditeits- of solvabiliteitsproblemen. Een aantoonbare storing van nuts-/telecomvoorzieningen wordt wel als overmacht beschouwd, tenzij deze veroorzaakt is door Opdrachtnemer of de ICT Prestatie juist ziet op het beschikbaar houden van voornoemde voorzieningen.
Artikel 24 Beëindiging Overeenkomst
Opschorting
24.1. Opdrachtnemer is niet gerechtigd zijn verplichtingen op te schorten dan na het sturen van een ingebrekestelling, waarin aan Opdrachtgever een redelijke termijn van minimaal 30 dagen wordt geboden om alsnog aan de verplichtingen te voldoen.
Opzegging
24.2. Overeenkomsten voor bepaalde tijd kunnen – behoudens de specifieke opzeggingsgronden in de RIIT-2023 of de Overeenkomst – niet tussentijds worden opgezegd (artikel 7:408 lid 1 BW is niet van toepassing). Overeenkomsten voor onbepaalde tijd kunnen worden opgezegd met inachtneming van een opzegtermijn van respectievelijk drie (3) maanden voor Opdrachtgever en achttien (18) maanden voor Opdrachtnemer.
24.3. Ook als meerdere Overeenkomsten onderlinge samenhang vertonen (bijv. een licentie- en een onderhoudsovereenkomst), is Opdrachtgever niettemin gerechtigd slechts een deel van de Overeenkomsten (selectief) op te zeggen tegen het einde van de dan actuele looptijd en met inachtneming van een opzegtermijn van drie (3) maanden. Een dergelijke opzegging heeft overigens geen effect op de overige samenhangende Overeenkomsten.
24.4. Opdrachtgever is voorts bevoegd de Overeenkomst en alle daarmee samenhangende overeenkomsten, met inachtneming van een opzegtermijn van twaalf (12) maanden, op te zeggen tegen de datum:
i. dat de rechten en verplichtingen van Opdrachtgever onder algemene titel overgaan op een andere partij; of
ii. dat de betreffende activiteiten van Opdrachtgever worden uitbesteed aan een andere entiteit met een publieke functie.
24.5. Indien Opdrachtgever op grond van ten tijde van het sluiten van de Overeenkomst nog niet voorzienbaar gewijzigd landelijk beleid gehouden is om tegen een bepaalde datum over te stappen op een landelijke voorziening die een (gedeeltelijk) functioneel alternatief vormt voor het met de ICT Prestatie Overeengekomen gebruik, is Opdrachtgever gerechtigd, met inachtneming van een opzegtermijn van twaalf (12) maanden, de Overeenkomst en alle daarmee samenhangende overeenkomsten (voor dat deel) op te zeggen tegen voornoemde datum.
24.6. In geval van opzegging op grond van de artikelen 24.4 en/of 24.5 vindt tussen partijen afrekening plaats op basis van de door Opdrachtnemer:
i. ter uitvoering van de Overeenkomst ten tijde van de opzegging reeds verrichte werkzaamheden; en
ii. in redelijkheid gemaakte kosten; en
iii. in redelijkheid voor de toekomst reeds aangegane verplichtingen; en
iv. gederfde winst
24.7. Bij de berekening van de in het vorige lid bedoelde afrekening wordt steeds gecorrigeerd voor de voorzienbare en/of redelijkerwijs te verwachten herinzet van productiefactoren door Opdrachtnemer.
24.8. Voor zover partijen over de hoogte van het in het vorige lid bedoelde bedrag geen overeenstemming weten te bereiken, wordt dit bedrag op basis van algemeen aanvaarde boekhoudkundige principes vastgesteld door een door beide partijen gezamenlijk te benoemen onafhankelijke en ter zake deskundige derde.
Ontbinding
24.9. Indien een partij tekortschiet in de nakoming van een overeengekomen verplichting, kan de andere partij haar in gebreke stellen waarbij de nalatige partij alsnog een redelijke termijn voor de nakoming wordt gegund. Blijft nakoming ook dan uit dan is de nalatige partij in verzuim. Ingebrekestelling is niet nodig wanneer voor de nakoming een fatale termijn geldt, nakoming blijvend onmogelijk is, indien uit een mededeling dan wel de houding van de andere partij moet worden afgeleid dat deze in de nakoming van haar verplichting zal tekortschieten, in welke gevallen de nalatige/andere partij onmiddellijk in verzuim is.
24.10. Onverminderd hetgeen overigens in de Overeenkomst is vastgelegd, of uit de wet voortvloeit, kan elk van de partijen de Overeenkomst door middel van een aangetekend schrijven buiten rechte geheel of gedeeltelijk ontbinden indien de andere partij in verzuim is..
24.11. Onverminderd hetgeen overigens in de Overeenkomst is bepaald, en onverminderd hetgeen overigens in de wet is bepaald, kan Opdrachtgever de Overeenkomst en alle daarmee samenhangende overeenkomsten middels een aangetekend schrijven ontbinden nadat Opdrachtgever constateert dat:
i. Opdrachtnemer (voorlopige) surseance van betaling aanvraagt; of
ii. Opdrachtnemer zijn faillissement aanvraagt of in staat van faillissement wordt verklaard; of
iii. de onderneming van Opdrachtnemer wordt ontbonden; of
iv. Opdrachtnemer zijn onderneming staakt; of
v. sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de onderneming van Opdrachtnemer die maakt dat het in alle redelijkheid niet van de Opdrachtgever kan worden verwacht dat zij de Overeenkomst in stand houdt; of
vi. op een aanmerkelijk deel van het vermogen van Opdrachtnemer beslag wordt gelegd (anders dan door Opdrachtgever); of
vii. het Bureau BIBOB een negatief advies heeft uitgebracht over de organisatie van Opdrachtnemer; of
viii. voor zover de Overeenkomst door middel van een aanbestedingsprocedure als bedoeld in de Aanbestedingswet tot stand is gekomen, zich gedurende de looptijd van de Overeenkomst ten aanzien van Opdrachtnemer uitsluitingsgronden voordoen als bedoeld in artikel 2.86 Aanbestedingswet.
24.12. Opdrachtgever kan de Overeenkomst en alle daarmee samenhangende overeenkomsten ook ontbinden indien hij op goede gronden aanneemt dat de rechter op een daartoe strekkende vordering op grond van de Aanbestedingswet de Overeenkomst zal vernietigen. Artikel 24.6 t/m 24.8 is in dat geval van overeenkomstige toepassing, tenzij Opdrachtgever aantoont dat de onrechtmatigheid (mede) aan Opdrachtnemer toerekenbaar is.
24.13. Indien de overmachtstoestand zestig (60) aaneengesloten dagen of gedurende in totaal meer dan negentig (90) dagen binnen een kalenderjaar heeft geduurd, of zodra duidelijk is dat de overmachtstoestand langer dan dergelijke termijn zal duren, is de wederpartij van degene die zich op overmacht beroept, gerechtigd deze Overeenkomst tussentijds met onmiddellijke ingang (gedeeltelijk) te ontbinden.
Gevolgen van beëindiging
24.14. Opdrachtnemer retourneert of verwijdert bij het, op welke grond dan ook, eindigen van de Overeenkomst(en) onverwijld alle hem door Opdrachtgever ter hand gestelde documenten, boeken, bescheiden en andere zaken (waaronder begrepen gegevens- en informatiedragers). Bij vroegtijdige beëindiging geldt het voorgaande wederkerig.
Artikel 25 Aansprakelijkheid
25.1. De partij die toerekenbaar tekortschiet in de nakoming van zijn verplichtingen, of jegens de ander onrechtmatig handelt, is tegenover de andere partij aansprakelijk voor de door deze aldus geleden en/of te lijden schade.
25.2. Voor zover nakoming niet reeds blijvend onmogelijk is, of de verbintenis voortvloeit uit onrechtmatige daad of strekt tot schadevergoeding, vindt artikel 25.1 slechts toepassing met inachtneming van het bepaalde in artikel 24.9 omtrent verzuim.
25.3. De in artikel 25.1 bedoelde aansprakelijkheid voor directe schade is beperkt tot maximaal het bedrag van de voor de Overeenkomst bedongen prijs (exclusief btw).
25.4. Partijen zijn niet aansprakelijk voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade als gevolg van aanspraken van afnemers van Opdrachtgever, schade verband houdende met het gebruik van door klant aan Opdrachtnemer voorgeschreven zaken, materialen of Programmatuur van derden en schade verband houdende met de inschakeling van door klant aan Opdrachtnemer voorgeschreven toeleveranciers.
25.5. De in dit artikel opgenomen beperkingen van aansprakelijkheid komen te vervallen:
i. in geval van aanspraken van derden op schadevergoeding ten gevolge van dood of letsel en/of;
ii. indien sprake is van opzet of grove schuld aan de zijde van de andere partij of diens Personeel; en/of
iii. in geval van schending van intellectuele eigendomsrechten als bedoeld in artikel 17;
iv. ten aanzien van door de toezichthoudende autoriteit opgelegde boetes: onder de voorwaarde dat Opdrachtgever Opdrachtnemer:
(a.) onverwijld schriftelijk informeert over een door een toezichthoudende autoriteit gestart onderzoek dat kan leiden tot een boete alsmede over en het bestaan en de inhoud van de opgelegde boete;
en
(b.) volledig betrekt bij het voeren van verweer tegen die boete althans het aan Opdrachtnemer toe te rekenen deel van die boete.
25.6. Alle verplichtingen, ook die krachtens de belasting-, zorgverzekerings- en sociale verzekeringswetgeving met betrekking tot Personeel van Opdrachtnemer, komen ten laste van Opdrachtnemer. Opdrachtnemer vrijwaart Opdrachtgever tegen elke aansprakelijkheid die daarmee verband houdt. Op deze vrijwaring zijn de voorgaande beperkingen van aansprakelijkheid niet van toepassing.
Artikel 26 Controlerecht en medewerking audits bij Opdrachtgever
Controlerecht
26.1. Opdrachtgever is gerechtigd de naleving door Opdrachtnemer van de verplichtingen en uitvoering uit hoofde van de Overeenkomst, de RIIT-2023 en de daarmee samenhangende overeenkomsten (SLA, verwerkersovereenkomst, etc.), alsmede de juistheid van toegezonden facturen, binnen een redelijke termijn door een onafhankelijke ter zake deskundige aan geheimhouding gebonden derde te laten controleren.
26.2. Opdrachtgever zal alvorens een controle te doen verrichten eerst Opdrachtnemer om de op grond van het vorige lid noodzakelijke informatie vragen.
26.3. De controle zal alleen plaatsvinden indien Opdrachtgever – ook na beantwoording van het in het vorige lid bedoelde verzoek om informatie – gerede twijfel heeft over de nakoming van de
verplichtingen door Opdrachtnemer, of indien Opdrachtgever anderszins een gerechtvaardigd belang bij de controle heeft (o.m. wettelijke plicht, instructie toezichthouder).
26.4. Opdrachtnemer zal alle redelijkerwijs te verwachten medewerking verlenen aan een dergelijke controle. Opdrachtnemer zal in dat kader ten minste inzage verlenen in alle relevante gegevens en achtergrondinformatie die relevant kan zijn in het kader van voornoemde controle. Ook zal Opdrachtnemer toegang verlenen tot de locatie waar de diensten worden verleend.
26.5. Opdrachtgever staat er voor in dat de in het eerste lid bedoelde derde eventueel door Opdrachtnemer gehanteerde voorschriften zal opvolgen. Indien de controle niet (volledig) kan worden uitgevoerd vanwege voornoemde voorschriften, dan komt dit evenwel voor risico van Opdrachtnemer.
26.6. De kosten voor deze controle worden gedragen door Opdrachtgever (zowel eigen kosten als kosten van Opdrachtnemer), tenzij de derde één of meer tekortkomingen van niet ondergeschikte aard van Opdrachtnemer constateert die ten nadele zijn van Opdrachtgever.
Medewerking audits bij Opdrachtgever
26.7. Voor zover Opdrachtgever afhankelijk is van Opdrachtnemer voor de uitvoering van (wettelijke verplichte) audits, zal Opdrachtnemer alle noodzakelijke medewerking verlenen aan de uitvoering van deze audits. De kosten voor deze medewerking worden gedragen door Opdrachtgever.
Artikel 27 Exit-plan, overstap, beperkte voortzetting, overdracht en verlengd gebruik
Exit-plan
27.1. Op eerste verzoek van Opdrachtgever zullen Partijen een exit-plan opstellen waarin wordt vastgelegd wat er dient te gebeuren ter voorbereiding op en uitvoering van de in dit artikel beschreven werkzaamheden. Artikel 6.2 en 6.3 zijn van overeenkomstige toepassing op het exit-plan.
27.2. De in dit artikel bedoelde werkzaamheden – te weten overstap (artikel 27.3 e.v.), beperkte voortzetting (artikel 27.6 e.v.), overdracht (artikel 27.8) en beperkte verlenging (artikel 27.9) – zullen worden verricht overeenkomstig het exit-plan en het bepaalde in de Overeenkomst en de RIIT-2023, tegen de dan reguliere tarieven van Opdrachtnemer.
Overstap naar soortgelijke ICT Prestatie
27.3. Opdrachtnemer doet bij het - op welke grond dan ook - beëindigen van de Overeenkomst(en), op eerste verzoek van Opdrachtgever datgene wat redelijkerwijs noodzakelijk is om er voor te zorgen dat een nieuwe leverancier of Opdrachtgever zelf zonder belemmeringen een soortgelijke ICT Prestatie ten behoeve van Opdrachtgever kan verrichten (zulks met uitzondering van de afgifte van de broncode van de Programmatuur).
27.4. Onder de in het vorige lid bedoelde redelijke maatregelen in het kader van de overstap naar een andere leverancier/ander systeem worden in ieder geval verstaan (naar keuze van Opdrachtgever):
i. het alsnog aan de verplichtingen uit artikel 18 voldoen;
ii. het terug leveren van de gegevens in een gangbaar elektronisch leesbare vorm waarvoor Opdrachtgever verantwoordelijk is;
iii. het technisch ontvlechten en ontmantelen van (een deel van) de ICT Presentatie.
iv. het vernietigen van de gegevens waarvoor Opdrachtgever verantwoordelijk is (tegen afgifte van bewijs van vernietiging);
27.5. In afwijking van artikel 27.2 worden voornoemde diensten kosteloos verricht indien sprake is van een toerekenbaar tekortschieten door Opdrachtnemer. De onder 27.4 ii) bedoelde werkzaamheden worden op verzoek hoe dan ook kosteloos verricht.
Beperkte voortzetting van ICT Prestatie
27.6. Opdrachtnemer verklaart zich op eerste verzoek van Opdrachtgever bij beëindiging van de Overeenkomst(en) – op welke grond dan ook – bereid te zijn:
i. een nieuwe ICT Prestatie of beperkte voortzetting van de bestaande ICT Prestatie te leveren waarmee Opdrachtgever in staat blijft de met de huidige ICT Prestatie opgeslagen gegevens te raadplegen; en
ii. een beperkte vorm van Onderhoud te (blijven) verlenen op de in het vorige lid bedoelde ICT Prestatie (namelijk binnen de kaders van de in het vorige lid bedoelde beperkte functionaliteit).
27.7. Voor de duur en kosten voor de in het vorige lid bedoelde ICT Prestatie geldt dat:
i. de duur ten minste een zodanige duur is dat Opdrachtgever aan de wettelijke administratieplichten kan voldoen;
ii. de kosten in redelijke verhouding staan tot de oorspronkelijke kosten voor de gehele ICT Prestatie (naar rato van de verminderde functionaliteit), met dien verstande dat noodzakelijke verlengingen van Derdenprogrammatuur volledig kunnen worden doorbelast.
Overdracht van ICT Prestatie
27.8. Opdrachtgever is gerechtigd de ICT Prestatie geheel of gedeeltelijk, inclusief alle daarbij behorende Gebruiksrechten en alle aanspraken in het kader van Onderhoud, onder gelijkblijvende voorwaarden (waaronder begrepen gelijkblijvende omvang Gebruiksrechten) over te dragen aan een andere entiteit met een publieke functie in het kader van een uitbesteding van een deel van de activiteiten van Opdrachtgever. Opdrachtnemer zal alle noodzakelijke medewerking verlenen aan voornoemde overdracht. Opdrachtnemer is niet gerechtigd voor de overgang als zodanig kosten in rekening te brengen, wel voor eventueel aanvullend te verrichten werkzaamheden. Derdenprogrammatuur is alleen overdraagbaar voor zover de wet of de toepasselijke licentievoorwaarden daaraan niet in de weg staan.
Verlengd gebruik
27.9. Opdrachtnemer verklaart zich bereid om Opdrachtgever desgewenst toe te staan het gebruik van de ICT Prestatie na de beëindigingsdatum voor een redelijke periode te verlengen, indien de werkzaamheden overeenkomstig het Exit-plan niet tijdig zijn afgerond. Hiervoor zal een vergoeding in rekening worden gebracht naar rato van de laatst geldende gebruiksvergoedingen (waarbij noodzakelijke verlengingen van Derdenprogrammatuur volledig kunnen worden doorbelast), tenzij de niet-tijdige afronding van de Exit-werkzaamheden toerekenbaar is aan Opdrachtnemer (de verlenging is dan kosteloos).
Artikel 28 Toepasselijk recht en geschillen
28.1. Op de Overeenkomst en alle daarmee verband houdende overeenkomsten, is uitsluitend Nederlands recht van toepassing.
28.2. De eenvormige wetten, opgesteld door de in 1964 te ‘s-Gravenhage gehouden diplomatieke Conferentie betreffende de unificatie van het internationale kooprecht (‘LUF’ en ‘LUVI’) en het Weens Koopverdrag, zijn niet van toepassing.
28.3. Alle geschillen (daaronder begrepen geschillen die slechts één van de partijen als zodanig beschouwt) die naar aanleiding van de Overeenkomst of daaruit voortvloeiende overeenkomsten
tussen partijen mochten ontstaan, zullen aanhangig worden gemaakt bij de bevoegde rechter bij het arrondissement te Rotterdam.
II Hosting
Artikel 29 Algemeen
29.1. Opdrachtnemer zal alle gegevens, zoals URLs en inloggegevens, aan Opdrachtgever ter beschikking stellen die noodzakelijk zijn om daadwerkelijk gebruik te kunnen maken van de ICT Prestatie.
29.2. Opdrachtnemer is niet gerechtigd de Hosting op te schorten, behalve voor zover voortzetting redelijkerwijs niet gevergd kan worden. De enkele eenmalige niet-betaling rechtvaardigt dit niet.
Artikel 30 Opgeslagen gegevens
30.1. Opdrachtgever is zelf te allen tijde volledig verantwoordelijk voor het gebruik dat zij maakt van de Hosting en voor de gegevens die zij met behulp van de Hosting opslaat, opvraagt, verspreidt en anderszins gebruikt.
30.2. Indien en voor zover er aanwijzingen of vermoedens bestaan dat de middels de Hosting verwerkte gegevens onrechtmatig jegens derden zijn, zal Opdrachtnemer Opdrachtgever daarover zo spoedig mogelijk informeren.
30.3. Opdrachtnemer zal de betreffende gegevens niet zonder voorafgaand overleg met Opdrachtgever verwijderen, tenzij de gegevens zodanig evident onrechtmatig zijn en de spoedeisendheid van het geval maakt dat voorafgaand overleg met Opdrachtgever niet kan worden afgewacht.
Artikel 31 Onderhoud en Beschikbaarheid
31.1. Vanaf het moment van Acceptatie van de ICT Prestatie zijn de specifieke afspraken omtrent het Onderhoud (ook) op de Hosting van toepassing (zoals de gegarandeerde Service levels en de overeengekomen Beschikbaarheid).
31.2. Indien en voor zover in de Overeenkomst geen Service Levels ten aanzien van de Beschikbaarheid van de Hosting zijn afgesproken, geldt een Service Level van 98% Beschikbaarheid per maand op Werkdagen tussen 08.00-18.00 uur.
31.3. Opdrachtnemer verzorgt – in afwijking van het bepaalde in artikel 7.10 – bij Hosting de installatie van Updates en Upgrades.
31.4. Opdrachtgever is verplicht de ingebruikname van Updates en/of Upgrades te accepteren bij generieke Hosting die door Opdrachtnemer aan meerdere klanten wordt
aangeboden, tenzij in de Overeenkomst anders is bepaald.
Artikel 32 Waarborgen continuïteit
32.1. Gelet op de grote afhankelijkheid van Opdrachtnemer alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement) die er bij Hosting bestaat, verklaart Opdrachtnemer zich bereid te zijn aanvullende afspraken met Opdrachtgever te maken teneinde voornoemde risico’s te verkleinen.
32.2. De in artikel 32.1 bedoelde aanvullende afspraken kunnen tegen een redelijke vergoeding onder meer bestaan uit:
i. het maken van afspraken over het periodiek terug of aan een derde partij leveren van de door Opdrachtnemer verwerkte gegevens (‘data-escrow’); en/of
ii. het met een derde partij sluiten van een overeenkomst die ertoe strekt dat de betreffende derde partij zich hoofdelijk verbindt tot of borg staat voor de nakoming van de Overeenkomst; en/of
iii. het met een derde partij sluiten van een (tripartite) overeenkomst die ertoe strekt dat de betreffende derde partij (voortdurend) over alle benodigde gegevens komt te beschikken om in voorkomend geval (een deel van) de ICT Prestatie uit de Overeenkomst – al dan niet op basis van een nieuwe overeenkomst – in plaats van Opdrachtnemer te kunnen (gaan) verrichten.
III Service-as-a-service (SaaS-dienstverlening)
Artikel 33 Toegangsbeveiliging
33.1. Opdrachtnemer garandeert dat de toegangsbeveiliging voldoet aan tenminste de volgende punten:
a. Rollen en rechten zijn gescheiden voor beheer en gebruik;
b. Accounts die ter beschikking worden gesteld aan Opdrachtgever zijn zogenaamde “named accounts”. Generieke accounts zoals “beheerder1” of “gebruiker1” zijn niet toegestaan;
c. Web-applicaties “service accounts” worden gemaakt met strikte rechten.
d. Opdrachtnemer verleent gebruikers (onder gebruikers wordt tenminste onder verstaan Personeel en derden) toegang tot de web-applicatie op basis van een veilige aanmeldingsprocedure.
e. Opdrachtnemer garandeert dat gebruikers een authenticatie policy ontvangen waarmee veilige toegang tot het systeem wordt gewaarborgd. Denk hierbij aan risico gebaseerde authenticatie, minimale lengte en complexiteit van wachtwoorden.
f. Opdrachtnemer garandeert dat gebruikers en beheerders van Opdrachtgever op verzoek van Opdrachtgever op naam toegang kunnen krijgen tot de web-applicatie.
g. Indien Opdrachtgever bij Opdrachtnemer een gebruiker aandraagt met hoge rechten, dan is Opdrachtnemer in staat een gebruiker middels een goedgekeurde multifactor authenticatie toegang te verlenen tot de applicatie.
h. Opdrachtnemer houdt een actuele lijst van gebruikers bij die toegang hebben tot de web- applicatie en verschaft Opdrachtgever inzicht op deze lijst.
i. Opdrachtnemer draagt zorgt voor het verwijderen van de account en het ontzeggen van toegang tot de web-applicatie indien:
- Opdrachtgever schriftelijk daartoe verzoekt; of
- het Personeel of derde geen werkzaamheden meer uitvoert voor Opdrachtgever.
j. Gebruiker met veelvuldig toegang tot de websites dient aan de hand van een federatieve koppeling een Single Sign On oplossing functie te krijgen. Deze koppeling wordt door Opdrachtgever richting de partij gefaciliteerd.
33.2. Opdrachtnemer dient voor toegang tot de web-applicatie zich te verplichten tot het gebruik van minimaal sterke wachtwoorden of 2-factor authenticatie.
Artikel 34 Beveiliging en Controles
34.1. Opdrachtnemer beschikt over een beveiligingsniveau en voert kwaliteitscontroles uit die voldoet aan tenminste de volgende standaarden en controles:
a. Opdrachtnemer hanteert een beveiligingsniveau op basis van actuele standaarden zoals te herleiden uit de OWASP (“Open Web Application Security Project”) guidelines.
b. Opdrachtnemer ontwikkelt de web-applicatie aantoonbaar volgens een secure software development framework.
c. Opdrachtnemer beschikt over een auditlog rond de toegang en verwerking van persoonsgegevens. Opdrachtgever kan binnen de daartoe wettelijke termijnen op eerste verzoek toegang krijgen tot de gegevens voor analyse in geval van een vermeend datalek. Opdrachtnemer is verplicht de gegevens zodanig aan Opdrachtgever te verstrekken dat Opdrachtgever deze gegevens digitaal op een standaard ICT-omgeving kan openen en lezen.
d. Opdrachtnemer voert periodieke pentesten. Deze pentest dient minimaal jaarlijks of na een grote wijziging te worden uitgevoerd om zeker te stellen dat de web-applicatie voldoet aan de recente security eisen.
Artikel 35 Continuïteit
35.1. Opdrachtnemer verklaart zich voor eigen kosten bereid en in staat om, op verzoek van Opdrachtgever een contingency-/continuïteitsplan op te stellen, zodat de web-applicatie en de daarin geleverde data goed bereikbaar zijn.
IV PRIVACY, BEVEILIGING EN ARCHIVERING
Artikel 36 Verwerkersrelatie
36.1. Voor zover Opdrachtnemer in het kader van de uitvoering van de Overeenkomst persoonsgegevens voor Opdrachtgever in de hoedanigheid van verwerker verwerkt, is op die verwerking de Verwerkersovereenkomst van toepassing.
36.2. De Verwerkersovereenkomst prevaleert voor zover het de verwerking van persoonsgegevens betreft op hetgeen overigens in de Overeenkomst is bepaald.
Artikel 37 Informatiebeveiliging
37.1. Opdrachtnemer staat er voor in dat met de ICT Prestatie door Opdrachtgever kan worden voldaan aan de wettelijke vereisten en kwaliteitsnormen voor informatiebeveiliging, bijv. de Baseline Informatiebeveiliging Overheid en Wet Gegevensverwerking en Meldplicht Cybersecurity (voor zover relevant voor de ICT Prestatie), althans een andere overeengekomen norm voor informatiebeveiliging.
37.2 Opdrachtgever beschikt over een actueel eigen beveiligingsbeleid ten behoeve van ICT-security, informatiebeveiliging en het beschermen van persoonsgegevens. Dit beleid mag het standaard beleid van Opdrachtnemer zijn of een specifiek voor deze opdracht opgesteld beleid.
37.3. Indien de ICT Prestatie (gedeeltelijk) door Opdrachtnemer beheerd wordt (bijv. bij Hosting), of dienstverlening betreft die door Opdrachtnemer verricht wordt, past Opdrachtnemer ook op andere gegevens dan persoonsgegevens de beveiliging toe overeenkomstig de norm in de Verwerkersovereenkomst, althans de in artikel 37.1 bedoelde norm voor informatiebeveiliging, althans een andere overeengekomen norm.
37.4. Opdrachtnemer verleent volledige medewerking bij een datalek, in het bijzonder in het geval Opdrachtgever de datalek als strategisch heeft gekwalificeerd. Bij een strategische datalek zal Opdrachtnemer actief medewerking verlenen aan de maatregelen voor damage control van Opdrachtgever. De kosten voor deze medewerking komen voor rekening van Opdrachtgever, tenzij de oorzaak van de datalek aan Opdrachtnemer toe te rekenen valt.
37.5. Opdrachtnemer staat er voor in dat al het door hem ingeschakelde personeel en andere derden zullen werken overeenkomstig de overeengekomen normen voor informatiebeveiliging, althans dat deze derden beveiligingsnormen van gelijkwaardig of beter niveau zullen naleven.
37.6. Informatie over de getroffen beveiligingsmaatregelen wordt als vertrouwelijke informatie beschouwd.
Artikel 38 Contactpersonen Privacy en Informatiebeveiliging
38.1. Opdrachtnemer beschikt voor de uitvoering van de opdracht over functionarissen die zich expliciet met informatieveiligheid bezighouden (zoals privacy officer en functionaris gegevensbescherming).
38.2 Bij verwerking van persoonsgegevens nemen Partijen (tenminste de privacy officer en/of functionaris gegevensbescherming) contact op teneinde tot een verwerkersovereenkomst te komen.
38.3. Opdrachtnemer overlegt de rollen, taken, verantwoordelijkheden en bevoegdheden van de functionarissen op het gebied van informatieveiligheid voor de uitvoering van deze opdracht.
38.4 Het in artikel 14.2 en 14.3 inzake Contactpersonen en Mededelingen is overeenkomstig van toepassing op dit artikel met dien verstande dat bij een vermeend datalek Opdrachtnemer zo spoedig mogelijk Opdrachtgever op de hoogte dient te stellen van dit vermeend datalek.
Artikel 39 Opslag data
39.1 Opdrachtnemer staat ervoor garant dat de data conform Europese wet- en regelgeving binnen de Europese Economische Ruimte wordt opgeslagen (Verordening 2018/1807, inzake vrije verkeer van niet-persoonsgebonden gegevens). Indien Opdrachtnemer data buiten de Europese Economische Ruimte wenst op te slaan, dient Opdrachtnemer vooraf schriftelijke toestemming van Opdrachtgever te verkrijgen. Aan deze toestemming kan Opdrachtgever voorwaarden aan verbinden. De kosten hiervan komen voor rekening van Opdrachtnemer.
Artikel 40 Archivering
40.1. Tenzij in de Overeenkomst anders is bepaald, dient Opdrachtnemer zorg te dragen voor het aantoonbaar beheren en beschermen van beheerde gegevens door beveiligingsmaatregelen, preserveringsmaatregelen en controles ten aanzien van archivering.
40.2. Opdrachtnemer zal de door hem ten behoeve van Opdrachtgever verwerkte gegevens waarop op grond van de Overeenkomst een bewaartermijn van toepassing is gedurende de looptijd van de Overeenkomst:
(i) aantoonbaar voor de duur van die bewaartermijn bewaren en
(ii) niet verwijderen dan na toestemming van Opdrachtgever.
40.3. Opdrachtnemer is in staat archiefbescheiden te migreren naar archiefsystemen van Opdrachtgever. Opdrachtnemer verricht de werkzaamheden voor het daadwerkelijk migreren van archiefbescheiden tegen de in de Overeenkomst bepaalde tarieven en condities, of bij gebreke daarvan tegen de reguliere tarieven van Opdrachtnemer en nader overeen te
komen condities.
40.4. Indien Opdrachtnemer op het moment van opschorting, opzegging of ontbinding van de Overeenkomst archiefbescheiden van Opdrachtgever onder zich heeft die vanwege de plaatsing en inrichting van de ICT Prestatie niet tevens berusten onder de Opdrachtgever als zorgdrager, dan verplicht Opdrachtnemer zich te handelen als zou hij een kennisgeving hebben ontvangen onder artikel 11 lid 1 Archiefwet 1995 (ongeacht of de betreffende archiefbescheiden zijn opgenomen in Derdenprogrammatuur).
Bijlage A Model RET Verwerkersovereenkomst
VERWERKERSOVEREENKOMST
ONDERGETEKENDEN:
1. RET N.V., gevestigd aan de Laan op Zuid 2 (3071 AA) te Rotterdam, ten deze rechtsgeldig vertegenwoordigd door de heer M.B. Xxxx , Algemeen Directeur, hierna te noemen: “RET” of “Verwerkingsverantwoordelijke”;
en
2. (naam), gevestigd aan (naam, straat + postcode) te (plaats), KvK nummer: (nummer) ten deze rechtsgeldig vertegenwoordigd door (naam + functie), hierna te noemen: “Verwerker”;
Gezamenlijk aan te duiden als: “Partijen”.
OVERWEGENDE DAT:
Partijen een overeenkomst zijn aangegaan voor het leveren van diensten (hierna: “Hoofdovereenkomst”);
Bij de uitvoering van de Hoofdovereenkomst namens RET Persoonsgegevens (kunnen) worden verwerkt;
Partijen de onderlinge verhoudingen en gemaakte afspraken in het kader van de verwerking van Persoonsgegevens schriftelijk wensen vast te leggen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28 lid 3 AVG
VERKLAREN TE ZIJN OVEREENGEKOMEN ALS VOLGT:
Artikel 1 Onderwerp van deze Verwerkersovereenkomst
1. Begrippen in deze Verwerkersovereenkomst zoals: “Persoonsgegevens”, “Verwerkersverantwoordelijke”, “Verwerker”, “Betrokkene”, “verwerken”, komt de betekenis toe die daaraan is gegeven in de Algemene Verordening Gegevensbescherming (“AVG”).
2. Deze Verwerkersovereenkomst is van toepassing op de verwerking van Persoonsgegevens door Verwerker in het kader van de uitvoering van de Hoofdovereenkomst en vormt daarmee een integraal en onverbrekelijk geheel. RET is de Verwerkingsverantwoordelijke voor deze gegevensverwerking.
3. Deze Verwerkersovereenkomst heeft drie (3) bijlagen:
- Bijlage 1: Overzicht van de verwerking
- Bijlage 2: Overzicht van de beveiligingsmaatregelen
- Bijlage 3: Procedure ingeval van beveiligingsincidenten
Artikel 2 Verwerking
1. Verwerker verwerkt de Persoonsgegevens uitsluitend voor het leveren van de diensten uit hoofde van de Hoofdovereenkomst en in overeenstemming met de schriftelijke instructies van RET. In Bijlage 1 is opgenomen welke Persoonsgegevens worden verwerkt en voor welke verwerkingsdoeleinden.
2. Verwerker is gehouden tot strikte naleving van alle toepasselijke wet- en regelgeving met betrekking tot de bescherming van Persoonsgegevens en heeft in dat kader een eigen verantwoordelijkheid als Verwerker.
3. Verwerker heeft geen zelfstandige zeggenschap met betrekking tot de (verwerking van) de Persoonsgegevens. In geen enkel geval verwerkt Verwerker de Persoonsgegevens voor eigen doeleinden of stelt deze zonder schriftelijke opdracht van RET ter beschikking aan derden.
4. Verwerker stelt de Persoonsgegevens alleen beschikbaar aan geautoriseerde medewerkers van haar organisatie voor wie toegang tot de Persoonsgegevens uit hoofde van hun functie noodzakelijk is ter uitvoering van de opdracht. Verwerker verplicht deze geautoriseerde medewerkers om de verplichtingen uit deze Verwerkersovereenkomst strikt na te leven.
5. Verwerker mag alleen derden (Sub-verwerkers) inschakelen bij de uitvoering van zijn werkzaamheden na voorafgaande schriftelijke toestemming van RET. Voorwaarde is dat Verwerker elke Sub-verwerker schriftelijk verplicht aan dezelfde of minimaal gelijkwaardige verplichtingen als opgenomen in deze Verwerkersovereenkomst. Verwerker blijft volledig verantwoordelijk voor het handelen van Sub-verwerker en zal strikt toezien op de correcte naleving van de subverwerkersovereenkomst.
6. Partijen verstrekken elkaar alle benodigde informatie die nodig is om de toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens na te leven, zonder dat hiervoor kosten in rekening worden gebracht. In het bijzonder verleent de Verwerker alle tijdige medewerking teneinde Verwerkingsverantwoordelijke in staat te stellen om:
aan verzoeken van Xxxxxxxxxxx te voldoen (zoals verwijdering, wijziging, inzage of verstrekking van de Persoonsgegevens in een gangbaar bestandsformaat);
aan andere verplichtingen te voldoen zoals het melden van datalekken en het uitvoeren van een privacy impact assessment;
te controleren of de verplichtingen uit deze Verwerkersovereenkomst worden nagekomen.
7. De Persoonsgegevens zullen niet worden doorgegeven naar landen buiten de Europese Economische Ruimte (EER), tenzij RET hiertoe voorafgaand specifieke, schriftelijke toestemming heeft verleend. Aan die toestemming kunnen voorwaarden worden verbonden.
8. De Persoonsgegevens worden niet langer bewaard dan noodzakelijk voor een behoorlijke uitvoering van de werkzaamheden door Verwerker en in geen geval langer dan de bewaartermijn als opgenomen in Bijlage 1.
9. Bij beëindiging van deze Verwerkersovereenkomst of op eerste schriftelijk verzoek van de Verwerkingsverantwoordelijke, zal Verwerker de Persoonsgegevens terugbezorgen of wissen en bestaande kopieën verwijderen. De Verwerker stuurt een schriftelijke verklaring aan de Verwerkingsverantwoordelijke waarin het wissen of verwijderen van de Persoonsgegevens wordt bevestigd. Tevens zorgt Verwerker ervoor dat deze verplichting door Sub-verwerkers wordt nageleefd.
10. Verwerker zal het in artikel 20 AVG beschreven recht van Xxxxxxxxxx op overdraagbaarheid van Persoonsgegevens waarborgen zodat geen sprake is van verlies van functionaliteit of gegevens. Verwerkingsverantwoordelijke kan namens Xxxxxxxxxx Verwerker verzoeken om de Persoonsgegevens over te dragen aan een andere verwerkingsverantwoordelijke. Verwerker is verplicht tot medewerking aan dit verzoek zonder hiervoor kosten in rekening te brengen.
Artikel 3 Vertrouwelijkheid
1. Verwerker is verplicht de Persoonsgegeven strikt vertrouwelijk te behandelen en geheim te houden.
2. Verwerker garandeert dat alle geautoriseerde medewerkers en ingeschakelde Sub- verwerkers met toegang tot de Persoonsgegeven gebonden zijn aan een contractuele verplichting tot vertrouwelijkheid.
3. Indien de Verwerker op grond van een wettelijke verplichting of rechterlijke uitspraak gehouden is om Persoonsgegevens te verstrekken en/of bekend te maken, dient Verwerker Verwerkingsverantwoordelijke (voor zover wettelijk toegestaan) daarvan onverwijld op de hoogte te stellen, teneinde deze in staat te stellen een voorziening te treffen ter bescherming van de Persoonsgegevens. Tevens zal Verwerker Verwerkingsverantwoordelijke een kopie doen toekomen van alle verstrekte Persoonsgegevens.
4. De verplichting tot het bewaren van de vertrouwelijkheid van de Persoonsgegevens duurt voort ook na het einde van de Verwerkersovereenkomst.
Artikel 4 Beveiligingsmaatregelen
1. Verwerker is verplicht om passende beveiligingsmaatregelen te treffen ter waarborging van de vertrouwelijkheid, integriteit en beschikbaarheid van de Persoonsgegevens.
2. Verwerker beschikt over een passend en geïmplementeerd informatiebeveiligingsbeleid. Het minimum aan beveiligingsmaatregelen staat beschreven in Bijlage 2. Verwerker garandeert dat de Persoonsgegevens voldoende en naar de laatste stand van de techniek zijn beveiligd.
3. Partijen erkennen dat een effectieve beveiliging aan verandering onderhevig is. Verwerker garandeert te blijven voldoen aan de eis van een passend beveiligingsniveau. Verwerker zal de door haar genomen beveiligingsmaatregelen op regelmatige basis evalueren en aanvullen of verbeteren indien (technologische) ontwikkelingen hiertoe aanleiding geven.
Artikel 5 Meldingsplicht en incidentmanagement
1. Een beveiligingsincident is een incident waarin sprake is van (dreiging van) aantasting van de integriteit, vertrouwelijkheid of beschikbaarheid van de Persoonsgegevens. Zoals, maar niet beperkt tot: ongeautoriseerde toegang, onrechtmatige verwerking, onopzettelijke verwijdering of verlies, onbevoegde openbaarmaking, of enige aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
2. Verwerker zal Verwerkingsverantwoordelijke onverwijld, en niet later dan 24 uur na ontdekking, informeren dat zich een beveiligingsincident heeft voorgedaan. Hierbij dient Verwerker alle informatie te verschaffen over de aard en impact van het beveiligingsincident
en/of datalek en de getroffen of nog te nemen maatregelen. Bijlage 3 bevat de procedure die gevolgd dient te worden ingeval van een beveiligingsincident bij Verwerker.
3. Verwerker dient te beschikken over een effectief beleid voor incidentmanagement, waarin in ieder geval de maatregelen beschreven staan om beveiligingsincidenten onmiddellijk op te heffen of te voorkomen en overige te nemen acties.
4. Verwerker zal alle instructies van Verwerkingsverantwoordelijke opvolgen en alle medewerking verlenen die noodzakelijk is voor het opheffen van het beveiligingsincident, het voorkomen van (verdere) schade en het voorkomen van vergelijkbare beveiligingsincidenten voor de toekomst.
5. Indien het beveiligingsincident tevens kwalificeert als datalek in de zin van artikel 33 van de AVG, is Verwerker verplicht alle medewerking te verlenen aan het doen van een melding aan de Autoriteit Persoonsgegevens en indien daartoe aanleiding is voor mededeling aan Betrokkene(n) dat dat sprake is (geweest) van een inbreuk op zijn Persoonsgegevens.
Artikel 6 Privacy & Security Audits (controle)
1. Verwerkingsverantwoordelijke heeft het recht om te controleren, en Verwerker is verplicht tot medewerking hieraan, of de Verwerker haar verplichtingen uit hoofde van deze Verwerkersovereenkomst nakomt.
2. Verwerker rapporteert jaarlijks over de opzet en werking van het stelsel van beveiligingsmaatregelen en procedures, gericht op naleving van deze Verwerkersovereenkomst. Bijvoorbeeld door een afschrift van de (resultaten) door een onafhankelijk partij uitgevoerde privacy en/of security audit bij Verwerker met betrekking tot de verwerking van persoonsgegevens of het informatiebeveiligingsbeleid, of aan de hand van, maar niet beperkt tot, een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.
3. Verwerkingsverantwoordelijke heeft het recht om in een aangesloten periode van 12 maanden een privacy en/of security audit uit te (doen) voeren door een (onafhankelijke) auditor. Verwerker is verplicht om aan een dergelijke audit haar volledige medewerking te verlenen. De kosten van een dergelijke audit komen voor rekening van Verwerkingsverantwoordelijke behoudens indien uit de audit volgt dat Verwerker verplichtingen uit deze Verwerkingsovereenkomst niet behoorlijk is nagekomen.
Artikel 7 Aansprakelijkheid
1. Verwerkersverantwoordelijke en Verwerker zijn zelfstandig verantwoordelijk voor de correcte naleving van hun verplichtingen uit deze Verwerkersovereenkomst en de toepasselijke wet- en regelgeving.
2. Verwerker is aansprakelijk Verwerkingsverantwoordelijke voor de directe schade voortvloeiende uit het niet-nakomen van de Verwerkersovereenkomst alsmede verband houdende met een overtreding door Verwerker van geldende privacyregelgeving. Niet- nakoming door een subverwerker geldt als niet-nakoming door de Verwerker.
3. Onder directe schade wordt in ieder geval begrepen, aan derden verschuldigde schadevergoeding, opgelegde boete (bijvoorbeeld door de Autoriteit Persoonsgegevens),
kosten van herstel, verlies en/of beschadiging van data, gegevens en documenten en schade door bedrijfstagnatie.
4. Verwerker vrijwaart Verwerkingsverantwoordelijke voor aanspraken van derden, daaronder begrepen betrokkenen, wegens een aan Verwerker of door haar ingeschakelde subverwerker toe te rekenen schending van de geldende privacy regelgeving of bepaling van deze Verwerkersovereenkomst.
5. Uitsluiting of beperking van aansprakelijkheid zoals bedoeld in dit artikel geldt niet voor zover de opgetreden schade het gevolg is van opzet of grove schuld van Verwerker.
Artikel 8 Duur
1. De looptijd van de Verwerkersovereenkomst is gelijk aan de looptijd van de Hoofdovereenkomst, behoudens eerdere beëindiging.
Artikel 9 Slotbepalingen
1. Alle geschillen verband houdende met deze Verwerkersovereenkomst zullen worden voorgelegd aan de bevoegde rechter te Rotterdam. Op de Verwerkersovereenkomst is Nederlands recht van toepassing.
2. Alle rechten en verplichtingen uit de Hoofdovereenkomst zijn van toepassing op deze Verwerkersovereenkomst, waarbij de bepalingen uit deze Verwerkersovereenkomst te allen tijde prevaleren boven de bepalingen uit de Hoofdovereenkomst.
3. Wijzigingen met betrekking tot deze Verwerkersovereenkomst kunnen slechts schriftelijk en rechtsgeldig ondertekend overeengekomen worden.
Aldus overeengekomen en opgemaakt in tweevoud te Rotterdam.
RET N.V. Verwerker
Naam: Naam:
Functie: Functie:
Datum: Datum:
BIJLAGE 1 Overzicht van de verwerking
Naam van de verwerking bij RET: Hoofdovereenkomst:
Verwerker:
Privacy contactgegevens Verwerker:
Sub-verwerker(s): Verwerkingsdoelen:
Beschrijving verwerkingsactiviteiten door Verwerker:
Categorieën van Persoonsgegevens:
Algemene persoonsgegevens:
Categorieën van Betrokkenen: Locatie verwerkingen: Bewaartermijn:
BIJLAGE 2 Overzicht van de beveiligingsmaatregelen
1. Organisatorische maatregelen
1.1 Informatiebeveiligingsbeleid
Verwerker beschikt over een eigen vastgesteld en geïmplementeerd (informatie)beveiligingsbeleid. Er vindt periodiek controle plaats op de naleving van het beveiligingsbeleid. Teneinde te bewerkstelligen dat het beveiligingsbeleid geschikt, toereikend en doeltreffend blijft, wordt het minimaal eenmaal per 3 jaar of zodra zich belangrijke wijzingen voordoen, beoordeeld en zonodig bijgesteld.
1.2 Verantwoordelijkheden informatiebeveiliging
Alle verantwoordelijkheden met betrekking tot het beveiligingsbeleid zijn duidelijk gedefinieerd en belegd. Het systeem dat de gegevens verwerkt is toegewezen aan een eigenaar die verantwoordelijkheid draagt voor de beveiliging van desbetreffend systeem. Xxxxxxxxx stelt een verantwoordelijke (security)medewerker aan als contactpersoon ten behoeve van RET.
1.3 Beveiligingsbewustzijn
Verwerker draagt zorg voor voldoende kennis en bewustzijn van haar eigen informatiebeveiligingsbeleid en –procedures bij haar (ingehuurd) personeel passend en afgestemd op ieders functie. Expliciet wordt aandacht besteed aan de omgang met persoonsgegevens en privacyregels.
1.4 Bevoegde medewerkers
Verwerker stelt de gegevens alleen beschikbaar aan geautoriseerde medewerkers van haar organisatie voor wie toegang tot de gegevens uit hoofde van hun functie noodzakelijk is ter uitvoering van de opdracht.
1.5 Informatievoorziening medewerkers
Alle medewerkers die persoonsgegevens verwerken worden geïnformeerd over het doel van de opdracht en de toegestane vormen van verwerking. Aan deze medewerkers wordt dit beveiligingsprotocol ter hand gesteld.
1.6 Geheimhoudingsverklaring
Medewerkers van Verwerker die betrokken zijn bij de verwerking van persoonsgegevens hebben een schriftelijke geheimhoudingsverklaring getekend. Hierin is de geheimhouding ook na beëindiging van de functie van de medewerker geborgd.
1.7 Sancties niet naleving
De arbeidsovereenkomst (arbeidscontract en aanvullende regelingen) en/of de geheimhoudingsverklaring voorzien in een systeem van sancties die kunnen worden opgelegd ingeval van schending van de geheimhoudingsplicht of niet naleving van de beveiligingsprotocollen.
1.8 Controle
Verwerker voert periodiek controle uit op de naleving van haar eigen beveiligingsbeleid en de onderhavige organisatorische maatregelen. Indien nodig worden maatregelen getroffen om het beveiligingsniveau te waarborgen.
1.9 Incidentmanagement
Een (beveiligings)incident betreft in ruime zin elke situatie waarin sprake is van (dreiging van) aantasting van de integriteit, vertrouwelijkheid of beschikbaarheid van de gegevens.
Verwerker beschikt te allen tijde over een schriftelijke procedure voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging. In dit beleid staat tenminste beschreven welke maatregelen minimaal dienen te worden ondernomen om het (beveiligings)incident onmiddellijk op te heffen of te voorkomen, en overige te nemen acties.
Deze procedure is zodanig ingericht dat de Verwerker in staat is om de RET onmiddellijk te rapporteren over de aard en impact van het (beveiligings)incident, de risico’s voor betrokkenen en de getroffen of nog te nemen maatregelen om de schade te beperken en herhaling te voorkomen.
Tevens dient Verwerker te waarborgen dat het bewijsmateriaal wordt verzameld, bewaard en op eerste verzoek aan RET wordt overlegd.
1.10 Overleg
Jaarlijks, of indien noodzakelijk eerder, zal overleg plaatsvinden tussen RET en Verwerker over het niveau van beveiliging. Hierbij worden tevens de resultaten van de periodieke controle besproken. Indien nodig zal het beveiligingsprotocol worden aangepast.
2. Technische maatregelen
2.1 Uitgangspunt technische maatregelen
Uitgangspunt is dat Verwerker gebruik maakt van marktconforme standaarden.
2.2 Toegangsbeveiliging
Verwerker beschikt over procedures die bevoegde gebruikers toegang geven tot de informatiesystemen en gegevens benodigd voor de uitvoering van hun taken en om onbevoegde toegang te voorkomen. Deze procedures regelen de eerste registratie van nieuwe gebruikers tot de uiteindelijke afmelding van gebruikers die niet langer toegang tot de informatiesystemen nodig hebben. Tevens dient de procedure, indien van toepassing, een regeling te bevatten voor het beheer van toegangsrechten en de rechten van systeembeheerders.
2.3 Logging en controle
Verwerker beschikt over functionaliteiten in haar informatiesystemen, waarmee tenminste de volgende bewegingen worden geregistreerd in logbestanden:
Activiteiten die gebruikers uitvoeren met persoonsgegevens;
Pogingen tot ongeautoriseerde toegang;
Verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens.
De logbestanden moeten gedurende de looptijd van de Verwerkersovereenkomst worden bewaard ten behoeve van onderzoek en toegangscontrole.
Ingeval van onregelmatigheden voorziet Verwerker RET van een rapportage omtrent de aard en impact van de geconstateerde onregelmatigheden en de genomen en nog te treffen maatregelen om de schade te beperken en herhaling te voorkomen.
2.4 Correcte verwerking in toepassingssystemen
Verwerker is verantwoordelijk voor de correcte invoer, verwerking en uitvoer van de persoonsgegevens. Hiertoe beschikt de Verwerker over validatieprocedures voor invoer en uitvoer waarmee de betrouwbaarheid van de persoonsgegevens is gegarandeerd. Tevens heeft Verwerker een controlemogelijkheid waarmee reeds ingevoerde gegevens kunnen worden gecorrigeerd.
Indien gevoelige persoonsgegevens worden verwerkt kunnen aanvullende beveiligingsmaatregelen worden getroffen.
2.5 Beheer van technische kwetsbaarheden
Verwerker treft maatregelen ter bescherming van haar informatiesystemen en de daarin opgenomen gegevens tegen invloeden van buitenaf. Verwerker beschikt over een patch-beleid en past deze toe op haar informatiesystemen. Hierbij onderneemt zij onder meer het volgende:
Software, zoals browsers, virusscanners, firewalls, anti-spyware en operating systems, worden up-to-date gehouden. Hierbij wordt gebruik gemaakt van de gangbare en aangeraden versies.
Oplossingen die haar leverancier uitbrengt voor beveiligingslekken in software worden tijdig geïnstalleerd.
2.6 Continuïteitsbeheer
Verwerker beschikt over een beleid met betrekking tot continuïteitsbeheer teneinde de persoonsgegevens te beschermen tegen verlies of beschadiging. Hiertoe heeft Verwerker een
systeem
van automatische back-up van de informatiesystemen geïmplementeerd. Tevens heeft Xxxxxxxxx een restore-procedure ingericht zodanig dat tussen het moment waarop een back-up is gemaakt en deze is gebruikt voor herstel nooit meer dan een dag ligt.
2.7 ICT-voorzieningen
Verwerker heeft een proces voor nieuwe c.q. wijzigingen in de ICT-voorzieningen. Deze procedure bevat tenminste:
Administratieplicht voor essentiële wijzigingen
Impactanalyse van mogelijke gevolgen op het beveiligingsniveau
(Aanvullende) Maatregelen ter waarborging van het beveiligingsniveau
Goedkeuringsprocedure
2.8 Verzending via internet
Verwerker maakt gebruik van beveiligde internetverbindingen en gebruikt daartoe een algemeen geaccepteerde internetstandaard. Er is sprake van versleutelde communicatie met de servers, waarbij de hedendaagse standaarden voor goede versleuteling worden aangehouden.Pagina-einde3.
3. Fysieke maatregelen
3.1 Fysieke toegangsbeveiliging
Toegang tot gebouwen of beveiligde zones waar persoonsgegevens worden verwerkt is alleen mogelijk na autorisatie daartoe. Van bezoekers wordt een registratie bijgehouden. Tevens zijn de gebouwen van Verwerker voorzien van adequate inbraakpreventie en – detectie.
3.2 Beveiliging apparatuur
Alle servers staan op een beveiligde locatie waartoe alleen door geautoriseerd personeel toegang kan worden verkregen met gebruikmaking van een logische toegangscontrole zoals een pin/wachtwoord of toegangspas. Indien en voorzover Verwerker gebruik maakt van hosting van haar servers bij een derde partij heeft zij zorg gedragen voor een adequate Verwerkersovereenkomst, die tenminste de beveiligingseisen bevatten als in dit beveiligingsprotocol opgenomen.
Papieren documenten en mobiele gegevensdragers worden beveiligd opgeslagen.
3.3 Einde gebruik apparatuur
Bij beëindiging van het gebruik of bij een defect van apparaten en informatiedragers vindt verantwoorde afvoer plaats zodat geen data op het apparaat toegankelijk of aanwezig is. Indien verwijdering net mogelijk is wordt het apparaat of de informatiedrager vernietigd. Verwerker houdt een registratie bij van het afvoeren of vernietigen van gegevensdragers met persoonsgegevens.
BIJLAGE 3 Proces ingeval van beveiligingsincidenten
Een beveiligingsincident is een incident waarin sprake is van (dreiging van) aantasting van de integriteit, vertrouwelijkheid of beschikbaarheid van de Persoonsgegevens. Zoals, maar niet beperkt tot: ongeautoriseerde toegang, onrechtmatige verwerking, onopzettelijke verwijdering of verlies, onbevoegde openbaarmaking.
Verwerker dient Verwerkingsverantwoordelijke onverwijld, en niet later dan 24 uur na ontdekking van het beveiligingsincident, te informeren dat zich een beveiligingsincident heeft voorgedaan.
Hierbij dient Verwerker alle informatie te verschaffen over de aard en impact van het beveiligingsincident en de getroffen of nog te nemen maatregelen.
Ingeval van een beveiligingsincident dient onderzocht te worden of daarbij persoonsgegevens zijn betrokken en wat de gevolgen daarvan zijn. De afwegingen of sprake is van een meldingsplicht aan de AP respectievelijke de betrokkene ligt volledig binnen de verantwoordelijkheid van de Verwerkingsverantwoordelijke. Een melding aan de AP moet plaatsvinden bij iedere inbreuk in verband met persoonsgegevens tenzij het niet waarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
Melding aan de AP door de Verwerkingsverantwoordelijke dient te geschieden binnen 72 uur na ontdekking van het datalek. Bovendien dient een melding aan de betrokkenen plaats te vinden indien de inbreuk in verband met de persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en de vrijheden van natuurlijke personen.
Hieronder wordt beschreven welke stappen Verwerker dient te ondernemen indien sprake is van een beveiligingsincident waarbij Persoonsgegevens van Verwerkingsverantwoordelijke zijn betrokken of mogelijk zijn betrokken.
Elke beveiligingsincident dient te worden aangemeld bij de Functionaris Gegevensbescherming of de Security & Privacy Officer van RET via onderstaande contactgegevens:
Binnen kantooruren: | Buiten kantooruren: |
Per email: | Per email: |
Per telefoon: (010) 447 5615 |
Informatie die Verwerker in ieder geval dient te verstrekken met betrekking tot het beveiligingsincident:
1. Contactgegevens melder
Naam, functie, emailadres, telefoonnummer
2. Tijdlijn
Wanneer vond de inbreuk plaats? (Kies een van de volgende opties en vul waar nodig aan.)
a) Op exact (datum)
b) Tussen (startdatum periode) en (einddatum periode)
c) Duurt de inbreuk nog voort?
d) Wanneer werd de inbreuk ontdekt?
e) Als u de inbreuk later dan 24 uur na ontdekking meldt aan RET, wat is daarvan de reden?
3. Gegevens over het datalek
3.1 Aard van de inbreuk
a) Inbreuk op de vertrouwelijkheid van de gegevens
b) Inbreuk op de integriteit van de gegevens
c) Inbreuk op de beschikbaarheid van de gegevens
3.2 Aard van het incident
a) Wat is de aard van het incident waarbij er een inbreuk op de beveiliging van persoonsgegevens is geweest?
b) Geef een samenvatting van het incident waarbij er een inbreuk op de beveiliging van persoonsgegevens is geweest
4. Persoonsgegevens in het algemeen
4.1 Om welke categorieën algemene persoonsgegevens gaat het? (U kunt meerdere mogelijkheden aankruisen):
a. Naam
b. Geslacht, geboortedatum en/of leeftijd
c. Burgerservicenummer (BSN)
d. Contactgegevens
e. Toegangs- of identificatiegegevens
f. Financiële gegevens
g. (Kopieën van ) paspoorten of andere legitimatiebewijzen
h. Locatiegegevens
i. Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen
j. Onbekend / anders, geef dit aan
2. Om welke categorieën bijzondere persoonsgegevens gaat het (U kunt meerdere mogelijkheden aankruisen):
a. Persoonsgegevens waaruit iemands ras of etnische afkomst blijkt
b. Persoonsgegevens waaruit iemands politieke opvattingen blijken
c. Persoonsgegevens waaruit iemands religieuze of levensbeschouwelijke overtuigingen blijken
d. Persoonsgegevens waaruit iemands lidmaatschap van een vakbond blijkt
e. Gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid
f. Gegevens over iemands gezondheid
g. Genetische gegevens
h. Biometrische gegevens
3. Geef (eventueel bij benadering) aan hoeveel gegevensrecords ("gegevensregisters") zijn getroffen door de inbreuk
5. De groep van mensen van wie persoonsgegevens betrokken zijn bij het datalek
5.1 Categorieën betrokkenen
a. Werknemers
b. Klanten (huidige en potentieel)
c. Leerlingen of studenten
d. Patiënten
e. Minderjarigen
f. Personen uit kwetsbare groepen
2. Omschrijf de groep mensen van wie persoonsgegevens zijn betrokken bij de inbreuk.
3. Van minimaal hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk?
4. Van maximaal hoeveel personen zijn persoonsgegevens betrokken bij de inbreuk?
6. Maatregelen die zijn getroffen voordat het datalek plaatsvond
a. Waren de persoonsgegevens op het moment dat de inbreuk zich voordeed versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk voor onbevoegden?
b. Als de persoonsgegevens deels onbegrijpelijk of ontoegankelijk waren, om welk deel gaat dat dan?
c. Als de persoonsgegevens geheel of deels onbegrijpelijk of ontoegankelijk waren gemaakt, op welke manier is dit dan gebeurd?
7. Gevolgen van het datalek
7.1 Gevolgen van de inbreuk op de vertrouwelijkheid, de integriteit en/of de beschikbaarheid van de gegevens.
a) Onbevoegden hebben kennis kunnen nemen van de gegevens
b) De gegevens kunnen op een onbehoorlijke of onrechtmatige manier worden misbruikt
c) Er worden binnen uw eigen organisatie mogelijk onjuiste, onvolledige of achterhaalde persoonsgegevens gebruikt
d) Er worden mogelijk onjuiste, onvolledige of achterhaalde persoonsgegevens hergebruikt voor andere doeleinden of doorgegeven aan andere organisaties
e) Een essentiële dienst kan tijdelijk niet meer worden verleend aan de betrokkenen
f) Een essentiële dienst kan permanent niet meer worden verleend aan de betrokkenen
g) Xxxxxx, geef aan
7.2 Lichamelijke, materiële en immateriële schade voor de betrokkenen
Welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van de betrokkenen?
a. Discriminatie
b. Identiteitsdiefstal of -fraude
c. Financiële verliezen
d. Reputatieschade
e. Verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens
f. Ongeoorloofde ongedaanmaking van pseudonimisering
g. Betrokkenen kunnen hun rechten en vrijheden niet uitoefenen
h. Betrokkenen worden verhinderd controle over hun persoonsgegevens uit te oefenen
i. Andere gevolgen, geef aan
Geef een inschatting van de ernst van de mogelijke gevolgen voor de betrokkenen
1. Verwaarloosbaar
2. Beperkt
3. Aanzienlijk
4. Zeer groot
8. Vervolgacties naar aanleiding van het datalek
8.2 Maatregelen om de inbreuk aan te pakken
Welke technische en organisatorische maatregelen heeft u getroffen om de inbreuk aan te pakken en om verdere inbreuken te voorkomen?
8.3 Internationale aspecten
Heeft de inbreuk zich voorgedaan in een grensoverschrijdende gegevensverwerking, en is de AP voor deze verwerking de leidende toezichthouder?
1. Ja
2. Nee
Als er sprake is van een grensoverschrijdende gegevensverwerking, om welke EU-landen gaat het dan?
9. Overig
Heeft u alles gemeld dat van belang is?
1. Ja
2. Nee, geef aan wat u nog meer wilt melden