Algemene Voorwaarden

Artikel 1. Definities en toepasselijkheid

1.1 In deze algemene voorwaarden wordt verstaan onder:

Normatik: de SaaS-applicatie voor information security management, aangeboden door 42 BV, gevestigd te Zilverstraat 1, ingeschreven bij de Kamer van Koophandel onder nummer 24293804, hierna tevens aangeduid als “Leverancier”.

Klant: de rechtspersoon of natuurlijke persoon handelend in de uitoefening van een beroep of bedrijf die een overeenkomst aangaat met Leverancier voor het gebruik van Normatik.

Overeenkomst: de overeenkomst tussen Leverancier en Klant met betrekking tot het gebruik van Normatik, inclusief eventuele bijlagen, service level agreements en verwerkersovereenkomsten.

Applicatie: de Normatik-software, inclusief alle updates, patches en nieuwe versies die Leverancier gedurende de looptijd van de Overeenkomst beschikbaar stelt.

Klantdata: alle gegevens, documenten, risicobeoordelingen, beleidsregels en overige informatie die door of namens de Klant in de Applicatie worden ingevoerd of gegenereerd.

Gebruiker: een door de Klant geautoriseerde natuurlijke persoon die toegang heeft tot de Applicatie.

Dienst: het geheel van de door Leverancier aan Klant geleverde prestaties, bestaande uit de terbeschikkingstelling van de Applicatie, onderhoud, ondersteuning en eventuele aanvullende diensten.

1.2 Deze algemene voorwaarden zijn van toepassing op alle aanbiedingen, offertes en overeenkomsten tussen Leverancier en Klant, tenzij schriftelijk anders overeengekomen.

1.3 De toepasselijkheid van eventuele inkoop- of andere voorwaarden van de Klant wordt uitdrukkelijk van de hand gewezen.

1.4 Indien enige bepaling van deze voorwaarden nietig is of vernietigd wordt, blijven de overige bepalingen onverminderd van kracht. Partijen zullen in dat geval in overleg treden om een vervangende bepaling overeen te komen die het doel en de strekking van de oorspronkelijke bepaling zo dicht mogelijk benadert.

1.5 Leverancier heeft het recht deze algemene voorwaarden te wijzigen. Wijzigingen worden ten minste dertig (30) dagen voor inwerkingtreding schriftelijk of per e-mail aan de Klant medegedeeld. Indien een wijziging wezenlijk nadelig is voor de Klant, heeft de Klant het recht de Overeenkomst op te zeggen tegen de datum waarop de gewijzigde voorwaarden in werking treden.

Artikel 2. Totstandkoming van de overeenkomst

2.1 De Overeenkomst komt tot stand op het moment dat de Klant het registratieproces op de Applicatie voltooit en daarbij uitdrukkelijk akkoord gaat met deze algemene voorwaarden, dan wel op het moment dat Leverancier een door de Klant ondertekende offerte ontvangt.

2.2 Leverancier stelt de algemene voorwaarden voor of bij het sluiten van de Overeenkomst langs elektronische weg ter beschikking aan de Klant, op zodanige wijze dat deze door de Klant kunnen worden opgeslagen en toegankelijk zijn voor latere raadpleging.

2.3 Alle aanbiedingen en offertes van Leverancier zijn vrijblijvend, tenzij daarin uitdrukkelijk een termijn voor aanvaarding is vermeld.

Artikel 3. Licentie en gebruiksrecht

3.1 Leverancier verleent de Klant gedurende de looptijd van de Overeenkomst een niet-exclusief, niet-overdraagbaar en herroepelijk recht om de Applicatie te gebruiken in overeenstemming met de Overeenkomst en de daarbij behorende documentatie.

3.2 Het gebruiksrecht is beperkt tot de interne zakelijke doeleinden van de Klant en het in de Overeenkomst overeengekomen aantal Gebruikers.

3.3 Het is de Klant niet toegestaan om:

de Applicatie te kopiëren, aan te passen, te vertalen, te decompileren, te reverse-engineeren of anderszins de broncode te achterhalen, behoudens voor zover dwingend recht dit toestaat;

de Applicatie of enig onderdeel daarvan aan derden in sublicentie te geven, te verhuren, te verkopen of anderszins beschikbaar te stellen;

de door Leverancier gehanteerde methodieken, templates, checklists of frameworks geheel of gedeeltelijk te reproduceren voor eigen commerciële doeleinden buiten het kader van de Overeenkomst.

Artikel 4. Beschikbaarheid en onderhoud

4.1 Leverancier zal zich naar beste vermogen inspannen om de Applicatie beschikbaar te houden, maar garandeert geen ononderbroken beschikbaarheid, tenzij partijen een separate Service Level Agreement (SLA) zijn overeengekomen.

4.2 Leverancier is gerechtigd de Applicatie tijdelijk buiten gebruik te stellen ten behoeve van onderhoud, aanpassingen of verbeteringen. Leverancier zal dergelijk gepland onderhoud zoveel mogelijk buiten kantooruren uitvoeren en de Klant hiervan, waar redelijkerwijs mogelijk, vooraf in kennis stellen.

4.3 Leverancier is niet aansprakelijk voor schade als gevolg van tijdelijke onbeschikbaarheid van de Applicatie, tenzij sprake is van opzet of bewuste roekeloosheid.

Artikel 5. Gedeelde verantwoordelijkheid en compliance

5.1 Leverancier draagt zorg voor een passend beveiligingsniveau van de Applicatie en de onderliggende infrastructuur, met inachtneming van de stand van de techniek en de aard van de verwerkte gegevens. Dit omvat in ieder geval:

versleuteling van Klantdata zowel tijdens opslag (at rest) als tijdens transport (in transit);

hosting van Klantdata binnen de Europese Economische Ruimte (EER);

het toepassen van meervoudige authenticatie (MFA) voor beheerders van de Applicatie;

het uitvoeren van periodieke beveiligingsaudits en penetratietests.

5.2 De Klant is verantwoordelijk voor:

de beveiliging en het vertrouwelijk houden van inloggegevens en het beheer van autorisaties binnen de Applicatie;

het treffen van adequate beveiligingsmaatregelen op de eigen systemen en netwerken waarmee toegang wordt verkregen tot de Applicatie;

de juistheid en volledigheid van de in de Applicatie ingevoerde Klantdata.

5.3 De Klant erkent en aanvaardt dat het gebruik van de Applicatie een ondersteunend hulpmiddel is voor het voldoen aan de verplichtingen uit de Cybersecuritywet (de Nederlandse implementatie van de NIS2-richtlijn) en vergelijkbare wet- en regelgeving, maar dat het gebruik van de Applicatie op zichzelf geen garantie biedt voor volledige compliance. De juridische eindverantwoordelijkheid voor de naleving van toepasselijke wet- en regelgeving berust te allen tijde bij de Klant en diens bestuur.

5.4 Leverancier verstrekt op verzoek van de Klant informatie over de getroffen beveiligingsmaatregelen ten behoeve van de ketenverantwoordelijkheid van de Klant onder de Cybersecuritywet, bijvoorbeeld in de vorm van een beveiligingsverklaring, certificering of auditrapportage.

Artikel 6. Incidentmanagement

6.1 Leverancier stelt de Klant onverwijld, maar uiterlijk binnen vierentwintig (24) uur na vaststelling, in kennis van elk beveiligingsincident dat de vertrouwelijkheid, integriteit of beschikbaarheid van Klantdata aantast of redelijkerwijs kan aantasten.

6.2 De kennisgeving als bedoeld in lid 1 bevat ten minste:

een beschrijving van de aard van het incident;

de (geschatte) omvang en gevolgen;

de reeds getroffen en voorgenomen maatregelen.

6.3 Leverancier verleent de Klant alle redelijke medewerking die nodig is om aan diens eigen meldingsplichten jegens toezichthouders te voldoen.

Artikel 7. Klantdata en eigendom

7.1 Alle Klantdata blijven te allen tijde eigendom van de Klant. De Overeenkomst houdt geen overdracht in van enig intellectueel eigendomsrecht op de Klantdata aan Leverancier.

7.2 Leverancier verwerkt Klantdata uitsluitend ten behoeve van de uitvoering van de Overeenkomst en de daarin beschreven Dienst, tenzij de Klant hiervoor uitdrukkelijk toestemming heeft gegeven of een wettelijke verplichting dit vereist.

7.3 Leverancier maakt dagelijks back-ups van de Klantdata en draagt zorg voor het herstel van gegevens binnen achtenveertig (48) uur na een incident dat tot gegevensverlies heeft geleid, mits Leverancier de overeengekomen back-upprocedures heeft gevolgd.

Artikel 8. Prijzen, indexering en betaling

8.1 De Klant is aan Leverancier de vergoeding verschuldigd zoals overeengekomen in de Overeenkomst. Alle genoemde prijzen zijn exclusief btw en andere heffingen van overheidswege, tenzij uitdrukkelijk anders vermeld.

8.2 Leverancier is gerechtigd de prijzen jaarlijks te indexeren op basis van de Consumentenprijsindex (CPI) zoals gepubliceerd door het Centraal Bureau voor de Statistiek (CBS). Indexering vindt plaats per de jaarlijkse verlengingsdatum van de Overeenkomst. Een negatieve indexering leidt niet tot een prijsverlaging.

8.3 Betaling dient te geschieden binnen dertig (30) dagen na factuurdatum, tenzij schriftelijk anders overeengekomen.

8.4 Bij overschrijding van de betalingstermijn is de Klant van rechtswege in verzuim, zonder dat een nadere ingebrekestelling is vereist. Vanaf dat moment is de wettelijke handelsrente verschuldigd over het openstaande bedrag.

8.5 Indien de Klant langer dan dertig (30) dagen in verzuim is met betaling, is Leverancier gerechtigd de toegang tot de Applicatie op te schorten tot het moment dat alle openstaande facturen zijn voldaan. Opschorting ontslaat de Klant niet van zijn betalingsverplichtingen.

Artikel 9. Duur, opzegging en overstap

9.1 De Overeenkomst wordt aangegaan voor de in de Overeenkomst vermelde termijn. Na afloop van de initiële termijn wordt de Overeenkomst telkens stilzwijgend verlengd voor periodes van één (1) jaar, tenzij een der partijen de Overeenkomst opzegt met inachtneming van een opzegtermijn van twee (2) maanden voor het einde van de lopende termijn.

9.2 In overeenstemming met de Europese Dataverordening (Data Act) heeft de Klant te allen tijde het recht het overstapproces naar een andere aanbieder te initiëren met inachtneming van een opzegtermijn van ten hoogste twee (2) maanden, ongeacht de resterende looptijd van een eventueel jaarcontract.

9.3 Bij beëindiging van de Overeenkomst, om welke reden dan ook, heeft de Klant gedurende dertig (30) dagen na de beëindigingsdatum de mogelijkheid om alle Klantdata te exporteren in een gangbaar, gestructureerd en machineleesbaar formaat (waaronder CSV en/of JSON).

9.4 Leverancier verleent de Klant redelijke bijstand bij de migratie naar een andere aanbieder, tegen een vergoeding op basis van de gebruikelijke uurtarieven van Leverancier. Vanaf 12 januari 2027 worden voor de overdracht van Klantdata geen kosten meer in rekening gebracht, conform de Dataverordening.

9.5 Gedurende de transitieperiode als bedoeld in lid 3 blijft de Applicatie volledig beschikbaar voor de Klant, zodat de continuïteit van de bedrijfsvoering is gewaarborgd.

9.6 Na afloop van de in lid 3 genoemde termijn verwijdert Leverancier alle Klantdata uit zijn systemen, tenzij een wettelijke bewaarplicht zich daartegen verzet.

Artikel 10. Aansprakelijkheid

10.1 De totale aansprakelijkheid van Leverancier wegens een toerekenbare tekortkoming in de nakoming van de Overeenkomst of op welke rechtsgrond dan ook, is beperkt tot vergoeding van directe schade tot maximaal het bedrag dat de Klant in de twaalf (12) maanden voorafgaand aan de schadeveroorzakende gebeurtenis daadwerkelijk aan Leverancier heeft betaald uit hoofde van de Overeenkomst.

10.2 Onder directe schade wordt uitsluitend verstaan:

redelijke kosten die de Klant heeft moeten maken om de prestatie van Leverancier aan de Overeenkomst te laten beantwoorden;

redelijke kosten ter vaststelling van de oorzaak en omvang van de schade;

redelijke kosten ter voorkoming of beperking van schade, voor zover de Klant aantoont dat deze kosten hebben geleid tot beperking van de directe schade.

10.3 Aansprakelijkheid van Leverancier voor indirecte schade, waaronder begrepen maar niet beperkt tot gevolgschade, gederfde winst, gemiste besparingen, schade door bedrijfsstagnatie en reputatieschade, is uitgesloten.

10.4 De aansprakelijkheidsbeperkingen in dit artikel gelden niet indien de schade het gevolg is van opzet of bewuste roekeloosheid van Leverancier of diens leidinggevenden.

10.5 De aansprakelijkheid van Leverancier voor gegevensverlies van Klantdata is beperkt tot de kosten van het herstellen van de gegevens uit de meest recente back-up, mits Leverancier kan aantonen dat de overeengekomen back-upprocedures zijn gevolgd.

10.6 Leverancier is niet aansprakelijk voor boetes of sancties die aan de Klant worden opgelegd door toezichthouders op grond van de Cybersecuritywet, de Algemene Verordening Gegevensbescherming of andere toepasselijke regelgeving, indien deze boetes het gevolg zijn van nalatigheid of handelen van de Klant zelf.

Artikel 11. Vrijwaring

11.1 De Klant vrijwaart Leverancier tegen alle aanspraken van derden die verband houden met of voortvloeien uit het gebruik van de Applicatie door de Klant, waaronder maar niet beperkt tot aanspraken die voortvloeien uit de niet-naleving door de Klant van toepasselijke wet- en regelgeving.

11.2 Leverancier vrijwaart de Klant tegen aanspraken van derden wegens inbreuk op intellectuele eigendomsrechten met betrekking tot de Applicatie, mits de Klant Leverancier onverwijld schriftelijk informeert over de aanspraak en de behandeling ervan geheel aan Leverancier overlaat.

Artikel 12. Geheimhouding

12.1 Partijen verplichten zich om alle vertrouwelijke informatie die zij in het kader van de Overeenkomst van de andere partij ontvangen, geheim te houden en uitsluitend te gebruiken voor het doel waarvoor deze informatie is verstrekt.

12.2 Als vertrouwelijke informatie wordt in ieder geval aangemerkt: Klantdata, risicobeoordelingen, beveiligingsmaatregelen, financiële gegevens en bedrijfsstrategische informatie.

12.3 De geheimhoudingsverplichting geldt niet voor informatie die:

reeds bij de ontvangende partij bekend was op het moment van verstrekking;

op rechtmatige wijze van een derde is verkregen zonder geheimhoudingsverplichting;

openbaar bekend is of wordt zonder toedoen van de ontvangende partij;

op grond van een wettelijke verplichting moet worden verstrekt.

12.4 De geheimhoudingsverplichting blijft van kracht gedurende de looptijd van de Overeenkomst en twee (2) jaar na beëindiging daarvan.

Artikel 13. Intellectueel eigendom

13.1 Alle intellectuele eigendomsrechten op de Applicatie, de documentatie, de onderliggende software, datastructuren, methodieken en templates berusten uitsluitend bij Leverancier.

13.2 De Overeenkomst strekt niet tot overdracht van enig intellectueel eigendomsrecht. De Klant verkrijgt uitsluitend het in artikel 3 omschreven gebruiksrecht.

13.3 Het is de Klant niet toegestaan om aanduidingen betreffende auteursrechten, merken, handelsnamen of andere intellectuele eigendomsrechten uit de Applicatie te verwijderen of te wijzigen.

Artikel 14. Verwerking van persoonsgegevens

14.1 Indien en voor zover Leverancier bij de uitvoering van de Overeenkomst persoonsgegevens verwerkt in opdracht van de Klant, treedt Leverancier op als verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG).

14.2 Partijen sluiten hiertoe een separate verwerkersovereenkomst, die als bijlage aan de Overeenkomst wordt gehecht. De verwerkersovereenkomst maakt onlosmakelijk onderdeel uit van de Overeenkomst.

14.3 Leverancier zal persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Klant, behoudens voor zover een wettelijke verplichting anders vereist.

Artikel 15. Overmacht

15.1 Geen der partijen is gehouden tot het nakomen van enige verplichting indien zij daartoe wordt verhinderd door een omstandigheid die niet is te wijten aan haar schuld, noch krachtens de wet, rechtshandeling of in het verkeer geldende opvattingen voor haar rekening komt.

15.2 Onder overmacht wordt in deze voorwaarden in ieder geval verstaan, naast hetgeen daaromtrent in de wet en jurisprudentie wordt begrepen: grootschalige internetstoringen, DDoS-aanvallen of andere cyberaanvallen van buitengewone omvang, stroomstoringen, epidemieën, overheidsmaatregelen, alsmede tekortkomingen van toeleveranciers van Leverancier waarop Leverancier geen invloed kan uitoefenen.

15.3 Indien de overmachtsituatie langer voortduurt dan negentig (90) dagen, heeft ieder der partijen het recht de Overeenkomst schriftelijk te ontbinden, zonder dat daardoor een verplichting tot schadevergoeding ontstaat.

Artikel 16. Toepasselijk recht en geschillen

16.1 Op de Overeenkomst en deze algemene voorwaarden is uitsluitend Nederlands recht van toepassing.

16.2 Geschillen die voortvloeien uit of verband houden met de Overeenkomst worden bij uitsluiting voorgelegd aan de bevoegde rechter in het arrondissement waar Leverancier is gevestigd, tenzij dwingend recht anders bepaalt.

16.3 Alvorens een geschil aan de rechter voor te leggen, zullen partijen zich inspannen om het geschil in onderling overleg op te lossen binnen een termijn van dertig (30) dagen na schriftelijke kennisgeving van het geschil.

Artikel 17. Slotbepalingen

17.1 Het nalaten door Leverancier om enig recht of enige bepaling van deze voorwaarden uit te oefenen of af te dwingen, houdt geen afstand in van dat recht of die bepaling.

17.2 Leverancier is gerechtigd haar rechten en verplichtingen uit de Overeenkomst over te dragen aan een derde, mits de Klant hiervan ten minste dertig (30) dagen van tevoren schriftelijk op de hoogte wordt gesteld. De Klant mag zijn rechten en verplichtingen niet overdragen zonder voorafgaande schriftelijke toestemming van Leverancier.

17.3 Kennisgevingen uit hoofde van de Overeenkomst geschieden schriftelijk, per e-mail of via de Applicatie, aan de bij Leverancier bekende contactgegevens van de Klant.