Algemene voorwaarden

Algemene Voorwaarden
Mason Pete Dynamics B.V. 
Breestraat 101, 1941 EG Beverwijk, Nederland
Kamer van Koophandel (KvK): 93861524

Versie: Juni 2026

Artikel 1.  Definities

1.1  In deze Algemene Voorwaarden hebben de volgende begrippen de volgende betekenis:

a.  Opdrachtnemer: Mason Pete Dynamics B.V., statutair gevestigd te Beverwijk (1941 EG) aan de Breestraat 101, ingeschreven in het Handelsregister van de Kamer van Koophandel onder nummer 93861524.

b.  Opdrachtgever: de zakelijke partij die een overeenkomst aangaat met Opdrachtnemer of daartoe onderhandelt.

c.  Partijen: Opdrachtnemer en Opdrachtgever gezamenlijk.

d.  Hoofdovereenkomst: de overeenkomst van opdracht, offerte, opdrachtbevestiging of andere schriftelijke regeling waarin de projectspecifieke commerciële, technische en operationele afspraken tussen Partijen zijn vastgelegd.

e.  Algemene Voorwaarden: deze algemene voorwaarden van Opdrachtnemer.

f.  Projectdocumenten: alle documenten waarin de opdracht verder wordt uitgewerkt, waaronder een statement of work, projectplan, planning, rapportageprotocol, pentest autorisatiebrief, rules of engagement, beveiligingsprotocol, technische scopebeschrijving of andere bijlagen.

g.  Verwerkersovereenkomst: de overeenkomst waarin Partijen afspraken vastleggen omtrent de verwerking van persoonsgegevens in de zin van artikel 28 AVG.

h.  Diensten: alle door Opdrachtnemer uit te voeren werkzaamheden, waaronder consultancy, strategisch advies, Microsoft Dynamics 365 diensten, IT-diensten, cybersecurityadvies, risicoanalyses, security assessments, penetratietesten, fysieke beveiligingstesten, procesoptimalisatie, digitale transformatie, rapportages, workshops en aanverwante werkzaamheden.

i.  Scope: de grenzen van de opdracht zoals schriftelijk overeengekomen, waaronder werkzaamheden, systemen, locaties, netwerken, accounts, IP-adressen, applicaties, tijdsvensters, methoden, beperkingen, deliverables, afhankelijkheden, contactpersonen en uitsluitingen.

j.  Deliverables: de specifiek overeengekomen op te leveren resultaten, waaronder rapportages, adviezen, analyses, presentaties, configuratievoorstellen, roadmaps, risicoanalyses, lijsten met bevindingen en aanbevelingen.

k.  Werkproducten: alle materialen die door Opdrachtnemer zijn ontwikkeld of geleverd in het kader van de opdracht, waaronder Deliverables, rapportages, adviezen, documentatie, presentaties, scripts, templates, modellen, configuratievoorstellen, methodologieën en andere materialen.

l.  Pentest: een vooraf schriftelijk overeengekomen technische of fysieke test, gericht op het identificeren van kwetsbaarheden in systemen, processen, netwerken, applicaties, gebouwen, toegangsbeveiliging of organisatorische beveiligingsmaatregelen.

m.  Rules of Engagement: het document waarin de operationele spelregels voor een Pentest zijn vastgelegd, waaronder toegestane en verboden testmethoden, testvensters, noodcontacten, escalatieprocedure, stopcriteria, rapportageafspraken en beperkingen.

n.  Pentest Autorisatiebrief: het schriftelijke document waarin Opdrachtgever aan Opdrachtnemer toestemming verleent om een Pentest uit te voeren binnen de daarin beschreven Scope.

o.  Kwetsbaarheidsinformatie: informatie over beveiligingslekken, misconfiguraties, aanvalspaden, bewijsmateriaal, screenshots, logs, exploit-resultaten, toegangsmogelijkheden, wachtwoord-hashes, technische bevindingen of andere informatie die misbruikt kan worden voor ongeoorloofde toegang of verstoring.

p.  In Schrijft / Schriftelijk: communicatie per brief, e-mail, elektronisch ondertekend document of ander duurzaam en reproduceerbaar middel van elektronische communicatie.

Artikel 2.  Toepasselijkheid en rangorde

2.1  Deze Algemene Voorwaarden zijn van toepassing op alle offertes, Hoofdovereenkomsten, Projectdocumenten, Diensten en andere rechtsbetrekkingen tussen Partijen.

2.3  Afwijkingen van deze Algemene Voorwaarden zijn slechts geldig indien deze schriftelijk tussen Partijen zijn overeengekomen. Een afwijking geldt uitsluitend voor de specifieke opdracht waarvoor deze is overeengekomen.

2.4  In geval van strijdigheid tussen contractdocumenten geldt de volgende rangorde:

a.  voor privacyrechtelijke zaken: eerst de Verwerkersovereenkomst, dan de Hoofdovereenkomst, dan deze Algemene Voorwaarden;

b.  voor de uitvoering van Pentests: eerst de Pentest Autorisatiebrief en de Rules of Engagement, dan het statement of work, dan de Hoofdovereenkomst, dan deze Algemene Voorwaarden;

c.  voor commerciële en projectspecifieke afspraken: eerst het statement of work of de opdrachtbevestiging, dan de Hoofdovereenkomst, dan deze Algemene Voorwaarden;

d.  voor algemene juridische zaken: deze Algemene Voorwaarden, tenzij schriftelijk uitdrukkelijk hiervan is afgeweken.

2.5  Projectdocumenten maken alleen deel uit van de overeenkomst indien deze schriftelijk door Partijen zijn geaccepteerd of schriftelijk door Opdrachtnemer zijn bevestigd zonder dat Opdrachtgever daartegen binnen een redelijke termijn een gemotiveerd bezwaar heeft geuit.

2.6  Indien een bepaling uit deze Algemene Voorwaarden nietig is of vernietigd wordt, blijven de overige bepalingen volledig van kracht. Partijen zullen in dat geval een vervangende bepaling overeenkomen die het doel en de strekking van de oorspronkelijke bepaling zoveel mogelijk benadert.

Artikel 3.  Offertes en totstandkoming van de overeenkomst

3.1  Alle offertes van Opdrachtnemer zijn vrijblijvend, tenzij in de offerte uitdrukkelijk anders is vermeld.

3.2  Een offerte heeft een geldigheid van dertig (30) dagen na dagtekening, tenzij in de offerte een andere geldigheidstermijn is vermeld.

3.3  Een overeenkomst komt tot stand zodra Opdrachtgever de offerte, opdrachtbevestiging of Hoofdovereenkomst schriftelijk accepteert, of zodra Opdrachtnemer op verzoek van Opdrachtgever start met de uitvoering van de werkzaamheden.

3.4  Opdrachtnemer is niet gebonden aan kennelijke vergissingen, schrijffouten, programmeerfouten, rekenfouten of andere onjuiceheden in offertes, opdrachtbevestigingen, Projectdocumenten of andere communicatie.

3.5  Indien de opdracht in fasen wordt uitgevoerd, kan Opdrachtnemer de start van een volgende fase afhankelijk stellen van de schriftelijke goedkeuring van de voorafgaande fase, de beschikbaarheid van de benodigde informatie en betaling van openstaande facturen.

3.6  Mondelinge toezeggingen, schattingen of verwachtingen binden Opdrachtnemer uitsluitend indien en voor zover deze schriftelijk door Opdrachtnemer zijn bevestigd.

Artikel 4.  Aard van de opdracht

4.1  De rechtsbetrekking tussen Partijen kwalificeert, waar toepasselijk, als een overeenkomst van opdracht in de zin van artikel 7:400 van het Burgerlijk Wetboek.

4.2  Opdrachtnemer voert de Diensten zelfstandig en naar eigen professioneel inzicht uit, met inachtneming van de overeengekomen Scope, de Projectdocumenten en redelijke instructies van Opdrachtgever.

4.3  Tenzij schriftelijk uitdrukkelijk anders is overeengekomen, kwalificeren alle verplichtingen van Opdrachtnemer als inspanningsverplichtingen en niet als resultaatverplichtingen.

4.4  Opdrachtnemer garandeert niet dat adviezen, analyses, configuraties, Pentests, security assessments of andere Diensten zullen leiden tot specifieke commerciële, financiële, technische, organisatorische of veiligheidsresultaten.

4.5  De opdracht creëert geen arbeidsovereenkomst, agentuurovereenkomst, maatschap, vennootschap onder firma, joint venture of enige andere vorm van samenwerking tussen Partijen.

Artikel 5.  Uitvoering van de Diensten

5.1  Opdrachtnemer zal de Diensten uitvoeren met de zorgvuldigheid die mag worden verwacht van een professioneel en redelijk handelend IT-, consultancy- en cybersecurity-dienstverlener.

5.2  Opdrachtnemer bepaalt de wijze waarop de Diensten worden uitgevoerd, tenzij Partijen hierover uitdrukkelijke schriftelijke afspraken hebben gemaakt.

5.3  Opdrachtnemer kan werkzaamheden geheel of gedeeltelijk laten uitvoeren door werknemers, hulppersonen, onderaannemers of andere derden, mits Opdrachtnemer verantwoordelijk blijft voor de coördinatie van de opdracht.

5.4  Opdrachtnemer kan bij de uitvoering van de Diensten gebruikmaken van eigen methodologieën, templates, tools, scripts, software, frameworks, checklists en werkwijzen.

5.5  Opdrachtgever erkent dat IT-, cybersecurity- en transformatieprojecten afhankelijk zijn van technische, organisatorische en menselijke factoren, waaronder bestaande systeemconfiguraties, softwareversies, cloudomgevingen, toancorporate leveranciers, gebruikersgedrag, interne besluitvorming, beschikbare informatie, risicobereidheid, prioriteiten en budgetten van Opdrachtgever.

5.6  Opdrachtnemer is niet verantwoordelijk voor tekortkomingen, vertragingen of beperkingen die het gevolg zijn van omstandigheden buiten haar controle, waaronder storingen bij cloud providers, softwareleveranciers, hostingpartijen, netwerkproviders, security vendors, hardwareleveranciers of andere derden.

Artikel 6.  Verplichtingen van de Opdrachtgever

6.1  Opdrachtgever zal alle informatie, documentatie, toegang, accounts, autorisaties, testomgevingen, contactpersonen, systemen, faciliteiten en beslissingen die Opdrachtnemer redelijkerwijs nodig heeft voor de uitvoering van de opdracht tijdig verstrekken.

6.2  Opdrachtgever staat in voor de juistheid, volledigheid, actualiteit en rechtmatigheid van alle aan Opdrachtnemer verstrekte informatie, gegevens, instructies en autorisaties.

6.3  Opdrachtgever blijft te allen tijde verantwoordelijk voor:

a.  interne besluitvorming;

b.  implementatie van adviezen;

c.  beheer van systemen, processen en accounts;

d.  monitoring en logging;

e.  incident response;

f.  continuïteitsmaatregelen;

g.  back-ups en herstelprocedures;

h.  toegangsbeheer;

i.  naleving van wet- en regelgeving;

j.  communicatie met medewerkers, leveranciers en andere derden;

k.  het verkrijgen van de vereiste toestemmingen en autorisaties;

l.  het beoordelen van bedrijfsrisico's.

6.4  Indien Opdrachtgever onvoldoende of te laat medewerking verleent, kan Opdrachtnemer de planning aanpassen, werkzaamheden opschorten en extra werkzaamheden of wachttijd als meerwerk in rekening brengen.

6.5  Opdrachtgever zorgt ervoor dat medewerkers, leveranciers, beheerders, hostingpartijen, cloud providers, verhuurders en andere relevante derden tijdig zijn geïnformeerd en beschikbaar zijn voor zover noodzakelijk voor de correcte en rechtmatige uitvoering van de opdracht.

6.6  Opdrachtgever is verantwoordelijk voor het maken en verifiëren van actuele back-ups voordat Opdrachtnemer werkzaamheden uitvoert die invloed kunnen hebben op systemen, configuraties, data of continuïteit.

Artikel 7.  Scope, aannames en uitsluitingen

7.1  De Scope van de opdracht wordt bepaald door de Hoofdovereenkomst en de toepasselijke Projectdocumenten.

7.2  Werkzaamheden, systemen, locaties, applicaties, accounts, IP-adressen, domeinen, netwerken, fysieke ruimtes, testmethoden of deliverables die niet uitdrukkelijk schriftelijk zijn opgenomen, vallen buiten de Scope.

7.3  Indien tijdens de uitvoering blijkt dat de Scope onduidelijk, onvolledig of technisch onjuist is, zullen Partijen de Scope schriftelijk verduidelijken voordat Opdrachtnemer werkzaamheden uitvoert die redelijkerwijs buiten de oorspronkelijke opdracht zouden kunnen vallen.

7.4  Opdrachtnemer is niet verplicht om werkzaamheden buiten de overeengekomen Scope uit te voeren.

7.5  Opdrachtgever accepteert dat systemen, kwetsbaarheden, processen, locaties of risico's die buiten de Scope vallen, niet door Opdrachtnemer worden onderzocht of beoordeeld.

7.6  Indien Opdrachtgever informatie, systemen, locaties of accounts buiten de overeengekomen Scope aanbiedt, leidt dit niet automatisch tot een uitbreiding van de Scope.

Artikel 8.  Wijzigingen en meerwerk

8.1  Er is sprake van meerwerk indien Opdrachtnemer werkzaamheden uitvoert of dient uit te voeren die buiten de overeengekomen Scope vallen, of indien de opdracht wijzigt door aanvullende eisen, gewijzigde omstandigheden, afhankelijkheden van derden, onvolledige informatie, gewijzigde prioriteiten of extra instructies van Opdrachtgever.

8.2  Meerwerk wordt, voor zoveel mogelijk, vooraf schriftelijk vastgelegd, inclusief de aard van de werkzaamheden en de gevolgen voor planning, kosten en deliverables.

8.3  Opdrachtnemer is niet verplicht om meerwerk uit te voeren voordat Partijen overeenstemming hebben bereikt over de voorwaarden daarvan.

8.4  Indien onmiddellijke uitvoering redelijkerwijs noodzakelijk is om schade, beveiligingsrisico's, continuïteitsproblemen of juridische risico's te voorkomen of te beperken, kan Opdrachtnemer de noodzakelijke werkzaamheden uitvoeren en tegen de overeengekomen of gebruikelijke tarieven in rekening brengen.

8.5  Meerwerk kan van invloed zijn op eerder overeengekomen deadlines, planningen, capaciteit, kosten en deliverables.

Artikel 9.  Planning, deadlines en afhankelijkheden

101.  Alle deadlines en planningen zijn indicatief, tenzij uitdrukkelijk schriftelijk is overeengekomen dat een deadline een fatale termijn is.

9.2  Overschrijding van een deadline brengt Opdrachtnemer niet in verzuim en geeft Opdrachtgever geen recht op schadevergoeding, opschorting of ontbinding, tenzij Partijen schriftelijk uitdrukkelijk anders zijn overeengekomen.

9.3  Opdrachtnemer zal Opdrachtgever tijdig informeren indien zij voorziet dat een planning wezenlijk zal veranderen.

9.4  De planning en uitvoering zijn mede afhankelijk van de tijdige beschikbaarheid van informatie, autorisaties, systemen, contactpersonen, leveranciers, testvensters, onderhoudsvensters en besluitvorming door Opdrachtgever.

9.5  Indien vertraging ontstaat door omstandigheden aan de zijde van Opdrachtgever of derden, kan Opdrachtnemer de planning aanpassen en redelijke extra kosten in rekening brengen.

Artikel 10.  Deliverables, oplevering en acceptatie

10.1  Opdrachtnemer levert de overeengekomen Deliverables op zoals vastgelegd in de Hoofdovereenkomst of Projectdocumenten.

10.2  Deliverables worden opgesteld op basis van de overeengekomen Scope, de beschikbare informatie, het professionele oordeel van Opdrachtnemer en de stand van de techniek ten tijde van de uitvoering.

10.3  Opdrachtgever zal een Deliverable binnen [aantal] werkdagen na ontvangst beoordelen.

10.4  Indien Opdrachtgever binnen deze termijn geen schriftelijk en gemotiveerd bezwaar maakt, wordt de Deliverable geacht te zijn geaccepteerd.

10.5  Afkeuring is alleen mogelijk indien de Deliverable wezenlijk afwijkt van de schriftelijk overeengekomen specificaties.

10.6  Geringe afwijkingen, redactionele opmerkingen, subjectieve voorkeuren, gewijzigde inzichten of bevindingen als gevolg van naderhand gewijzigde omstandigheden vormen geen grond voor afkeuring.

10.7  Indien een Deliverable terecht wordt afgekeurd, krijgt Opdrachtnemer een redelijke termijn om de tekortkoming te herstellen.

10.8  Acceptatie van een Deliverable laat eventuele geheimhoudings-, gebruiks-, beveiligings- en privacyverplichtingen onverlet.

Artikel 11.  Consultancy en strategisch advies

11.1  Het advies van Opdrachtnemer is gebaseerd op de informatie die beschikbaar was op het moment van adviseren, de context van Opdrachtgever, professionele inzichten en de stand van de techniek.

11.2  Opdrachtnemer geeft strategische, organisatorische, technische of operationele aanbevelingen, maar neemt geen directie-, management- of bedrijfsbeslissingen namens Opdrachtgever.

11.3  Opdrachtgever blijft verantwoordelijk voor het beoordelen of adviezen passend zijn binnen haar organisatie, risicobereidheid, compliance-verplichtingen, budgetten, operationele realiteit en interne besluitvorming.

11.4  Opdrachtnemer garandeert niet dat adviezen zullen leiden tot specifieke commerciële, financiële, operationele, organisatorische of veiligheidsresultaten.

11.5  Indien Opdrachtgever adviezen slechts gedeeltelijk, in gewijzigde vorm of met vertraging implementeert, kan dit de effectiviteit ervan beïnvloeden. Opdrachtnemer is hiervoor niet aansprakelijk.

Artikel 12.  Microsoft Dynamics 365 en IT-diensten

12.1  Opdrachtnemer adviseert en ondersteunt Opdrachtgever bij de analyse, configuratie, het gebruik, de adoptie en optimalisatie van Microsoft Dynamics 365, waaronder Dynamics CE, CRM-processen en gerelateerde bedrijfssoftware.

12.2  Opdrachtnemer treedt hierbij op als onafhankelijk adviseur en niet als primair softwareleverancier, hostingpartij, cloud provider of licentieleverancier, tenzij schriftelijk uitdrukkelijk anders is overeengekomen.

12.3  Licenties, cloudomgevingen, updates, beschikbaarheid, beveiliging en functionaliteit van Microsoft of andere leveranciers worden beheerst door de voorwaarden van die respectievelijke leveranciers.

12.4  Opdrachtgever is verantwoordelijk voor het aangaan, beheren en naleven van de licentievoorwaarden van Microsoft en andere derden, tenzij schriftelijk anders overeengekomen.

12.5  Opdrachtnemer garandeert niet dat software van derden foutloos zal functioneren, ononderbroken beschikbaar zal zijn, zal blijven voldoen aan de toekomstige eisen van Opdrachtgever of compatibel blijft met toekomstige versies, updates, integraties of configuraties.

12.6  Voor zover Opdrachtnemer ondersteuning biedt bij configuratie, optimalisatie of implementatie, vindt oplevering plaats op basis van de schriftelijk overeengekomen specificaties.

12.7  Opdrachtgever blijft verantwoordelijk for tenant-beheer, gebruikersrechten, datakwaliteit, interne processen, testdata, acceptatie, autorisaties, beveiligingsinstellingen en naleving van voorwaarden van derden.

Artikel 13.  Cybersecurity-werkzaamheden

13.1  Cybersecurity-werkzaamheden kunnen bestaan uit risicoanalyses, security assessments, maturity assessments, configuratiebeoordelingen, dreigingsanalyses, beleidsadvies, technische reviews, fysieke beveiligingsbeoordelingen, Pentests, rapportages en aanbevelingen.

13.2  Cybersecurity-werkzaamheden vormen altijd een momentopname binnen de overeengekomen Scope.

13.3  Opdrachtnemer garandeert niet dat alle kwetsbaarheden, dreigingen, aanvalspaden, configuratiefouten of beveiligingsrisico's worden geïdentificeerd.

13.4  Opdrachtgever blijft verantwoordelijk voor het nemen van beveiligingsmaatregelen, monitoring, logging, opvolging van bevindingen, patch management, incident response, herstelmaatregelen en risicobehandeling.

13.5  Opdrachtnemer is niet verantwoordelijk voor beveiligingsincidenten die zich voordoen voor, tijdens of na de uitvoering van de Diensten, tenzij er sprake is van een toerekenbare tekortkoming door Opdrachtnemer binnen de overeengekomen Scope.

13.6  Opdrachtgever erkent dat cybersecurity-onderzoeken inherente risico's met zich mee kunnen brengen, waaronder tijdelijke verstoring, detectie door beveiligingssystemen, logging, account-blokkeringen of blootstelling van bestaande kwetsbaarheden.

Artikel 14.  Technische pentests

14.1  Technische Pentests worden uitsluitend uitgevoerd op basis van een vooraf schriftelijk overeengekomen Scope en een geldige autorisatie.

14.2  De Scope vermeldt ten minste, voor zover relevant:

a.  systemen;                                                                     
b.  applicaties;
c.  domeinen;
d.  IP-adressen;
e.  netwerken;
f.  accounts;
g.  testomgevingen;
h.  toegestane testmethoden;
i.  uitgesloten testmethoden;
j.  testvensters;
k.  noodcontacten;
l.  escalatieprocedure;
m.  stopcriteria.

14.3  Opdrachtnemer mag uitsluitend die testmethoden toepassen die binnen de overeengekomen Scope en autorisatie vallen.

14.4  Methoden die kunnen leiden tot onevenredige verstoring, dataverlies, schade, denial of service, social engineering, phishing, het gebruik van malware of fysieke toegangstesten zijn alleen toegestaan indien dit uitdrukkelijk schriftelijk is overeengekomen.

151.  Indien tijdens een Pentest aanwijzingen ontstaan van ernstige kwetsbaarheden, actieve compromittering, datalekken, onevenredige verstoring of juridische onzekerheid, kan Opdrachtnemer de werkzaamheden onderbreken en Opdrachtgever informeren.

14.6  Opdrachtgever is verantwoordelijk voor het nemen van voorzorgsmaatregelen, waaronder back-ups, monitoring, testvensters, interne communicatie en de beschikbaarheid van noodcontacten.

Artikel 15.  Fysieke beveiligingstesten

15.1  Fysieke beveiligingstesten worden alleen uitgevoerd indien dit uitdrukkelijk schriftelijk is overeengekomen en vooraf is gedekt door een geldige autorisatie.

15.2  De Scope van een fysieke beveiligingstest vermeldt ten minste:

a.  locaties;
b.  kamers en ruimten;
c.  toegestane tijdsvensters;
d.  toegestane methoden;
e.  uitgesloten handelingen;
f.  contactpersonen;
g.  noodprocedure;
h.  identificatieprocedure;
i.  instructies bij confrontatie met personeel, beveiliging of hulpdiensten.

15.3  Opdrachtgever staat er voor in dat zij bevoegd is om de fysieke beveiligingstest te laten uitvoeren en dat de benodigde toestemmingen zijn verkregen van verhuurders, gebouweigenaren, beveiligingsbedrijven, medegebruikers, leveranciers of andere derden.

15.4  Opdrachtnemer zal geen handelingen verrichten die redelijkerwijs als onevenredig, gevaarlijk of buiten de overeengekomen Scope kunnen worden beschouwd, tenzij uitdrukkelijk schriftelijk overeengekomen en gedekt door een geldige autorisatie.

15.5  Opdrachtnemer kan een fysieke beveiligingstest onmiddellijk onderbreken of beëindigen in geval van gevaar, escalatie, dreiging, interventie door derden, twijfel over de autorisatie of juridische onzekerheid.

Artikel 16.  Pentest autorisatie en Rules of Engagement

16.1  Pentest-werkzaamheden worden uitsluitend uitgevoerd na een voorafgaande schriftelijke Scope, een geldige autorisatie en vastgestelde Rules of Engagement.

16.2  Opdrachtgever staat er voor in dat zij bevoegd is om de Pentest te laten uitvoeren en dat alle benodigde toestemmingen van derden, waaronder hostingpartijen, cloud providers, leveranciers, verhuurders, gebouweigenaren, beheerders en beveiligingsbedrijven, vooraf zijn verkregen.

16.3  De Pentest Autorisatiebrief en de Rules of Engagement vermelden ten minste:

a.  de identiteit van Opdrachtgever;
b.  de identiteit van Opdrachtnemer;
c.  de geautoriseerde testobjecten;
d.  de toegestane testmethoden;
e.  de uitgesloten testmethoden;
f.  de testperiode;
g.  noodcontacten;
h.  escalatieprocedure;
i.  stopcriteria;
j.  rapportageafspraken;
k.  afspraken omtrent bewijsmateriaal;
l.  afspraken omtrent persoonsgegevens;
m.  beperkingen en randvoorwaarden.

16.4  Opdrachtnemer kan de Pentest onmiddellijk onderbreken of beëindigen in geval van gevaar, onevenredige verstoring, juridische onzekerheid, twijfel over de autorisatie, ontbrekende toestemming van derden of risico op schade buiten de Scope.

16.5  Opdrachtgever vrijwaart Opdrachtnemer tegen aanspraken van derden die voortvloeien uit onjuiste, onvolledige of ontbrekende autorisaties, tenzij er sprake is van opzet of bewuste roekeloosheid van de bedrijfsleiding van Opdrachtnemer.

Artikel 17.  Rapportages, Kwetsbaarheidsinformatie en bewijsmateriaal

17.1  Rapportages en bevindingen worden opgesteld op basis van de overeengekomen Scope, de beschikbare informatie en de situatie ten tijde van de uitvoering.

17.2  Rapportages vormen geen garantie, certificering of verklaring dat systemen, processen, locaties of organisaties volledig veilig zijn.

17.3  Kwetsbaarheidsinformatie wordt door Partijen als strikt vertrouwelijk behandeld.

17.4  Opdrachtgever mag rapportages uitsluitend intern gebruiken voor beveiliging, risicobeoordeling, besluitvorming, compliance en opvolging van bevindingen.

17.5  Het openbaar maken of verstrekken van rapportages of Kwetsbaarheidsinformatie aan derden is alleen toegestaan met voorafgaande schriftelijke toestemming van Opdrachtnemer, tenzij verstrekking wettelijk verplicht is of noodzakelijk is voor opvolging door een direct betrokken leverancier.

17.6  Indien Opdrachtgever rapportages of bevindingen aan derden verstrekt, zorgt Opdrachtgever ervoor dat de Scope, datum, context, beperkingen, aannames en disclaimers volledig worden meegeleverd.

17.7  Opdrachtnemer is niet aansprakelijk voor schade die voortvloeit uit het onvolledig, buiten de context of aan onbevoegde derden verstrekken van rapportages, bevindingen of Kwetsbaarheidsinformatie.

17.8  Opdrachtnemer kan ernstige kwetsbaarheden tussentijds melden indien onmiddellijke opvolging redelijkerwijs noodzakelijk is.

Artikel 18.  Bewaren en vernietigen van rapportages en bewijsmateriaal

18.1  Opdrachtnemer bewaart rapportages, werkbestanden en bewijsmateriaal niet langer dan noodzakelijk voor de uitvoering, kwaliteitscontrole, verantwoording, facturering, geschillenbeslechting of wettelijke verplichtingen.

18.2  Tenzij schriftelijk anders overeengekomen, bewaart Opdrachtnemer rapportages gedurende [periode] na oplevering.

18.3  Kwetsbaarheidsinformatie, ruwe testdata, screenshots, logs, exploit-resultaten en ander gevoelig bewijsmateriaal worden niet langer bewaard dan redelijkerwijs noodzakelijk.

18.4  Opdrachtgever kan schriftelijk verzoeken om eerdere vernietiging van bewijsmateriaal, tenzij Opdrachtnemer een gerechtvaardigd belang heeft bij bewaring.

18.5  Na afloop van de bewaartermijn kan Opdrachtnemer rapportages, bewijsmateriaal en werkbestanden verwijderen of anonimiseren.

Artikel 19.  Intellectueel eigendom en gebruiksrechten

19.1  Alle intellectuele eigendomsrechten op Werkproducten, waaronder rapportages, adviezen, analyses, documentatie, presentaties, configuratievoorstellen, scripts, templates, modellen, methodologieën, checklists, frameworks en andere materialen, berusten uitsluitend bij Opdrachtnemer of haar licentiegevers, tenzij schriftelijk anders overeengekomen.

19.2  Opdrachtgever verkrijgt na volledige betaling een niet-exclusief, niet-overdraagbaar en niet-sublicentieerbaar gebruiksrecht op de Werkproducten, uitsluitend voor intern gebruik binnen de eigen organisatie en uitsluitend voor het doel waarvoor de Werkproducten zijn verstrekt.

19.3  Het is Opdrachtgever niet toegestaan Werkproducten te openbaren, te verveelvoudigen, te wijzigen, te verkopen, te verhuren, in sublicentie te geven, commercieel te exploiteren of aan derden te verstrekken, tenzij dit uitdrukkelijk schriftelijk is toegestaan of noodzakelijk is voor intern gebruik binnen de overeengekomen opdracht.

19.4  Het gebruiksrecht omvat niet het recht op het gebruik van de onderliggende bronbestanden, ruwe data, scripts, tooling, templates, modellen, exploit-code, testbestanden of interne werkdocumenten van Opdrachtnemer, tenzij schriftelijk anders overeengekomen.

19.5  Opdrachtnemer behoudt het recht om algemene kennis, ervaring, ideeën, concepten, methodologieën, geleerde lessen, knowhow en niet-opdrachtgeverspecifieke componenten die zijn verworven of ontwikkeld bij de uitvoering van de opdracht, vrij te gebruiken.

19.6  Opdrachtgever behoudt alle rechten op de door haar verstrekte gegevens, documentatie, systemen, configuraties, bedrijfsinformatie en andere materialen.

19.7  Indien Opdrachtgever in strijd handelt met dit artikel, kan Opdrachtnemer het gebruiksrecht opschorten of beëindigen, onverminderd haar recht op schadevergoeding.

Artikel 20.  Materialen, tools, scripts en methodologieën

20.1  Opdrachtnemer kan bij de uitvoering van de Diensten gebruikmaken van eigen tools, scripts, software, frameworks, scanmethodologieën, checklists, templates en werkwijzen, of die van derden.

20.2  Tenzij schriftelijk anders overeengekomen, worden deze materialen niet overgedragen aan Opdrachtgever.

20.3  Indien Opdrachtnemer scripts, configuraties of technische tools aanbiedt aan Opdrachtgever, worden deze "as is" geleverd, tenzij schriftelijk anders overeengekomen.

20.4  Opdrachtgever is zelf verantwoordelijk voor het testen, beoordelen en veilig toepassen van aan haar verstrekte scripts, configuraties of tools binnen haar eigen omgeving.

20.5  Opdrachtnemer is niet verplicht om broncode, ruwe testbestanden, exploit-code, interne documentatie, templates of onderliggende methodologieën te verstrekken.

20.6  Op software of tools van derden zijn de licentievoorwaarden van de desbetreffende derde van toepassing.

Artikel 21.  Geheimhouding

21.1  Partijen verplichten zich tot geheimhouding van alle vertrouwelijke informatie die zij in het kader van de overeenkomst van elkaar ontvangen.

21.2  Vertrouwelijke informatie omvat in ieder geval bedrijfsinformatie, technische informatie, beveiligingsinformatie, Kwetsbaarheidsinformatie, rapportages, persoonsgegevens, broncode, configuraties, inloggegevens, financiële informatie, commerciële informatie en informatie waarvan het vertrouwelijke karakter redelijkerwijs kenbaar is.

21.3  Partijen gebruiken vertrouwelijke informatie uitsluitend voor de uitvoering van de overeenkomst.

21.4  Partijen nemen passende maatregelen om vertrouwelijke informatie te beveiligen tegen ongeoorloofde toegang, openbaarmaking, verlies of misbruik.

21.5  De geheimhoudingsplicht geldt niet voor informatie die:

a.  al openbaar was zonder schending van een geheimhoudingsplicht;

b.  rechtmatig is verkregen van een derde zonder geheimhoudingsplicht;

c.  zelfstandig is ontwikkeld zonder gebruik van vertrouwelijke informatie;

d.  openbaar gemaakt moet worden op grond van de wet, een rechterlijke uitspraak of een besluit van een bevoegde toezichthoudende autoriteit.

21.6  Indien een Partij wettelijk verplicht is om vertrouwelijke informatie te delen, zal zij de andere Partij vooraf informeren, tenzij dit wettelijk verboden is.

21.7  De geheimhoudingsplicht blijft van kracht gedurende vijf (5) jaar na beëindiging van de overeenkomst. Voor Kwetsbaarheidsinformatie, persoonsgegevens, bedrijfsgeheimen en informatie waarvan voortdurende geheimhouding redelijkerwijs noodzakelijk is, geldt de geheimhoudingsplicht zolang het vertrouwelijke karakter voortbestaat.

Artikel 22.  Privacy en persoonsgegevens

22.1  Voorafgaand aan en tijdens de uitvoering van de opdracht beoordelen Partijen hun respectievelijke rollen onder de AVG.

22.2  Voor zover Opdrachtnemer ten behoeve van Opdrachtgever persoonsgegevens verwerkt, kwalificeert Opdrachtgever als verwerkingsverantwoordelijke en Opdrachtnemer als verwerker in de zin van de AVG.

22.3  In het geval bedoeld in artikel 22.2 zullen Partijen een Verwerkersovereenkomst sluiten. De Verwerkersovereenkomst prevaleert uitsluitend voor zaken die betrekking hebben op de verwerking of persoonsgegevens.

22.4  Opdrachtgever staat in voor de rechtmatigheid van de verwerking, waaronder het bestaan van een geldige rechtsgrondslag, de juistheid van instructies, het informeren van betrokkenen en het naleven van haar overige verplichtingen als verwerkingsverantwoordelijke.

22.5  Opdrachtnemer verwerkt persoonsgegevens alleen voor zover noodzakelijk voor de uitvoering van de opdracht en conform de schriftelijke instructies van Opdrachtgever, tenzij wetgeving anders vereist.

22.6  Bij cybersecurity-werkzaamheden en Pentests kan Opdrachtnemer incidenteel toegang krijgen tot persoonsgegevens die vooraf niet voorzien waren. Opdrachtnemer zal dergelijke gegevens zoveel mogelijk vermijden en minimaliseren en deze uitsluitend verwerken voor zover noodzakelijk voor verificatie, bewijsvoering, rapportage of uitvoering van de opdracht.

22.7  De specifieke verwerkingen, categorieën van persoonsgegevens, categorieën van betrokkenen, doeleinden, bewaartermijnen, beveiligingsmaatregelen en eventuele subverwerkers worden vastgelegd in de verwerkingsspecificatie die als bijlage bij de Verwerkersovereenkomst is gevoegd.

22.8  Indien Partijen nog geen Verwerkersovereenkomst hebben gesloten terwijl Opdrachtnemer persoonsgegevens ten behoeve van Opdrachtgever verwerkt, zullen Partijen deze alsnog sluiten alvorens die verwerking te starten of voort te zetten.

Artikel 23.  Beveiliging en beveiligingsincidenten

23.1  Opdrachtnemer neemt passende technische en organisatorische maatregelen om vertrouwelijke informatie, Werkproducten, Kwetsbaarheidsinformatie en persoonsgegevens te beveiligen.

23.2  De beveiligingsmaatregelen zijn afgestemd op de aard van de opdracht, de aard van de informatie, de stand van de techniek, de kosten van de tenuitvoerlegging en de redelijkerwijs te verwachten risico's.

23.3  Opdrachtnemer garandeert niet dat de beveiligingsmaatregelen onder alle omstandigheden elke vorm van ongeoorloofde toegang, verlies, misbruik, aantasting of verstoring kunnen voorkomen.

23.4  Opdrachtgever blijft verantwoordelijk voor de beveiliging van haar eigen systemen, netwerken, accounts, autorisaties, monitoring, logging, back-ups, herstelprocedures en continuïteitsmaatregelen.

23.5  Indien Opdrachtnemer tijdens de uitvoering van de opdracht een ernstig beveiligingsrisico, beveiligingsincident of mogelijke compromittering identificeert, zal zij Opdrachtgever binnen een redelijke termijn informeren.

23.6  In het geval van een datalek (inbreuk in verband met persoonsgegevens) is de procedure rondom datalekken zoals vastgelegd in de Verwerkersovereenkomst van toepassing.

23.7  Opdrachtnemer kan de werkzaamheden opschorten of noodmaatregelen nemen indien voortzetting redelijkerwijs zou kunnen leiden tot schade, verstoring, beveiligingsrisico's, juridische risico's of schending van wet- en regelgeving.

Artikel 24.  Onderaannemers en derden

24.1  Opdrachtnemer kan bij de uitvoering van de opdracht gebruikmaken van werknemers, zelfstandige professionals, onderaannemers, leveranciers en andere hulppersonen.

24.2  Opdrachtnemer blijft verantwoordelijk voor de coördinatie van de werkzaamheden die onder haar verantwoordelijkheid worden uitgevoerd.

24.3  Indien een derde ten behoeve van Opdrachtgever persoonsgegevens verwerkt, kwalificeert deze derde als subverwerker voor zover voorzien in de Verwerkersovereenkomst.

24.4  Opdrachtgever is verantwoordelijk voor de tijdige beschikbaarheid, medewerking en instructie van derden die door Opdrachtgever worden ingeschakeld.

24.5  Opdrachtnemer is niet aansprakelijk voor tekortkomingen, vertragingen of schade veroorzaakt door derden die door Opdrachtgever zijn ingeschakeld of voor wie Opdrachtgever verantwoordelijk is.

Artikel 25.  Afhankelijkheid van toancorporate leveranciers en platformen

25.1  De Diensten kunnen afhankelijk zijn van producten, diensten, licenties, cloudomgevingen, infrastructuur, API's, software, beveiligingssystemen of platformen van derden, waaronder Microsoft, hostingpartijen, cloud providers, netwerkproviders en softwareleveranciers.

25.2  Opdrachtgever is zelf verantwoordelijk voor het aangaan, beheren en naleven van overeenkomsten en licentievoorwaarden met deze derden, tenzij schriftelijk anders overeengekomen.

25.3  Opdrachtnemer is niet verantwoordelijk voor wijzigingen, storingen, beperkingen, prijswijzigingen, beëindigingen, beveiligingsincidenten, dataverlies of beschikbaarheidsproblemen bij derden.

25.4  Indien een derde haar voorwaarden, functionaliteit, API's, beveiligingsinstellingen, licentiemodel of beschikbaarheid wijzigt, kan dit invloed hebben op de opdracht. Eventuele extra werkzaamheden worden als meerwerk beschouwd.

25.5  Opdrachtnemer is niet verplicht om de werking van producten of diensten van derden te garanderen.

Artikel 26.  Tarieven, facturering en betaling

26.1  Opdrachtgever is de overeengekomen vergoedingen verschuldigd zoals vastgelegd in de Hoofdovereenkomst, offerte, opdrachtbevestiging of toepasselijke Projectdocumenten.