General Conditions

General Conditions Dyflexis

Module A – General

In the General Conditions Dyflexis, the following words and expressions are capitalized. Any of the following words and expressions shown in the singular, shall have the same meaning when used in the plural and vice-versa.

1.1. General Conditions: the provisions contained in this document.

1.2. Data: The personal data that is stored by the Client and made accessible via the Service.

1.3. Service(s): The service(s) that Dyflexis will provide for the Client and as described in Dyflexis’ quotation or offer, including but not limited to the supply of hardware and software as a service.

A.1.4. Hardware: The equipment supplied to the Client by Dyflexis under the terms and conditions of the Agreement.

A.1.5. Start Date: the date on which the Agreement enters effect and on which the supply of the Service commences.

A.1.6. Intellectual Property: all intellectual property and related rights, including but not limited to copyrights, database rights, domain names, trade name rights, trademark rights, design rights, neighbouring rights, patent rights and also rights to know-how.

A.1.7. Dyflexis: The B.V. (Besloten Vennootschap) Wodan Brothers, established in The Hague and registered at the Chamber of Commerce under record number 59584327. This is also understood to include all trade name rights of Dyflexis registered at the Chamber of Commerce, including the trade name Dyflexis.

A.1.8. Client: the natural person or legal entity with which Dyflexis has entered into an Agreement. It also refers to anyone who is in negotiations about this as well as its representative(s), authorised person(s), successor(s) in title or heirs.

A.1.9. Agreement: Each agreement between Dyflexis and the Client that arises from an offer or quotation made by Dyflexis and the valid acceptance of this by the Client.

A.1.10. SLA: The service level agreement entered into between Dyflexis and the Client which includes agreements about the level, quality and manner of problem solving with regard to the Service.

A.1.11. Updates: Changes and updates to the Service for the purpose of bug fixing, improving functionality and/or repairing faults.

A.1.12. Upgrades: structural changes and upgrades to the Service for the purpose of adding major functionalities.

A.1.13. Working days: Monday to Friday, excluding public holidays in the Netherlands.

A.1.14. Work(s): the websites, applications, lay-out, database files, software, documentation, advice, reports, analyses, designs or other creations developed or designed by Dyflexis whether or not these are for the purpose and/or on the instructions of the Client.

A.1.15. Working hours: hours on Working days between 09:00 and 17:00 (CEST).


A.2.1. These Standard Terms and Conditions apply to each quotation or offer by Dyflexis concerning the Services and form an integral part of each Agreement.

A.2.2. If the business name used by Customer denotes more than one (legal) person or organization, each will be responsible for the entire fulfilment of the obligations that may flow forth from the agreement with Dyflexis.

A.2.3. The specific modules apply if the requested or offered Services fall within the area of application described in the module. If a specific module is applicable, this will prevail over Module A

A.2.4. The definitions described in article A.1 apply to all of the modules in these Standard Terms and Conditions, unless another meaning is attributed to these elsewhere in the Agreement and/or the Standard Terms and Conditions.

A.2.5. Provisions or terms stated by the Client which depart from or do not occur in these Standard Terms and Conditions are only binding for Dyflexis insofar as they have been expressly accepted in writing by Dyflexis.

A.2.6. In the event of a conflict between the provisions in the Agreement, the Standard Terms and Conditions or the annexes to thereof, the following order of priority shall apply:
i. The Agreement
ii. The Service Level Agreement entered into (SLA).
iii. Any annexes to the Agreement
iv. These Standard Terms and Conditions.


A.3.1. The Agreement is formed through the express acceptance of the quotation or the offer by the Client.

A.3.2. If the client does not expressly agree to the quotation or the offer, but nevertheless agrees or gives the impression of agreeing that Dyflexis perform work which falls within the description of the Services, then the offer will be deemed to have been accepted. This also applies if the Client requests Dyflexis to perform specific work without waiting for a formal offer.

A.3.3. Offers from Dyflexis are valid for the period specified in the offer. In case no period is specified, the offer is valid until thirty days after the date on which the offer was sent by Dyflexis.

A.3.4. If it emerges that the information provided by the Client when it requested the Agreement was incorrect, Dyflexis has the right to amend the prices accordingly.

A.3.5. The Agreement runs from the moment on which the technical Service is supplied to the Client (“the Start Date”) unless another start date has been agreed in writing.


A.4.1 After the Agreement enters effect, Dyflexis will make every effort to perform the Service within a reasonable period.

A.4.2 Where not agreed in writing otherwise, Dyflexis guarantees that it will perform the Service to the best of its ability and will employ sufficient care and professionalism.

A.4.3 The aforementioned periods and delivery periods are merely indicative and are not firm deadlines unless agreed otherwise in writing.

A.4.4 If and insofar as required for a good implementation of the Service, Dyflexis has the right to have certain work performed by third parties without notifying the Client. Dyflexis will not charge the expenses incurred by the third party to the Client, unless agreed otherwise in writing

A.4.5 The Client is under the obligation to do everything and allow everything that is reasonably necessary and desirable to enable the timely and correct performance of the Service. In particular, the Client will ensure that all data which Dyflexis states are necessary or which the Client reasonable ought to understand as being necessary for the performance of the Service are provided on time to Dyflexis.

A.4.6 In addition to the data referred to in article A.4.5, the Client is under the obligation to provide up-to-date contact details to Dyflexis for communication between Dyflexis and the Client. The Client will immediately inform Dyflexis of any change to these contact details.

A.4.7 If the details referred to in articles A.4.5 and A.4.6 are not provided to Dyflexis in time or if the Client does not meet these obligations in another manner, Dyflexis will be entitled to suspend compliance with its obligations without being under the obligation to pay any form of compensation.


A.5.1. In the context of the Service, Dyflexis is deemed among the parties to be a processor and the Client is deemed to be a Responsible within the meaning of the GDPR (General Data Protection Regulation).

A.5.2. The Parties undertake to act towards each other in accordance with the General Data Protection Regulation and other privacy-related laws and regulations.

A.5.3. Dyflexis will only use the personal data it receives from the Client for the performance of the Service.

A.5.4. Dyflexis will make every effort to take adequate technical and organisational measures against loss or any form of unlawful processing (such as unauthorised inspection, violation, alteration or provision of personal data) with regard to the personal data to be processed.

A.5.5. Dyflexis is authorized to place the name and logo of Customer or Customer’s clients who are given rights to the Products and Services on the Dyflexis website and/or reference list and to make them available to third parties for information.

A.5.6. Customer and its clients will not enter into any direct or indirect commercial, employment, or other such relations with employees from Dyflexis during the agreement and for a period of 12 (twelve) months after termination or dissolution of the agreement, without the written consent of Dyflexis. Customer will ensure that its clients will comply with the foregoing obligation.



A.6.1. Voor door Dyflexis zelf ontwikkelde Werken en/of Diensten geldt dat de Intellectuele Eigendomsrechten bij Dyflexis liggen, tenzij met Opdrachtgever schriftelijk overeengekomen dat de rechten overgedragen worden.

A.6.2. De Intellectuele Eigendomsrechten met betrekking tot de door Dyflexis gebruikte (open source) software van derden, liggen bij de ontwikkelaar van die software of een andere rechthebbende. Dergelijke rechten kunnen in geen enkel geval worden overgedragen aan Opdrachtgever. Opdrachtgever is zelf verantwoordelijk voor de naleving van de (open source) software licenties en vrijwaart Dyflexis van aanspraken van derden omtrent de naleving van deze licenties.

A.6.3. Opdrachtgever verkrijgt een niet-exclusief en niet-overdraagbaar gebruiksrecht voor de duur van de Overeenkomst van Dyflexis voor de Werken welke specifiek ten behoeve van en in Opdracht van Opdrachtgever zijn ontwikkeld. Onder dit gebruiksrecht heeft Opdrachtgever het recht de Werken te gebruiken voor zijn eigen doeleinden. Daarnaast kan Dyflexis beperkingen en/of voorwaarden stellen aan het gebruik van die Werken.

A.6.4. Het is Dyflexis toegestaan de ontwikkelde Werken, bijbehorende bronbestanden en broncodes in zijn geheel of gedeeltelijk voor andere opdrachtgevers en doeleinden te gebruiken.

A.6.5. Dyflexis is niet gehouden om bronbestanden en de broncodes van de ontwikkelde Werken ter beschikking te stellen aan Opdrachtgever, tenzij schriftelijk anders overeengekomen.

A.6.6. Het is Dyflexis toegestaan om technische maatregelen te treffen om wijzigingen in de ontwikkelde Werken, bijbehorende bronbestanden en broncodes tegen te gaan. Hieronder wordt mede verstaan het beveiligen van de Werken door middel van encryptie.


A.7.1. Dyflexis is jegens Opdrachtgever slechts aansprakelijk voor directe schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze Overeenkomst. Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
a. schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
b. redelijke en aantoonbare kosten die Opdrachtgever heeft moeten maken om Dyflexis er toe te manen de Overeenkomst (weer) deugdelijk na te komen;
c. redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is;
d. redelijke en aantoonbare kosten die Opdrachtgever heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.

Dyflexis is in geen geval aansprakelijk voor vergoeding van indirecte schade of gevolgschade of schade wegens gederfde omzet of winst, vertragingsschade, schade wegens verlies van gegevens, schade wegens overschrijding van termijnen als gevolg van gewijzigde omstandigheden, schade als gevolg van het verschaffen van gebrekkige medewerking, informatie of materialen door Opdrachtgever en schade wegens door Dyflexis gegeven inlichtingen of adviezen waarvan de inhoud niet uitdrukkelijk onderdeel van de Overeenkomst vormt.

A.7.3. Het maximale bedrag dat in geval van aansprakelijkheid krachtens lid 1 van het onderhavige artikel zal worden uitgekeerd is per gebeurtenis dan wel een reeks van samenhangende gebeurtenissen beperkt tot de vergoedingen die Opdrachtgever onder deze Overeenkomst per jaar verschuldigd is (exclusief BTW). In geen geval zal echter de totale vergoeding per jaar voor directe schade meer bedragen dan 15.000 euro (exclusief BTW).

A.7.4. De beperking van aansprakelijkheid zoals bedoeld in de vorige leden van het onderhavige artikel komt te vervallen indien en voor zover de schade het gevolg is van opzet of grove schuld van de bedrijfsleiding van Dyflexis.

A.7.5. De aansprakelijkheid van Dyflexis wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst ontstaat slechts indien Opdrachtgever Dyflexis onverwijld en deugdelijk schriftelijk in gebreke stelt, stellende daarbij een redelijke termijn ter zuivering van de tekortkoming, en Dyflexis ook na die termijn toerekenbaar in de nakoming van zijn verplichtingen tekort blijft schieten. De ingebrekestelling dient een zo gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Dyflexis in staat is adequaat te reageren.

A.7.6. De toepassing van artikel 6:271 e.v. Burgerlijk Wetboek is uitgesloten.

A.7.7. Opdrachtgever vrijwaart Dyflexis voor alle aanspraken van derden (waaronder klanten van Opdrachtgever), ter zake van vergoeding van schade, kosten of rente, verband houdende met deze Overeenkomst en/of de Dienst.


A.8.1. Dyflexis is niet gehouden tot het nakomen van enige verplichting jegens
Opdrachtgever indien hij daartoe gehinderd wordt als gevolg van enige van buiten komende oorzaak, voorzien of niet-voorzien, waarop Dyflexis geen invloed kan uitoefenen, doch waardoor Dyflexis niet in staat is zijn verplichtingen na te komen.

A.8.2. Hieronder wordt verstaan een omstandigheid die niet is te wijten aan schuld, en noch krachtens de wet, een rechtshandeling of in het verkeer geldende opvattingen voor rekening van Dyflexis komt. In het bijzonder wordt onder overmacht verstaan; binnenlandse onlusten, mobilisatie, oorlogen, stremmingen in het vervoer, stakingen, netwerkaanvallen zoals synfloods of (distributed) denial-of-serviceaanvallen, storing van netwerken in het internet waar Dyflexis geen contract mee heeft gesloten, bedrijfsstoornissen, stagnatie in toelevering, brand, overstroming, in- en uitvoerbelemmeringen en in het geval dat Dyflexis door zijn eigen leveranciers, ongeacht de reden daartoe, niet tot levering in staat wordt gesteld waardoor nakoming van de Overeenkomst redelijkerwijs niet van Dyflexis kan worden gevergd.

A.8.3. Dyflexis kan gedurende de periode dat de overmacht duurt de verplichtingen uit de Overeenkomst opschorten, waarmee tevens de betalingsverplichtingen van Opdrachtgever worden opgeschort. Indien deze periode langer duurt dan negentig (90) dagen, is ieder der partijen gerechtigd de Overeenkomst te ontbinden, zonder verplichting tot vergoeding van schade aan de andere partij.

A.8.4. Voor zover Dyflexis ten tijde van het intreden van overmacht inmiddels gedeeltelijk een verplichting uit de Overeenkomst is nagekomen of deze tijdens de periode van overmacht zal kunnen nakomen, en aan het nagekomen respectievelijk na te komen gedeelte zelfstandige waarde toekomt, is Dyflexis gerechtigd om het reeds nagekomen respectievelijk na te komen gedeelte apart te factureren. Opdrachtgever is gehouden deze factuur te voldoen.


A.9.1. Partijen verplichten zich tot geheimhouding omtrent alle vertrouwelijke informatie die zij over de onderneming van de wederpartij ontvangen, waaronder de inhoud van de Overeenkomst. Partijen leggen deze verplichting tevens op aan hun werknemers alsmede aan door hen ingeschakelde derden ter uitvoering van de Overeenkomst.

Informatie geldt in ieder geval als vertrouwelijk: alle informatie die in het kader van de Overeenkomst bij de andere partij bekend wordt, informatie welke naar de aard als vertrouwelijk dient te worden aangemerkt, waaronder mede verstaan maar niet beperkt tot de door Opdrachtgever verstrekte persoonsgegevens, of informatie door één der partijen als zodanig is aangeduid


A.10.1. Vergoedingen voor het leveren van de Diensten zijn vermeld in de door Dyflexis aangeboden offerte. Alle genoemde prijzen zijn in Euro en exclusief btw.

A.10.2. Indien de Overeenkomst een duurovereenkomst is, zullen de verschuldigde bedragen conform de offerte, voorafgaand aan elke nieuwe periode, aan Opdrachtgever worden gefactureerd, tenzij schriftelijk anders overeengekomen. Eventuele meerkosten zullen achteraf worden verrekend.

A.10.3. Dyflexis is gerechtigd de prijzen telkens bij verlenging van de Overeenkomst aan te passen met het percentage geldend voor het afgelopen jaar op grond van de CBS-index voor commerciële dienstverlening (dpi-index), zonder dat Opdrachtgever het recht heeft de Overeenkomst op te zeggen.


A.11.1. Dyflexis zal voor het door Opdrachtgever verschuldigde bedrag een factuur sturen aan Opdrachtgever. De betalingstermijn van deze factuur is veertien (14) dagen na de factuurdatum, tenzij anders aangegeven op de factuur of anders overeengekomen in de Overeenkomst. Indien betaling vooraf is overeengekomen, zal de Dienst pas nadat de factuur is voldaan worden geleverd.

Opdrachtgever gaat akkoord met de elektronische facturatie door Dyflexis. Facturen zullen in PDF of ander gangbaar formaat worden verzonden aan het bij Dyflexis bekende e-mailadres van Opdrachtgever.

A.11.3. Indien Opdrachtgever na de betalingstermijn nog niet (volledig) heeft betaald, zal Dyflexis Opdrachtgever alsnog de mogelijkheid geven om het factuurbedrag binnen redelijke termijn te betalen. Vanaf zestig (60) dagen na de vervaldatum van de factuur is Opdrachtgever die niet tijdig betaalt van rechtswege in verzuim, zonder dat hiervoor ingebrekestelling is vereist. Vanaf dat moment is Dyflexis gerechtigd al haar dienstverlening te beperken, bijvoorbeeld door het beperken van de toegang tot de Dienst of het tijdelijk opschorten van de Dienst, zonder dat Opdrachtgever het recht heeft een vergoeding te verlangen voor eventuele schade die voor hem hierdoor mocht ontstaan. Bij opschorting door Dyflexis blijven de verplichtingen van Opdrachtgever onverkort gelden, waaronder mede verstaan maar niet beperkt tot de betalingsverplichting. Dit opschortingsrecht geldt tevens ten aanzien van Diensten waarbij Opdrachtgever wel aan haar verplichtingen heeft voldaan.

A.11.4. Bij een niet tijdige betaling is Opdrachtgever, naast het verschuldigde bedrag en de daarop verschenen rente, gehouden tot een volledige vergoeding van de buitengerechtelijke en gerechtelijke kosten, inclusief volledige advocaatkosten.

A.11.5. De vordering tot betaling is direct opeisbaar ingeval Opdrachtgever of een derde het faillissement van Opdrachtgever aanvraagt, surseance van betaling van Opdrachtgever aanvraagt, dan wel een derde algeheel beslag op vermogensbestanddelen van Opdrachtgever legt, dan wel Opdrachtgever in liquidatie treedt of wordt ontbonden.

A.11.6. Het is Opdrachtgever niet toegestaan de betaling van verschuldigde bedragen op te schorten dan wel te verrekenen.


A.12.1. De Overeenkomst wordt aangegaan voor de termijn zoals vermeld in de offerte. Indien geen termijn is vermeld wordt de Overeenkomst aangegaan voor de duur van twaalf (12) maanden of voor de duur die noodzakelijk is voor de levering van de Dienst. De Overeenkomst kan tussentijds slechts worden opgezegd zoals in de Overeenkomst bepaald, of met goedvinden van beide partijen. Indien de Overeenkomst een overeenkomst van opdracht betreft, kan deze echter niet door Opdrachtgever tussentijds worden opgezegd.

A.12.2. Indien de Overeenkomst een duurovereenkomst betreft (bijvoorbeeld in het geval van een SaaS-overeenkomst), wordt deze bij het uitblijven van een schriftelijke opzegging tijdig voor het einde van de voorgenoemde periode, met inachtneming van de opzegtermijn, steeds stilzwijgend verlengd met eenzelfde periode, tenzij schriftelijk anders overeengekomen.

A.12.3. Beide partijen zullen een opzegtermijn van drie (3) maanden in acht nemen.

A.12.4. Dyflexis heeft het recht de Overeenkomst met onmiddellijke ingang en zonder enigerlei gehoudenheid tot betaling van schadevergoeding op te zeggen, voor zover redelijk, indien
a) Opdrachtgever tekort is geschoten in de nakoming van zijn verplichtingen en een dergelijke tekortkoming niet binnen vijf (5) dagen na schriftelijke ingebrekestelling door Opdrachtgever is hersteld;
b) Opdrachtgever in staat van faillissement wordt verklaard, surseance van betaling aanvraagt dan wel algeheel beslag op vermogensbestanddelen van de andere Opdrachtgever wordt gelegd.

A.12.5. In het geval van gehele of gedeeltelijke annulering van de Overeenkomst door Opdrachtgever, op welke grond dan ook, is Opdrachtgever verplicht 50% van de in de offerte gemelde opstartkosten of de reeds gemaakte uren – afhankelijk van welk bedrag hoger is – te vergoeden.


A.13.1. Dyflexis is gerechtigd deze Algemene Voorwaarden te wijzigen, mits zij de voorgenomen wijzigingen uiterlijk dertig (30) dagen voor aankondigt bij
Opdrachtgever. Deze wijzigingen gelden ook ten aanzien van bestaande Overeenkomsten.

A.13.2. Wijzigingen van ondergeschikt belang kunnen te allen tijde worden doorgevoerd, zonder het recht van Opdrachtgever de Overeenkomst op te kunnen zeggen.

A.13.3. Indien Opdrachtgever een wijziging in deze voorwaarden niet wil accepteren, kan hij tot de datum waarop de nieuwe voorwaarden van kracht worden de Overeenkomst beëindigen tegen deze datum.


A.14.1. Op de Overeenkomst is Nederlands recht van toepassing.

A.14.2. Voor zover door de regels van dwingend recht niet anders wordt voorgeschreven, zullen alle geschillen die mochten ontstaan naar aanleiding van deze Overeenkomst worden voorgelegd aan de bevoegde rechtbank in het arrondissement Den Haag, locatie Den Haag.

A.14.3. De door Dyflexis ontvangen of opgeslagen versie van enige communicatie en administratie geldt als authentiek en dwingend bewijs, behoudens tegenbewijs te leveren door Opdrachtgever.

A.14.4. Onder “schriftelijk” valt in deze Algemene Voorwaarden ook communicatie per e-mail mits de identiteit van de afzender en integriteit van de inhoud voldoende vaststaat.

A.14.5. Indien Opdrachtgever wordt overgenomen door een derde partij of indien Opdrachtgever een derde partij overneemt, meldt zij dit steeds onverwijld aan Dyflexis nadat Opdrachtgever bekend is geworden met de overname.

A.14.6. Dyflexis is gerechtigd haar rechten en verplichtingen uit de Overeenkomst over te dragen aan een derde die de Dienst of de betreffende bedrijfsactiviteit van haar overneemt, zonder dat daarvoor instemming van Opdrachtgever nodig is.

A.14.7. Indien een bepaling uit de Overeenkomst nietig blijkt te zijn, tast dit niet de geldigheid van de gehele Overeenkomst aan. Partijen van de Overeenkomst zullen voorts ter vervanging (een) nieuwe bepaling(en) vaststellen, waarmee zoveel als rechtens mogelijk is aan de bedoeling van de oorspronkelijke Overeenkomst gestalte wordt gegeven.

Module B – Consultancy en projectbegeleiding

Indien de Dienst (mede) ertoe strekt tot het geven van advies met betrekking tot ICT(-infrastructuur), implementatie en/of gebruik van software of het geven van trainingen, geldt voorts het in deze module bepaalde.


B.1.1. Dyflexis zal consultancy en projectbegeleiding uitvoeren naar beste kunnen onder toepassing van voldoende zorgvuldigheid en vakmanschap.

B.1.2. Partijen zullen vooraf bepalen welke onderdelen deel uitmaken van de consultancy en/of projectbegeleiding. Indien nodig zal dit tijdens de begeleiding in gezamenlijk overleg worden aangepast. Dyflexis heeft daarbij het recht om eventuele meerkosten in rekening te brengen.

B.1.3. Consultancy en projectbegeleiding is in het kader van de Overeenkomst te allen tijde een inspanningsverplichting, tenzij schriftelijk anders overeengekomen.

B.1.4. Opdrachtgever is er zich van bewust dat opvolging van de adviezen van Dyflexis geheel voor risico komen van Opdrachtgever. Dyflexis is enkel aansprakelijk voor geleden schade voor zover dit uit de Overeenkomst voortvloeit.

B.1.5. Dyflexis zal te allen tijde de tijd en kosten met betrekking tot de uit te voeren werkzaamheden vooraf bekend maken aan Opdrachtgever. De tijd die nodig is voor de betreffende werkzaamheden is daarbij afhankelijk van verschillende factoren, waaronder de medewerking van Opdrachtgever.


B.2.1. Dyflexis bepaalt de inhoud van de te geven training of opleiding. Opdrachtgever mag haar voorkeuren met betrekking tot de inhoud doorgeven aan Dyflexis, maar Dyflexis kan niet te allen tijde garanderen dat deze voorkeuren in de training of opleiding worden opgenomen.

B.2.2. Trainingen en opleidingen vinden plaats in de trainingsaccommodatie van Dyflexis te Den Haag tenzij schriftelijk anders overeengekomen.

B.2.3. In het geval dat Dyflexis een training of opleiding geeft op een locatie van Opdrachtgever, is Opdrachtgever verantwoordelijk voor het verzorgen van de door Dyflexis benodigde faciliteiten (waaronder in ieder geval wordt begrepen voldoende cursusruimte, computers, beamers, internetaansluiting, voedsel en drank) voor de training of opleiding, alsmede voor het afhandelen van de inschrijvingen.

B.2.4. Kosteloze annulering en/of verplaatsing van een training of opleiding door Opdrachtgever kan slechts tot vijf (5) Werkdagen voorafgaand aan de datum van de geplande training of opleiding. Bij annulering en/of verplaatsing binnen vijf (5) dagen voorafgaand aan de datum, dient 50% van de overeengekomen kosten te worden vergoed. In het geval van verplichte trainingen, is Dyflexis in geen geval verplicht de betaalde vergoedingen terug te betalen.

B.2.5. Dyflexis heeft het recht een training of opleiding kosteloos te annuleren en/of te verplaatsen tot vijf (5) Werkdagen voorafgaand aan de datum van de geplande training of opleiding. De reeds betaalde bedragen met betrekking tot de niet genoten training of opleiding zullen binnen tien (10) Werkdagen worden teruggestort. In het geval van verplichte trainingen, is Dyflexis in geen geval verplicht de betaalde vergoedingen terug te betalen. In een dergelijk geval zullen partijen in overleg een andere datum vaststellen.

B.2.6. Ter bescherming van uw en onze eigendommen maken wij op ons kantoor gebruik van camerabewaking.

Module C – Levering van hardware

Indien de Dienst (mede) strekt tot het leveren van (ICT-)hardware geldt voorts het in deze module bepaalde.


C.1.1. Dyflexis spant zich in om de Hardware te leveren op de afgesproken datum. Wodan Brothers is echter afhankelijk van haar leveranciers en heeft geen invloed op de vervoerders. Dyflexis kan daarom niet garanderen dat de Hardware binnen de afgesproken termijn wordt geleverd.

C.1.2. De Hardware zal in beginsel worden afgeleverd op het bij Dyflexis bekende adres van Opdrachtgever. Opdrachtgever is zelf verantwoordelijk voor het doorgeven van de juiste adresgegevens indien deze wijzigen of indien Opdrachtgever een ander afleveradres wenst te gebruiken.

C.1.3. Indien de door Opdrachtgever bestelde Hardware niet (meer) leverbaar is, is Dyflexis gerechtigd soortgelijke Hardware te leveren, welke voldoet aan de specificaties. Indien mogelijk zal Dyflexis Opdrachtgever vooraf op de hoogte stellen hiervan.

C.1.4. Opdrachtgever is verplicht direct na het in ontvangst nemen van de Hardware tot controle ervan over te gaan. Indien Opdrachtgever zichtbare gebreken constateert, dient zulks binnen tien (10) Werkdagen ter kennis van Dyflexis te worden gebracht.

C.1.5. Overige gebreken dienen binnen twintig (20) Werkdagen na ontvangst van de Hardware c.q. beëindiging van de werkzaamheden aan Dyflexis te worden gemeld.

C.1.6. Indien bovengemelde reclame niet binnen de daar bedoelde termijnen aan Dyflexis is kenbaar gemaakt, worden de Hardware geacht in goede staat te zijn ontvangen c.q. de uit te voeren werkzaamheden geacht goed te zijn uitgevoerd.

C.1.7. Geringe afwijkingen ter zake opgegeven maten, gewichten, kleuren, en dergelijke, gelden niet als tekortkoming aan de zijde van Dyflexis.

C.1.8. Reclames schorten de betalingsverplichting van Opdrachtgever niet op.

C.1.9. Indien de Hardware na aflevering van aard en/of samenstelling zijn veranderd geheel of gedeeltelijk zijn be- of verwerkt of beschadigd, vervalt elk recht op reclame.


C.2.1. Voor de levering ten aanzien van Hardware geldt dat Opdrachtgever vooraf de helft van het overeengekomen bedrag dient te voldoen aan Dyflexis. Pas na deze eerste betaling zal Dyflexis de Hardware versturen en/of ter beschikking stellen aan Opdrachtgever. Dyflexis is niet aansprakelijk voor schade als het gevolg van een late levering door het uitblijven van een betaling door Opdrachtgever.

C.2.2. Zolang Opdrachtgever geen volledige betaling voor het gehele overeengekomen bedrag heeft verricht, blijven alle geleverde goederen eigendom van Dyflexis.


C.3.1. Dyflexis geeft vierentwintig (24) maanden garantie op de geleverde Hardware.

C.3.2. Indien de Hardware gebreken vertoont binnen het eerste jaar na aanschaf, kan Opdrachtgever de Hardware terugsturen naar Dyflexis. De kosten voor verzending van de Hardware naar Dyflexis komen voor rekening van Opdrachtgever.

C.3.3. Na inspectie door Dyflexis zal zij de Hardware kosteloos repareren, tenzij uit de inspectie blijkt dat de gebreken zijn toegebracht door eigen handelen van Opdrachtgever. In het laatste geval is Dyflexis gerechtigd de kosten voor reparatie in rekening te brengen bij Opdrachtgever. Dyflexis zal te allen tijde vooraf een inschatting van de kosten bekend maken bij Opdrachtgever. Dyflexis is tevens gerechtigd refurbished Hardware terug te sturen in het geval de reparatie niet mogelijk is.

C.3.4. Na het tweede jaar als bedoeld in het eerste lid kan Opdrachtgever een verzoek doen aan Dyflexis ten behoeve van de reparatie van de Hardware. Dyflexis zal na ontvangst van de Hardware de kosten die gemoeid zijn met de reparatie bekend maken aan Opdrachtgever. Na akkoord zal Dyflexis de Hardware in reparatie nemen.

C.3.5. Dyflexis is niet gehouden om (tijdelijk) vervangende Hardware te leveren aan Opdrachtgever, tenzij schriftelijk anders overeengekomen.

Module D – SAAS-dienstverlening

Indien de Dienst (mede) ertoe strekt tot dienstverlening betreffende het leveren van software (as-aservice) of het installeren, beheren en onderhouden van software (as-a-service), geldt voorts het in deze module bepaalde.


D.1.1. Dyflexis verleent hiertoe aan Opdrachtgever voor de duur en onder de voorwaarden van deze Overeenkomst het niet-exclusieve, niet-overdraagbare en beperkte recht tot gebruik van de Dienst.

D.1.2. Onder het gebruiksrecht als bedoeld in het vorige lid worden tevens alle toekomstige Updates verstaan. Dyflexis heeft het recht aanvullende kosten in rekening te brengen voor de installatie van Upgrades.

D.1.3. Opdrachtgever is gerechtigd de Dienst onder het gebruiksrecht te gebruiken voor de onderneming of instelling van Opdrachtgever. De beperkingen, waaronder mede verstaan het aantal medewerkers en/of beheerders en beschikbare functies, zijn vermeld in de Overeenkomst.

D.1.4. Tenzij schriftelijk anders overeengekomen is het Opdrachtgever niet toegestaan de Dienst onder te verhuren of anderszins ter beschikking stellen aan derden. Hieronder worden niet verstaan de medewerkerkers van de onderneming of instelling van Opdrachtgever.

D.1.5. Opdrachtgever zal bij afname van de Dienst zorgdragen dat alle toepasselijke wettelijke verplichtingen strikt worden nageleefd.

D.1.6. Omstreeks de Ingangsdatum zal Dyflexis de inloggegevens van de Dienst toesturen of afgeven aan Opdrachtgever. Opdrachtgever is er zich van bewust dat verlies van de inloggegevens kan leiden tot ongeoorloofde toegang tot de Dienst. Opdrachtgever zal de inloggegevens daarom afschermen voor onbevoegden.

D.1.7. Opdrachtgever is zelf verantwoordelijk voor het inladen van alle gegevens in de Dienst met behulp van de inlaadmogelijkheid of één van de synchronisatiemogelijkheden die door Dyflexis in de Dienst beschikbaar zijn gesteld. Dyflexis is niet aansprakelijk voor eventuele onjuistheden na het inladen of bij het synchroniseren van de gegevens, tenzij er sprake is van opzet of grove nalatigheid.

D.1.8. Opdrachtgever zal minimaal dezelfde voorwaarden, als opgenomen in artikel D.5, opleggen aan de eindgebruikers ten aanzien van het gebruik van de Dienst.

D.1.9. Dyflexis is gerechtigd de Data geanonimiseerd te gebruiken ten behoeve van statistische analyses en/of benchmarking. Daarnaast is Dyflexis gerechtigd het gebruik van de Dienst te monitoren, op basis waarvan zij aanbevelingen kan doen aan Opdrachtgever.


D.2.1. Indien tussen partijen geen SLA is overeengekomen gelden de hiernavolgende bepalingen.

D.2.2. Dyflexis spant zich in om de Dienst beschikbaar te laten zijn, maar garandeert geen ononderbroken beschikbaarheid.

D.2.3. Dyflexis onderhoudt de Dienst actief. Onderhoud kan elk moment plaatsvinden, ook als dit kan leiden tot een beperking van de beschikbaarheid. Dyflexis spant zich echter in om het onderhoud uit te voeren tijdens de momenten dat de Dienst minimaal wordt gebruikt. Onderhoud wordt zo mogelijk vooraf aangekondigd.


D.3.1. Opdrachtgever aanvaardt dat de Dienst alleen de functionaliteit en overige eigenschappen bevat zoals Opdrachtgever die aantreft in de Dienst op het moment van aflevering (“as is”), derhalve met alle zichtbare en onzichtbare fouten en gebreken.

D.3.2. Dyflexis zal zich inspannen om problemen/gebreken in de Dienst te verhelpen. Dyflexis geeft echter geen garanties hieromtrent.

D.3.3. Opdrachtgever dient zelf de door de Dienstgedane berekeningen of verwerkingen van Data te controleren. Dyflexis garandeert niet dat alle berekeningen en/of verwerkingen te allen tijde foutloos zijn.

D.3.4. Dyflexis mag van tijd tot tijd de functionaliteit van de Dienst aanpassen. Daarbij zijn de feedback en suggesties van Opdrachtgever welkom, maar Dyflexis heeft het recht de aanpassingen niet door te voeren indien zij hiervoor redelijke gronden heeft. Dyflexis streeft ernaar, maar is hiertoe niet gehouden, minstens twee (2) Werkdagen van tevoren melden welke aanpassingen zij van plan is door te voeren.  Opdrachtgever kan in geen geval de oude versie van de Dienst blijven gebruiken.


D.4.1. Dyflexis biedt ondersteuning bij levering van de Dienst in de vorm van werkzaamheden die naar het oordeel van Dyflexis ondersteunend zijn en snel, goed en eenvoudig kunnen worden uitgevoerd.

D.4.2. Dyflexis heeft het recht kosten in rekening te brengen voor Upgrades. Dyflexis zal de kosten te allen tijde vooraf bekend maken aan Opdrachtgever.


D.5.1. Het is Opdrachtgever verboden om met gebruikmaking van de Dienst de Nederlandse of andere op Opdrachtgever of Dyflexis van toepassing zijnde wet- of regelgeving te schenden of om inbreuk te maken op de rechten van anderen.

D.5.2. Het is (of dit nu legaal is of niet) door Dyflexis verboden om met gebruikmaking van de Dienst materialen aan te bieden, op te slaan of te verspreiden die:

a. onmiskenbaar primair bedoeld zijn om anderen behulpzaam te zijn bij het schenden van de rechten van derden, zoals websites met (uitsluitend of voornamelijk) hacktools of uitleg over computercriminaliteit die kennelijk is bedoeld om de lezer in staat te stellen de omschreven criminele gedragingen te (doen) plegen en niet om zich daartegen te kunnen verdedigen;
b. onmiskenbaar smadelijk, lasterlijk, beledigend, racistisch, discriminerend of haatzaaiend zijn;
c. kinderpornografie of bestialiteitspornografie bevatten of er kennelijk op zijn gericht om anderen te helpen dergelijke materialen te vinden;
d. een schending van de persoonlijke levenssfeer van derden opleveren, waaronder in ieder geval maar niet uitsluitend begrepen het zonder toestemming of noodzaak verspreiden van persoonsgegevens van derden of het herhaaldelijk lastigvallen van derden met door dezen ongewenste communicatie;
e. hyperlinks, torrents of verwijzingen bevatten met (vindplaatsen van) materiaal dat onmiskenbaar inbreuk maakt op auteursrechten, naburige rechten of portretrechten;
f. ongevraagde commerciële, charitatieve of ideële communicatie bevat; of
g. kwaadaardige inhoud zoals virussen of spyware bevat.

D.5.3. Opdrachtgever onthoudt zich ervan overige klanten of internetgebruikers te hinderen of schade toe te brengen aan systemen of netwerken van Dyflexis of overige klanten. Het is Opdrachtgever verboden processen of programma’s, al dan niet via de systemen van Dyflexis, op te starten waarvan Opdrachtgever weet of redelijkerwijs kan vermoeden dat zulks Dyflexis, haar klanten of internetgebruikers hindert of schade toebrengt.

D.5.4. Indien naar het oordeel van Dyflexis hinder, schade of een ander gevaar ontstaat voor het functioneren van de computersystemen of het netwerk van Dyflexis of derden en/of van de dienstverlening via internet, in het bijzonder door overmatig verzenden van e-mail of andere gegevens, (distributed) denial-of-service-aanvallen, slecht beveiligde systemen of activiteiten van virussen, trojans en vergelijkbare software, is Dyflexis gerechtigd alle maatregelen te nemen die zij redelijkerwijs nodig acht om dit gevaar af te wenden dan wel te voorkomen. Dyflexis mag de kosten die redelijkerwijs noodzakelijk gepaard gaan met deze maatregelen verhalen op Opdrachtgever.


D.6.1. Wanneer Dyflexis een klacht ontvangt over overtreding van het vorige artikel door Opdrachtgever, of zelf constateert dat hiervan sprake lijkt te zijn, zal Dyflexis Opdrachtgever zo snel mogelijk op de hoogte stellen van de klacht of overtreding. Opdrachtgever zal zo spoedig mogelijk een reactie geven, waarna Dyflexiszal besluiten hoe te handelen.

D.6.2. Indien Dyflexis van oordeel is dat sprake is van een overtreding, zal zij de toegang tot de betreffende gegevens en/of de bestanden blokkeren, echter zonder deze definitief te verwijderen (tenzij dit technisch onmogelijk blijkt, in welk geval Dyflexis een backup zal maken). Dyflexis zal zich inspannen om daarbij geen overige gegevens en/of de bestanden te raken. Dyflexis zal Opdrachtgever zo spoedig mogelijk op de hoogte stellen van genomen maatregelen.

D.6.3. Indien Dyflexis van oordeel is dat sprake is van een overtreding van het vorige artikel (Gedragsregels) is zij – 24 uur na het sturen van een kennisgeving – gerechtigd al haar dienstverlening te beperken, bijvoorbeeld door het beperken van de toegang tot de Dienst of het tijdelijk opschorten van de Dienst, zonder dat Opdrachtgever het recht heeft een vergoeding te verlangen voor eventuele schade die voor hem hierdoor mocht ontstaan. Dyflexis is tevens te allen tijde gerechtigd om aangifte te doen van geconstateerde strafbare feiten. Dyflexis is enkel gehouden om gegevens van Opdrachtgever af te geven aan een derde na een gerechtelijk bevel.

Hoewel Dyflexis ernaar streeft om zo redelijk, zorgvuldig en adequaat mogelijk op te treden na klachten over Opdrachtgever, is Dyflexis nimmer gehouden tot vergoeding van schade als gevolg van maatregelen als bedoeld in dit artikel.

D.6.5. Bij herhaaldelijke klachten over Opdrachtgever of de door Opdrachtgever opgeslagen informatie is Dyflexis gerechtigd de Overeenkomst te beëindigen.



In aanvulling op de definities zoals gebruikt in de Algemene Voorwaarden worden in deze SLA de volgende definities gebruikt.

1.1. Daadwerkelijke Beschikbaarheid: de daadwerkelijk gerealiseerde mate van beschikbaarheid van de Dienst.

1.2. Fout: het substantieel niet voldoen aan de tussen Partijen schriftelijk uitdrukkelijk overeengekomen functionele specificaties. Van een Fout is alleen sprake indien Opdrachtgever deze kan aantonen en deze Fout door Dyflexis te reproduceren is.

1.3. Gewenste Beschikbaarheid: de door Dyflexis nagestreefde mate van beschikbaarheid van de Dienst.

1.4. Hersteltijd: de tijd tussen (i) het tijdstip waarop Dyflexis een Fout heeft geconstateerd of Opdrachtgever een melding van een Fout heeft gedaan en door Dyflexis is bevestigd en (ii) het tijdstip waarop de Fout is opgelost, (de Fout in) de Dienst is vervangen, of een Workaround is gecreëerd, zoals vastgesteld door Dyflexis.

1.5. Onderhoud: het plegen van reparaties, het nemen van voorzorgsmaatregelen en regelmatige controle van de Dienst alsmede gepland onderhoud.

1.6. Ondersteuning: het geven van mondelinge (telefonisch) en schriftelijke adviezen en/of andere ondersteunende werkzaamheden met betrekking tot het gebruik en de werking van de Dienst.

1.7. Reactietijd: de tijd tussen (i) het tijdstip waarop Opdrachtgever een melding van een Fout heeft gedaan en (ii) het tijdstip waarop Dyflexis een reactie stuurt aan Opdrachtgever van ontvangst van de melding, zoals vastgesteld door Dyflexis.

1.8. Werkdag: van 9:00 tot en met 17:00 uur op maandag t/m vrijdag, met uitzondering van in Nederland erkende en officiële feestdagen.

1.9. Wijzigingen
: een structurele wijziging in de Dienst welke door Opdrachtgever is aangevraagd en door Dyflexis is geregistreerd.

1.10. Workaround: een handeling waarmee een Fout, al dan niet tijdelijk, omzeild kan worden.


2.1. Dit document vormt de SLA voor de Dienst zoals deze geleverd wordt door Dyflexis. De SLA heeft tot doel het niveau van de dienstverlening vast te leggen. Dit wordt bereikt door belangrijke kenmerken te omschrijven, prestatienormen vast te stellen en de gevolgen van het onverhoopt niet behalen van deze normen vast te leggen.

2.2. De SLA gaat in op het moment van eerste levering van de Dienst en wordt aangegaan voor dezelfde periode als de Overeenkomst waaronder de Dienst wordt geleverd. De SLA wordt automatisch beëindigd op de datum waarop de Overeenkomst eindigt. Een opzegging van de Overeenkomst zal tevens gelden als een opzegging van deze SLA.

2.3. Deze SLA ziet uitsluitend op de volgende standaard supportwerkzaamheden van Dyflexis:
a. het plegen van (periodiek) Onderhoud;
b. het herstellen van Fouten;
c. het uitvoeren van Wijzigingen;
d. het bewaken van Gewenste Beschikbaarheid; en
e. leveren van Ondersteuning.

2.4. Naast deze standaard supportwerkzaamheden kan Dyflexis andere werkzaamheden uitvoeren ten behoeve van Opdrachtgever. Deze werkzaamheden zullen mogelijk apart in rekening worden gebracht. Dyflexis zal te allen tijde vooraf opgaaf van kosten overleggen aan Opdrachtgever.

2.5. De Algemene Voorwaarden zijn van toepassing op deze SLA. In geval van strijdigheid van bepalingen geldt de in de Algemene Voorwaarden genoemde rangorde.


3.1. Voor het melden van Fouten maakt Opdrachtgever gebruik van de volgende contactgegevens:

3.2. Buiten Werkdagen kan er contact opgenomen worden met het hierboven genoemde emailadres als er naar het oordeel van Opdrachtgever sprake is van een Fout zoals omschreven bij prioriteitsniveau 1. Mocht dat naar het oordeel van Dyflexis niet het geval blijken te zijn en mocht Dyflexis het idee hebben dat er misbruik wordt gemaakt van het noodnummer, dan heeft Dyflexis het recht om de gemaakte uren in rekening te brengen.

3.3. Zowel Opdrachtgever als (gecertificeerde) werknemers van Opdrachtgeer mogen met Dyflexis contact opnemen onder deze SLA.


4.1. Fouten worden door Opdrachtgever gemeld aan Dyflexis volgens het in artikel 3 (Contactgegevens) genoemde schema. Indien Fouten op een andere wijze aan Dyflexis worden gemeld, bijvoorbeeld via andere telefoonnummers of e-mailadressen, dan kan een correcte afhandeling niet worden gegarandeerd.

Bij het melden van een Fout dienen de volgende gegevens doorgegeven te worden aan Dyflexis:
a) organisatienaam Opdrachtgever;
b) naam van de contactpersoon voor deze Fout bij Opdrachtgever;
c) actuele contactgegevens ((mobiel) telefoonnummer, e-mailadres) van die contactpersoon;
d) beschrijving van de Fout, zo accuraat als mogelijk;
e) beschrijving van de door Opdrachtgever reeds genomen stappen.

4.2. De Fouten, mits vatbaar voor verdere behandeling door Dyflexis, worden ingedeeld in de volgende prioriteitsniveaus:

Het prioriteitsniveau wordt redelijkerwijs, naar aanleiding van de melding door Opdrachtgever, bepaald door de supportmedewerker van Dyflexis, die de Fout in behandeling neemt.

4.3. In onderstaande kolom wordt de inspanningsverplichting van Dyflexis weergegeven bij het omgaan met Fouten, per prioriteitsniveau:

In afwijking van het hierboven genoemde schema is Dyflexis gerechtigd de Fouten met prioriteitsniveau 3 door te schuiven naar volgende releases van de Dienst. Hierbij zal Dyflexis zoveel mogelijk rekening houden met de gevolgen voor Opdrachtgever, maar is hiertoe niet gehouden.

4.4. De supportmedewerker van Dyflexis zal de contactpersoon bij Opdrachtgever van de specifieke Fout per e-mail binnen de Reactietijd berichten over:
a) Het prioriteitsniveau van de Fout; en – indien deze reeds bekend zijn –:
b) De oorzaak en de oplossing van de Fout.

4.5. Om een terugkoppeling naar Opdrachtgever te doen, dient Dyflexis in bezit te zijn van geldige contactgegevens van Opdrachtgever. Opdrachtgever heeft hierbij de verantwoordelijkheid voor het verschaffen van correcte en up-to-date contactgegevens. Indien de bij Dyflexis bekende contactgegevens niet juist zijn vanwege een doen of nalaten door Opdrachtgever, of indien het niet-tijdig terugkoppelen door Dyflexis over de Fout het gevolg is van omstandigheden welke Dyflexis niet kunnen worden toegerekend, dan geldt als tijdstip van terugkoppeling de poging die Dyflexis daartoe gedaan heeft.

4.6. Opdrachtgever stemt er mee in naar beste vermogen te assisteren bij het verhelpen van de Fout.

4.7. Indien assistentie als bedoeld in het vorige lid niet wordt verleend, niet door toedoen van Dyflexis, gaat de Hersteltijd pas in op het moment dat Opdrachtgever de benodigde assistentie verleent.

4.8. Dyflexis maakt gebruik van een escalatieprocedure die wordt ingezet wanneer een Fout niet binnen een bepaalde tijd (Hersteltijd) kan worden opgelost. Tijdens deze procedure zal Dyflexis alle redelijkerwijs beschikbare middelen (waaronder, indien zij dit noodzakelijk acht, externe technische engineers) inzetten om de oplossing van de Fout te bespoedigen. Tijdens de escalatieprocedure worden daarnaast eventueel specifieke afspraken gemaakt over de oplossing van de Fout met Opdrachtgever. Tijdens de escalatieprocedure zal Dyflexis de Opdrachtgever iedere Werkdag op de hoogte houden van de voortgang van de oplossing van de Fout.

4.9. Dyflexis houdt zich het recht voor, één werkdag per jaar, geen Ondersteuning te leveren in verband met teambuilding en trainingsdoeleinden. De desbetreffende dag zal dan niet worden gedefinieerd als Werkdag.


5.1. Dyflexis spant zich vierentwintig (24) uur per dag, zeven (7) dagen per week gedurende het gehele jaar de Dienst 99,8% van die tijd beschikbaar te laten zijn, aan te merken als de Gewenste Beschikbaarheid.

5.2. Beschikbaar wil zeggen dat de Dienst door Opdrachtgever benaderd en gebruikt kan worden. Niet inbegrepen zijn storingen aan de verbinding en/of apparatuur die buiten de macht van Dyflexis liggen, waaronder de verbinding en/of apparatuur van Opdrachtgever zelf.

5.3. De Daadwerkelijke Beschikbaarheid wordt maandelijks door Dyflexis als volgt berekend:

“DB”            = Percentage van Daadwerkelijke Beschikbaarheid;
“GB”            = Gewenste Beschikbaarheid in minuten;
“G”               = Het aantal minuten dat een Fout zich voordoet.

5.4. Niet-beschikbaarheid ontstaan door overmacht, Onderhoud, de door Dyflexis geleverde Hardware en/of apparatuur waar Dyflexis geen invloed op heeft, wordt niet aangemerkt als Fout en heeft in geen geval invloed op de berekening van de Daadwerkelijke Beschikbaarheid.


6.1. Dyflexis zal ten behoeve van het vaststellen of de in artikel 5 (Beschikbaarheid) toegezegde garanties nageleefd worden elke vijf minuten een sample nemen van relevante gegevens. Op basis van deze samples wordt een gemiddelde berekend. Dit gemiddelde bepaalt of de gestelde normen worden overschreden, tenzij Opdrachtgever tegenbewijs overlegt.

6.2. Op verzoek van Opdrachtgever over vermeende niet-beschikbaarheid en na ontvangst van een melding over niet-beschikbaarheid van een Dienst, zal Dyflexis reageren conform de Reactietijden als genoemd in artikel 4.3.


7.1. Dyflexis kan van tijd tot tijd naar eigen inzicht Onderhoud plegen aan de Dienst. Dyflexis zal proberen een dergelijke buitengebruikstelling zoveel mogelijk buiten Werkdagen om uit te voeren. Dyflexis zal zich inspannen om Opdrachtgever minimaal twee (2) Werkdagen van tevoren op de hoogte te stellen van zulk Onderhoud, maar is hier in geen geval toe gehouden. Onderhoud zal de garanties uit artikel 4 (Prioriteitsniveaus en foutafhandeling) en 5 (Beschikbaarheid) niet aantasten.


8.1. Opdrachtgever kan een verzoek tot Wijziging doen door contact op te nemen met Dyflexis middels de contactgegevens zoals omschreven in artikel 3 (Contactgegevens). Dyflexis spant zich in het verzoek zo spoedig mogelijk te behandelen, maar geeft geen garanties hieromtrent.

8.2. Dyflexis kan tevens op eigen initiatief een voorstel tot Wijziging doen aan Opdrachtgever, indien deze Wijziging een structurele Fout op zal lossen. Dyflexis is echter niet gehouden tot het doen van een dergelijk voorstel en kan zonder toestemming van Opdrachtgever deze Wijziging uitvoeren indien zij dit noodzakelijk acht. Tevens heeft Opdrachtgever geen invloed op de betreffende Wijziging.

8.3. Dyflexis zal bij ieder verzoek tot een Wijziging een voorstel doen aan Opdrachtgever met betrekking tot de inhoud, planning en kosten van de Wijziging.

8.4. Dyflexis zal zich inspannen wijzigingsverzoeken te realiseren, maar totdat er akkoord is bereikt over de inhoud, planning en kosten van de Wijziging, kan Dyflexis te allen tijde besluiten geheel/gedeeltelijk van de Wijziging af te zien indien zij de inspanning die daartoe geleverd moet worden onevenredig acht.

8.5. Indien een verzochte Wijziging niet zal worden gerealiseerd, zal Dyflexis Opdrachtgever daarover onverwijld informeren.


9.1. Dyflexis maakt dagelijks een back-up van de Dienst. Deze back-up is enkel toegankelijk voor Dyflexis. Opdrachtgever kan Dyflexis verzoeken de back-up ter beschikking te stellen, maar Dyflexis kan dergelijke verzoeken te allen tijde weigeren.

9.2. Dyflexis heeft het recht redelijke kosten in rekening te brengen bij Opdrachtgever voor het ter beschikking stellen of het terugplaatsen van een back-up. Dyflexis zal de kosten te allen tijde vooraf aan Opdrachtgever kenbaar maken.

9.3. Dyflexisis in geen geval aansprakelijk voor het verlies van Data als het gevolg van het falen van de Dienst en/of de back-up(software). Opdrachtgever blijft te allen tijde zelf verantwoordelijk voor de opslag van de via de Dienst opgeslagen Data.

9.4. Opdrachtgever is zelfverantwoordelijk voor het veiligstellen van de via de Dienst opgeslagen gegevens. Dyflexis is in geen geval aansprakelijk voor het verlies van gegevens op welke wijze dan ook, tenzij schriftelijk anders overeengekomen.


10.1. Dyflexis biedt Ondersteuning bij levering van de Dienst in de vorm van telefonische ondersteuning, het maken van een koppeling met software van derden en andere werkzaamheden die naar het oordeel van Dyflexis ondersteunend zijn en snel en eenvoudig kunnen worden uitgevoerd. Dyflexis heeft het recht kosten in rekening te brengen voor de betreffende werkzaamheden. Dyflexis zal te allen tijde voorafgaand aan de werkzaamheden een offerte toesturen aan Opdrachtgever.

10.2. Dyflexis is gerechtigd de Ondersteuning aan niet-gecertificeerde gebruikers te weigeren.

10.3. Dyflexis zal te allen tijde voorafgaand aan de werkzaamheden de kosten van de Ondersteuning aan Opdrachtgever schriftelijk bekend maken.

10.4. Dyflexis houdt zich het recht voor, één werkdag per jaar, geen Ondersteuning te leveren in verband met teambuilding en trainingsdoeleinden. Betreffende dag zal dan niet worden gedefinieerd als Werkdag conform artikel 4 (Prioriteitsniveaus en foutafhandeling).


11.1. In geval Dyflexis de reactieverplichtingen volgens de in artikel 4 (Prioriteitsniveaus en foutafhandeling) genoemde Reactie- of Hersteltijden niet nakomt, zal Dyflexis voor ieder uur – waarin reactie of herstel uitblijft – een boetebedrag betalen dat gelijk is aan één dertigste van het maandelijks verschuldigde bedrag voor de desbetreffende Dienst.

11.2. In geval Dyflexis één of meer van de garantiebepalingen uit artikel 5 (Beschikbaarheid) niet nakomt, zal Dyflexis voor elke dag (of gedeelte daarvan) dat een garantiebepaling niet wordt nagekomen een boetebedrag betalen dat gelijk is aan één dertigste van het maandelijks verschuldigde bedrag voor de desbetreffende Dienst.

11.3. Dit boetebedrag komt in de plaats van eventuele schadevergoeding die Opdrachtgever zou kunnen vorderen voor de niet-nakoming.

11.4. Indien Opdrachtgever constateert dat een vergoeding verschuldigd is, wordt hiervan schriftelijk melding gedaan aan Dyflexis en wordt deze op de eerstvolgende factuur gecrediteerd.

11.5. Indien Opdrachtgever meent dat een vergoeding verschuldigd is terwijl Dyflexis deze niet uitbetaalt, dient Opdrachtgever schriftelijk een verzoek hiertoe in te dienen en desgevraagd bewijs te overleggen.

11.6. Uit te betalen vergoedingen zullen per maand nimmer het totaalbedrag van het maandbedrag overschrijden.


12.1. Dyflexis heeft het recht deze SLA op ieder moment aan te passen.

12.2. Dyflexis zal de wijzigingen of aanvullingen ten minste dertig (30) dagen voor inwerkingtreding schriftelijk dan wel via de Dienst aankondigen zodat Opdrachtgever daar kennis van kan nemen.

12.3. Indien Opdrachtgever een wijziging of aanvulling in de SLA niet wenst te accepteren, kan zij tot de datum van inwerkingtreding van de betreffende wijzigingen of aanvullingen opzeggen. Gebruik van de Dienst na de datum van inwerkingtreding geldt als acceptatie van de gewijzigde of aangevulde SLA.


Deze Bijlage maakt integraal onderdeel uit van de Overeenkomst. Opdrachtgever is in de Overeenkomst verwerkingsverantwoordelijk (“de Verantwoordelijke”) voor de Persoonsgegevens. Dyflexis is in de Overeenkomst Verwerker (“de verwerker”) van de Persoonsgegevens. Hierna zullen beide partijen als Verantwoordelijke of Verwerker worden aangehaald.

In aanmerking nemende dat

• Verwerkingsverantwoordelijke de beschikking heeft over persoonsgegevens van diverse betrokkenen (hierna: “Persoonsgegevens”);
• Verwerkingsverantwoordelijke bepaalde vormen van Verwerking wil laten verrichten door de verwerker, ten behoeve van de uitvoering van de Overeenkomst, teneinde gebruik te maken van (diverse) applicaties aangeboden door Verwerker;
• Verwerkingsverantwoordelijke de doeleinden en middelen aanwijst en de in dit document genoemde voorwaarden gelden;
• Verwerker bereid is de Verwerkingen te verrichten en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt;
• Partijen, mede gelet op artikel 28 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”).
• Deze Verwerkersovereenkomst wordt beheerst door dezelfde wetgeving als de Overeenkomst behalve voor zover dwingend Toepasselijke Gegevensbeschermingswet van toepassing is.

Zijn als volgt overeengekomen

ARTIKEL 1. Definities
In deze overeenkomst hebben de onderstaande de begrippen hiervoor en hierna genoemd de volgende betekenis:
1.1. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4 lid 1 AVG;
1.2. Verwerkingsverantwoordelijke: voor de Verwerking van Persoonsgegevens Verantwoordelijke in de zin van artikel 4 lid 7 AVG; hierna Verantwoordelijke;
1.3. De betrokkene: natuurlijk persoon waarvan de Persoonsgegevens worden verwerkt die direct of indirect herleidbaar zijn tot deze persoon als bedoeld in artikel 4 lid 1 AVG;
1.4. Verwerken/Verwerking: het Verwerken van Persoonsgegevens als bedoeld in artikel 4 lid 2 AVG;
1.5. Verwerker: degene die de Persoonsgegevens Verwerkt in de zin van artikel 4 lid 8 AVG;
1.6. Subverwerker: een gegevensverwerker die door Verwerker wordt ingeschakeld en die zich bereid verklaart Persoonsgegevens van Verwerker onder de voorwaarden van een schriftelijke subverwerkingsovereenkomst;
1.7. Beveiligingsmaatregel: de maatregelen gericht op de bescherming van Persoonsgegevens tegen onopzettelijke vernietiging of onopzettelijk(e) verlies, wijziging, onbevoegde bekendmaking of toegang, met name waar de Verwerking de doorzending van gegevens via een netwerk behelst, en tegen alle andere onrechtmatige vormen van Verwerking.
1.8. Audit: is het controleren van een organisatie. Dit omvat het uitvoeren van: een onderzoek naar een proces/organisatie zoals een kwetsbaarheids- en controle rapport betreffende de Verwerking van persoonsgevens.
1.9. Overeenkomst: Iedere overeenkomst tussen Dyflexis en Opdrachtgever ontstaan uit een aanbod of offerte gedaan door Dyflexis en de geldige aanvaarding daarvan door Opdrachtgever.


2.1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verantwoordelijke Persoonsgegevens te Verwerken. Verwerking zal uitsluitend plaatsvinden teneinde het gebruik van (diverse) applicaties aangeboden door Verwerker ten behoeve van de uitvoering van de Overeenkomst, en die doeleinden die met nadere instemming worden bepaald.

2.2. Verwerker zal de Persoonsgegevens niet voor enig ander doel Verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze verwerkersovereenkomst zijn genoemd. Verwerker mag echter de Persoonsgegevens gebruiken voor statistische- en/of kwaliteitsdoeleinden en mede het doen van statistisch onderzoek naar de kwaliteit van haar dienstverlening. Tevens mag Verwerker de gegevens in geaggregeerde, niet herleidbare, vorm voor eigen doeleinden gebruiken.

2.3. De in opdracht van Verantwoordelijke te Verwerken Persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.

2.4. De Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke zijn verzameld, verwerkt en gebruikt betreffen de volgende categorieën persoonsgegevens:
• NAW-gegevens
• Contractgegevens (inkomensgegevens)
• Personeelsdossier
• Persoonlijk rooster
• Urenregistratie
• Saldi (verlof etc.)
• Indien van toepassing: hash afgeleid van unieke kenmerken vinger (niet te
reconstrueren naar een vingerafdruk)


Verwerker zal:
3.1. Ten aanzien van de in artikel 2 (Doeleinden van Verwerking) genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van Persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming.

3.2. Verwerker volgt alle instructies van de Verantwoordelijke op binnen redelijk termijn. Instructies worden in het algemeen schriftelijk gegeven, tenzij de urgentie of andere specifieke omstandigheden een andere (bijvoorbeeld mondelinge of elektronische) vorm vereisen. Niet-schriftelijke instructies moeten onverwijld door Verantwoordelijke schriftelijk worden bevestigd. Voor zover de uitvoering van een instructie leidt tot kosten voor Verwerker zal Verwerker Verantwoordelijke eerst in kennis stellen van die kosten. Pas nadat Verantwoordelijke heeft bevestigd dat de kosten voor de uitvoering van een instructie voor zijn rekening komen, zal Verwerker die instructie uitvoeren.

3.3. Verantwoordelijke onmiddellijk informeren indien Verwerker een instructie van Verantwoordelijke om enigerlei reden niet kan naleven;

3.4. Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond van de AVG en in het bijzonder op grond van artikel 32 AVG van haar worden geëist.

3.5. Verwerker draagt ervoor zorg dat personen, niet beperkt tot werknemers, die bij Verwerker deelnemen aan de Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.

3.6. Ervoor zorgen dat de personen die toegang hebben tot de Persoonsgegevens die Persoonsgegevens zullen Verwerken conform de doeleinden van de Verwerking.

3.7. Verantwoordelijke assisteren door middel van passende Technische en Organisatorische Maatregelen, voor zover haalbaar, voor de nakoming van de verplichting van Verantwoordelijke om in te gaan op verzoeken voor de uitoefening van de rechten van de Betrokkenen betreffende informatie, beschreven in artikel 8 van deze overeenkomst van deze bijlage.

3.8. Alle vragen van Verantwoordelijke met betrekking tot zijn Verwerking van de te verwerken Persoonsgegevens behandelen (bijvoorbeeld door Verantwoordelijke in staat te stellen tijdig te reageren op klachten of verzoeken van Betrokkenen) en gehoor geven aan het advies van de Toezichthoudende Autoriteit betreffende de Verwerking van de doorgegeven gegevens;

3.9. Verantwoordelijke assisteren bij een Gegevensbeschermingeffectbeoordeling zoals vereist op grond van artikel 35 AVG die betrekking heeft op de door Verwerker aan Verantwoordelijke verleende Diensten en de Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke worden verwerkt;


4.1. Verwerker mag de Persoonsgegevens Verwerken in landen binnen de Europese Unie. Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de Verantwoordelijke en de Verwerker aan de in hoofdstuk 5 van de AVG neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie. Alle bepalingen van hoofdstuk 5 van de AVG worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.


5.1. Verantwoordelijke geeft toestemming voor het gebruik van Subverwerker(s) die door Verwerker zijn ingeschakeld voor het verlenen van de Diensten. Verantwoordelijke verleent zijn goedkeuring voor de Subverwerker(s) zoals gespecifieerd op

5.2. In het geval dat Verwerker voornemens is nieuwe of meer Subverwerkers in te schakelen, zorgt Verwerker ervoor dat de geüpdatet wordt. Verantwoordelijke zorgt voor periodieke raadpleging van Indien Verantwoordelijke redelijke grond heeft om bezwaar te maken tegen het gebruik van nieuwe of meer Subverwerkers, dient Verantwoordelijke Verwerker daarvan onmiddellijk schriftelijk binnen 14 dagen na ontvangst van de kennisgeving Subverwerker in kennis te stellen. In het geval dat Verantwoordelijke bezwaar maakt tegen een nieuwe of andere Subverwerker, en dat bezwaar niet onredelijk is, zal Verwerker redelijke inspanningen verrichten om wijzigingen in de Diensten beschikbaar te stellen aan Verantwoordelijke of een commercieel redelijke wijziging aan te bevelen in de configuratie van Verantwoordelijke of het gebruik door Verantwoordelijke van de Diensten ter voorkoming van Verwerking van Persoonsgegevens door de nieuwe of andere Subverwerker waartegen bezwaar is gemaakt, zonder Verantwoordelijke daarbij onredelijk te belasten. Indien Verwerker die wijziging niet binnen een redelijke termijn beschikbaar kan stellen, welke termijn niet meer zal bedragen dan zestig (60) dagen, mag Verantwoordelijke het getroffen deel van de Overeenkomst van Dienstverlening beëindigen, echter uitsluitend met betrekking tot die Diensten die niet door Verwerker kunnen worden verleend zonder het gebruik van de nieuwe of andere Subverwerker waartegen bezwaar is gemaakt door middel van schriftelijke kennisgeving aan Verwerker.

5.3. Wordt er geen bezwaar gemaakt dan draagt Verwerker ervoor zorg dat de betreffende derde een overeenkomst sluit waarin hij zich tenminste houdt aan dezelfde wettelijke verplichtingen en de eventuele aanvullende verplichtingen uit deze overeenkomst als die Verwerker heeft. Indien een subverwerker de aanvullende verplichtingen uit deze overeenkomst niet wenst te accepteren, kan Verantwoordelijke beslissen om voor de betreffende verwerkingen Verwerker van die aanvullende verplichtingen ontheffen opdat Verwerker toch de subverwerkingsovereenkomst kan sluiten.

5.4. Verwerker blijft aansprakelijk jegens Verantwoordelijke voor nakoming van de verplichtingen van Subverwerker, in het geval dat Subverwerker zijn verplichtingen niet nakomt. Verwerker is echter niet aansprakelijk voor schade en vorderingen voortvloeiend uit instructies van Verantwoordelijke aan Subverwerkers.


Verwerker zal:
6.1. De Technische en Organisatorische Beveiligingsmaatregelen doorvoeren die voldoen aan de vereisten van de AVG alvorens de Persoonsgegevens te Verwerken en ervoor zorgen dat hij Verantwoordelijke voldoende garanties biedt voor wat betreft die Technische en Organisatorische Beveiligingsmaatregelen zoals beschreven in bijlage 2.1

6.2. Verantwoordelijke assisteren door middel van passende Technische en Organisatorische Maatregelen, voor zover haalbaar, voor de nakoming van de verplichting van Verantwoordelijke om in te gaan op verzoeken voor de uitoefening van de rechten van de Betrokkenen, voor zover die haalbare Technische en Organisatorische Beveiligingsmaatregelen veranderingen of wijzigingen in de Technische en Organisatorische Beveiligingsmaatregelen vereisen zal Verwerker Verantwoordelijke informeren over de kosten van doorvoering van die aanvullende of gewijzigde Technische en Organisatorische Beveiligingsmaatregelen. Zodra Verantwoordelijke heeft bevestigd dat die kosten voor zijn rekening komen, zal Verwerker die aanvullende of gewijzigde Technische en Organisatorische Beveiligingsmaatregelen.

6.3. De informatiebeveiliging vindt plaats volgens algemeen erkende normen, zoals ISO 27001 of soortgelijke certificering.


7.1. De Verwerker zal de Verantwoordelijke zo spoedig mogelijk – doch uiterlijk binnen 24 uur na de eerste ontdekking – informeren over alle (vermoedelijke) inbreuken op de beveiliging alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, onverminderd de verplichting de gevolgen van dergelijke inbreuken en incidenten zo snel mogelijk ongedaan te maken dan wel te
beperken. Verwerker zal voorts, op het eerste verzoek van de Verantwoordelijke, alle inlichtingen verschaffen die de Verantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de informatie aan de Verantwoordelijke zoals omschreven in bijlage 2.2

7.2. De verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal de Verantwoordelijke, op diens verzoek, inzage verschaffen in het plan.

7.3. De Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de Verantwoordelijke.

7.4. De Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n). Daarbij verschaft Verwerker in ieder geval de informatie, zoals beschreven in bijlage 2.2, aan de Verantwoordelijke.

7.5. De Verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging, evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen waarin minimaal de informatie zoals bedoeld in bijlage 2.2 is opgenomen, en geeft daar op eerste verzoek van de Verantwoordelijke inzage in.


8.1. Verantwoordelijke zal betrokkene voorzien van alle informatie waar betrokkene recht op heeft. Inhoudende artikel 13 tot en met 18 en 20 tot en met 22 van de AVG. Verwerker helpt Verantwoordelijke hierbij waar nodig. Voor zover de uitvoering van hulp leidt tot kosten voor Verwerker zal Verwerker Verantwoordelijke eerst in kennis stellen van die kosten.


9.1. Personen in dienst van, dan wel werkzaam ten behoeve van de Verwerker, evenals de Verwerker zelf, zijn verplicht tot geheimhouding met betrekking tot de persoonsgegevens waarvan zij kennis kunnen nemen, behoudens voor zover een bij, of krachtens de wet gegeven voorschrift tot verstrekking verplicht. De medewerkers van de Verwerker tekenen hiertoe een geheimhoudingsverklaring.

9.2. Indien de Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken, zal de verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal de Verwerker de verwerkingsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.


10.1. Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst en artikel 28 AVG zijn en worden nagekomen.

10.2. Verantwoordelijke heeft eenmaal per kalenderjaar recht om een audit uit te laten voeren door een onafhankelijke partij.

10.3. Verwerker verleent alle benodigde medewerking aan audits.

Dusdanige audit rapporten worden volledig beschikbaar gesteld voor de Verwerker.

Kosten voor een audit liggen bij de verantwoordelijke. Daarnaast vergt een audit veel tijd en resources van de Verwerker, hetgeen ten koste gaat van de doorontwikkeling van de software. Derhalve betaalt Verantwoordelijke de Verwerker een redelijke vergoeding voor tijd en onkosten die Verwerker maakt voor een audit.


11.1. Alle aansprakelijkheid voortvloeiend uit of verband houdend met deze verwerkersovereenkomst volgt, en wordt uitsluitend beheerst door, de aansprakelijkheidsbepalingen uiteengezet in, de Algemene Voorwaarden en/-of de Overeenkomst. Derhalve, en ter berekening van aansprakelijkheidslimieten en/-of ter bepaling van de toepassing van andere beperkingen van aansprakelijkheid, wordt elke aansprakelijkheid die zich uit hoofde van deze Verwerkersovereenkomst voordoet, geacht zich voor te doen uit hoofde van de desbetreffende Algemene Voorwaarden en/-of de Overeenkomst.


12.1. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst en bij gebreke daarvan in ieder geval voor de duur van de samenwerking tussen Partijen.

De Verwerkersovereenkomst kan niet tussentijds worden opgezegd, tenzij de Overeenkomst anders bepaalt.


13.1. Partijen mogen deze Verwerkersovereenkomst alleen wijzigen met wederzijdse instemming.

13.2. Indien een of meerdere bepalingen in deze overeenkomst nietig of vernietigbaar zijn, dan wel indien wet- of regelgeving respectievelijk rechtspraak anderszins een wijziging van een of meerdere bepalingen in deze overeenkomst verlangen, blijven de overige bepalingen van deze overeenkomst volledig van toepassing. Partijen zullen in dat geval in overleg treden teneinde nieuwe bepalingen ter vervanging van de betreffende bepalingen overeen te komen, waarbij zij zoveel mogelijk het doel en de strekking van de
oorspronkelijke bepaling in acht zullen nemen.

Bijlage 2.1: Technische en organisatorische maatregelen

Beschrijving van de Technische en Organisatorische Beveiligingsmaatregelen die door Verwerker zijn doorgevoerd in overeenstemming met Toepasselijke Gegevensbeschermingswet:

In deze Bijlage worden de Technische en Organisatorische Beveiligingsmaatregelen en procedures beschreven die Verwerker ten minste moet aanhouden ter bescherming van de veiligheid van persoonsgegevens die zijn gecreëerd, verzameld, ontvangen, of anderszins verkregen.

Algemeen: Technische en Organisatorische Beveiligingsmaatregelen kunnen worden beschouwd als de stand der techniek op het moment van sluiten van de Overeenkomst van Dienstverlening. Verwerker zal Technische en Organisatorische Beveiligingsmaatregelen na verloop van tijd evalueren, daarbij rekening houdend met kosten voor doorvoering, aard, omvang, context en doelstellingen van Verwerking, en het risico van verschillen in de mate van waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen. Welke maatregelen in ieder geval gericht zijn op het volgende:

1. Het beperken van de kring van werknemers die toegang hebben tot bepaalde
persoonsgegevens tot die personen die de gegevens nodig hebben voor de uitoefening
van hun werkzaamheden;

2. Het verlenen van toegang aan deze personen tot enkel persoonsgegevens die zij nodig
hebben voor de uitoefening van hun werkzaamheden;

3. Maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking bij uitwisseling/transport van gegevens;

4. Vermogen om blijvende vertrouwelijkheid, integriteit, beschikbaarheid, en veerkracht van verwerkingssystemen en -diensten te garanderen;

5. Maatregelen gericht op het tijdig kunnen herstellen van de beschikbaarheid van en de
toegang tot persoonsgegevens bij een fysiek of technisch incident.

6. Een proces voor regelmatig testen, beoordelen en evalueren van de doelmatigheid van
Technische en Organisatorische Beveiligingsmaatregelen om de veiligheid van de Verwerking te garanderen; en

7. Een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens, bevestigd met een ISO 27001 of soortgelijke certificering.

Verwerker zal de door hem getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.

Bijlage 2.2: Inlichtingen om incidenten te beoordelen ter uitwerking van art. 6 lid 1 en 5

De Verwerker zal alle inlichtingen verschaffen die de Verantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de volgende informatie aan de Verantwoordelijke:
– wat de (vermeende) oorzaak is van de inbreuk;
– wat het (vooralsnog bekende en/of te verwachten) gevolg is;
– wat de (voorgestelde) oplossing is;
– contactgegevens voor de opvolging van de melding;
– aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk);
– een omschrijving van de groep personen van wie gegevens betrokken zijn bij de inbreuk;
– het soort of de soorten persoonsgegevens die betrokken zijn bij de inbreuk;
– de datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);
– de datum en het tijdstip waarop de inbreuk bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer;
– of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
– wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken.