icon onderhoud icon incidenten
mobile-menu mobile-menu
menu

DORA Addendum

Over BIT Voorwaarden en policies DORA Addendum

1 – DEFINITIES

1.1 Termen die in dit Addendum met een hoofdletter zijn geschreven, hebben de betekenis die eraan is toegekend in DORA voor zover daarin dergelijke termen worden gedefinieerd1. Alle andere termen die in dit Addendum met een hoofdletter zijn geschreven, hebben de volgende betekenis.

  • “Addendum” betekent dit document met inbegrip van eventuele bijlagen.
  • “DORA” betekent Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele veerkracht voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011, en de daarmee verband houdende gedelegeerde en uitvoeringshandelingen, zoals van tijd tot tijd gewijzigd, aangevuld en vervangen.
  • “DORA Ingangsdatum” betekent de datum waarop DORA van toepassing wordt, zijnde 17 januari 2025.
  • “Diensten” betekent de Diensten in de zin van artikel 2 onder 21) DORA die door BIT aan Klant worden geleverd op grond van de Overeenkomst.
  • “BIT Website” de website van BIT, raadpleegbaar op www.bit.nl.
  • “Materiële Wijziging” betekent een wijziging in Onderuitbesteding die een significante invloed kan hebben op de beschikbaarheid, vertrouwelijkheid, integriteit, of de operationele veerkracht van de Diensten die worden geleverd door BIT. Hieronder valt de vervanging van een Onderaannemer, uitbreiding van de diensten van een bestaande Onderaannemer, wijzigingen in Servicelocaties, of andere substantiële wijzigingen in contractvoorwaarden met Onderaannemers.
  • “Onderuitbesteden” betekent de inschakeling van een derde partij door BIT om (een deel van de) Diensten uit te voeren.
  • “Onderaannemer” betekent een derde partij die door BIT (of een van zijn onderaannemers) is ingeschakeld om een deel van de Diensten uit te voeren.
  • “Overeenkomst” betekent de overeenkomst(en) waarnaar wordt verwezen in overweging (A) hierboven.
  • “Klantgegevens” betekent alle informatie, met inbegrip van persoonsgegevens, die wordt verzameld, opgeslagen, verwerkt en/of verzonden door of door het gebruik van de Diensten zoals geleverd door BIT.
  • “Portaal” betekent het BIT klantenportaal waarin Klant, onder andere, verschillende aspecten van de Diensten en de Service Level Agreement kan beheren en in kan zien, raadpleegbaar op portal.bit.nl.

2 – TOEPASSELIJKHEID, INTERPRETATIE EN RANGORDE

2.1 Dit Addendum treedt in werking (i) op de datum van uitvoering door beide Partijen indien uitgevoerd op of na de DORA Ingangsdatum, of (ii) op de DORA Ingangsdatum, indien dit Addendum vóór deze datum wordt uitgevoerd.

2.2 Met ingang van de inwerkingtreding van dit Addendum zal de Overeenkomst worden gewijzigd en/of aangevuld door de voorwaarden zoals opgenomen in dit Addendum. Aanvullingen en/of wijzigingen op Overeenkomsten die reeds vóór de inwerkingtreding van dit Addendum tussen Partijen waren gesloten, hebben geen terugwerkende kracht. Reeds opgebouwde rechten en verplichtingen van de Partijen uit hoofde van de Overeenkomst blijven derhalve onaangetast.

2.3 Dit Addendum en de Overeenkomst zullen worden geïnterpreteerd in overeenstemming met DORA. In geval van tegenstrijdige interpretaties tussen Partijen prevaleert de interpretatie van BIT, mits deze voldoet aan de DORA-vereisten.

2.4 In geval van tegenstrijdigheid tussen dit Addendum en andere inhoud van de Overeenkomst, prevaleert de inhoud van dit Addendum.

3 – UITBREIDING VAN DIT ADDENDUM

3.1 De Partijen kunnen de toepasselijkheid van dit Addendum uitbreiden tot andere overeenkomsten op grond waarvan BIT Diensten aan Klant levert door middel van een expliciete verwijzing naar dit Addendum, op voorwaarde dat de Partijen eventuele aanvullende wijzigingen die nodig zijn om te voldoen aan DORA met betrekking tot dergelijke Diensten in een dergelijke overeenkomst schriftelijk vastleggen.

3.2 Indien het toepassingsbereik van dit Addendum wordt uitgebreid zal dit Addendum in elk van de betreffende overeenkomsten afzonderlijk worden opgenomen. Voor alle duidelijkheid: het verwijzen naar dit Addendum in andere overeenkomsten zal niet leiden tot de samenvoeging van dergelijke overeenkomsten met de Overeenkomst; elke overeenkomst blijft afzonderlijk en onafhankelijk bestaan, tenzij de Partijen uitdrukkelijk anders zijn overeengekomen.

4 – WIJZIGING

4.1 De Partijen zullen dit Addendum zo nodig wijzigen om de naleving van DORA te handhaven wanneer nieuwe of gewijzigde wetten, voorschriften of richtlijnen van kracht worden die in strijd zijn met bepalingen van dit Addendum of de Overeenkomst of anderszins wijzigingen noodzakelijk maken om de voortdurende naleving van DORA door de Partijen te waarborgen.

4.2 Elke Partij stelt de andere Partij schriftelijk in kennis van eventuele wijzigingen in de zin van Artikel 4.1. De primaire verantwoordelijkheid voor het monitoren van dergelijke wijzigingen ligt bij Klant.

4.3 Indien het doorvoeren van de vereiste wijzigingen of andere door Klant gevraagde wijzigingen van invloed zou zijn op de operationele processen van BIT, (aanzienlijke) technische wijzigingen in de Diensten zou vereisen of zou leiden tot extra kosten voor BIT, heeft BIT het recht om bezwaar te maken tegen dergelijke wijzigingen door middel van een met redenen omklede schriftelijke kennisgeving aan Klant. In geval van bezwaar zullen de Partijen te goeder trouw onderhandelen om de wijzigingen te wijzigen en/of aanvullende vergoedingen overeen te komen, op voorwaarde van naleving van DORA.

5 – REIKWIJDTE EN LOCATIE VAN DE DIENSTEN

5.1 De door BIT geleverde Diensten worden in detail beschreven in de Overeenkomst en relevante Service Level Agreements2.

5.2 De (Onderuitbestede) Diensten worden geleverd in Nederland, tenzij anders specifiek met Klant overeengekomen3.

5.3 BIT informeert Klant ten minste dertig (30) dagen van tevoren indien BIT voornemens is de locaties als bedoeld in het vorige lid te wijzigen4. Een dergelijke kennisgeving zal worden bekendgemaakt op de BIT Website, of een ander kanaal waarvan BIT kan bewijzen dat de bekendmaking is aangekomen bij Klant. Indien BIT dergelijke kennisgeving per e-mail verstrekt, zal BIT dit doen via het e-mailadres dat in de administratie van BIT opgenomen is als contact voor contractuele zaken.

6 – ONDERUITBESTEDING

6.1 BIT mag de Diensten geheel of gedeeltelijk Onderuitbesteden of (Materiële) Wijzigingen in de Onderuitbesteding aanbrengen. BIT informeert Klant voorafgaand over het inschakelen van een nieuwe Onderaannemer of over geplande Materiële Wijzingen in Onderuitbesteding. Een dergelijke kennisgeving zal worden bekendgemaakt op de BIT Website, of een ander kanaal waarvan BIT kan bewijzen dat de bekendmaking is aangekomen bij Klant. Indien BIT dergelijke kennisgeving per email verstrekt, zal BIT dit doen via het e-mailadres dat in de administratie van BIT opgenomen is als contact voor contractuele zaken.

6.2 Klant heeft het recht om bezwaar te maken tegen het inschakelen van een nieuwe Onderaannemer of tegen Materiële Wijzigingen in de Onderuitbesteding. BIT geeft Klant de gelegenheid om schriftelijk en gemotiveerd binnen dertig (30) dagen bezwaar te maken. In geval van bezwaar treden Partijen te goeder trouw in overleg om de bezwaren van Klant te behandelen.

6.3 Elke Partij kan de Overeenkomst en dit Addendum met onmiddellijke ingang beëindigen (opzeggen) door middel van een schriftelijke kennisgeving aan de andere Partij wanneer Klant bezwaar heeft gemaakt tegen door BIT voorgestelde Materiële Wijzigingen in diens Onderuitbestedingsregelingen en Partijen geen overeenstemming hebben bereikt over de voorgestelde Materiële Wijzigingen binnen uiterlijk veertien (14) dagen na afloop van de bezwaartermijn. Indien het exit plan na beëindiging van de Overeenkomst en dit Addendum in gang wordt gezet zal, kwalificeert het doorvoeren van de Materiële Wijzigingen door BIT waartegen Klant bezwaar heeft gemaakt niet als een tekortkoming in de nakoming van een van de verplichtingen onder de Overeenkomst of dit Addendum.

6.4 BIT zal een actueel overzicht van materiële Onderaannemers in de gehele keten die betrokken zijn bij de levering van de Diensten bijhouden, en, op schriftelijk verzoek van Klant, de wettelijk noodzakelijke informatie verstrekken die Klant nodig heeft om de krachtens DORA vereiste beoordelingen uit te voeren, ervoor zorgend dat door het verstrekken van dergelijke actuele informatie, Klant kan voldoen aan zijn verplichtingen om het informatieregister bij te houden en bij te werken in overeenstemming met artikel 28 lid 3 en 28 lid 9 DORA.

7 – IDENTIFICATIE VAN DE JURIDISCHE ENTITEIT5,6

7.1 BIT zal:

  • een geldige en actieve identificatiecode voor juridische entiteiten (LEI) of een Europese unieke identificatiecode (EUID) als bedoeld in artikel 16 van Richtlijn (EU) 2017/1132 aanvragen en behouden;
  • voor zover relevant, zorgen dat Onderaannemers die onderdelen van de Diensten leveren, de geldige en actieve identificatiecode voor juridische entiteiten (LEI) of de Europese unieke identificatiecode (EUID) als bedoeld in artikel 16 van Richtlijn (EU) 2017/1132 verstrekken, tenzij de Onderaannemer een natuurlijke persoon is die handelt in zakelijke hoedanigheid;
  • de wettelijke identificatiegegevens van alle Onderaannemers bijhouden en/of opvragen en deze op eerste verzoek aan Klant verstrekken.

7.2 Wanneer een juridische entiteit buiten de Europese Economische Ruimte is gevestigd, kan deze entiteit alleen worden geïdentificeerd met een identificatiecode voor juridische entiteiten (LEI)7.

8 – SERVICE LEVELS

8.1 Het dienstverleningsniveau voor de Diensten, met inbegrip van precieze kwantitatieve en kwalitatieve prestatiedoelstellingen en eventuele updates en herzieningen daarvan, zijn beschreven in de Overeenkomst, meer specifiek in de relevante Service Level Agreements8,9.

8.2 In de relevante Service Level Agreements staan de prestatienormen (zoals Beschikbaarheid, Reactietijd en Hersteltijd) beschreven, in het kader daarvan zullen de aan het service level gekoppelde verplichtingen worden gehanteerd.

8.3 BIT stelt Klant in staat om de Diensten effectief te monitoren en de naleving van de dienstverleningsniveaus en bijbehorende prestatiedoelstellingen te verifiëren10, in overeenstemming met de Service Level Agreement.

8.4 BIT zal Klant onverwijld schriftelijk op de hoogte stellen van alle ontwikkelingen die mogelijk van wezenlijke invloed kunnen zijn op het vermogen van BIT om de Diensten effectief te leveren in overeenstemming met de overeengekomen service levels11.

9 – KLANTGEGEVENS

9.1 Klantgegevens worden in het kader van de (Onderuitbestede) Diensten verwerkt en opgeslagen in Nederland, tenzij anders specifiek met Klant overeengekomen12.

9.2 BIT informeert Klant ten minste veertien (14) dagen van tevoren indien BIT voornemens is de locaties als bedoeld in het vorige lid te wijzigen. Een dergelijke kennisgeving zal worden bekendgemaakt op de BIT Website, of een ander kanaal waarvan BIT kan bewijzen dat de bekendmaking is aangekomen bij Klant13. Indien BIT dergelijke kennisgeving per e-mail verstrekt, zal BIT dit doen via het e-mailadres dat in de administratie van BIT opgenomen is als contact voor contractuele zaken.

9.3 BIT zal maatregelen nemen om de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid te waarborgen van alle Klantgegevens die worden verwerkt in het kader van de (Onderuitbestede) Diensten, in overeenstemming met de maatregelen en bepalingen uiteengezet in de Overeenkomst.

9.4 In geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van BIT, of in geval van beëindiging van de Overeenkomst om welke reden dan ook, heeft Klant het recht op toegang tot en controle over de Klantgegevens die worden verwerkt of opgeslagen in het kader van de (Onderuitbestede) Diensten zoals uiteengezet in de Overeenkomst.

9.5 Op verzoek van Klant naar aanleiding van een van de in Artikel 9.4 genoemde gebeurtenissen zal BIT Klantgegevens verstrekken in een gemakkelijk toegankelijk formaat binnen een termijn van i) negentig (90) kalenderdagen na beëindiging van de Overeenkomst door BIT of ii) binnen een termijn van dertig (30) kalenderdagen na beëindiging van de Overeenkomst door Klant, hetzij door Klant de mogelijkheid te bieden Klantgegevens zelf te exporteren, hetzij door Klant te voorzien van een gegevensexport14.

9.6 Bij beëindiging van de Overeenkomst kan BIT Klantgegevens onomkeerbaar verwijderen. Indien Klant bezwaar maakt tegen een dergelijke verwijdering, kan BIT ermee instemmen de Klantgegevens te bewaren voor een aanvullende bewaartermijn van maximaal negentig (90) kalenderdagen, tenzij schriftelijk een langere termijn is overeengekomen, onder voorbehoud van de betaling door Klant van redelijke aanvullende (opslag)kosten, die tussen de Partijen worden overeengekomen voorafgaand aan de aanvullende bewaartermijn, of bij gebreke van een dergelijke specifieke overeenkomst, de vergoedingen zijn gebaseerd op de standaardtarieven van BIT voor dergelijke of soortgelijke activiteiten.

10 – TRAINING EN BEWUSTWORDING

10.1 BIT stemt ermee in om deel te nemen aan bewustwordingsprogramma’s voor ICT-beveiliging en trainingen op het gebied van digitale operationele weerbaarheid (hierna: “training”) als Klant externe aanbieders van ICT-diensten heeft opgenomen als deelnemers aan zijn trainingsprogramma15,16. BIT zal deelnemen tegen een redelijke vergoeding. De voornoemde vergoeding is gebaseerd op de standaardtarieven van BIT voor dergelijke of soortgelijke activiteiten.

10.2 Indien van BIT wordt verwacht dat hij deelneemt aan een of meer trainingen, dient BIT hiervan ten minste zestig (60) kalenderdagen van tevoren schriftelijk op de hoogte te worden gesteld door Klant. In overleg zullen Partijen een geschikte datum bepalen waarop de training(en) zal/zullen plaatsvinden. In het algemeen kan deelname niet meer dan eenmaal per kalenderjaar worden geëist, tenzij de gegeven situatie redelijkerwijs aanleiding geeft tot frequentere training. Deelname is in ieder geval niet vereist indien BIT in redelijkheid kan aantonen dat de betreffende training niet noodzakelijk is omdat de te realiseren relevante kennis reeds aanwezig is binnen de organisatie van BIT, of indien Klant niet flexibel is in het bepalen van de datum en BIT vanwege tijdgebrek of andere gegronde redenen niet kan deelnemen. BIT zal dit in dat geval schriftelijk kenbaar maken, waarna Partijen in overleg treden om hierover tot overeenstemming te komen.

10.3 De verplichting om deel te nemen aan trainingen is beperkt tot personen die direct betrokken zijn bij of verantwoordelijk zijn voor de levering van de (uitbestede) Diensten en personen die direct of indirect toegang hebben tot Klantgegevens, met inbegrip van het directe beheer ervan. Per training kunnen er echter maximaal drie (3) medewerkers van BIT deelnemen, om de continuïteit van de bedrijfsvoering niet nadelig te beïnvloeden. Indien Klant vereist dat er meer dan drie (3) medewerkers van BIT deelnemen, zullen Partijen in overleg tot overeenstemming komen, met inbegrip van de mogelijkheid om de training(en) over meerdere dagen te verspreiden.

10.4 Klant dient ervoor te zorgen dat de training op afstand kan worden bijgewoond via videoconferenties, behalve wanneer de aard van de training redelijkerwijs persoonlijke aanwezigheid vereist. Trainingsdata, -tijden en – locaties worden geregeld op een manier die redelijkerwijs tegemoetkomt aan de zakelijke belangen en operationele behoeften van BIT.

11 – ICT-BEVEILIGING, BEDRIJFSNOODPLANNEN EN TESTEN

11.1 BIT implementeert, onderhoudt en test periodiek een bedrijfsnoodplan dat passend is gelet op de aard van de geleverde Diensten, ten aanzien van tenminste de continuïteit en beschikbaarheid van de Diensten en Klantgegevens17.

11.2 BIT zal beveiligingsmaatregelen, -instrumenten en -beleidslijnen implementeren die, naar het professionele oordeel van BIT, een passend beveiligingsniveau bieden in de zin van artikel 30 lid 3 onder c) DORA, rekening houdend met de aard van de Diensten en commercieel redelijke praktijken in de sector, zoals ISO 27001. BIT kan de geïmplementeerde ICT-beveiligingsmaatregelen van tijd tot tijd wijzigen, mits deze wijzigingen de beveiliging van de Diensten niet verminderen.

11.3 [INDIEN VAN TOEPASSING] BIT neemt deel aan en verleent volledige medewerking aan threat-led penetration testing (“TLPT”) van Klant als bedoeld in de artikelen 26 en 27 DORA voor zover de door BIT geleverde Diensten in scope zijn van een TLPT18. Partijen erkennen dat TLPT redelijkerwijs een nadelige invloed kan hebben op de kwaliteit of beveiliging van diensten geleverd aan klanten van BIT die niet onder DORA vallen, of op de vertrouwelijkheid van gegevens met betrekking tot dergelijke diensten. Partijen komen daarom het volgende overeen:

11.3.1 Klant dient BIT hiervan schriftelijk op de hoogte te stellen, indien redelijkerwijs mogelijk ten minste zestig (60) kalenderdagen voorafgaand aan een TLPT waaraan BIT moet deelnemen;

11.3.2 Klant zal BIT niet vaker dan eenmaal per jaar verzoeken deel te nemen aan een TLPT;

11.3.3 Klant draagt alle kosten en uitgaven in verband met de TLPT, met inbegrip van, maar niet beperkt tot, de redelijke personeelskosten van BIT tegen de op dat moment geldende tarieven van BIT en andere redelijke kosten die door BIT zijn gemaakt; en

11.3.4 Klant zal BIT schadeloosstellen en vrijwaren voor alle aanspraken, schade en kosten (inclusief redelijke juridische kosten) die voortvloeien uit of verband houden met een TLPT.

12 – ICT-GERELATEERDE INCIDENTEN

12.1 BIT zal Klant onverwijld op de hoogte stellen nadat hij kennis heeft genomen van een ICT-gerelateerd incident. Klant wijst minimaal één contactpersoon aan waarmee BIT contact kan opnemen voor het melden van dergelijke ICT-gerelateerde incidenten. De namen en contactgegevens van deze personen zijn vastgelegd in de administratie van BIT.

12.2 In geval van een ICT-gerelateerd incident dat van invloed is op of verband houdt met de Diensten, zal BIT Klant op diens eerste verzoek en zonder onnodige vertraging alle op grond van DORA vereiste bijstand verlenen19.

12.3 In geval van een ICT-gerelateerd incident dat veroorzaakt is door Klant en dat van invloed is op of verband houdt met de Diensten, zal BIT Klant op diens eerste verzoek en zonder onnodige vertraging alle op grond van DORA vereiste bijstand verlenen tegen een redelijke vergoeding. De voornoemde vergoeding is gebaseerd op de standaardtarieven van BIT voor dergelijke of soortgelijke activiteiten.

13 – AUDITS EN MEDEWERKING

13.1 BIT stemt er hierbij mee in om Klant, zijn gemachtigde vertegenwoordigers en relevante toezichthoudende autoriteiten toegang te verlenen tot documentatie die van cruciaal belang is voor de levering van Diensten van BIT om deze documentatie te kunnen inspecteren, controleren en kopiëren. Deze toegang tot documentatie omvat geen documentatie met betrekking tot intellectueel eigendom en vertrouwelijke (bedrijfs)informatie; hier levert BIT geen toegang toe. BIT zorgt ervoor dat dergelijke rechten niet worden beperkt of belemmerd door andere contractuele regelingen of beleidslijnen20.

13.2 Klant en BIT erkennen dat zich omstandigheden kunnen voordoen waarin toegangs-, inspectie- of auditrechten een negatieve invloed hebben op de rechten van de andere klanten van BIT. Partijen komen overeen dat zij in dergelijke situaties schriftelijk alternatieve inspectiemogelijkheden kunnen overeenkomen. Partijen zullen in dergelijke omstandigheden te goeder trouw samenwerken om passende alternatieve opties vast te stellen, waarbij de legitieme belangen van de andere klanten van BIT worden beschermd21.

13.3 BIT zal:

13.3.1 Volledige medewerking verlenen aan de bevoegde autoriteiten en afwikkelingsautoriteiten (met inbegrip van door hen aangewezen personen) die toezicht houden op Klant in het kader van DORA22,23;

13.3.2 Volledige medewerking en redelijke bijstand verlenen tijdens inspecties en audits die op locatie worden uitgevoerd door de bevoegde autoriteiten, de lead overseer, de Klant of de door hen aangestelde vertegenwoordigers, op voorwaarde dat dergelijke vertegenwoordigers onderworpen zijn aan passende vertrouwelijkheidsverplichtingen;

13.3.3 Op verzoek effectieve toegang verlenen aan Klant, zijn interne en externe auditors en de relevante bevoegde autoriteiten tot gegevens en gebouwen met betrekking tot het gebruik van de onder de Overeenkomst geleverde Diensten24.

13.4 Klant zal niet meer dan eenmaal per kalenderjaar een audit of inspectie bij BIT uitvoeren.

13.5 Klant dient BIT ten minste zestig (60) kalenderdagen van tevoren schriftelijk op de hoogte te stellen van een door Klant geïnitieerde inspectie of audit, tenzij een dergelijke voorafgaande kennisgeving redelijkerwijs niet mogelijk is vanwege uitzonderlijke omstandigheden die onmiddellijke actie vereisen. Klant zal in een dergelijke situatie BIT zo snel als mogelijk informeren met de op dat moment beschikbare kennis en informatie.

13.6 Voorafgaand aan een door Klant geïnitieerde inspectie of audit zullen BIT en Klant zich inspannen om schriftelijk overeenstemming te bereiken over de reikwijdte en de te controleren gebieden, de toepasselijke procedures, vertrouwelijkheidsvereisten en de operationele richtlijnen die moeten worden gevolgd tijdens (on-premises) inspectie- of auditactiviteiten25. In ieder geval dient deze schriftelijke overeenstemming de aspecten te behandelen die BIT vastgelegd heeft in de standaard overeenkomst beveiligingstest, zoals beschreven op https://www.bit.nl/over-bit/voorwaarden-en-policies/overeenkomst-beveiligingstest/.

13.7 Klant draagt alle kosten en uitgaven in verband met door Klant geïnitieerde inspecties of audits, met inbegrip van, maar niet beperkt tot, de redelijke personeelskosten van BIT tegen de op dat moment geldende tarieven voor professionele dienstverlening van BIT en andere redelijke kosten die door BIT zijn gemaakt.

13.8 Alle informatie, kennis en documentatie die middels audits of inspecties zijn vergaard en gedeeld, zullen door Partijen vertrouwelijk worden behandeld.

14 – EXIT26

14.1 Niettegenstaande eventuele andere exitstrategieën, exitplannen of soortgelijke regelingen die in de Overeenkomst zijn opgenomen – die alsdan prevaleren indien deze gunstiger zijn voor Klant – zal BIT, op schriftelijk verzoek van Klant, de Diensten blijven leveren na afloop of beëindiging van de Overeenkomst gedurende een passende overgangsperiode waarbij rekening gehouden dient te worden met alle omstandigheden en legitieme belangen van beide Partijen.

14.2 De duur van de overgangsperiode wordt door Klant vastgesteld en schriftelijk aan BIT meegedeeld en zal niet langer zijn dan zes (6) maanden, tenzij een langere periode vereist is om het risico van verstoring van de bedrijfsvoering van Klant te verminderen of om de effectieve afwikkeling en herstructurering van Klant te waarborgen. De oorspronkelijk vastgestelde overgangsperiode kan in onderling overleg worden verlengd.

14.3 Gedurende de overgangsperiode zal BIT de Diensten blijven leveren onder dezelfde dienstverleningsniveaus, prijzen en voorwaarden als gespecificeerd in de Overeenkomst. Op verzoek van Klant zal BIT redelijke hulp bieden bij het migreren van de Diensten naar een opvolgende dienstverlener of naar de interne oplossing van Klant, voor zover redelijkerwijs mogelijk. Klant dient alle redelijke kosten en uitgaven die zijn gemaakt voor het verlenen van dergelijke migratiehulp aan BIT te vergoeden tegen de op dat moment geldende tarieven voor professionele dienstverlening van BIT.

15 – BEËINDIGING

15.1 Niettegenstaande eventuele andere beëindigingsrechten waarover de Partijen beschikken op grond van de Overeenkomst of de toepasselijke wetgeving, kan een Partij de Overeenkomst en dit Addendum beëindigen (opzeggen):

  1. Door middel van een schriftelijke kennisgeving met onmiddellijke ingang, in de omstandigheden beschreven in artikel 28 lid 7 DORA27;
  2. Door middel van een schriftelijke kennisgeving, met dien verstande dat (i) de opzeggende Partij door de bevoegde (afwikkelings)autoriteit is verzocht de Overeenkomst te beëindigen, en (ii) een opzegtermijn in aanmerking wordt genomen die gelijk is aan de maximale opzegtermijn zoals voorgeschreven door die bevoegde (afwikkelings)autoriteit, of bij het ontbreken van een dergelijke voorgeschreven opzegtermijn, de relevante opzegtermijn zoals uiteengezet in de Overeenkomst28.

15.2 De beëindigingsrechten uit hoofde van de Overeenkomst worden geïnterpreteerd en uitgeoefend in overeenstemming met de toepasselijke verwachtingen van de bevoegde autoriteiten in de zin van artikel 30 lid 2 onder h), DORA29.

15.3 Indien de Overeenkomst wordt beëindigd op grond van of met de interpretatie van dit Artikel 15, zal Klant, zonder enig recht op verrekening, onmiddellijk(i) alle openstaande vergoedingen voor Diensten die vóór de ingangsdatum van de beëindiging zijn geleverd, aan BIT betalen, en (ii) alle onbetaalde vergoedingen die de rest van de looptijd van de Overeenkomst dekken aan BIT betalen alsof deze niet waren beëindigd, waarbij al deze bedragen bij beëindiging onmiddellijk opeisbaar worden een en ander voor zover toelaatbaar onder toepasselijk recht.

16 – TOEPASSELIJK RECHT EN JURISDICTIE

16.1 Op dit Addendum is Nederlands recht van toepassing. De rechtbanken in de regio waar BIT zijn statutairzetel heeft, zijn exclusief bevoegd.

17 – REFERENTIES

  1. Art. 30, lid 2 sub d DORA: “bepalingen inzake het waarborgen van de toegang, het herstel en de teruggave in een gemakkelijk toegankelijk formaat van door de financiële entiteit verwerkte persoonsgegevens en niet-persoonsgebonden gegevens in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van de derde aanbieder van ICT-diensten, of in geval van beëindiging van de contractuele overeenkomsten.”.
  2. Art. 30 lid 2 sub a DORA: ëen duidelijke en volledige beschrijving van alle door de derde aanbieder van ICT-diensten te leveren functies en ICT-diensten, (…)”.
  3. Art. 30 lid 2 sub b DORA: “(…) de locaties, met name de regio’s of landen, waar de contractueel overeengekomen of uitbestede functies en ICT-diensten moeten worden geleverd en waar gegevens moeten worden verwerkt, met inbegrip van de opslaglocatie (…)”.
  4. Art. 30, lid 2 sub b DORA: “(…) en de verplichting voor de derde aanbieder van ICT-diensten om de financiële entiteit vooraf in kennis te stellen indien hij voornemens is van locatie te veranderen;”.
  5. Art. 3 lid 5 ITS betreffende het informatieregister (OJ L, 2024/2956): “Financial entities shall use a valid and active legal entity identifier (LEI) or the European Unique Identifier referred to in Article 16 of Directive (EU) 2017/1132 (‘EUID’), and where available both of these identifiers, to identify all of their ICT third-party service providers that are legal persons, except for individuals acting in a business capacity.”.
  6. Art. 3 lid 6 ITS betreffende het informatieregister (OJ L, 2024/2956): “Where an ICT service provided by a direct ICT third-party service provider is supporting a critical or important function of the financial entities, financial entities shall ensure through the direct ICT third-party service provider, that all the subcontractors of the direct ICT third-party service provider included in the register of information in accordance with paragraph 2, point (b), which effectively underpin/support ICT services supporting critical or important functions, use a valid and active LEI or provide their EUID, and where available both of these identifiers, except if those subcontractors are individuals acting in a business capacity.”.
  7. Overweging (9) ITS betreffende het informatieregister (OJ L, 2024/2956): “(…) whereas the ICT third-party service providers established in third-countries should be identified with LEI only.”.
  8. Art. 30 lid 2 onder e) DORA: “beschrijvingen van het dienstenniveau, met inbegrip van actualiseringen en herzieningen daarvan”.
  9. Art. 30 lid 3 onder a) DORA: “beschrijvingen van het niveau van volledige dienstverlening, met inbegrip van actualiseringen en herzieningen daarvan met nauwkeurige kwantitatieve en kwalitatieve prestatiedoelstellingen binnen de overeengekomen dienstverleningsniveaus (…)”.
  10. Art. 30 lid 3 onder a) DORA: “(…) teneinde de financiële entiteit in staat te stellen een doeltreffende monitoring van de ICT-diensten te verrichten en onverwijld passende corrigerende maatregelen te nemen wanneer de overeengekomen dienstverleningsniveaus niet worden gehaald”,
  11. Art. 30 lid 3 onder b) DORA: “kennisgevingstermijnen en rapportageverplichtingen van de derde aanbieder van ICT-diensten ten aanzien van de financiële entiteit, met inbegrip van de kennisgeving van ontwikkelingen die materiële gevolgen kunnen hebben voor het vermogen van de derde aanbieder om op doeltreffende wijze de ICT-diensten die kritieke of belangrijke functies ondersteunen te leveren in overeenstemming met de afgesproken dienstverleningsniveaus”.
  12. Art. 30 lid 2 onder b) DORA: “de locaties, met name de regio’s of landen (. . . ) waar gegevens moeten worden verwerkt, met inbegrip van de opslaglocatie (…)”.
  13. Art. 30 lid 2 onder b) DORA: “(…) en de verplichting voor de derde aanbieder van ICT-diensten om de financiële entiteit vooraf in kennis te stellen indien hij voornemens is van locatie te veranderen”.
  14. Art. 30 lid 2 onder d) DORA: “bepalingen inzake het waarborgen van de toegang, het herstel en de teruggave in een gemakkelijk toegankelijk formaat van door de financiële entiteit verwerkte persoonsgegevens en niet-persoonsgebonden gegevens in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van de derde aanbieder van ICT-diensten, of in geval van beëindiging van de contractuele overeenkomsten”.
  15. Artikel 30 lid 2 sub i DORA: “(. . . ) de voorwaarden voor deelname van derde aanbieders van ICT-diensten aan bewustmakingsprogramma’s op het gebied van ICT-beveiliging en opleidingen inzake digitale operationele weerbaarheid van de financiële entiteiten, overeenkomstig artikel 13, lid 6”.
  16. Artikel 13 lid 6 DORA: “Financiële entiteiten ontwikkelen bewustmakingsprogramma’s op het gebied van ICT-beveiliging en opleidingen inzake digitale operationele weerbaarheid als verplichte modules in de opleidingsprogramma’s voor het personeel. Die programma’s en opleidingen zijn van toepassing op alle werknemers en hoger leidinggevend personeel, en hebben een niveau van complexiteit dat in verhouding staat tot hun
    takenpakket. In voorkomend geval nemen financiële entiteiten overeenkomstig artikel 30, lid 2, punt i), ook derde aanbieders van ICT-diensten op in hun relevante opleidingsprogramma’s.”
  17. Art. 30 lid 3 onder c) DORA: “verplichtingen voor de derde aanbieder van ICT-diensten om bedrijfsnoodplannen in te voeren en te testen (…)”.
  18. Art. 30 lid 3 onder d) DORA: “de verplichting voor de derde aanbieder van ICT-diensten om deel te nemen aan en volledig mee te werken bij
    de TLPT van de financiële entiteit als bedoeld in de artikelen 26 en 27.”.
  19. Art. 30 lid 2 onder f) DORA: “de verplichting van de derde aanbieder van ICT-diensten om de financiële entiteit zonder extra kosten, of
    tegen een vooraf bepaalde kostprijs, bijstand te verlenen wanneer zich een incident voordoet dat verband houdt met de aan de financiële entiteit
    geleverde ICT-dienst”.
  20. Art. 30 lid 3 onder e) i) DORA: önbeperkte rechten van toegang, inspectie en audit door de financiële entiteit of een daartoe aangestelde derde
    partij alsook door de bevoegde autoriteit, en het recht om ter plaatse kopieën van relevante documenten te maken indien deze cruciaal zijn voor
    de activiteiten van de derde aanbieder van ICT-diensten, waarbij de doeltreffende uitoefening van dit recht niet wordt belemmerd of beperkt door
    andere contractuele overeenkomsten of ander uitvoeringsbeleid”.
  21. Art. 30 lid 3 onder e) ii) DORA: “het recht om andere garantieniveaus overeen te komen indien de rechten van andere cliënten worden
    aangetast”.
  22. Art. 30 lid 2 onder g) DORA: “de verplichting van de derde aanbieder van ICT-diensten om volledige medewerking te verlenen aan de bevoegde
    autoriteiten en de afwikkelingsautoriteiten van de financiële entiteit, met inbegrip van de door hen aangestelde personen.”.
  23. Art. 3 lid 8 onder c) RTS inzake het beleid inzake ICT-contracten voor diensten van derden (PB L 2024/1773): “(…) moeten vereisen dat derde
    aanbieders van ICT-diensten samenwerken met de bevoegde autoriteiten.”.
  24. Art. 3 lid 8 onder d) RTS inzake het beleid inzake ICT-dienstencontracten van derden (PB L 2024/1773): “(…) moeten vereisen dat de financiële
    entiteit, haar auditors en de bevoegde autoriteiten effectieve toegang hebben tot gegevens en gebouwen met betrekking tot het gebruik van
    ICT-diensten die kritieke of belangrijke functies ondersteunen.”.
  25. Art. 30 lid 3 e) iv) DORA: “de verplichting om bijzonderheden te verschaffen over het toepassingsgebied, te volgen procedures en de frequentie
    van dergelijke inspecties en audits.”.
  26. Art. 30 lid 3 onder f) DORA: ëxitstrategieën, met name de invoering van een verplichte passende overgangsperiode: i) waarin de derde aanbieder
    van ICT-diensten de levering van de respectieve functies of ICT-diensten zal blijven voortzetten, teneinde het risico op verstoring bij de financiële
    entiteit te beperken of voor een doeltreffende afwikkeling en herstructurering te zorgen; ii) waarin de financiële entiteit kan overstappen naar een
    andere derde aanbieder van ICT-diensten of naar interne oplossingen in overeenstemming met de complexiteit van de geleverde dienst.”.
  27. Art. 28 lid 7 DORA: “Financiële entiteiten zorgen ervoor dat contractuele overeenkomsten inzake het gebruik van ICT-diensten in elk van
    de volgende omstandigheden kunnen worden beëindigd: a) bij ernstige overtreding van de toepasselijke wetten, voorschriften of contractuele
    voorwaarden door de derde aanbieder van ICT-diensten; b) in omstandigheden die in de loop van de monitoring van het ICT-risico van derde
    aanbieders worden vastgesteld, waarvan wordt aangenomen dat deze wijzigingen kunnen brengen in de uitvoering van de functies waarin de
    contractuele overeenkomst voorziet, met inbegrip van materiële wijzigingen die de overeenkomst of de situatie van de derde aanbieder van ICT-
    diensten nadelig beïnvloeden; c) bij klaarblijkelijke zwakheden van de derde aanbieder van ICT-diensten in verband met zijn algemeen beheer
    van het ICT-risico en in het bijzonder met de manier waarop hij zorgt voor de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van
    persoonlijke of anderszins gevoelige gegevens of niet-persoonsgebonden gegevens; d) indien de bevoegde autoriteit niet langer doeltreffend toezicht
    kan uitoefenen op de financiële entiteit ten gevolge van de voorwaarden van of de omstandigheden in verband met de respectieve contractuele
    overeenkomst.”.
  28. Artikel 30 lid 2 sub h DORA: “(…) beëindigingsrechten en de bijbehorende minimumopzegtermijnen voor de beëindiging van de contractuele
    overeenkomsten, in overeenstemming met de verwachtingen van de bevoegde autoriteiten en de afwikkelingsautoriteiten”.
  29. Art. 30 lid 2 onder h) DORA: “beëindigingsrechten en de bijbehorende minimumopzegtermijnen voor de beëindiging van de contractuele
    overeenkomsten, in overeenstemming met de verwachtingen van de bevoegde autoriteiten en de afwikkelingsautoriteiten”.