EN

CEEYU ALGEMENE VOORWAARDEN

DEZE OVEREENKOMST IS EEN BINDEND CONTRACT EN REGELT HET GEBRUIK VAN EN DE TOEGANG TOT DE DIENSTEN DOOR U, EINDGEBRUIKERS EN/OF WETTELIJKE VERTEGENWOORDIGERS VAN DE KLANT, HETZIJ IN VERBAND MET EEN BETALEND ABONNEMENT VOOR OF GRATIS GEBRUIK VAN DE CEEYU-DIENSTEN.

Door deze Overeenkomst te aanvaarden, hetzij door toegang tot of gebruik van een Dienst, door een gebruiker te autoriseren of toe te staan toegang tot of gebruik van een Dienst te maken, hetzij door een Offerte van CEEYU of een geautoriseerde CEEYU Channel Partner te ondertekenen, stemt U ermee in gebonden te zijn aan deze Overeenkomst vanaf de datum van dergelijke toegang of gebruik van de Dienst of ondertekening van het Aanbod.   Indien U deze Overeenkomst aangaat namens een bedrijf, organisatie of een andere rechtspersoon ("Klant"), gaat U akkoord met deze Overeenkomst voor die Entiteit en verklaart U aan CEEYU dat U bevoegd bent die entiteit en haar gelieerde ondernemingen aan deze Overeenkomst te binden, in welk geval de termen "Klant", "Gebruiker", "U" of "Uw" hierin verwijzen naar die entiteit en haar gelieerde ondernemingen. Indien U niet over een dergelijke bevoegdheid beschikt, of indien U niet instemt met deze Overeenkomst, dient U de Diensten niet te gebruiken of te autoriseren. 

De Klant en CEEUY worden in deze Overeenkomst elk een "Partij" en gezamenlijk de "Partijen" genoemd.  CEEYU is een vennootschap naar Belgisch recht met ondernemingsnummer 0753.427.407 met maatschappelijke zetel te Guldensporenlaan 24, 2820 Bonheiden, België.

Het doel van deze Overeenkomst is het vastleggen van de voorwaarden waaronder de Klant CEEYU Diensten en Professional Services afneemt zoals beschreven in een Service Order, Statement of Work of andere documenten die door de Klant zijn ondertekend of overeengekomen.  In geval van tegenstrijdigheid of conflict tussen de voorwaarden van deze Algemene Voorwaarden en de voorwaarden van een Service Order of Statement of Work, prevaleren de voorwaarden van de Service Order of Statement of Work.

ALLEEN VOOR ONLINE REGISTRATIES - Na online registratie voor/abonnement op de dienst controleert CEEYU de identiteit van de Klant binnen 10 kalenderdagen na de registratie.  Op basis van deze controle behoudt CEEYU zich het recht voor om de dienst niet aan Klant te leveren om verschillende redenen (bijv. CEEYU vermoedt dat Klant de Dienst zal gebruiken voor onwettige doeleinden, Klant is een directe concurrent van Ceeyu, Klant registreert met niet-professioneel of tijdelijk email adres etc.). In dat geval is de onderhavige overeenkomst ongeldig.     Ceeyu is niet verplicht deze actie aan Klant te verantwoorden. In geval van een betaald abonnement en indien de Klant reeds vooruit heeft betaald voor dit abonnement, zal CEEYU de gelden binnen 14 Kalenderdagen terugbetalen.

Deze Overeenkomst is geldig voor bestellingen vanaf 1 januari 2023.

1. DEFINITIES

1.1 "Overeenkomst": dit contract, de bijlagen (inclusief eventuele Bestellingen) met betrekking tot dit contract. 

1.2 "CEEYU-platform": www.ceeyu.io

1.3 "Domein": Een specifiek digitaal domein (inclusief IP-adressen en andere aangetroffen bronnen indien van toepassing) van de Klant of zijn Leverancier, opgegeven door de Klant in overeenstemming met artikel 4 "Onboarding van een Domein" met als doel zijn digitale voetafdruk, leveranciersrisico en/of beveiligingsclassificatie te laten evalueren in overeenstemming met deze Overeenkomst.  

1.4 "False positives": Bevindingen die geen betrekking hebben op de Klant

1.5 "False negatives": Bevindingen die betrekking hebben op de Klant, maar niet worden gedetecteerd door de Ceeyu scanners.

1.6 "Force Majeure": de situatie waarin een van de Partijen in de uitvoering van de Overeenkomst geheel of gedeeltelijk en tijdelijk of permanent buiten de macht van de Partij of Partijen wordt belemmerd. Zonder beperking worden de volgende gebeurtenissen beschouwd als overmacht: overheidsbesluit, handelen of nalaten (bijv. vertraging of niet-afgifte, of intrekking van een vergunning, vergunning of machtiging), oorlog, embargo, vijandelijkheden, overmacht, overmacht, rellen, terroristische aanslagen, staking, algemene transportproblemen, burgerlijke onrust, sabotage, natuurrampen, ongunstige weersomstandigheden, aardbevingen, brand, overstroming, blikseminslag, orkanen, explosie, epidemieën, quarantainebeperkingen, verstoring van de bevoorrading uit normaal betrouwbare bronnen (bv. elektriciteit, water, brandstof en dergelijke), stroomstoringen, storingen van internet, computernetwerk of telecommunicatiefaciliteiten,het niet beschikbaar zijn van servers van derdebedrijven, storingen in apparatuur, goederen, software, hardware of andere materialen van derde partijen, artikelen waarvan de Klant het gebruik aan CEEYU voorschrijft, bugs in apparatuur, goederen, software, hardware of andere materialen van derde partijen, hacking, (gedistribueerde) denial of service-aanvallen, virussen, vertraging of falen van een onderaannemer of derde leverancier als gevolg van overmacht zoals hierin gedefinieerd.

1.7 "Bestelling": een bestelling die door de Klant is geplaatst met als doel het ontvangen van de diensten beschreven in deze Overeenkomst. Een bestelling kan worden geplaatst door ondertekening van een bestelformulier door beide partijen, door aanvaarding door de klant van een geldige offerte van CEEYU, per e-mail aan CEEYU met verwijzing naar een geldige offerte of abonnementsniveau geadverteerd op www.ceeyu.io/pricing, of online op www.ceeyu.io. Bestellingen kunnen rechtstreeks bij CEEYU worden geplaatst, of via een geautoriseerde verkooppartner van CEEYU.

1.8 "Leverancier" of “Third Party”: een derde partij bij deze Overeenkomst, die door de Klant is aangeleverd onder deze Overeenkomst. 

2. ACHTERGROND

2.1 CEEYU is een bedrijf dat actief is op het gebied van ICT-beveiliging, meer bepaald op het gebied van digitale voetafdrukken en de analyse van de gevolgen daarvan voor de veiligheid voor bedrijven. CEEYU biedt zijn Klanten een duidelijk en beknopt overzicht van de digitale voetafdruk van zichzelf of hun Leveranciers, de beveiligingsrisicos in de vorm van een beveiligingsbeoordeling en stelt klanten in staat om leveranciersrisico's te evalueren op basis van een beveiligingsbeoordeling. 

2.2 De digitale voetafdruk van uw bedrijf is de set gegevens die op internet gevonden kunnen worden en die de aanwezigheid van uw bedrijf op dat medium definieert. Het is samengesteld uit domeinen, subdomeinen, applicaties, e-mail-, web- en applicatiesystemen, maar ook namen en e-mailadressen, fysieke adressen en alle andere informatie of persoonlijk identificeerbare informatie die is gekoppeld aan uw bedrijf, merk of werknemers. Uw voetafdruk kan persoonlijke gegevens (PII) en technische zwaktes bevatten waardoor kwaadwillende derden deze kunnen exploiteren of gebruiken in meer geavanceerde cyber aanvallen.

2.3 De beveiligingsclassificatie is een kwantificering variërend van A tot F, of in percentages, of een schaal gedefinieerd door Ceeyu, afgeleid van een berekening die is uitgevoerd op uw digitale voetafdruk. Het is een objectieve indicatie van de kwaliteit van de externe IT en netwerk beveiliging van uw bedrijf. 

2.4 Third Party Risk Management stelt u in staat om, door middel van de objectieve beveiligingsbeoordelingen en een zelfbeoordelingsvragenlijst, uw meest risicovolle Leveranciers te leren kennen en met hen samen te werken om hun beveiliging te verbeteren en zo het risico dat ze vormen voor uw bedrijf te verminderen.

3. ONZE DIENSTEN

3.1 Onder deze Overeenkomst zal CEEYU digitale voetafdrukscans uitvoeren en analyseren om de Klant een beveiligingsclassificatie te geven voor zijn domeinen en om bij te dragen aan het Third Party Risk Management ('Services') van de Klant. 

3.2 Beoordeling van de digital footprint impliceert dat CEEYU de Domein(en) zal laten scannen door middel van een automatische tool.  CEEYU zal er naar beste vermogen naar streven om niet in te grijpen in de goede werking van het Domein of de Domein(en) en de hiermee verbonden toepassingen of systemen.  Gegevens worden passief of actief en niet-intrusief verzameld (tenzij anders gevraagd van de Klant, bijvoorbeeld voor kwetsbaarheidsscans) via openbaar beschikbare informatie.  CEEYU betreedt geen bedrijfsnetwerken om gegevens te verzamelen en beveiligingsbeoordelingen te berekenen. 

3.3 CEEYU zal, naar eigen vermogen, de kwaliteit van de gegevens verifiëren om het aantal False Positives en False Negatives te minimaliseren. Voor dit doel kan Ceeyu gegevens toevoegen of verwijderen die relevant zijn voor de Klant of aanvullende informatie aan de Klant vragen. De Klant heeft de mogelijkheid om de kwaliteit van zijn gegevens verder te valideren via het Platform en kan False Positives toewijzen en verzoeken False Negatives te corrigeren. Indien van toepassing, eenmaal (1) per maand, zal CEEYU de nieuw toegewezen False Positives en False Negatives verwerken en zal CEEYU de beveiligingsclassificatie opnieuw berekenen, indien relevant.

3.4 De Leverancier(s) van de Klant, toegevoegd door de klant zelf, of door CEEYU in opdracht van de klant, zullen worden gevraagd om een zelfbeoordelingsformulier in te vullen met betrekking tot hun beveiliging.  Op basis van de digitale voetafdruk en de resultaten van de zelfbeoordeling (indien van toepassing), zal CEEYU de Klant een beveiligingsbeoordeling van zijn Leveranciers. De beveiligingsclassificatie wordt geïdentificeerd op basis van verschillende risicoparameters, zichtbaar voor de Klant via het Platform. Aangezien de digitale voetafdruk en beveiligingsbeoordeling voortdurend in ontwikkeling zijn, kunnen de in aanmerking genomen veiligheidsparameters van tijd tot tijd variëren.  

3.5 Als onderdeelvan de Services zal CEEYU de Klant toegang verlenen tot het CEEYU Platform, in overeenstemming met artikel 4.6 "Gebruik van het CEEYU Platform".  Het CEEYU-platform stelt de klant in staat om:

(a) Een overzicht van de digitale voetafdruk te verkrijgen;

(b) CEEYU's evaluatie van de beveiliging die digitale voetafdruk (de beveiligingsclassificatie) te zien; en

(c) Een overzicht van de leveranciersrisico’s te bekomen. 

4. ONBOARDING VAN EEN DOMEIN

4.1 De Klant kan naar eigen goeddunken domeinnamen toevoegen om deze te laten scannen en evalueren door het CEEYU-platform.

4.2 De Klant heeft ook de mogelijkheid om Leveranciers toe te voegen en hun beveiligingsbeoordeling te zien. In dit geval zal Ceeyu het primaire domein van de betreffende leverancier analyseren, met uitzondering van eventuele extra domeinendie de betreffende leverancier zou kunnen gebruiken (tenzij uitdrukkelijk anders overeengekomen in de schriftelijkeprocedure). 

4.3 Wanneer de Klant een Leverancier toevoegt, of door CEEYU laat toevoegen, geeft de Klant CEEYU automatisch de toestemming om de betreffende Leverancier te informeren dat deze door de Klant op het CEEYU-platform is ingediend. 

4.4 Leveranciers hebben de mogelijkheid om hun eigen beveiligingsclassificatie (A-F) te zien, maar zien geen aanvullende informatie, zoals hun digitale voetafdruk of de berekeningsbasis voor beveiligingsclassificatie (tenzij ze ook klant zijn van CEEYU). 

4.5 CEEYU toont de door scanners gevonden gegevens zoals ze zijn en zoals ze zijn gevonden en is niet verantwoordelijk voor de juistheid, herstel of correctie van de deze gegevens, noch voor het verbeteren van de beveiliging van de leverancier of de klant. 

4.6 Leveranciers die door de Klant zijn toegevoegd, worden verzocht een zelfbeoordelingsformulier over hun beveiliging in te vullen. Wanneer dit is voltooid, zullen de resultaten van de zelfbeoordeling van de Leverancier in aanmerking worden genomen in de algemene beveiligingsevaluatie. Klant begrijpt dat de uitvoering van de zelfbeoordeling afhankelijk is van vrijwillige medewerking van de betreffende Leverancier en CEEYU kan de Leverancier niet verplichten om deel te nemen.  Dit zal de Klant echter niet ontslaan van de betaling van de toepasselijke betalingen aan Ceeyu voor het toevoegen van de Leverancier.  De beoordeling zal in dit geval gebaseerd zijn op alle andere elementen die beschikbaar zijn op het platform inzake de beveiliging van deze Leverancier.

4.7  De Klant mag enkel actieve scans ("Active Assessments") uitvoeren op domeinen, subdomeinen en IP addressen waarvoor de achterliggende IT en netwerksystemen in zijn beheer zijn.   De Klant is volledige aansprakelijk voor de aangerichte schade aan derde partijen ten gevolge van het niet respecteren van deze verplichting.

5. GEBRUIK VAN HET CEEYU-PLATFORM

5.1 CEEYU maakte een online applicatie (het CEEYU-platform) waar de klant zijn digitale voetafdruk, zijn beveiligingsbeoordelingen en de gegevens waarop deze gebaseerd is, kan raadplegen en waar de Klant risicobeoordelingen van Leveranciers kan initiëren en bekijken.

5.2 CEEYU en haar licentiegevers blijven te allen tijde eigenaar van alle intellectuele eigendomsrechten op het CEEYU Platform.  Vanaf de betaling van de toepasselijke abonnementskosten biedt CEEYU de Klant een tijdelijke, herroepbare, beperkte, persoonlijke, niet-exclusieve, wereldwijde licentie om toegang te krijgen tot het CEEYU-platform, tijdens de abonnementscyclus en voor het doel van deze Overeenkomst en in overeenstemming met de bepalingen ervan.  Abonnementsperioden lopen in cycli van één (1) jaar. 

5.3 De toegang van de Klant tot het CEEYU-platform wordt gegeven na volledige betaling van de toepasselijke facturen en kunnen te allen tijde worden opgeschort in geval van niet-betaling van een factuur op de vervaldatum.

5.4 Voor zover toegestaan onder de toepasselijke wetgeving, wordt het CEEYU-platform geleverd op een as-is en as-available basis, zonder garanties van welke aard dan ook, expliciet of impliciet.

5.5 CEEYU behoudt zich het recht voor om het Platform en zijn functionaliteiten (bijv. implementatie van nieuwe functies, mogelijkheden voor rapporten, enz.) van tijd tot tijd naar eigen goeddunken te wijzigen, zonder voorafgaande kennisgeving, op voorwaarde dat de cruciale functionaliteiten van het platform worden gehandhaafd.

Wanneer een cruciale functionaliteit niet langer wordt geleverd, wordt de Klant uiterlijk drie (3) maanden van tevoren op de hoogte gebracht, per e-mail of aangetekende brief. Wanneer de Klant redelijkerwijs van mening is dat de Services die hem hieronder worden verstrekt op een negatieve manier zullen worden beïnvloed, door het verwijderen van dergelijke cruciale functionaliteit, kan de Klant deze Overeenkomst beëindigen, inclusief eventuele lopende Bestellingen, met één (1) maand voorafgaande kennisgeving via aangetekende brief aan CEEYU. In dit geval wordt de Vergoeding voor de resterende termijn gecrediteerd en pro rata terugbetaald. 
Een lijst van cruciale functies is opgenomen in bijlage 2 bij deze overeenkomst. 

6. RECHTEN EN VERPLICHTINGEN VAN DE PARTIJEN 

6.1 CEEYU zal haar Services met zorg en toewijding uitvoeren en in overeenstemming met alle toepasselijke voorschriften.  Tenzij anders vermeld in de Overeenkomst, zijn de verplichtingen van CEEYU middelenverbintenissen. CEEYU zal eerlijke interpretaties maken van de ontdekte gegevens en de beveiligingsclassificatie nauwkeurig berekenen.  

6.2 Bij het leveren van haar Diensten zal CEEYU te allen tijde haar uiterste best doen om eventuele schade te beperken (schadebeperkingsplicht).  De Klant begrijpt dat actieve analyse (ook bekend als Active Scanning of Active Assessments) en penetratietesten (Penetration Testing) indringend kunnen zijn en stemt ermee in voorzorgsmaatregelen te nemen om schade als gevolg van dergelijke analyse en testen te voorkomen en zal Ceeyu niet verantwoordelijk houden voor schade als gevolg van actieve analyse en penetratietesten.

6.3 Gezien het feit dat ICT een voortdurend veranderende materie is, garandeert CEEYU niet dat de Diensten 100% sluitend zijn en alle beveiligingskwetsbaarheden onthullen die publiekelijk bekend zijn op het moment van de beoordeling.  Omdat de digitale voetafdruk wordt gecreëerd door een geautomatiseerde scantool, is het met de huidige staat van de technologie onmogelijk om ervoor te zorgen dat alle gegevens nauwkeurig zijn. False Positives en False Negatives kunnen voorkomen.  De Services worden geleverd "as is" aan de Klant, zonder uitdrukkelijke of impliciete garantie of voorwaarde van welke aard dan ook. CEEYU wijst alle garanties van verkoopbaarheid, geschiktheid voor een bepaald doel of niet-inbreukmakendheid af. 

6.4 De Klant draagt te allen tijde de verantwoordelijkheid voor zijn bestaande infrastructuur (met inbegrip van, maar niet beperkt tot: hardware, software, websites, databases, monitoring- en beveiligingsprocedures, adequaat systeembeheer, enz.) en de juiste functionaliteit en veiligheid ervan.

6.5 De Klant is als enige verantwoordelijk voor het opzetten van procedures die het mogelijk maken om verloren of gewijzigde bestanden, gegevens of programma's op elk moment te reconstrueren, ongeacht de oorzaak van verlies of wijziging. De Klant dient dagelijks back-upkopieën te maken van zijn computerprogramma's, bestanden en gegevens. 

6.6 De Klant is als enige verantwoordelijk voor zijn gebruik van de Diensten en mag geen misbruik maken van de Diensten.

7. BEREKENING VAN DE BEVEILIGINGSCLASSIFICATIE

7.1 Op elk moment en naar eigen goeddunken kan CEEYU het algoritme wijzigen voor de berekening van de beveiligingsbeoordelingen en interpretatie van zelfbeoordelingsformulieren. Deze wijziging kan gebaseerd zijn op: 

(a) Gegevens verzameld door CEEYU tijdens de looptijd van de wijziging;

(b) Ontwikkelingen op het gebied van ICT-beveiliging, zoals de ontwikkeling van nieuwe technologieën, ontwikkeling van systemen, kennis, etc., die van invloed kunnen zijn op beveiligingsscores of die het mogelijk maken om rekening te houden met aanvullende (soorten) gegevens;

(c) Eigen kennis en expertise. 

7.2 Het feit dat er wijzigingen zullen worden aangebracht aan Cruciale Functies, zal ten minste drie (3) maanden van tevoren aan de Klant worden aangekondigd. Gedurende deze termijn heeft de Klant de mogelijkheid om eventuele vragen of problemen die zich in verband hiermee kunnen voordoen, aan CEEYU te melden. 

8. PRIJZEN

8.1 De Klant neemt de verplichting op zich om de vergoedingen te betalen zoals uiteengezet in de offerte van/Bestelling bij CEEYU in overeenstemming met de Overeenkomst.  Bij gebrek aan een offerte specifiek voor de Klant, zijn het abonnementsniveau waarnaar wordt verwezen in de Bestelling en de prijzen vermeld op www.ceeyu.io/pricing van toepassing.

8.2 Een verlenging van de abonnementsperiode gebeurt stilzwijgend, de hieronder beschreven opzegtermijn in acht nemend.

8.3 Het prijsmodel van CEEYU is gebaseerd op:

- Een jaarlijkse abonnementsprijs (vast en vast) voor de toegang van de Klant tot het CEEYU-platform, afhankelijk van aantal Leveranciers, Domeinen en gebruikersaccounts, en het aantal optionele diesnten.

- Eénmalige betalingen voor Professional Services, indien van toepassing.

8.4 De kosten zijn in EURO's en zijn exclusief BTW en andere huidige of toekomstige toepasselijke belastingen. 

8.5 CEEYU kan, zonder voorafgaande berichtgeving, de vergoedingen jaarlijks in januari aanpassen, op basis van de volgende formule: Nieuwe prijs = Initiële prijs * (0,2 + 0,8 * (Nieuwe index/Initiële index)), waarvoor de volgende definities gelden:

- Initiële prijs: prijs bij aanvang van de Overeenkomst;

- Initiële index: de door Agoria gepubliceerde index "referentie nationale gemiddelde loonkost" van de maand voorafgaand aan de ondertekening van de Overeenkomst;

- Nieuwe Index: de door Agoria gepubliceerde index "referentie nationale gemiddelde loonkost" van de maand voorafgaand aan de indexering. 

8.6 In het geval (a) fundamentele wijziging(en) in omstandigheden zich voordoen, die van invloed zijn op de overeengekomen prijs en die zowel onvoorzienbaar was/waren op het moment dat de prijs werd vastgesteld als het contractuele evenwicht beïnvloeden, zullen de partijen op verzoek van een van de partijen bijeenkomen om te streven naar een billijke wijziging van de overeenkomst. Indien partijen niet in staat zijn om binnen dertig (30) kalenderdagen na het verzoek tot wijziging van de overeenkomst tot overeenstemming te komen, heeft elke partij het recht om de overeenkomst te beëindigen door een aangetekende brief te sturen met een kennisgeving van dertig (30) kalenderdagen, en dit zonder aanleiding te geven tot enige verschuldigde schadevergoeding.

9. FACTURATIE EN BETALING

9.1 Tenzij anders overeengekomen, zijn facturen vooraf betaalbaar en binnen dertig (30) kalenderdagen na factuurdatum.

9.2 Het ontbreken van een schriftelijk protest van een factuur binnen acht (8) werkdagen vanaf de datum van verzending van de factuur, impliceert onherroepelijke aanvaarding van de factuur door de Klant en de daarin vermelde diensten.

9.3 Vanaf het verstrijken van de betalingstermijn is van rechtswege en zonder voorafgaande ingebrekestelling een conventionele verwijlintrest verschuldigd gelijk aan de jaarlijkse intrestvoet zoals bepaald in artikel 5 van de Belgische wet van 2 augustus 2002 tot bestrijding van de betalingsachterstand bij handelstransacties (Wet Betalingsachterstand 02/08/2002, B.S 07/08/2002). Deze rente wordt berekend vanaf de uiterste datum voor betaling van de factuur tot de datum van volledige betaling.

9.4 In geval van laattijdige betaling van een factuur: 

- is CEEYU gerechtigd het factuurbedrag met een schadevergoeding 15% te verhogen;

- alle kosten, de buitengerechtelijke inning van de factuur en de kosten van gerechtelijke procedures en tenuitvoerlegging zijn voor rekening van de Klant;

- alle vorderingen op de Klant die nog niet opeisbaar zijn, zijn onmiddellijk opeisbaar; en

- CEEYU heeft het recht om de uitvoering van alle Diensten op te schorten zonder voorafgaande kennisgeving.

- De Klant heeft geen recht op verrekening of opschorting van een betaling.

- Indien, naar de mening van CEEYU, de kredietwaardigheid van de Klant dit vereist, kan CEEYU, zelfs na de ondertekening van de Overeenkomst, van de Klant eisen dat hij zekerheid of onderpand verstrekt voor de betaling van de nog te leveren Diensten, en CEEYU kan de uitvoering opschorten zolang dergelijke zekerheden of zekerheden niet zijn verstrekt.

10. VERTROUWELIJKHEID

10.1 Vertrouwelijke informatie wordt gedefinieerd als alle informatie van welke vorm dan ook (mondeling, schriftelijk, grafisch, elektronisch, enz.) uitgewisseld tussen de Partijen in het kader van deze Overeenkomst, die door de Partijen als vertrouwelijk is gemarkeerd of redelijkerwijs, door zijn aard, als vertrouwelijk moet worden beschouwd.

10.2 Elke Partij dient alle vertrouwelijke informatie die bij de uitvoering van deze Overeenkomst van de andere Partij is ontvangen vertrouwelijk te houden, behalve voor zover noodzakelijk voor de levering van de diensten aan de Klant. Bovendien mogen de partijen de vertrouwelijke informatie alleen gebruiken voor de doeleinden van deze overeenkomst. Partijen mogen de vertrouwelijke informatie niet aan derden bekendmaken zonder schriftelijke toestemming van de andere Partij, tenzij dit wettelijk of door een gerechtelijk bevel wordt vereist, mits de ontvangende Partij de bekendmakende Partij, voor zover dit is toegestaan, zo spoedig als redelijkerwijs mogelijk is, hiervan in kennis stelt. De openbaarmaking wordt zoveel mogelijk beperkt.

10.3 De geheimhoudingsplicht blijft bestaan gedurende een periode van drie (3) jaar vanaf de beëindiging van deze Overeenkomst, ongeacht de oorzaak van de beëindiging van de Overeenkomst.

10.4 Als vertrouwelijke informatie worden niet beschouwd:

(a) informatie die op wettige wijze is verkregen van een derde partij die niet gebonden is aan enige geheimhoudingsplicht of geheimhouding;

(b) informatie die een partij reeds kende vóór de bekendmaking ervan in het kader van deze overeenkomst;

(c) informatie die onafhankelijk door een partij is ontwikkeld, zonder deze overeenkomst te schenden ;

(d) informatie die openbaar beschikbaar is zonder tussenkomst of schuld van de partij die deze heeft ontvangen;

11. GEGEVENSBESCHERMING

11.1 Elke partij zal zich te allen tijde houden aan haar respectieve verplichtingen uit hoofde van de toepasselijke wetgeving inzake gegevensbescherming, zoals maar niet beperkt tot Verordening 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens ("AVG").  
11.2 Indien een partij persoonsgegevens verwerkt namens de andere partij, sluiten de partijen een overeenkomst inzake gegevensbescherming, die als bijlage bij deze overeenkomst wordt gevoegd en een volledig en inherent onderdeel van deze overeenkomst vormt. 

12. GEBRUIK VAN GEANONIMISEERDE GEGEVENS

12.1 Partijen komen overeen dat CEEYU geanonimiseerde informatie en gegevens van klanten en leveranciers kan verzamelen en verwerken, bijvoorbeeld met het oog op het continu verbeteren van haar algoritme en diensten, het maken van whitepapers, enz..  De naam van de klant wordt niet vermeld en de vertrouwelijkheid van zijn gegevens wordt gewaarborgd.

13. INTELLECTUELE EIGENDOMSRECHTEN

13.1 Geen enkel eigendom van intellectuele eigendomsrechten zal worden overgedragen aan de andere Partij onder deze Overeenkomst.  CEEYU of haar licentiegevers blijven te allen tijde eigenaar van alle intellectuele eigendomsrechten op de materialen die worden gebruikt om de diensten te leveren.

13.2 CEEYU behoudt zich alle rechten voor op haar rapporten, gegevens, whitepapers en analyses. Alle rapporten of documenten die door Ceeyu aan de Klant worden verstrekt, ongeacht of deze op papier beschikbaar worden gesteld, via download, zichtbaar zijn voor de Klant via het CEEYU-platform of anderszins, zijn uitsluitend bedoeld voor intern gebruik door de Klant en mogen niet worden bekendgemaakt aan derden zonder voorafgaande schriftelijke toestemming van CEEYU, behalve voor de toepasselijke Leverancier waarop een rapport of beveiligingsclassificatie betrekking heeft. 

14. VERANTWOORDELIJKHEID TEGENOVER LEVERANCIERS

14.1 De Klant is verantwoordelijk om ervoor te zorgen dat de Leverancier(s) akkoord gaat met de beveiligingsbeoordelingen zoals verstrekt door CEEYU onder deze Overeenkomst. 

14.2 CEEYU is niet verantwoordelijk voor eventuele discussies tussen de Klant en de betrokken Leverancier(s) met betrekking tot het resultaat van de verstrekte beveiligingsbeoordelingen. Op redelijk verzoek van de Klant kan CEEYU ermee instemmen om de betrokken Leverancier de basis voor de uitgevoerde beveiligingsclassificatie(s) uit te leggen. 

14.3 Wanneer de Klant zou besluiten om een contract met de Leverancier te beëindigen of of te besluiten geen andere samenwerking aan te gaan met Leverancier als gevolg van de verstrekte beveiligingsclassificatie en andere resultaten die van CEEYU zijn ontvangen, kan CEEYU niet aansprakelijk worden gesteld voor de gevolgen daarvan.  De Klant zal CEEYU from alle klachten, claims, juridische indiening en/of (andere) schade die CEEYU in dit verband zou lijden, verdedigen en vrijwaren. 

15. DUUR EN BEËINDIGING

15.1 Deze overeenkomst gaat in wanneer deze naar behoren door beide partijen is ondertekend en blijft van kracht voor onbepaalde tijd. 

15.2 Krachtens en als onderdeel van deze Overeenkomst sluiten partijen een of meer bestellingen, die voor bepaalde  tijd en/of voor een bepaalde opdracht  zullen worden gesloten. De Bestelling wordt automatisch beëindigd bij beëindiging van de overeengekomen termijn of voltooiing van de overeengekomen opdracht, zoals van toepassing zou zijn.

15.3 Elke partij kan de overeenkomst beëindigen met een voorafgaande schriftelijke kennisgeving van één (1) maand aan de andere partij. Deze beëindiging heeft geen invloed op een lopende Bestelling.

15.4 Bij gebrek aan voorafgaande beëindiging wordt deze Overeenkomst automatisch verlengd, tenzij Partijen uitdrukkelijk schriftelijk anders overeenkomen. 

15.5 Onverminderd haar andere rechten en rechtsmiddelen uit hoofde van deze Overeenkomst en onder toepasselijk recht, kan elke Partij, naar eigen goeddunken, de uitvoering van de Overeenkomst opschorten of de Overeenkomst van rechtswege en met onmiddellijke ingang beëindigen, zonder voorafgaande kennisgeving en zonder rechterlijke tussenkomst, door het louter sturen van een aangetekende brief aan de andere Partij:

(a) in het geval dat de andere partij om uitstel van betaling heeft verzocht, failliet wordt verklaard, faillissement aanvraagt of een onvrijwillig faillissementsverzoek tegen haar heeft ingediend, toegeeft dat zij niet in staat is haar schulden te betalen naarmate deze vervallen, een curator heeft aangesteld over haar activa, een aanzienlijk deel van haar activa in beslag heeft genomen, een instabiel krediet heeft of duidelijk insolvent is;

(b) in geval van ontbinding en/of vereffening van de vennootschap van de wederpartij ;

(c) indien een deel of het geheel van de activa van de andere partij uitvoerende en/of voorzorgsmaatregelen in beslag wordt genomen of in het geval van andere uitvoerende of beschermende maatregelen tegen de activa van de andere partij;

(d) in geval van bewijs of ernstig vermoeden van fraude gepleegd door de andere partij;

(e) indien de andere Partij een aangetoonde materiële fout of contractuele tekortkoming begaat en nalaat deze fout of tekortkoming te verhelpen binnen een termijn van dertig (30) kalenderdagen na kennisgeving per aangetekende ingebrekestelling door de Partij die zich op de fout of tekortkoming beroept. Verlenging van de hiervoor genoemde hersteltermijn wordt niet op onredelijke gronden geweigerd, indien de in gebreke blijvende Partij gedurende deze termijn van dertig dagen is begonnen met het herstellen van het verzuim en redelijke inspanningen levert om dit te blijven doen.

15.6 Bij beëindiging of afloop van de Overeenkomst worden alle door de Klant verschuldigde bedragen automatisch opeisbaar op de ingangsdatum van de beëindiging, zelfs als eerder langere termijnen waren verstrekt.

16. AANSPRAKELIJKHEID

16.1 De aansprakelijkheid die CEEYU kan oplopen, vloeit voort uit een inspanningsverplichting en de Klant zal een deugdelijk bewijs van deze aansprakelijkheid moeten leveren.

16.2 Voor zover maximaal toegestaan door de toepasselijke wetgeving, is de totale aansprakelijkheid van CEEYU per contractjaar beperkt tot de laagste van de volgende bedragen: (1) 5000 EUR of (2) het bedrag dat de Klant verschuldigd is voor de specifieke verstrekking van Services die aanleiding heeft gegeven tot de schadevergoeding (exclusief BTW). Indien de uitvoering van de Diensten over meerdere jaren zou lopen, kan de schadevergoeding voor CEEYU maximaal de waarde van de bedragen zijn die in het kader van deze Overeenkomst in rekening worden gebracht voor de uitvoering van de specifieke diensten die aanleiding hebben gegeven tot de schadevergoeding, (exclusief BTW) over een periode van twaalf (12) maanden voorafgaand aan de dag waarop de schade daadwerkelijk is ontstaan. 

16.3 De Klant dient CEEYU schriftelijk op de hoogte te stellen van elke gebeurtenis die kan leiden tot de aansprakelijkheid van CEEYU en van elk nadeel en/of verlies dat de Klant lijdt, binnen de kortst mogelijke tijd en uiterlijk binnen vijftien (15) kalenderdagen na het optreden van deze gebeurtenis of nadeel, of, ten minste, vanaf het moment dat de Klant op de hoogte was of had moeten zijn van deze gebeurtenis, dit nadeel of verlies. Dit om CEEYU in staat te stellen binnen een redelijke termijn de oorsprong en oorzaak(en) van de schade(s) vast te stellen.  Voor zover toegestaan door de wet, in het geval van niet-naleving van de schriftelijke kennisgeving, behoudt CEEYU zich het recht voor om elke compensatie te weigeren en elke aansprakelijkheid af te wijzen.

16.4 In geen geval zal CEEYU aansprakelijk zijn voor (i) indirecte, incidentele of gevolgschade, inclusief maar niet beperkt tot financiële of commerciële verliezen, winstderving, verhoging van algemene kosten, gemiste besparingen, verminderde goodwill, schade als gevolg van bedrijfsonderbreking of onderbreking van de werking, schade als gevolg van claims van klanten van de Klant, verstoringen in de planning, verlies van verwachte  winst, verlies van kapitaal, verlies van klanten, gemiste kansen, verlies van gegevens, verlies van voordelen of corruptie en/of verlies van bestanden als gevolg van de uitvoering van deze Overeenkomst, (ii) schade als gevolg van een fout of nalatigheid van de Klant, (iii) vergoeding van directe en indirecte schade veroorzaakt door het gebruik van het resultaat van de Diensten, (iv) vergoeding voor enige directe en indirecte schade die geheel of gedeeltelijk is veroorzaakt door software of hardware geleverd of gemaakt door derden, of enig ander element dat na de ondertekening van de Overeenkomst in het bedrijf van de Klant is geïntroduceerd, en (v) alle claims van derden die tegen de Klant worden ingediend.

16.5 De beperkingen van de aansprakelijkheid zoals hierin uiteengezet, zijn niet van toepassing met betrekking tot schade veroorzaakt door fraude, opzet, overlijden of persoonlijk letsel.

16.6 Als de Klant een geschil heeft met een of meer Leveranciers met betrekking tot CEEYU’s Diensten, inclusief de beveiligingsclassificatie van de Leverancier, zal de Klant CEEYU verdedigen en vrijwaren  tegen alle  claims, eisen en schade van derden (werkelijke en gevolgschade) van elke soort en aard, bekend en onbekend, voortvloeiend uit of op enigerlei wijze verband houdend met dergelijke geschillen.

17. OVERMACHT

17.1 Geen van beide Partijen is verplicht enige verplichting na te komen indien overmacht dit verhindert.

17.2 Indien een situatie van Overmacht langer duurt dan zestig (60) kalenderdagen, is elke Partij gerechtigd de Overeenkomst schriftelijk te beëindigen. In dat geval zullen alle reeds krachtens de Overeenkomst verrichte prestaties worden verrekend naar rato van de staat van voltooiing, zonder dat Partijen elkaar iets verschuldigd zijn buiten deze evenredige vergoeding.

18. NIET-WERVING 

18.1 De Klant zal geen persoon werven of inhuren, direct of indirect, die door CEEYU is toegewezen aan de uitvoering van de Diensten gedurende de looptijd van de Overeenkomst en gedurende twaalf (12) maanden na de beëindiging van de Overeenkomst om welke reden dan ook, zonder voorafgaande schriftelijke toestemming van CEEYU. 

19. ALLERLEI

19.1 Deze Overeenkomst is niet-exclusief en niets in deze Overeenkomst wordt geacht het recht van een van beide Partijen te beperken om soortgelijke overeenkomsten aan te gaan met een derde partij (zonder beperking met betrekking tot het aantal, de locatie en het onderwerp van een dergelijke overeenkomst) of om producten en/of diensten aan een derde partij te behandelen of te leveren. Niets in deze Overeenkomst wordt beschouwd als een partnerschap, joint venture, associatie of fiduciaire relatie tussen de Partijen, noch wordt iets in deze Overeenkomst geacht een agentuurrelatie tussen de Partijen tot stand te brengen. Elke partij is volledig vrij en onafhankelijk bij de uitvoering van deze overeenkomst. 

19.2 CEEYU kan de Klant opnemen in haar klantenlijst, een korte beschrijving van de opdracht publiceren en de naam en het merk van de Klant gebruiken voor publiciteitsdoeleinden en PR-activiteiten.

19.3 Deze Overeenkomst wordt beheerst door het Belgisch recht, met uitsluiting van het Weens Koopverdrag van 11 april 1980 (CISG).

19.4 In geval van geschillen met betrekking tot de uitvoering en/of interpretatie van deze Overeenkomst die niet in der minne kunnen worden opgelost, zijn enkel de rechtbanken van Antwerpen (afdeling Antwerpen) bevoegd. 

19.5 Elke claim van de Klant met betrekking tot de geleverde Diensten vervalt zes (6) maanden na de datum waarop de Klant zich bewust wordt of redelijkerwijs had kunnen worden van de gebeurtenis die schade veroorzaakt en aanleiding geeft tot de claim. 

19.6 Noch deze Overeenkomst, noch de rechten of verplichtingen die daaruit voortvloeien, mogen geheel of gedeeltelijk worden overgedragen zonder de uitdrukkelijke schriftelijke toestemming van beide Partijen. 

19.7 De nietigheid van enige bepaling of een deel van een bepaling onder deze Overeenkomst heeft geen enkele invloed op de geldigheid van de rest van de ongeldige clausule, noch van de andere clausules van de Overeenkomst. Partijen zullen alles in het werk stellen om de ongeldige clausule te vervangen door een geldige clausule met dezelfde, of grotendeels dezelfde, economische impact als de ongeldige clausule, in wederzijdse overeenstemming. 

19.8 Geen van beide partijen bij deze overeenkomst wordt geacht afstand te hebben gedaan van enig recht of claim uit hoofde van deze overeenkomst of met betrekking tot een schending van de andere partij, tenzij deze verklaring van afstand uitdrukkelijk schriftelijk is meegedeeld. Zelfs als een Partij, in de toepassing van dit lid, afstand doet van een specifiek recht of claim onder deze Overeenkomst, kan een dergelijke verklaring van afstand nooit worden geïnterpreteerd als een verklaring van afstand van enig ander recht of claim onder deze Overeenkomst, zelfs als beide gevallen grote overeenkomsten vertonen.

19.9 Behoudens andersluidende bepaling, zijn alle rechtsmiddelen waarin de Overeenkomst voorziet cumulatief en in aanvulling op (en niet ter vervanging van) andere rechtsmiddelen waarover de Partijen beschikken.

19.10 In geval van tegenstrijdigheid tussen de verschillende documenten van de Overeenkomst, de volgende rangorde : 
a) de Verwerkersovereenkomst 
b) de bestellingen 
c) de andere bijlagen 
d) de tekst van deze overeenkomst

19.11 Deze Overeenkomst, de bijlagen (met inbegrip van de Bevelen) bevatten  samen de weergave van alle rechten en verplichtingen van de Partijen en vervangen alle eerdere overeenkomsten en voorstellen, mondeling of schriftelijk. Afwijkingen en aanvullingen op deze Overeenkomst zijn slechts geldig indien schriftelijk tussen Partijen overeengekomen. De toepasselijkheid van de inkoop- of andere voorwaarden van de Klant wordt uitdrukkelijk uitgesloten, ook al zouden deze voorwaarden anders bepalen.

19.12 Alle bepalingen van de Overeenkomst die uitdrukkelijk zijn gemarkeerd om de beëindiging (inclusief ontbinding) of het verstrijken van de Overeenkomst te overleven, alsmede alle bepalingen waarvan nakoming na beëindiging van de Overeenkomst is beoogd, blijven van kracht na de Overeenkomst en blijven volledig van kracht. Zal in ieder geval de beëindiging van de Overeenkomst overleven (niet limitatief): alle bepalingen met betrekking tot aansprakelijkheid, vertrouwelijkheid en gegevensbescherming. 

19.13 Naast de bewijsmiddelen die uitdrukkelijk zijn toegestaan onder de toepasselijke wetgeving, kunnen partijen zich op geldige wijze beroepen op de volgende bewijsmiddelen: kopieën of reproducties in welke vorm dan ook (foto’s, scans, screenshots ...), via gegevensdrager en e-mail. Dit ongeacht de waarde of aard van wat een partij wil bewijzen. Dergelijk bewijs heeft dezelfde bewijskracht als een (ander) schriftelijk bewijs in overeenstemming met de bepalingen van het (Belgisch) Burgerlijk Wetboek.

19.14 In het geval dat een ondertekend exemplaar van de Overeenkomst per e-mail is verzonden met een ".pdf" of "jpeg" gegevensbestand of via een andere exacte kopie, zal de daarin opgenomen handtekening een geldige en bindende verbintenis creëren voor de ondertekenaar (of in wiens naam en namens wie de handtekening is geplaatst) met dezelfde waarde,  impact en effect alsof het origineel is.

19.15 De titels en titels in deze Overeenkomst zijn louter indicatief en hebben op geen enkele wijze invloed op de inhoud of reikwijdte van de bepalingen of de daaruit voortvloeiende rechten en verplichtingen. 

19.16 CEEYU kan voor de uitvoering van haar verplichtingen uit hoofde van deze Overeenkomst gebruik maken van onderaannemers zonder voorafgaande toestemming van de Klant. CEEYU blijft aansprakelijk voor de uitvoering van haar verplichtingen door haar onderaannemers.

BIJLAGE 1 – VERWERKERSOVEREENKOMST

DEZE GEGEVENSVERWERKINGSOVEREENKOMST (de "GVO" of “DPA”) wordt aangegaan tussen de Klant, hierna de "Verwerkingsverantwoordelijke" en CEEYU, hierna de 'Gegevensverwerker'.

Verwerkingsverantwoordelijke en Verwerker kunnen samen de 'Partijen' of individueel de 'Partij' worden genoemd.

OM DEZE REDENEN ZIJN DE PARTIJEN HET VOLGENDE OVEREENGEKOMEN:

1. DEFINITIES

1.1 "Overeenkomst": de contractuele relatie tussen de Verwerkingsverantwoordelijke en de Gegevensverwerker via welke de Gegevensverwerker diensten verleent aan de Verwerkingsverantwoordelijke en daardoor Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke, inclusief eventuele Bestellingen met betrekking tot deze Overeenkomst. 

1.2 "Bijlage": de bijlage bij deze GVO/DPA, die er integraal deel van uitmaakt en die de verdere details met betrekking tot de Verwerking van de Persoonsgegevens beschrijft. 

1.3 "Verwerkingsverantwoordelijke", "Verwerker", "Verwerken", "Betrokkenen", "Persoonsgegevens", "Inbreuk op Persoonsgegevens", "Bijzondere categorieën van persoonsgegevens", "Toezichthoudende Autoriteit" (of een van de gelijkwaardige termen): hebben de betekenis uiteengezet onder de toepasselijke Verordening Gegevensbescherming;

1.4 "Verordening gegevensbescherming": alle toepasselijke wetgeving inzake gegevensbescherming, met inbegrip van Verordening (EU) 2016 van het Europees Parlement en de Raad vanaf 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en de intrekking van Richtlijn 95/46/EG ('Algemene verordening gegevensbescherming' of 'AVG' "), en eventuele wijzigingen in of de vervanging van de vorige wetgeving, indien van toepassing;

1.5 “GVO” of "DPA": deze Verwerkersovereenkomst waarin de algemene regels zijn vastgelegd met betrekking tot de voorwaarden waaronder Verwerker namens Verwerkingsverantwoordelijke de werkzaamheden voor de Verwerking van Persoonsgegevens zal verrichten;

1.6 "Diensten": de diensten die door Verwerker aan Verwerkingsverantwoordelijke worden geleverd, zoals bepaald in de Overeenkomst;

1.7 "Subverwerker": een externe verwerker aangesteld door De Gegevensverwerker of door een andere subverwerker van de Gegevensverwerker die Persoonsgegevens verwerkt in het kader van de rol van de Verwerker in het kader van deze DPA;

Andere termen met een hoofdletter hebben de definities die voor hen zijn opgenomen in de Overeenkomst of zoals anderszins hieronder gespecificeerd. 

2. DOEL VAN DE GEGEVENSVERWERKINGSOVEREENKOMST

2.1 De Gegevensverwerker zal bepaalde Persoonsgegevens verwerken bij de uitvoering van Diensten namens de Verwerkingsverantwoordelijke en in overeenstemming met (i) de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, (ii) andere modaliteiten zoals uiteengezet in deze DPA en in de Overeenkomst en; (iii) de verplichtingen die zijn uiteengezet in de toepasselijke Verordening Gegevensbescherming die rechtstreeks van toepassing is op Gegevensverwerkers. 

2.2 Deze DPA is een gegevensverwerkingsovereenkomst in de zin van artikel 28 algemene verordening gegevensbescherming, die bepaalde verplichtingen oplegt aan de Verwerkingsverantwoordelijke om ervoor te zorgen dat elke Gegevensverwerker die hij inschakelt voldoende garanties biedt om ervoor te zorgen dat de verwerking van de persoonlijke data die namens hem wordt uitgevoerd, veilig is.

2.3 Deze DPA maakt integraal deel uit van de overeenkomst.

2.4 Tenzij uitdrukkelijk anders vermeld in deze DPA, hebben in het geval van een conflict tussen de voorwaarden van de Overeenkomst en de voorwaarden van deze DPA, de voorwaarden van deze DPA voorrang. 

3. RECHTEN EN PLICHTEN VAN DE VERWERKINGSVERANTWOORDELIJKE

3.1 De verwerkingsverantwoordelijke is verantwoordelijk voor het naleven van al zijn verplichtingen zoals uiteengezet in de verordening gegevensbescherming, in het bijzonder voor de rechtvaardiging van elke overdracht van persoonsgegevens aan de gegevensverwerker en zijn goedgekeurde subverwerkers, inclusief, maar niet beperkt tot, het verstrekken van vereiste kennisgevingen en het verkrijgen van vereiste toestemmingen en / of autorisaties, of anderszins het veiligstellen van een geschikte rechtsgrondslag onder de verordening gegevensbescherming. 

3.2 De verwerkingsverantwoordelijke moet één aanspreekpunt aanwijzen (hierna: de "SPOC") voor aangelegenheden met betrekking tot de verwerking van persoonsgegevens op basis van deze gegevensbeschermingsautoriteit. De SPOC moet naar behoren worden geautoriseerd door de Verwerkingsverantwoordelijke om vertrouwelijke zaken met de gegevensverwerker te bespreken en om de gegevensverwerker instructies te geven met betrekking tot de activiteiten voor de verwerking van persoonsgegevens onder deze gegevensbeschermingsautoriteit. Alle beslissingen en instructies van de SPOC moeten vooraf worden goedgekeurd door de Verwerkingsverantwoordelijke en de Gegevensverwerker kan volledig vertrouwen op alle communicatie en beslissingen die door de SPOC worden genomen voor de gegevensverwerking. De SPOC wordt genoemd in de bijlage.

3.3 De verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor de beveiliging van zijn bestaande infrastructuur (inclusief, maar niet beperkt tot: hardware, software, websites, databases, monitoring- en beveiligingsprocedures, adequaat systeembeheer, enz.). Daarom moet de verwerkingsverantwoordelijke technische en organisatorische maatregelen nemen om zijn persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking en/of toegang en op regelmatige tijdstippen de adequaatheid van dergelijke beveiligingsmaatregelen evalueren, waarbij deze maatregelen waar nodig worden gewijzigd.   Deze Technische en Organisatorische maatregelen moeten zorgen voor een adequaat beschermingsniveau, rekening houdend met de stand van de techniek, de kosten van de uitvoering van de maatregelen en de risico's verbonden aan de Verwerking. 

4. RECHTEN EN PLICHTEN VAN DE GEGEVENSVERWERKER

4.1 De gegevensverwerker is verantwoordelijk voor de naleving van de bepalingen van deze DPA en de verplichtingen uiteengezet in de toepasselijke verordening gegevensbescherming die rechtstreeks van toepassing zijn op verwerkers.

4.2 De gegevensverwerker zal persoonsgegevens alleen verwerken op gedocumenteerde instructie van de Verwerkingsverantwoordelijke, in overeenstemming met de overeenkomst en deze DPA, tenzij dit vereist is door de wetgeving van de Unie of de lidstaat waaraan de gegevensverwerker is onderworpen. 

4.3 Indien de Gegevensverwerker van mening is dat de instructies van de Verwerkingsverantwoordelijke in strijd zijn met de toepasselijke Verordening Gegevensbescherming, zal de Gegevensverwerker de Verwerkingsverantwoordelijke hiervan onmiddellijk op de hoogte stellen, tenzij de wet een dergelijke openbaarmaking verbiedt om gewichtige redenen van algemeen belang.

4.4 Verwerker garandeert dat de personen in haar organisatie, die bevoegd zijn om Persoonsgegevens te verwerken, zich hebben verplicht tot geheimhouding of gebonden zijn aan een passende wettelijke geheimhoudingsplicht.

4.5 De gegevensverwerker zal te allen tijde passende technische en organisatorische maatregelen implementeren en in het bijzonder de volgende technische en organisatorische maatregelen, die vóór het begin van de verwerking door de verwerkingsverantwoordelijke zijn goedgekeurd, om persoonsgegevens te beschermen tegen onopzettelijke of onwettige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde openbaarmaking of toegang tot persoonsgegevens:

(a) De Verwerker is verantwoordelijk voor het implementeren en bewaken van de beveiliging voor zijn deel van het netwerk. De verschillende netwerkdomeinen, inclusief toegangscontrole, zijn gescheiden. 

(b) De Verwerker is niet verantwoordelijk voor de regulering van de software van derden met de toepasselijke Verordening Gegevensbescherming. 

(c) De Verwerker zal de vertrouwelijkheid van de gegevens waarborgen en een proces implementeren voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van de technische en organisatorische maatregelen om de veiligheid van de verwerking te waarborgen.

4.6 In het geval dat de verwerkingsverantwoordelijke strengere technische en organisatorische maatregelen vereist - dan die vermeld in artikel 5.5 van de GVO - als gevolg van het beleid, de richtlijnen, voorschriften of las, enz. die van toepassing zijn op de Verwerkingsverantwoordelijke, zal de Verwerkingsverantwoordelijke de gegevensverwerker hiervan op de hoogte stellen. De Gegevensverwerker zal deze strengere technische en organisatorische maatregelen implementeren, voor zover dit technisch mogelijk is. Anders vinden de partijen in onderling overleg een passende oplossing. Alle afwijkingen of aanvullingen die voortvloeien uit een specifiek verzoek van de verwerkingsverantwoordelijke worden in de bijlage opgenomen. Verwerker heeft recht op vergoeding voor deze extra vereiste of strengere technische en organisatorische maatregelen. 

4.7 Op verzoek van de Verwerkingsverantwoordelijke en rekening houdend met de aard van de Verwerking en de informatie waarover de Gegevensverwerker beschikt, zal de Gegevensverwerker alle redelijke bijstand verlenen aan de Verwerkingsverantwoordelijke om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan zijn verplichtingen met betrekking tot (i) de beveiliging van de Verwerking, (ii) de communicatie van een Inbreuk in verband met Persoonsgegevens aan de Betrokkene en de kennisgeving van een Inbreuk in verband met Persoonsgegevens aan de Toezichthoudende Autoriteit iii) de uitvoering van een gegevensbeschermingseffectbeoordeling en de voorafgaande kennisgeving aan de toezichthoudende autoriteit. Gegevensverwerker heeft recht op een vergoeding voor dergelijke bijstand op basis van zijn uurtarieven of andere tussen partijen overeengekomen tarieven.

5. RECHTEN VAN BETROKKENEN

5.1 De gegevensverwerker zal, op schriftelijk en gedetailleerd verzoek van de Verwerkingsverantwoordelijke en rekening houdend met de aard van de verwerking, de Verwerkingsverantwoordelijke redelijkerwijs helpen door passende technische en organisatorische maatregelen te nemen, voor zover mogelijk, om te voldoen aan de verplichting van de Verwerkingsverantwoordelijke om te reageren op verzoeken met betrekking tot de uitoefening van de rechten van de betrokkene. Om twijfel te voorkomen, is de Verwerkingsverantwoordelijke verantwoordelijk voor het afhandelen van en reageren op dergelijke verzoeken.  De gegevensverwerker heeft recht op een redelijke vergoeding voor de bijstand die op grond van dit artikel wordt verleend.

6. HET GEBRUIK VAN SUBVERWERKERS DOOR DE GEGEVENSVERWERKER

6.1 De verwerkingsverantwoordelijke gaat akkoord met het gebruik van de subverwerkers door de gegevensverwerker. De gegevensverwerkers houden een lijst bij van de subverwerkers die zij inschakelt en verstrekt de Verwerkingsverantwoordelijke een kopie daarvan na zijn schriftelijke verzoek. 

6.2 De gegevensverwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van alle voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van subverwerkers, waardoor de Verwerkingsverantwoordelijke de mogelijkheid krijgt om bezwaar te maken tegen dergelijke wijzigingen. Binnen vijf (5) dagen na kennisgeving van de betrokkenheid van een bepaalde Subverwerker kan de Verwerkingsverantwoordelijke bezwaar maken tegen het gebruik van de betrokken Subverwerker. In dit geval komen de Partijen gezamenlijk overeen of (i) de Subverwerker nog steeds zal worden ingezet, (ii) de Subverwerker zal worden vervangen door een andere Subverwerker die door de Gegevensverwerker is geselecteerd, of (iii) de Subverwerker niet zal worden aangesteld (of er geen Persoonsgegevens zullen worden bekendgemaakt aan een dergelijke Subverwerker), totdat redelijke stappen zijn ondernomen om de bezwaren van de Verwerkingsverantwoordelijke te behandelen en totdat de Verwerkingsverantwoordelijke redelijke uitleg heeft ontvangen over de stappen die worden ondernomen. Het is mogelijk dat de gegevensverwerker geen continue levering van diensten kan garanderen in geval van onenigheid met betrekking tot een subverwerker, en gegevensverwerker kan niet aansprakelijk worden gesteld voor dergelijke implementatievertragingen als gevolg van discussies met betrekking tot de subverwerker.

6.3 De gegevensverwerker legt zijn subverwerkers dezelfde verplichtingen inzake gegevensbescherming op als uiteengezet in deze DPA. Wanneer de Subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de gegevensverwerker volledig aansprakelijk jegens de Verwerkingsverantwoordelijke voor de uitvoering van die verplichtingen.

6.4 De Gegevensverwerker bevestigt dat de Subverwerker is gekozen met inachtneming van de geschiktheid van de technische en organisatorische maatregelen die door de Subverwerker worden gebruikt. 

7. AUDIT RECHTEN

7.1 De Gegevensverwerker zal de Verwerkingsverantwoordelijke alle informatie ter beschikking stellen die nodig is om aan te tonen dat hij voldoet aan zijn verplichtingen uit hoofde van de toepasselijke verordening gegevensbescherming.  Op verzoek van de verwerkingsverantwoordelijke kan de gegevensverwerker aantonen dat hij voldoet aan zijn verplichtingen uit hoofde van deze gegevensbeschermingsautoriteit door de verwerkingsverantwoordelijke de meest recente certificeringen en / of samenvattende auditrapporten over de technische en organisatorische maatregelen te verstrekken. De verwerkingsverantwoordelijke kan aanvullende vragen stellen en de gegevensverwerker moet redelijkerwijs samenwerken met de Verwerkingsverantwoordelijke door aanvullende informatie te verstrekken. Verwerker kan verwerkingsverantwoordelijke voor zijn medewerking in rekening brengen tegen de tarieven die in de Overeenkomst zijn vastgelegd of volgens zijn gebruikelijke uurtarieven.

7.2 Indien dergelijke certificeringen en/of samenvattende auditverslagen niet beschikbaar zijn, is de volgende procedure van toepassing: op verzoek van de verwerkingsverantwoordelijke zal de gegevensverwerker audits, inclusief inspecties, toestaan en eraan bijdragen die worden uitgevoerd door de Verwerkingsverantwoordelijke of een andere auditor die door de Verwerkingsverantwoordelijke is gemachtigd. Een dergelijke audit mag niet meer dan één keer per contractjaar plaatsvinden. De verwerkingsverantwoordelijke zal de gegevensverwerker ten minste dertig (30) dagen van tevoren schriftelijk op de hoogte stellen van zijn voornemen om een audit uit te voeren. De kennisgeving moet ten minste de naam van de accountant, een beschrijving van het doel en de reikwijdte van de controle bevatten. De audit vindt plaats tijdens de reguliere kantooruren zoals van toepassing op de locatie van de Gegevensverwerker. 

7.3 De audit kan worden uitgevoerd door een interne auditor of een externe auditor gekozen door de verwerkingsverantwoordelijke, op voorwaarde dat de externe partij niet kan worden beschouwd als een concurrent van de gegevensverwerker of op voorwaarde dat er geen belangenconflict is. Gegevensverwerker heeft het recht om de auditor vooraf goed te keuren. 

7.4 De gegevensverwerker kan de toegang van de Verwerkingsverantwoordelijke tot de gebouwen van de gegevensverwerker beperken tot een ruimte die door de gegevensverwerker wordt verstrekt en de auditor mag geen documenten van de gegevensverwerker kopiëren of verwijderen zonder de voorafgaande toestemming en toestemming van de gegevensverwerker. 

7.5 De Verwerkingsverantwoordelijke garandeert dat de audit op zodanige wijze wordt uitgevoerd dat het ongemak voor de Gegevensverwerker en zijn bedrijf tot een minimum wordt beperkt. 

7.6 De Verwerkingsverantwoordelijke zal zijn auditors voldoende vertrouwelijkheidsverplichtingen opleggen. Daarnaast heeft Gegevensverwerker het recht om van de auditors te verlangen dat zij voor aanvang van de audit een geheimhoudingsovereenkomst ondertekenen, in een door Gegevensverwerker vastgestelde vorm. In alle gevallen is het essentieel om de vertrouwelijke informatie van de Gegevensverwerker te beschermen. 

7.7 De Verwerkingsverantwoordelijke moet, of zal zijn externe auditors verzoeken, een conceptversie van het auditrapport naar de gegevensverwerker te sturen. De gegevensverwerker heeft het recht om zijn opmerkingen in te dienen binnen een termijn zoals overeengekomen tussen de partijen. De accountant dient rekening te houden met de opmerkingen van de Gegevensverwerker en deze opmerkingen op te nemen in zijn eindverslag dat aan de Gegevensverwerker wordt voorgelegd. 

7.8 Alle auditkosten zijn uitsluitend voor rekening van de verwerkingsverantwoordelijke. Voorts heeft Gegevensverwerker recht op een redelijke vergoeding voor de op grond van dit artikel verleende bijstand.

8. OVERDRACHT VAN PERSOONSGEGEVENS

8.1 Persoonsgegevens die in het kader van deze DPA worden verwerkt, mogen niet worden overgedragen naar een land buiten de Europese Economische Ruimte zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. In het geval dat de Persoonsgegevens die in het kader van deze Overeenkomst worden verwerkt, worden overgedragen van een land binnen de Europese Economische Ruimte naar een land buiten de Europese Economische Ruimte, zorgen de Partijen ervoor dat de Persoonsgegevens adequaat worden beschermd. Om dit te bereiken, zullen de partijen, tenzij anders overeengekomen, zich beroepen op de EU-modelcontractbepalingen voor de overdracht van persoonsgegevens.

9. AANSPRAKELIJKHEID

9.1 Verwerker kan alleen aansprakelijk worden gesteld voor een inbreuk op deze DPA die direct aan hem toerekenbaar is, of de bepalingen die rechtstreeks van toepassing zijn op de Gegevensverwerker op basis van de Verordening Gegevensbescherming. 

9.2 Als de Gegevensverwerker en de Verwerkingsverantwoordelijke gezamenlijk aansprakelijk worden gesteld door de betrokkene, zal de Verwerkingsverantwoordelijke de betrokkene volledig terugbetalen. Verwerkingsverantwoordelijke heeft recht op schadevergoeding van Verwerker voor zover er sprake is van een toerekenbare en bewezen tekortkoming van Verwerker met betrekking tot de Persoonsgegevens of Verordening Gegevensbescherming die specifiek gericht is op Verwerker, voor zover (i) Verwerkingsverantwoordelijke aan haar eigen verplichtingen heeft voldaan zoals uiteengezet in deze Wbp of de toepasselijke Verordening Gegevensbescherming en (ii) met betrekking tot de impactratio van de bewezen fout van de gegevensverwerker. Een dergelijke vergoeding is onderworpen aan de aansprakelijkheidslimiet zoals vermeld in artikel 9.3 van deze DPA. 

9.3 De aansprakelijkheidsbepaling in de Overeenkomst is volledig van toepassing.  Indien in de Overeenkomst geen beperking van aansprakelijkheid is overeengekomen, is de aansprakelijkheid die Data Processor kan oplopen in ieder geval beperkt tot de waarde van de Overeenkomst.

9.4  Dit artikel 9 is van toepassing voor zover toegestaan door de wet.

10. BEËINDIGING EN GEVOLGEN

10.1 Deze DPA eindigt automatisch na de laatste van de volgende gebeurtenissen: (i) beëindiging van de Overeenkomst; of (ii) op de datum van de laatste verwerkingsactiviteit. 

10.2 Na beëindiging van deze DPA zal de Gegevensverwerker zijn Verwerkingsactiviteiten staken. In geval van gedeeltelijke beëindiging van de Overeenkomst, zal de Verwerking worden gestaakt voor activiteiten die worden beïnvloed door de gedeeltelijke beëindiging op het moment van de gedeeltelijke beëindiging of op een ander tijdstip dat in overeenstemming tussen de Partijen is overeengekomen.

10.3 De gegevensverwerker zal, naar goeddunken van de Verwerkingsverantwoordelijke, alle persoonsgegevens met betrekking tot de beëindigde diensten verwijderen of retourneren (voor zover deze persoonsgegevens niet vereist zijn voor niet-beëindigde diensten in geval van gedeeltelijke beëindiging) en bestaande kopieën verwijderen voor zover technisch mogelijk. De gegevensverwerker kan kopieën bewaren als de opslag van persoonsgegevens vereist is om wettelijke of regelgevende redenen. De Gegevensverwerker heeft recht op een redelijke vergoeding voor de vernietiging en/of teruggave van de Persoonsgegevens.

11. ALLERLEI

11.1 Indien een bepaling van deze DPA geheel of gedeeltelijk ongeldig of niet-afdwingbaar blijkt te zijn, wordt deze als scheidbaar beschouwd (voor zover deze ongeldig of niet-afdwingbaar is) en blijft de geldigheid van de andere bepalingen van deze DPA en de rest van de betreffende bepalingen onaangetast. Als de ongeldige bepaling van fundamenteel belang is voor het bereiken van het doel van deze DPA, zullen de partijen te goeder trouw onderhandelen om de ongeldigheid, onwettigheid of niet-afdwingbaarheid van de bepaling te verhelpen of deze DPA anderszins te wijzigen om het doel ervan te bereiken.

11.2 Deze DPA kan alleen worden gewijzigd met een schriftelijke wijziging, ondertekend door de gemachtigde vertegenwoordigers van beide partijen.


DPA BIJLAGE 1. BESCHRIJVING VAN DE VERWERKING 

De gegevensverwerking die door de Gegevensverwerker namens de Verwerkingsverantwoordelijke wordt uitgevoerd, heeft  betrekking op het aanbieden van het Third Party Risk Management SaaS-platform.
De gegevensverwerkingsactiviteit bestaat uit het opnemen van contactgegevens van gebruikers en contactpersonen bij de Klant en bij Leveranciers en antwoorden op verzonden vragenlijsten in het SaaS-platform .
De categorieën van verwerkte Persoonsgegevens zijn: voor- en achternaam, email adres en telefoonnummer van de werknemer, contactgegevens van het bedrijf (adres, telefoonnummer, e-mailadres).
De Betrokkenen zijn:  werknemers, klanten, leveranciers  

BIJLAGE 2. SPOC
 

Controleur
De Verwerkingsverantwoordelijke deelt Ceeyu  de persoon als SPOC voor de bescherming van de Persoonsgegevens mee binnen de twee weken na aanvan g van de Overeenkomst


Processor
De Verwerker benoemt de volgende persoon tot SPOC voor de bescherming van de Persoonsgegevens:
(a) Jimmy Pommerenke, CEO
(b) [email protected], +32 473 350 184

BIJLAGE 2 -  CRUCIALE FUNCTIES

De cruciale functionaliteiten waarnaar wordt verwezen in artikel 5.5 van deze Overeenkomst, zijn de volgende:

1) De mogelijkheid om iemands digitale voetafdruk te bekijken zoals ontdekt door Ceeyu (rekening houdend met de FP / FN-clausule). Ceeyu is vrij om naar eigen goeddunken gegevens aan deze weergave toe te voegen / te verwijderen, zolang het de mogelijkheid ondersteunt om een overzicht van de digitale voetafdruk te hebben en de mogelijkheid om beoordelingen te berekenen.

2) De mogelijkheid om de beveiligingsclassificatie te bekijken. Een berekening op basis van een deel van de digitale voetafdrukgegevens. Ceeyu is vrij om de schaal en het beoordelingsalgoritme te wijzigen, maar zal altijd een vorm van beoordeling bieden.

3) De mogelijkheid om de beoordelingsscore van zijn leveranciers te bekijken. Ook hier is de beoordeling gebaseerd op een deel van de gegevens en kan het algorithme ten alle tijde wijzigen.

 

BIJLAGE 3 – VOORWAARDEN PROFESSIONAL SERVICES


Voor de Ceeyu Professional services zijn onderstaande voorwaarden van toepassing.

Voor “Third Party Onboarding Support”:

1) Verantwoordelijkheden Klant

  • De Klant maakt zelf de Leverancier aan op Ceeyu.be.  Indien deze functionaliteit (nog) niet beschikbaar zou zijn, levert de Klant Ceeyu alle gegevens die het mogelijk maken de Leverancier eenduidig te identificeren (naam, adres, BTW nummer).  
  • De Klant is verantwoordelijk voor het aanleveren van persoonlijke contactgegevens van minstens één contactpersoon bij de Leverancier.  Indien deze gegevens niet correct zouden blijken te zijn, dan is de Klant verantwoordelijk voor het aanleveren van de juiste gegevens. 
  • Indien de contactpersoon bij de Leverancier niet reageert, dan is de Klant verantwoordelijk Ceeyu de gegevens van een andere contactpersoon te bezorgen.
  • De Klant is verantwoordelijk voor het beantwoorden van vragen van de Leverancier met betrekking tot de inhoud van de vragenlijst. 
  • De Klant is verantwoordelijk voor de onboarding van nieuwe gebruikers of de opvolging van het invullen van volgende vragenlijsten, na voltooiing van de eerste vragenlijst.
     

2) Verantwoordelijkheden Ceeyu 

  • Ceeyu volgt het aanmaken van een account op het Ceeyu platform en het invullen van een eerste vragenlijst door de contactpersoon van de Leverancier op.  Hiervoor mailt en belt Ceeyu de door de Klant aangeduide contact persoon.  Ceeyu belt de contact persoon minstens 5 keer tijdens de kantooruren en laat telkens een voicemail na.
  • Indien de contact persoon een andere persoon aanwijst, dan volgt Ceeyu de onboarding van deze nieuwe contact persoon op zoals hierboven beschreven.
  • Ceeyu is verantwoordelijk voor het beantwoorden van vragen van de Leverancier met betrekking tot het functioneren van het Platform.

Voor “Periodic Risk Review”:

1) Verantwoordelijkheden Klant

  • De Klant is aanwezig tijdens de door Ceeyu geplande Risk Review meeting. 
  • Indien de Klant niet aanwezig kan zijn, dan kan hij tot 48h op voorhand vragen de meeting te verplaatsen.

2) Verantwoordelijkheden Ceeyu 

  •  Ceeyu plant een recurrente Risk Review meeting met de klant.  
  • De meeting vindt digitaal plaats, Ceeyu kiest het platform via dewelke de meeting zal verlopen.
  • Ter voorbereiding van de Risk Review meeting stelt Ceeyu een lijst op van de 5 belangrijkste risico’s op basis van de data beschikbaar op het Ceeyu platform. 
  • Ceeyu zorgt voor een video opname van de meeting en stelt deze na de meeting ter beschikking van de klant. 
  • Ceeyu bezorgt de klant na elke Risk Review meeting een beknopte samenvatting van de risico’s en besproken acties.


Voor “Ask a security expert”: 

1) Verantwoordelijkheden Klant

  • De Klant is verantwoordelijk voor het duidelijk omschrijven van de vraag/probleemstelling.
  • De Klant geeft de vraag aan Ceeyu door via email op [email protected]
  • De Klant accepteert dat Ceeyu geen antwoord kan bieden indien de vraag een provider of software specifieke implementatie betreft.

2) Verantwoordelijkheden Ceeyu 

  • Ceeyu beantwoordt de vraag binnen de 24h tijdens werkdagen.