Dit addendum bij de Digital Operational Resilience Act ("DORA") ("Addendum") is opgesteld om de naleving van VERORDENING (EU) 2022/2554 VAN HET EUROPEES PARLEMENT EN DE RAAD van 14 december 2022 betreffende digitale operationele veerkracht voor de financiële sector en tot wijziging van de Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 te documenteren.
Dit addendum treedt in werking op de datum van ondertekening door beide partijen.
In geval van inconsistentie of conflict tussen de bepalingen van deze Addendum en de bepalingen van enig ander document waarnaar in de Overeenkomst wordt verwezen, prevaleren de bepalingen van deze Addendum in zoverre het om een dergelijke inconsistentie of conflict gaat.
Overeenkomst - betekent de Orderbevestiging, de Algemene Voorwaarden, de Gegevensverwerkingsovereenkomst, het DORA-addendum en de Service Level Agreements die tussen Formalize en de Klant zijn overeengekomen.
ICT-diensten - heeft de betekenis zoals vastgelegd in artikel 3 van DORA.
Persoonsgegevens - betekent alle informatie zoals gedefinieerd in artikel 4.1 van de Algemene Verordening Gegevensbescherming (EU) 2016/679.
Verwerker - heeft de betekenis zoals vastgelegd in artikel 4.8 van de Algemene Verordening Gegevensbescherming (EU) 2016/679.
Diensten - betekent de diensten die Formalize aan de Klant levert op grond van de Overeenkomst.
Onderaanneming - betekent het gebruik door Formalize van onderaannemers om haar verplichtingen na te komen en haar Diensten te leveren onder de Overeenkomst en deze Addendum.
De Klant is een entiteit die valt onder de reikwijdte van DORA zoals gedefinieerd in Artikel 2 van DORA en/of de nationale wetgeving ter uitvoering daarvan.
Formalize verbindt zich ertoe om de Klantenservice te leveren die ICT-services vormen zoals gedefinieerd onder DORA. Het doel van dit Addendum is om ervoor te zorgen dat die vereisten en normen in de Overeenkomst zijn opgenomen.
Voor de doeleinden van deze Addendum gaan de Partijen ervan uit dat Formalize ApS de belangrijke of cruciale bedrijfsfuncties van Klant ondersteunt.
Een duidelijke en volledige beschrijving van alle functies en ICT-diensten die door Formalize worden geleverd, is te vinden in de Algemene Voorwaarden die deel uitmaken van deze Overeenkomst. Deze ICT-diensten worden beschouwd als Cloud-services: SaaS.
De Klant heeft de plicht om te identificeren welke van deze diensten de belangrijke of kritische bedrijfsfuncties van de Klant ondersteunen.
De Klant heeft het recht om de prestaties van Formalize in verband met de Overeenkomst en de overeengekomen serviceniveaus doorlopend te monitoren. In dit verband wordt de Klant het volgende verleend:
Om de uitoefening van deze rechten te vergemakkelijken, zal Formalize de Klant voorzien van certificeringen van derden, interne en externe auditrapporten. Deze zullen op elk moment beschikbaar zijn in het trust center van Formalize, zoals hieronder verder wordt uitgelegd in 4.3. Rapportage.
Bovendien heeft de Klant het recht om met een frequentie die redelijk en legitiem is vanuit het oogpunt van risicomanagement, wijzigingen aan te vragen in de reikwijdte van de certificeringen of auditrapporten van andere relevante systemen en controles en het contractuele recht om naar eigen goeddunken individuele en gebundelde audits uit te voeren met betrekking tot de contractuele afspraken en deze rechten uit te voeren in overeenstemming met de overeengekomen frequentie.
Formalize stemt ermee in de Klant onverwijld schriftelijk op de hoogte te stellen van alle ontwikkelingen die een wezenlijke impact kunnen hebben op het vermogen van Formalize om de Diensten effectief uit te voeren in overeenstemming met:
Formalize ondergaat jaarlijkse audits en als onderdeel van de verkregen en vernieuwde certificeringen en rapporten wordt het noodplan van het bedrijf beoordeeld en getest. Formalize voert verder, om de bovengenoemde certificeringen en rapporten te behouden, een halfjaarlijkse test uit van het Disaster Recovery-plan. Bovendien voert Formalize jaarlijks een penetratietest uit die wordt uitgevoerd door een onafhankelijke derde partij. De resultaten van deze oefeningen worden gepubliceerd op de webpagina van Formalize in het Trust Center.
De Klant heeft het recht om van Formalize te verlangen dat deze hem rapporten verstrekt (waaronder interne of externe auditrapporten), indien van toepassing, indien uit dergelijke rapporten blijkt dat Formalize niet in staat is om de Diensten effectief uit te voeren in overeenstemming met de vereisten die in deze Clausule zijn uiteengezet.
De Klant is verantwoordelijk voor het verstrekken van een specifiek e-mailadres aan Formalize en het up-to-date houden van de informatie die wordt verstrekt met betrekking tot DORA.
Incidenten worden beheerd en aan de Klant gecommuniceerd zoals beschreven in de Service Level Agreement.
Formalize zal de Klant alle benodigde assistentie verlenen in geval van een Incident dat voortvloeit uit of verband houdt met de Diensten.
Alle assistentie in verband met een ICT-gerelateerd incident wordt door Formalize kosteloos verleend, tenzij anders overeengekomen tussen Partijen.
Formalize kan onderaannemers inschakelen om een deel van de Diensten uit te voeren ("Onderaanneming" aan een "Onderaannemingspartner").
Met betrekking tot de uitbestede diensten, de locatie, de lengte van de toeleveringsketen, de aard van de gegevens, de onderaannemer en de locaties van de diensten (verwerking en opslag van gegevens), is deze informatie te vinden in het formulier Formalize - DORA - Leveranciersgegevens en de Gegevensverwerkingsovereenkomst, die samen met dit Addendum worden verstrekt.
Indien Formalize gebruik maakt van onderaannemingspartners om een deel van de diensten uit te voeren, erkent en stemt Formalize in met:
Formalize verstrekt in de Gegevensverwerkingsovereenkomst een actueel overzicht van de locaties (landen) waar de uitbestede Diensten worden verleend en waar gegevens worden verwerkt, inclusief de opslaglocatie.
Formalize informeert de Klant over eventuele wijzigingen in de locaties waar de uitbestede functies en Diensten worden verleend.
Formalize heeft passende technische en organisatorische maatregelen geïmplementeerd, rekening houdend met de huidige stand van de technologische ontwikkeling en de beschikbare maatregelen, waaronder onder meer, indien van toepassing:
Ongeacht andersluidende bepalingen heeft de Klant gedurende de looptijd van de Overeenkomst te allen tijde recht op toegang tot de gegevens die aan hem toebehoren, op een wijze die in overeenstemming is met de functionaliteit van de Diensten.
In geval van insolventie of staking van de bedrijfsactiviteiten van Formalize heeft de Klant vrije toegang tot de gegevens die aan de Klant toebehoren.
De dienstverlening van Formalize omvat de verwerking van Persoonsgegevens van de Klant in het kader van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens ("Algemene Verordening Gegevensbescherming"). Voor dit doel hebben de Partijen een afzonderlijke Gegevensverwerkingsovereenkomst gesloten waarin de verantwoordelijkheden en verplichtingen met betrekking tot deze verwerking van Persoonsgegevens zijn vastgelegd.
Indien van toepassing en ten minste eenmaal per jaar, neemt het Formalize-personeel deel aan programma's ter bewustwording van de beveiliging.
De relevante werknemers van Formalize kunnen worden verzocht deel te nemen aan de bewustwordingsprogramma's van de Klant op het gebied van ICT-beveiliging en aan trainingen op het gebied van digitale operationele veerkracht, indien de Klant van mening is dat de inhoud van de bewustwordingsprogramma's van Formalize niet toereikend is voor de doeleinden van DORA.
Wanneer de programma's en trainingen invloed hebben op de normale bedrijfsactiviteiten van Formalize, heeft Formalize het recht om een vooraf vastgestelde vergoeding in rekening te brengen voor de beschikbaarheid van de medewerkers.
De looptijd van deze Addendum gaat in op de datum van ondertekening en blijft volledig van kracht tot (i) de datum waarop de actieve Overeenkomst afloopt of wordt beëindigd in overeenstemming met de voorwaarden van de Overeenkomst; (ii) de datum waarop de actieve Overeenkomst wordt beëindigd in overeenstemming met de bepalingen van deze Addendum; of (iii) de datum waarop de Klant geen bedrijf meer is dat onderworpen is aan DORA.
Naast de beëindigingsrechten van de Klant zoals vermeld in de Algemene Voorwaarden, kan de Klant een Overeenkomst beëindigen indien:
Met betrekking tot de beëindigingsrechten beschreven in clausules a, b en c, zal de Klant Formalize ten minste 15 dagen van tevoren schriftelijk op de hoogte stellen, wat zal dienen als een herstelperiode voor Formalize om de geïdentificeerde inbreuk, risico of zwakte te verhelpen tot redelijke tevredenheid van de Klant. Indien Formalize er niet in slaagt het probleem binnen de herstelperiode adequaat aan te pakken, kan de Klant de Overeenkomst met onmiddellijke ingang beëindigen.
Bij beëindiging op grond van artikel d wordt de Overeenkomst geacht onmiddellijk te zijn beëindigd na schriftelijke kennisgeving door de Klant, zonder dat een herstelperiode nodig is.
Beëindiging op grond van dit artikel laat onverlet de overige rechten of rechtsmiddelen die de Klant krachtens de Overeenkomst of het toepasselijk recht ter beschikking staan.
De bedoeling van dit onderdeel (hierna te noemen "het Exit Plan") is om duidelijkheid te verschaffen over een adequate overgangsperiode voor gevallen waarin de Overeenkomst is of is beëindigd (of binnenkort zal worden beëindigd). Het Exit Plan voorziet in maatregelen om een soepele en tijdige overgang te garanderen, waarbij Formalize verplicht is om volledig mee te werken aan de exit.
Het Exit Plan start 30 dagen vóór het einde van de overeenkomst.
Soft Exit - 30 dagen voor de beëindigingen
Vanaf deze dag en gedurende de volgende 30 dagen heeft de Klant nog steeds toegang tot de Diensten, alle applicaties en alle opgeslagen gegevens. De Klant zal de gelegenheid aangrijpen om de relevante gegevens uit de infrastructuur van Formalize te halen. Gedurende deze termijn zal de Klant alle andere informatie die niet kon worden geëxtraheerd, aan Formalize moeten doorgeven, zodat de Klant kan migreren naar een andere ICT-derde-partij serviceprovider of kan overstappen op interne oplossingen die consistent zijn met de complexiteit van de geleverde service.
Tijdens de Soft Exit-fase draagt de Klant de verantwoordelijkheid voor het initiëren van alle data-exportactiviteiten. Formalize ondersteunt de Klant bij het exporteren van de items die hierboven onder Data worden vermeld.
Harde exit - Gegevensverwijdering - Dagen 1 tot 30 na beëindiging
Na de Soft Exit-fase zal Formalize de verwijdering van alle gegevens van de Klant uit zijn infrastructuur beoordelen en garanderen. Deze verwijdering vindt plaats binnen 30 dagen nadat de Soft Exit-fase is afgerond, waarna de informatie 90 dagen in back-upopslag wordt bewaard.
Na de Soft Exit-fase zal Formalize de verwijdering van alle gegevens van de Klant uit zijn infrastructuur beoordelen en garanderen. Deze verwijdering vindt plaats binnen 30 dagen nadat de Soft Exit-fase is afgerond, waarna de informatie 90 dagen in back-upopslag wordt bewaard.
Tijdens de Harde Exit-fase is Formalize verantwoordelijk voor het definitief verwijderen van alle Klantgegevens uit haar infrastructuur en voor het schriftelijk informeren van Klant over de voltooiing van het Exit Plan.
Samenwerking met de uitgang:
Formalize is verplicht haar volledige medewerking te verlenen aan de uitvoering van de exit en alle noodzakelijke werkzaamheden uit te voeren, binnen de hierna gestelde grenzen.
Diensten van Formalize kunnen doorgaan na de beëindigingsdatum en doorgaan totdat de overgang naar een nieuwe serviceprovider of systeem volledig is voltooid. Klant zal Formalize informeren over zijn intentie om toegang te blijven houden tot het Systeem. Deze kennisgeving zal worden gedaan vóór de beëindigingsdatum en de partijen zullen instemmen met een interim-overeenkomst voor een periode van 6 maanden tot 1 jaar, de kosten voor de interim-overeenkomst kunnen een prijsstijging van maximaal 10% weerspiegelen ten opzichte van de vorige Overeenkomst.
Update Exit Plan:
Het Exit Plan kan jaarlijks op schriftelijk verzoek van Klant en in overleg met Formalize worden bijgewerkt en herzien, met inbegrip van de kosten en planning.
Elk verzoek van de Klant op grond van deze Addendum moet:
In het geval van een conflict of inconsistentie tussen deze Addendum en de voorwaarden van de Overeenkomst, prevaleert deze Addendum.
Wijzigingen in de Overeenkomst of het Addendum kunnen uitsluitend schriftelijk tussen Partijen worden overeengekomen.
Deze bijlage valt onder het Deense nationale recht en de toepasselijke Europese verordeningen waarnaar hierin wordt verwezen, DORA en gerelateerde gedelegeerde verordeningen.
Indien de rechtbank artikelen uit dit Addendum ongeldig verklaart, blijven de overige artikelen onverminderd van kracht.
De bepalingen van dit Addendum zijn gebaseerd op de Digital Operational Resilience Act (DORA), gerelateerde Delegated Acts, Implementing Technical Standards (ITS) en Regulatory Technical Standards (RTS). In het geval dat een van deze juridische instrumenten wordt gewijzigd of ingetrokken, en een bepaling van dit Addendum niet langer wordt weerspiegeld of vereist is onder het toepasselijke regelgevingskader, is een dergelijke bepaling niet langer van toepassing. De resterende bepalingen van dit Addendum blijven echter volledig van kracht, tenzij anders overeengekomen door de partijen.
