Dit addendum (“Addendum”) van de Digital Operational Resilience Act (“DORA”) is opgesteld om de naleving van VERORDENING (EU) 2022/2554 VAN HET EUROPEES PARLEMENT EN DE RAAD van 14 december 2024 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) nr. 2016/1011 te documenteren.
Dit addendum treedt in werking op de datum van ondertekening door beide partijen.
In het geval van enige inconsistentie of conflict tussen de bepalingen van dit Addendum en de bepalingen van enig ander document waarnaar in de Overeenkomst wordt verwezen, prevaleren de bepalingen van dit Addendum voor zover van toepassing.
Overeenkomst - betekent de Bestellingsbevestiging, Overeenkomst aangaande Algemene Voorwaarden en Gegevensverwerking, DORA Addendum en de Dienstenniveau-overeenkomsten vastgesteld tussen de Formalize en de Klant.
ICT-diensten - heeft de betekenis zoals beschreven in Artikel 3 van DORA.
Persoonsgegevens - betekent alle informatie zoals gedefinieerd door Artikel 4.1 van de Algemene Verordening Gegevensbescherming (EU) 2016/679.
Verwerker - heeft de betekenis zoals beschreven in Artikel 4.8 van de Algemene Verordening Gegevensbescherming (EU) 2016/679.
Diensten - betekent de diensten die Formalize op grond van de Overeenkomst verleent aan de Klant.
Uitbesteding - betekent het gebruik door Formalize van onderaannemers om zijn verplichtingen na te komen en zijn Diensten te leveren conform de Overeenkomst en dit Addendum.
De Klant is een entiteit die valt onder de werkingssfeer van DORA zoals gedefinieerd in Artikel 2 van DORA en/of de nationale wetgeving ter uitvoering daarvan.
Formalize verplicht zich aan de Klant diensten te verlenen in de vorm van ICT-diensten, zoals omschreven in DORA. Dit Addendum heeft tot doel ervoor te zorgen dat deze eisen en standaarden in de Overeenkomst worden opgenomen.
Voor de doeleinden van dit Addendum gaan de Partijen ervan uit dat Formalize ApS de belangrijke of kritische bedrijfsfuncties van de Klant ondersteunt.
Een duidelijke en volledige beschrijving van alle door Formalize te leveren functies en ICT-diensten is te vinden in de Algemene Voorwaarden die deel uitmaken van deze Overeenkomst. Deze ICT-diensten worden beschouwd als Clouddiensten: SaaS.
De Klant heeft de plicht om vast te stellen welke van deze diensten de belangrijke of kritische bedrijfsfuncties van de Klant ondersteunen.
De Klant heeft het recht om voortdurend toezicht te houden op de prestaties van Formalize in verband met de Overeenkomst en de overeengekomen dienstenniveaus. In dit verband wordt de Klant het volgende verleend:
Om de uitoefening van deze rechten te faciliteren zal Formalize de Klant voorzien van certificeringen van derden, interne en externe audit rapporten. Deze zullen te allen tijde beschikbaar zijn in het vertrouwenscentrum van Formalize, zoals hieronder in 4.3 Rapportage nader wordt toegelicht.
Verder zal de Klant het recht hebben om, met een frequentie die redelijk en legitiem is vanuit het oogpunt van risicobeheer, te verzoeken om wijzigingen van de reikwijdte van de certificeringen of auditrapporten naar andere relevante systemen en controles en het contractuele recht om naar eigen oordeel individuele en gebundelde audits uit te voeren met betrekking tot de contractuele afspraken en deze rechten uit te voeren in overeenstemming met de overeengekomen frequentie.
Formalize stemt ermee in de Klant zonder onnodige vertraging schriftelijk op de hoogte te stellen van alle ontwikkelingen die een wezenlijke invloed kunnen hebben op het vermogen van Formalize om de Diensten effectief uit te voeren in overeenstemming met:
Formalize ondergaat jaarlijkse audits en als onderdeel van de verkregen en vernieuwde certificeringen en rapporten wordt het business contingency plan beoordeeld en getest. Formalize voert verder, om de bovengenoemde certificeringen en rapporten te behouden, een halfjaarlijkse test van het Disaster Recovery plan uit. Verder voert Formalize jaarlijks een penetratietest uit door een onafhankelijke derde partij. De resultaten van deze oefeningen worden gepubliceerd op de webpagina van Formalize in het Vertrouwenscentrum.
De Klant heeft het recht om van Formalize te verlangen dat Formalize de Klant voorziet van rapporten (inclusief interne en externe audit rapporten), zo nodig, indien deze rapporten aangeven dat Formalize niet in staat in om de Diensten effectief uit te voeren in overeenstemming met de in dit Artikel gestelde eisen.
De Klant heeft de verantwoordelijkheid om aan Formalize een specifieke e-mail te verstrekken en bij te houden waarin de communicatie met betrekking tot DORA wordt verstrekt.
Incidenten zullen worden beheerd en gecommuniceerd aan de Klant zoals beschreven in de Dienstenniveau-overeenkomst.
Formalize zal de Klant alle nodige bijstand verlenen in geval van een Incident dat voortvloeit uit of verband houdt met de Diensten.
Alle bijstand in verband met een ICT-gerelateerd Incident wordt kosteloos door Formalize verleend, tenzij anders overeengekomen tussen de Partijen.
Formalize mag gebruik maken van onderaannemers om een deel van de Diensten uit te voeren (“Uitbesteding” aan een “Uitbestedingspartner”).
Met betrekking tot de uitbestede Diensten, de locatie, de lengte van de toeleveringsketen, de aard van de gegevens, de onderaannemer en de servicelocaties (verwerking en opslag van gegevens), is deze informatie te vinden in het formulier Formalize - DORA - Leveranciersgegevens en de Overeenkomst inzake gegevensverwerking, die samen met dit Addendum worden verstrekt.
In het geval dat Formalize Uitbestedingspartners gebruikt om een deel van de diensten uit te voeren, erkent en stemt Formalize ermee in:
Formalize verstrekt in de Overeenkomst inzake Gegevensverwerking een actueel overzicht van de locaties (landen) waar de uitbestede Diensten worden geleverd en waar de gegevens worden verwerkt, inclusief de opslaglocatie.
Formalize zal de Klant informeren over eventuele wijzigingen van de locaties waar de uitbestede functies en Diensten worden verricht.
Formalize heeft passende technische en organisatorische maatregelen getroffen, rekening houdend met de huidige staat van de technologische ontwikkeling en de beschikbare maatregelen, waar onder andere indien passend:
Ondanks alles wat het tegendeel beweert, heeft de Klant gedurende de looptijd van de Overeenkomst te allen tijde toegang tot gegevens van de Klant op de wijze die in overeenstemming is met de functionaliteit van de Diensten.
In het geval van faillissement of beëindiging van de bedrijfsactiviteiten van Formalize, heeft de Klant onbeperkt toegang tot de gegevens van de Klant.
De verlening van Diensten door Formalize omvat de verwerking van Persoonsgegevens van de Klant in het kader van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (“Algemene Verordening Gegevensbescherming”), voor dit doeleinde hebben de Partijen een afzonderlijke Overeenkomst inzake Gegevensverwerking waarin de verantwoordelijkheden en verplichtingen met betrekking tot deze verwerking van Persoonsgegevens zijn vastgelegd.
In voorkomend geval, en op zijn minst jaarlijks, neemt het personeel van Formalize deel aan bewustmakingsprogramma’s op het gebied van beveiliging.
De relevante medewerkers van Formalize kunnen worden verzocht deel te nemen aan de ICT beveiligingsbewustzijnsprogramma's en digitale operationele weerbaarheidstrainingen van de Klant indien de Klant van mening is dat de inhoud van de bewustmakingsprogramma's van Formalize niet voldoende is voor de doeleinden van DORA.
Wanneer de programma's en trainingen een impact hebben op de normale bedrijfsactiviteiten van Formalize, heeft Formalize het recht om een van tevoren vastgestelde vergoeding in rekening te brengen voor de beschikbaarheid van de medewerkers.
De termijn van dit Addendum gaat in op de datum van ondertekening en blijft volledig van kracht tot (i) de datum waarop de laatste actieve Overeenkomst afloopt of wordt beëindigd in overeenstemming met de voorwaarden van de Overeenkomst; of (ii) de datum waarop de laatste actieve Overeenkomst wordt beëindigd in overeenstemming met de bepalingen van dit Addendum; of (iii) de datum waarop de Klant geen onderneming meer is die onder DORA valt.
Naast de beëindigingsrechten van de Klant zoals vermeld in de Algemene Voorwaarden, kan de Klant een Overeenkomst opzeggen bij:
Met betrekking tot de beëindigingsrechten beschreven in de artikelen a, b, en c, zal de Klant Formalize ten minste 15 dagen van tevoren schriftelijk in kennis stellen. Dit zal dienen als herstelperiode voor Formalize om de geïdentificeerde schending, risico’s of verzwakking tot redelijke tevredenheid van de Klant te verhelpen. Indien Formalize het probleem niet binnen de herstelperiode adequaat oplost, kan de Klant de Overeenkomst met onmiddellijke ingang beëindigen.
Voor beëindiging volgens artikel d, wordt de Overeenkomst geacht onmiddellijk beëindigd te zijn na schriftelijke kennisgeving door de Klant, zonder dat een herstelperiode nodig is.
Beëindiging op grond van deze clausule doet geen afbreuk aan andere rechten of rechtsmiddelen die de Klant ter beschikking staan op grond van de Overeenkomst of het toepasselijk recht.
De intentie van dit onderdeel (hierna te noemen “het Exitplan”) is duidelijkheid te verschaffen over een adequate overgangsperiode voor gevallen waarin de Overeenkomst is of wordt beëindigd (of binnenkort wordt beëindigd). Het Exitplan voorziet maatregelen om een soepele en tijdige overgang te waarborgen, waarbij Formalize verplicht is haar volledige medewerking te verlenen aan de uittreding.
Het Exitplan gaat 30 dagen voor de beëindiging van de overeenkomst in.
Soft Exit - 30 dagen voor de beëindiging
Vanaf deze dag en voor de volgende 30 dagen heeft de Klant nog toegang tot de Diensten, alle applicaties en alle opgeslagen gegevens. De Klant dient van de gelegenheid gebruik te maken om relevante gegevens van de infrastructuur van Formalize te extraheren. Gedurende deze termijn zal de Klant aan Formalize alle andere informatie moeten meedelen die niet geëxtraheerd kon worden om de Klant in staat te stellen te migreren naar een andere externe ICT dienstverlener of over te stappen op in-house oplossingen die in overeenstemming zijn met de complexiteit van de geleverde dienst.
Tijdens de Soft Exit fase is de Klant verantwoordelijk voor het initiëren van alle data-export activiteiten. Formalize zal de Klant ondersteunen bij het exporteren van de hierboven onder Gegevens genoemde zaken.
Hard Exit - Verwijdering van gegevens - Dagen 1 tot 30 na beëindiging
Na de Soft Exit Fase zal Formalize de verwijdering van alle gegevens van de Klant uit zijn infrastructuur controleren en verzekeren. Deze verwijdering zal worden uitgevoerd binnen 30 dagen na het einde van de Soft Exit Fase, waarna de informatie gedurende 90 dagen in back-up opslag zal worden bewaard.
Na de Soft Exit Fase zal Formalize de verwijdering van alle gegevens van de Klant uit zijn infrastructuur controleren en verzekeren. Deze verwijdering zal worden uitgevoerd binnen 30 dagen na het einde van de Soft Exit Fase, waarna de informatie gedurende 90 dagen in back-up opslag zal worden bewaard.
Tijdens de Hard Exit Fase is Formalize verantwoordelijk voor het definitief verwijderen van alle gegevens van de Klant uit haar infrastructuur en voor het schriftelijk informeren van de Klant over de voltooiing van het Exit Plan.
Medewerking aan de exit:
Formalize is verplicht volledige medewerking te verlenen aan de implementatie van de exit en alle noodzakelijke werkzaamheden te verrichten binnen de hieronder vastgestelde grenzen.
De dienstverlening door Formalize mag worden voortgezet na de beëinigingsdatum totdat de overgang naar een nieuwe dienstverlener of systeem volledig is voltooid. De Klant zal Formalize op de hoogte stellen van zijn wens de toegang tot het Systeem te continueren. Deze kennisgeving dient voor de beëindigingsdatum te geschieden en partijen zullen een tussentijdse overeenkomst overeenkomen voor een periode van 6 maanden tot 1 jaar, waarbij de kosten voor de tussentijdse overeenkomst een prijsverhoging van maximaal 10% ten opzichte van de oude overeenkomst kunnen inhouden.
Bijwerking exitplan
Het Exitplan mag jaarlijks op schriftelijk verzoek van de Klant in overleg met Formalize worden geactualiseerd en herzien, inclusief kosten en planning.
Elk verzoek van de Klant onder dit Addendum moet:
In geval van tegenstrijdigheid of inconsistentie tussen dit Addendum en de voorwaarden van de Overeenkomst, prevaleert dit Addendum
Wijzigingen in de Overeenkomst of het Addendum kunnen uitsluitend schriftelijk tussen Partijen worden overeengekomen.
Op dit Addendum is de Deense nationale wetgeving van toepassing, evenals de van toepassing zijnde Europese verordeningen waarnaar hierin wordt verwezen, DORA en gerelateerde gedelegeerde verordeningen.
Indien de rechtbank artikelen uit dit Addendum ongeldig verklaart, blijven de overige artikelen onverminderd van kracht.
De bepalingen van dit Addendum zijn gebaseerd op de Digital Operational Resilience Act (DORA), de bijbehorende gedelegeerde verordeningen, de Implementing Technical Standards (ITS) en de Regulatory Technical Standards (RTS). In het geval dat een van deze rechtsinstrumenten wordt gewijzigd of ingetrokken en een bepaling van dit Addendum niet langer wordt weerspiegeld of vereist is onder het toepasselijke regelgevingskader, is deze bepaling niet langer van toepassing. De overige bepalingen van dit Addendum blijven echter volledig van kracht tenzij anders overeengekomen door de partijen.
