Vrijwaringsverklaring Surelock IT Security Services

Woerden, 2021

De ondergetekenden:

  • Surelock B.V., gevestigd aan de Korenmolenlaan 1E, 3447 GG in Woerden hierbij rechtsgeldig vertegenwoordigd door Ezra Windhorst, hierna te noemen De Uitvoerder,

En

  • De ondertekende klant , hierbij vertegenwoordigd door de ondertekende klant , hierna te noemen: De Onderzochte Partij/ Opdrachtgever,

Overwegende dat:

  • de Onderzochte Partij in het kader van informatiebeveiliging een zogenaamde securitytest wenst uit te laten voeren;
  • de Uitvoerder bereid is deze test uit te voeren;
  • de in het kader van de test door de Uitvoerder te verrichten werkzaamheden mogelijkerwijs schade tot gevolg zouden kunnen hebben;
  • partijen hun afspraken in verband met deze test in deze overeenkomst wensen te regelen.

Zijn het volgende overeengekomen:

Artikel 1 Toestemming en vrijwaring

  • De Opdrachtgever geeft de Uitvoerder hierbij toestemming tot het uitvoeren van een security test zover deze ziet op:
    • De technische scope van de test nader omschreven in artikel 6.;
    • Waarbij de kwaliteitsaspecten vertrouwelijkheid/ exclusiviteit en integriteit van de (verwerkte informatie) systemen de belangrijkste onderwerpen van onderzoek zijn.
  • Gezien de in lid omschreven reikwijdte van de test, zullen de werkzaamheden van de Uitvoerder niet zijn gericht op Denial of Service-attacks, social engineering-aanvallen of mystery guests bezoeken, en garandeert de Uitvoerder dat er geen schade zal worden aangericht buiten de in artikel 1 lid 1 omschreven reikwijdte en zal de Uitvoerder alleen gegevens vastleggen of verwerken als dat voor bewijsvoering van genoemde test nodig is.
  • De Opdrachtgever is zich ervan bewust dat de werkzaamheden van de Uitvoerder zijn gericht op het identificeren van kwetsbaarheden in de beveiliging van het geautomatiseerde werk en de gegevens die aan de Opdrachtgever toebehoren, met het oogmerk om doeltreffende maatregelen te kunnen treffen ten aanzien van deze kwetsbaarheden.
  • Onverminderd het bepaalde in artikel 2 is de Uitvoerder niet aansprakelijk voor schade die ontstaat als gevolg van diens werkzaamheden, voor zover deze werkzaamheden vallen binnen de reikwijdte van de test zoals omschreven in artikel 1 lid 1. De Opdrachtgever vrijwaart de Uitvoerder van aansprakelijkheden dienaangaande, met name ingeval van maar niet beperkt tot de situatie waarin een derde zich direct of indirect beroept op de artikelen 161sexies, 161septies, 351, 351bis, 138a en 138b van het Wetboek van Strafrecht.

De vrijwaring omvat dat:

  • De Opdrachtgever afziet van schadeaanspraken ten aanzien van de Uitvoerder;
  • De opdrachtgever de Uitvoerder bijstaat indien hij aansprakelijk wordt gesteld door een derde. Zij zal in dat geval de schade van de Uitvoerder, inclusief eventuele proceskosten, vergoeden mits de Uitvoerder de Opdrachtgever hiervan prompt op de hoogte stelt, voorts zal zij in een overkomend geval en voor zover de Opdrachtgever daarover beschikt bewijs leveren ten gunste van de Uitvoerder, tenzij de Opdrachtgever wenst dat de procedure aan haar wordt overgelaten en Uitvoerder Opdrachtgever daartoe alle nodige medewerking verleent.

Artikel 2 Geen vrijwaring voor wanprestatie

  • De in artikel 1 genoemde vrijwaring ziet niet op schade die is ontstaan door een toerekenbare tekortkoming bij het uitvoeren van deze Overeenkomst c.q. de test door de Uitvoerder dan wel bij opzet, bewuste roekeloosheid, ernstige verwijtbaarheid of een beroepsfout bij Uitvoerder.

Artikel 3 Verwerkersovereenkomst

  • Bij de uitvoering van de test zal de Uitvoerder het verwerken van persoonsgegevens vermijden. Dit kan echter niet worden uitgesloten door de Uitvoerder daar toegang tot persoonsgegevens, in de zin van Algemene Verordening Gegegevensbescherming, als verwerkingsdaad wordt beschouwd.
  • De opdrachtgever is de verantwoordelijke voor de gegevensverwerking in de zin van de Algemene Verordening Gegegevensbescherming.
  • De Uitvoerder verbindt zich in het kader van de verwerking van persoonsgegevens, de Algemene Verordening Gegegevensbescherming na te leven en onder meer de persoonsgegevens van de Opdrachtgever als bewerker in de zin van de Algemene Verordening Gegegevensbescherming behoorlijk en zorgvuldig te verwerken. In dit kader zal Uitvoerder de persoonsgegevens slechts in opdracht van de Opdrachtgever verwerken en deze adequaat beveiligen en technische en organisatorische maatregelen treffen tegen enige vorm van onrechtmatige verwerking. Tevens zal Uitvoerder Opdrachtgever in staat stellen toe te zien op naleving van de verplichting tot adequate beveiliging en mogelijke beveiligingsincidenten onverwijld aan Opdrachtgever melden.
  • De Uitvoerder zal te allen tijde op eerste verzoek van de Opdrachtgever onmiddellijk alle van de Opdrachtgever afkomstige en/of in opdracht van de Opdrachtgever verwerkte gegevens met betrekking tot deze overeenkomst aan de Opdrachtgever ter hand stellen.
  • De Uitvoerder zal te allen tijde op eerste verzoek van de Opdrachtgever onmiddellijk alle afschriften en kopieën van de Opdrachtgever afkomstige en/of in opdracht van de Opdrachtgever verwerkte gegevens met betrekking tot de Opdrachtgever vernietigen.

Artikel 4 Beschikbaar stellen en eigendom van onderzoeksresultaten

De resultaten van de test worden door de Uitvoerder, na afstemming van de concept rapportage door de Opdrachtgever met de Uitvoerder, ter beschikking gesteld aan de Opdrachtgever.

Artikel 5 Uitvoering van de test

  • De Uitvoerder stemt met de Opdrachtgever vooraf de periode af waarin de test zal plaatsvinden. De Uitvoerder zal pas van start gaan met het uitvoeren van de test na instemming van de Opdrachtgever. De Uitvoerder zal zich buiten de door Opdrachtgever aangekondigde periode onthouden van onderzoeken bij de Opdrachtgever.
  • De Uitvoerder zal de Opdrachtgever benaderen vanaf één of meerderen IP-adres(sen) die worden gecommuniceerd.
  • Partijen zullen een contactpersoon aanwijzen waarmee altijd en onmiddellijk contact kan worden opgenomen tijdens de uitvoering van de test.
  • Op eerste verzoek van de Opdrachtgever aan de contactpersoon van de Uitvoerder zal de Uitvoerder de uitvoering van de test onmiddellijk staken.
  • De Uitvoerder verklaart dat hij bij het uitvoeren van de test als een zorgvuldige en vakbekwame dienstverlener te werk zal gaan. Dit betekent onder meer dat de Uitvoerder gebruik zal maken van gekwalificeerd personeel en enkel geschikte middelen ter uitvoering van de test zal inzetten.

Artikel 6 Scope

Als onderdeel van de test worden de volgende URL’s/ IP-adressen onderzocht:

Vulnerability scanning netwerk:

  • Externe IP-adressen;
    •  

Artikel 7 Looptijd

De afspraken vervat in deze overeenkomst zijn enkel van toepassing op het uitvoeren van een test zoals beschreven in artikel 1 lid 1 in de periode lopend van:

Tot 4 werkdagen na de aanvragen van de scan heeft plaatsgevonden.

Artikel 8 Voorkoming van escalatie

De securitytesters zullen tussentijdse meldingen van ernstige zaken direct willen melden bij de Opdrachtgever. Dat kan over gevoelige zaken gaan; het Trustee Contact is daarbij per definitie voor de testers vertrouwd. Een vast contact, of mogelijk twee vaste contacten (Trustee Contact en Technisch Contact) moeten beschikbaar zijn voor Surelock tijdens de security test.

Beschikbaar tijdens security test:

Trustee Contact:                            Contactpersoon 1          

Technische Contact:                      Contactpersoon 2

De contactpersonen voor Surelock zijn:

Info@surelock.nl      0348- 796 146

Artikel 9 Grey Box accountgegevens

Tijdens een grey box applicatie-test is het van belang dat er werkende accountgegevens geleverd worden aan de penetratietesters van Surelock. Sommige applicaties bevatten verschillende accounts met elk een ander autorisatieniveau. Derhalve graag ook meerdere testaccounts aanleveren met verschillende functies en/of rechten binnen de applicatie. Dit is van belang voor het kruislings testen van de applicatie vanuit diverse accounts.

Artikel 10 Toepasselijk recht en geschillen

Op deze overeenkomst en alle daaruit voorvloeiende gevolgen is Nederlands recht van toepassing. Geschillen inzake deze overeenkomst en de uitvoering daarvan worden voorgelegd aan de daartoe bevoegde rechter.