Skip to end of metadata
Go to start of metadata

u eHerkenning - Template Vrijwaringsverklaring Penetratietest 1.8 TC.docx

 

 

 

 

 

 

 

 

 

 

 

Afsprakenstelsel eHerkenning

Bijlage: Template Vrijwaringsverklaring Penetratietest

 

 

 

 

 

 

 

 

 

 

Versie 1.8

 


Overeenkomst inzake een regeling van aansprakelijkheid
met betrekking tot een penetratietest

De ondergetekenden:

1. De Staat der Nederlanden, gevestigd te Den Haag, hierbij rechtsgeldig vertegenwoordigd door de heer/mevrouw <naam>, directeur Logius,

hierna te noemen De Opdrachtgever,

en

2. <Naam uitvoerder> gevestigd te <plaats>, hierbij rechtsgeldig vertegenwoordigd door de heer/mevrouw <naam/functie>,

hierna te noemen: De Uitvoerder,

en

3. <Naam onderzochte partij> gevestigd te <plaats>, hierbij rechtsgeldig vertegenwoordigd door de heer/mevrouw <naam/functie>,

hierna te noemen: De Onderzochte Partij,

Overwegende dat

  1. het beheer van het Afsprakenstelsel eHerkenning is ondergebracht bij de Opdrachtgever;
  2. de Opdrachtgever in het kader van informatiebeveiliging van de Onderzochte Partij een zogenaamde penetratietest wenst uit te laten voeren bij de Onderzochte Partij;
  3. de Uitvoerder bereid is deze penetratietest bij de Onderzochte Partij uit te voeren;
  4. de penetratietest alleen kan geschieden met toestemming van de Onderzochte Partij;
  5. de in het kader van de penetratietest door de Uitvoerder te verrichten werkzaamheden mogelijkerwijs schade tot gevolg zouden kunnen hebben;
  6. de Uitvoerder ten aanzien van de aansprakelijkheid voor deze schade van de Onderzochte Partij een vrijwaring wenst;
  7. partijen hun afspraken in verband met de penetratietest in deze overeenkomst wensen te regelen.

Zijn het volgende overeengekomen:

Artikel 1 Toestemming en vrijwaring

  1. De Onderzochte Partij geeft de Uitvoerder hierbij toestemming tot het uitvoeren van een penetratietest voor zover deze ziet op:
    1. een TYPE ONDERZOEK (NB: grey box of black box, white box etc) waarbij de Uitvoerder beschikt over alle relevante informatie nodig voor het goed kunnen uitvoeren van de penetratietest (indien nodig aanpassen);
    2. een infrastructuurscan waarbij onder meer wordt gezocht naar mogelijke toegangen in de productie omgeving van de Onderzochte Partij;
    3. een penetratietest waarbij onder meer gezocht wordt naar de top 10 kwetsbaarheden zoals beschreven door OWASP op de productie omgeving van de Onderzochte Partij;
    4. een functionele test waarbij onder meer de berichtenuitwisseling en de inhoud van de berichten wordt gemanipuleerd op de acceptatie omgeving van de Onderzochte Partij.
  2. Gezien de in lid 1 omschreven reikwijdte van de penetratietest, zullen de werkzaamheden van de Uitvoerder niet zien op Denial of Service-attacks, social engineering-attacks of mysteryguest bezoeken, en garandeert de Uitvoerder dat er geen schade zal worden aangericht buiten de in artikel 1 lid 1 omschreven reikwijdte en zal de Uitvoerder alleen gegevens vastleggen of verwerken als dat voor bewijsvoering van genoemde penetratietest nodig is.
  3. De Onderzochte Partij is zich ervan bewust dat de werkzaamheden van de Uitvoerder zijn gericht op het identificeren van kwetsbaarheden in de beveiliging van het geautomatiseerde werk en de gegevens die aan de Onderzochte Partij toebehoren, met het oogmerk om doeltreffende maatregelen te kunnen treffen ten aanzien van deze kwetsbaarheden.
  4. Onverminderd het bepaalde in artikel 2 is de Uitvoerder niet aansprakelijk voor schade die ontstaat als gevolg van diens werkzaamheden, voor zover deze werkzaamheden vallen binnen de reikwijdte van de penetratietest zoals omschreven in artikel 1 lid 1. De Onderzochte Partij vrijwaart de Uitvoerder van aansprakelijkheden dienaangaande, met name ingeval van maar niet beperkt tot de situatie waarin een derde zich direct of indirect beroept op de artikelen 161sexies, 161septies, 351, 351bis, 138a en 138b van het Wetboek van Strafrecht. De vrijwaring omvat dat:
  • de Onderzochte Partij afziet van schadeaanspraken ten aanzien van de Uitvoerder;
  • de Onderzochte Partij de Uitvoerder bijstaat indien hij aansprakelijk wordt gesteld door een derde. Zij zal in dat geval de schade van de Uitvoerder, inclusief eventuele proceskosten, vergoeden mits de Uitvoerder de Onderzochte Partij hiervan prompt op de hoogte stelt, voorts zal zij in een voorkomend geval en voor zover de Onderzochte Partij daarover beschikt bewijs leveren ten gunste van de Uitvoerder, tenzij Onderzochte Partij wenst dat de procedure aan haar wordt overgelaten en Uitvoerder Onderzochte partij daartoe alle nodige medewerking verleent.

Artikel 2 Geen vrijwaring voor wanprestatie

  1. De in artikel 1 genoemde vrijwaring ziet niet op schade die is ontstaan door een toerekenbare tekortkoming bij het uitvoeren van deze Overeenkomst c.q. de penetratietest door de Uitvoerder dan wel bij opzet, bewuste roekeloosheid, ernstige verwijtbaarheid of een beroepsfout bij Uitvoerder.

Artikel 3 Bewerkersovereenkomst

  1. Bij de uitvoering van de penetratietest zal de Uitvoerder het verwerken van persoonsgegevens vermijden. Dit kan echter niet worden uitgesloten door de Uitvoerder.
  2. De Onderzochte Partij is de verantwoordelijke voor de gegevensverwerking in de zin van de Wet bescherming persoonsgegevens.
  3. De Uitvoerder verbindt zich om in het kader van de verwerking van persoonsgegevens, de Wet bescherming persoonsgegevens na te leven en onder meer de persoonsgegevens van de Onderzochte Partij als bewerker in de zin van de Wet bescherming persoonsgegevens behoorlijk en zorgvuldig te verwerken. In dit kader zal Uitvoerder de persoonsgegevens slechts in opdracht van Onderzochte Partij verwerken en deze adequaat beveiligen en technische en organisatorische maatregelen treffen tegen enige vorm van onrechtmatige verwerking. Tevens zal Uitvoerder Onderzochte Partij in staat stellen toe te zien op naleving van de verplichting tot adequate beveiliging en mogelijke beveiligingsincidenten onverwijld aan Onderzochte Partij melden.
  4. De Uitvoerder zal te allen tijde op eerste verzoek van de Onderzochte Partij onmiddellijk alle van de Onderzochte Partij afkomstige en/of in opdracht van de Onderzochte Partij verwerkte gegevens met betrekking tot deze overeenkomst aan de Onderzochte Partij ter hand stellen.
  5. De Uitvoerder zal te allen tijde op eerste verzoek van de Onderzochte Partij onmiddellijk alle afschriften en kopieën van de Onderzochte Partijen afkomstige en/of in opdracht van de Onderzochte Partij verwerkte gegevens met betrekking tot de Onderzochte Partij vernietigen.

Artikel 4 Beschikbaar stellen en eigendom van onderzoekresultaten

  1. De resultaten van de penetratietest worden door de Uitvoerder,  na afstemming van de concept rapportage door de Opdrachtgever met de Onderzochte Partij en de Uitvoerder, ter beschikking gesteld aan de Opdrachtgever.

Artikel 5 Uitvoering van de penetratietest

  1. De Opdrachtgever zal de Onderzochte Partij vooraf informeren over de periode waarin de penetratietest zal plaatsvinden. Dit zal geschieden door het aanmaken van een “Mantis issue”. De Uitvoerder zal pas van start gaan met het uitvoeren van de penetratietest na instemming van de Onderzochte Partij. De Uitvoerder zal zich buiten de door Opdrachtgever aangekondigde periode onthouden van onderzoeken bij de Onderzochte Partij.
  2. De Uitvoerder zal de Onderzochte Partij benaderen vanaf een IP nummer dat wordt gecommuniceerd in het onder Artikel 5 lid 1 genoemde “Mantis issue”.
  3. De Uitvoerder zal een contactpersoon aanwijzen waarmee de Onderzochte Partij altijd en onmiddellijk contact kan opnemen. Deze gegevens zullen worden opgenomen in het “Mantis issue” zoals beschreven in Artikel 5 lid 1.
  4. Op eerste verzoek van de Onderzochte Partij aan de contactpersoon van de Uitvoerder zal de Uitvoerder de uitvoering van de penetratietest onmiddellijk staken. De onderzochte Partij doet dit verzoek aan Uitvoerder niet eerder dan nadat dit, met redenen omkleed, is afgestemd met de Opdrachtgever en Opdrachtgever hiermee heeft ingestemd.
  5. De Uitvoerder verklaart dat hij bij het uitvoeren van de penetratietest als een zorgvuldige en vakbekwame dienstverlener te werk zal gaan. Dit betekent onder meer dat de Uitvoerder gebruik zal maken van gekwalificeerd personeel en enkel geschikte middelen ter uitvoering van de penetratietest zal inzetten.

Artikel 6 Looptijd

  1. De afspraken vervat in deze overeenkomst zien enkel op het uitvoeren van een penetratietest zoals beschreven in artikel 1 lid 1 in de periode lopende van [begin pentest periode] tot en met [gepland einde pentest periode], dan wel tot het moment dat de uitvoering door de Uitvoerder wordt gestaakt zoals genoemd in artikel 5 lid 4 indien dit moment eerder is dan de voornoemde lopende periode.

Artikel 7 Toepasselijk recht en geschillen

1. Op deze overeenkomst en alle daaruit voortvloeiende gevolgen is Nederlands recht van toepassing. Geschillen inzake deze overeenkomst en de uitvoering daarvan worden voorgelegd aan de bevoegde rechter te Den Haag.

Aldus overeengekomen en in drievoud ondertekend,

Namens Opdrachtgever,

 

 

 

 

 

Naam :

Datum :

Plaats :

Namens Uitvoerder,

 

 

 

 

 

Naam : FUNCTIE ONDERTEKENAAR

Datum :DATUM VAN ONDERTEKENING

Plaats : PLAATS VAN ONDERTEKENING

 

Logius

Wilhelmina van Pruisenweg 52

2595 AN Den Haag

 

 

Namens Onderzochte Partij,

 

 

 

 

 

Naam :FUNCTIE ONDERTEKENAAR

Datum :DATUM VAN ONDERTEKENING

Plaats :PLAATS VAN ONDERTEKENING

 

 

  • No labels