CARS Service Level Agreement

  1. Home
  2. CARS Service Level Agreement

1. Onderwerp van de SLA

1.1 Doel van de SLA is het vastleggen van dienstenniveaus om zorg te dragen voor een kwalitatief goede dienstverlening rondom de CARS producten en diensten uitgevoerd door YP Your Partner (YP) inclusief afspraken over het verwerken van persoonsgegevens.

1.2. De SLA is onderdeel van de offerte voor levering van diensten en/of werkzaamheden. In geval van strijdigheden tussen de bepalingen uit de offerte en de SLA prevaleren de bepalingen uit de offerte, tenzij uitdrukkelijk schriftelijk anders overeengekomen.

 

2. Prijzen

2.1 De prijzen van deze SLA zijn exclusief BTW en vastgelegd in de offerte als onderdeel van de hostingkosten.

2.2 Het uurtarief voor werkzaamheden worden vooraf vastgesteld. Voor zaterdagen geldt een toeslag van 150% en voor zon- en feestdagen een toeslag van 200%.

2.2 Jaarlijks vindt een indexering plaats op basis van loonstijgingen en stijgende kosten van diensten van derden.

 

3. Betreffende software applicaties

3.1 Software waarop deze overeenkomst betrekking heeft is weergegeven in onderstaande tabel.

  • CARS server: Centrale server applicatie met als doel het 24/7 afhandelen van alarmering en data acquisitie. De feitelijke SaaS dienst.
  • CARS app: Beheer van de CARS app in de iOS en Android app store t.b.v. smartphone en tablet. De CARS apps geven eindgebruikers toegang tot de informatie in de CARS server.

4. Geheimhouding

4.1 YP zal in het kader van de uitvoering van de werkzaamheden voor de Klant uitsluitend volgens de schriftelijke instructie en onder verantwoordelijkheid van de Klant persoonsgegevens verwerken. Op alle informatie die YP van de Klant ontvangt, rust een geheimhoudingsplicht jegens derden die onverminderd blijft voort bestaan na het beëindigen van deze overeenkomst.

4.2 YP is te allen tijde gerechtig om verzamelde gegevens in te zien en te verwerken met als doel de kwaliteit van deze gegevens en de daarmee verbonden processen te verbeteren.

4.3 YP zal informatie op zodanige wijze opslaan, dat onbevoegden hiertoe geen toegang hebben.

4.4 De geheimhoudingsplicht is niet van toepassing voor zover de Klant voorafgaand zijn schriftelijke toestemming heeft gegeven om informatie aan derden te verschaffen of indien het verstrekken van informatie aan derden logischerwijs noodzakelijk is gezien de aard van de door de Klant aan YP verstrekte opdracht. De geheimhoudingsplicht is niet van toepassing indien YP op grond van een wettelijke verplichting de informatie aan een derde dient te verstrekken.

4.5 Indien YP twijfelt of het hem is toegestaan informatie aan derden te verschaffen, zal hij met de Klant hierover in overleg treden.

4.6 YP zal in het kader van de uitvoering van de werkzaamheden voor de Klant uitsluitend volgens de schriftelijke instructie en onder verantwoordelijkheid van de Klant gegevens verwerken, tenzij een op YP van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling haar tot verwerking verplicht.

4.7 YP zal bij de verwerking van gegevens handelen in overeenstemming met de Algemene verordening gegevensbescherming.

 

5. Eigendom van data

5.1 De door YP te verwerken gegevens, waaronder ook bedrijfsgevoelige gegevens, op welke wijze dan ook verkregen van de Klant, zijn en blijven ten alle tijde eigendom van de Klant.

5.2 YP zal nadrukkelijk de van Klant verkregen gegevens niet voor eigen (commerciële) doeleinden verwerken of aan derden verstrekken.

 

6. Serviceniveau

6.1 De servicedesk is het aanspreekpunt van de ICT diensten van de Klant. De servicedesk draagt zorg voor het registreren van incidenten(issues) en de afhandeling van de issue.

6.2 De beschikbaarheid van de servicedesk is als volgt:

·       Op normale werkdagen, uitgesloten de vastgestelde feestdagen

·       Maandag t/m donderdag           van 08:30 tot 17:00 uur

·       Vrijdag                                       van 08:30 tot 15:00 uur

6.3 Op verzoek kan, na onderling overleg en tegen andere condities, langere beschikbaarheid worden geboden.

6.4 Issues in de dienstverlening worden gemeld via 0512-589 842 en/of per e-mail via support@yp-yourpartner.nl.

6.5 Op basis van de volgende categorieën zijn de responsetijden en afhandeltermijnen bepaald.

Niveau Prioriteit Omschrijving Bevestigingstijd (analyse/ terugkoppeling) Doorlooptijd afhandeling in werkuren*
Hoog 1 Werken onmogelijk, een of meerdere processen zijn niet beschikbaar. 2 8
Midden 2 Er is een kritische werksituatie; merkbaar applicatie-incident. 4 16
Laag 3 Uitstel is mogelijk. Moment van herstel wordt in overleg met de Klant bepaald. 8 --

* Tijdsinschatting is gebaseerd op afhandeling op afstand vanuit de servicedesk. Bij afhandeling op locatie komt hier de reistijd bij.

 

6.6 Indien onderhoud plaats moet vinden, zal dit waar mogelijk buiten kantooruren gebeuren.

6.7 CARS maakt gebruik van de Microsoft Azure omgeving. Er is 15GB opslagruimte beschikbaar voor de Klant. De beschikbaarheid daarvan staat beschreven onder “SLA voor Microsoft Online diensten”, https://azure.microsoft.com/nl-nl/support/legal/sla/. De in die SLA genoemde service levels met betrekking tot uptime, connectiviteit en beveiligingsmaatregelen worden per dienst genoemd en zijn, afhankelijk van welke dienst de Klant via YP afneemt, van toepassing op onderhavige overeenkomst.

6.8 Om het serviceniveau te borgen wordt tevens gebruikt gemaakt van Kubernetes voor het monitoren van de verschillende applicaties, het uitvoeren van automatische scripts voor herstart of aanpassing van de performance.

6.9 Indien het serviceniveau om welke reden dan ook niet wordt gehaald, zal YP zo spoedig mogelijk in overleg treden met de Klant om tot een passende oplossing te komen.

6.10 In aanvulling op de beveiligingsmaatregelen in de Microsoft Azure omgeving neemt YP zelf de volgende maatregelen:

a) YP beschikt over een actueel en door directie goedgekeurd informatiebeveiligingsbeleid.

b) YP beheerst risico’s aangaande eigen personeel goed middels toereikende geheimhoudingsverklaringen en personeelsscreening.

c) YP hanteert bewustwordings- en opleidingsprogramma aangaande informatiebeveiliging.

d) Van de gegevens wordt tenminste dagelijks een back-up gemaakt om te verzekeren dat het eventuele verlies van gegevens niet meer dan 1 (één) dag bedraagt;

e) De back-ups worden op een veilige plaats bewaard, beschermd tegen toegang door onbevoegden en periodiek getoetst door YP op juiste werking;

f) YP treft voorzieningen voor een adequate fysieke en logische toegangsbeveiliging tot de voor de werkzaamheden relevante gegevens (origineel en kopieën) en de ruimtes waarin deze gegevens zijn opgeslagen of worden bewerkt en tijdens transport van deze gegevens, zodat alleen geautoriseerd personeel toegang kan verkrijgen. YP houdt een actuele lijst bij van geautoriseerd personeel en zorgt dat deze lijst zo beperkt mogelijk is. Toegekende autorisaties zijn persoonsgebonden en worden door YP periodiek beoordeeld (review) op juistheid en volledigheid;

g) Er is voor toegang tot de gegevens van Klant door YP een authenticatiemiddel gebruikt dat passend is (bv. wachtwoorden/smartcards/tokens/OTPs/digitale certificaten). YP draagt zorg voor een veilige wijze van beheer van deze middelen en veilige wijze van verstrekking van deze middelen aan gebruikers.

h) Er is een adequaat wachtwoordbeleid waarin eisen aan de wachtwoorden door YP staan beschreven. Deze eisen worden door YP afgedwongen in de betreffende systemen voor alle gebruikers met toegang tot de gegevens.

i) YP heeft adequate en actuele (up-to-date) maatregelen tegen malware (bv. anti-virus) getroffen.

j) YP zal de Klant onverwijld op de hoogte stellen van beveiligingsincidenten die de veiligheid & continuïteit van de informatie(voorzieningen) van de Klant kunnen aantasten. Een beveiligingsincident is een verstoring of gebeurtenis die de veiligheid of continuïteit van informatie(systemen) aantast of kan aantasten of waarbij schade (financiële, imago) optreedt of kan optreden. Registratie van gegevens aangaande beveiligingsincidenten (bv. bewijsmateriaal) moeten hierbij door YP adequaat worden gedocumenteerd en bewaard;

k) YP waarborgt dat er deugdelijke encryptie (versleuteling/encryption) is toegepast bij opslag en verzending van gegevens om te waarborgen dat alleen geautoriseerde personen toegang hebben tot de gegevens van Klant.

l) YP waarborgt dat de voor de verwerking van de gegevens benodigde systemen en applicaties beschikken over de recente updates en patches (patch management) op basis van een gedocumenteerd en beheerd proces.

m) YP zorgt ervoor dat systemen en applicaties die worden gebruikt voor de verwerking van gegevens zo veilig en minimaal mogelijk worden geconfigureerd (hardening).

n) YP zorgt ervoor dat er maatregelen zijn getroffen en gedocumenteerd om het veilig gebruik van verwisselbare gegevensdragers (bv. USB sticks, externe harde schijven) van apparatuur en gegevensdragers met gegevens te waarborgen. Dit omvat aanschaf, transport, beheer, (her)gebruik en vernietiging/afvoer van deze dragers.

o) YP draagt zorgt voor adequate beveiliging van sleutelmateriaal zoals wachtwoorden en encryptiesleutels.

p) YP zorgt voor passende logging en auditing van toegang tot de gegevens.

 

7. Inschakeling subverwerkers

7.1 Het is YP toegestaan om in het kader van deze SLA gebruik te maken van subverwerkers indien en voor zover de Klant hiertoe zijn voorafgaande uitdrukkelijke schriftelijke toestemming heeft gegeven, welke toestemming niet op onredelijke gronden zal worden onthouden. De Klant is gerechtigd aan de toestemming nadere voorwaarden te verbinden.

7.2 YP is volledig verantwoordelijk voor deze subverwerkers en zal deze subverwerkers dezelfde verplichtingen inzake bescherming van persoonsgegevens opleggen die voor hem uit deze SLA voortvloeien.

 

8. Audits, melden van datalekken en rechten van betrokkenen

8.1 Klant zal toezicht houden op de wijze waarop YP invulling geeft aan de werkzaamheden. In dat kader heeft de Klant procedures opgesteld en is zij gerechtigd maatregelen te treffen, teneinde de prestaties van YP op betrouwbare wijze te meten en te beoordelen. Tevens is de Klant bevoegd te onderzoeken, al dan niet ter plaatse, of er zich ten opzichte van de initiële beoordeling van YP geen belangrijke wijzigingen van de feiten of omstandigheden hebben voorgedaan, die van invloed kunnen zijn op (de continuering van) de diensten.

8.2 YP stelt de Klant alle informatie ter beschikking die nodig is om de nakoming van de in art. 28 AVG neergelegde verplichtingen aan te tonen. Daarnaast maakt YP het voor de Klant, of een door de Klant gemachtigde controleur, mogelijk om audits, waaronder inspecties, uit te voeren.

8.3 YP zal hieraan zijn medewerking verlenen en alle voor de audit relevante informatie tijdig ter beschikking stellen.

8.4 De personen die een audit uitvoeren, zullen zich conformeren aan de beveiligingsprocedures zoals die bij YP van kracht zijn.

8.5 De redelijke kosten voor het inzetten van de auditors en personeel van YP en/of een toezichthouder zijn voor rekening van de Klant.

8.6 YP meldt alle inbreuken op de beveiliging zoals bedoeld in artikel 33 en 34 AVG onverwijld, nadat de YP kennis heeft genomen van de betreffende inbreuk, aan de gebruikelijke contactpersonen bij de Klant, onder vermelding van in ieder geval: een samenvatting van het incident,  wanneer vond het incident plaats, wat is de aard van de inbreuk, om welke type gegevens gaat het, en welke gevolgen kan de inbreuk hebben voor de persoonlijke levenssfeer van eventuele betrokkenen.

8.7 YP verleent aan de Klant, rekening houdend met de aard van de verwerking, door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van de betrokkene(n) te beantwoorden.

8.8 YP verleent aan de Klant, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, bijstand bij het doen nakomen van de verplichtingen uit hoofd van de artikelen 35 en 36 van de AVG (gegevensbeschermingseffect beoordeling en voorafgaande raadpleging toezichthoudende autoriteit).

 

9. Beëindiging van de SLA

9.1 Deze SLA zal automatisch van rechtswege eindigen op hetzelfde moment dat de hostingovereenkomst om welke reden dan ook is geëindigd.

9.2 YP zal na beëindiging van deze SLA, naargelang de keuze van de Klant, alle gegevens wissen of deze aan de Klant terugbezorgen. Verder zal YP bestaande kopieën van de gegevens verwijderen, tenzij opslag van de gegevens Unierechtelijk of lidstaatsrechtelijk is verplicht.

 

10. Algemene bepalingen

10.1 Op deze overeenkomst alsmede de opdrachten die door de Klant, in het kader van deze overeenkomst, aan YP worden verstrekt is het Nederlands recht van toepassing.

10.2 Op deze overeenkomst zijn de algemene voorwaarden zijnde de: "NLdigital Voorwaarden 2020 - NL" (voorheen “Nederland ICT voorwaarden”) van toepassing.

10.3 Inkoopvoorwaarden van de Klant zijn noch op de overeenkomst noch op opdrachten die in het kader van deze overeenkomst worden verstrekt van toepassing.

10.4 YP is gerechtigd om de voorwaarden uit deze overeenkomst te wijzigen, indien dat naar diens oordeel noodzakelijk is voor het uit kunnen voeren van de dienstverlening.

 

Datum: 13-11-2024