Algemene Voorwaarden — IT-Compliant MSP Dashboard

1. Definities

In deze algemene voorwaarden wordt verstaan onder:

1. IT-Compliant: IT-Compliant B.V., gevestigd te Henegouwenlaan 21, 9501 RX Stadskanaal, ingeschreven bij de Kamer van Koophandel onder nummer 99849941, BTW-nummer NL869158910B01.
2. Klant: de Managed Service Provider (MSP) die met IT-Compliant een Overeenkomst aangaat voor het gebruik van het MSP Dashboard.
3. MSP Dashboard: het door IT-Compliant geleverde online platform "IT-Compliant Scanner MSP Dashboard", bereikbaar via https://msp.it-compliant.nl, waarmee Klant compliance-scans kan beheren voor zijn eigen klanten.
4. Eindklant: een klant van Klant wiens Microsoft 365 omgeving (tenant) door Klant via het MSP Dashboard wordt gescand.
5. Eindklant-Tenant: de Microsoft 365 / Microsoft Entra ID omgeving van een Eindklant.
6. Diensten: het beschikbaar stellen van het MSP Dashboard, het uitvoeren van compliance-scans op verzoek van Klant, het genereren van rapporten en bewijslast, en aanverwante functionaliteit zoals beschreven in de productdocumentatie.
7. Overeenkomst: de overeenkomst tussen IT-Compliant en Klant betreffende de levering van de Diensten, waarvan deze voorwaarden integraal deel uitmaken.
8. Account: het gebruikersaccount waarmee een natuurlijke persoon namens Klant inlogt op het MSP Dashboard, geauthenticeerd via Microsoft Entra ID.
9. Owner: de natuurlijke persoon die door Klant is aangewezen als hoofdverantwoordelijke voor het MSP-account en die de Overeenkomst namens Klant accepteert.
10. Subverwerker: een derde die door IT-Compliant wordt ingeschakeld voor de uitvoering van (een deel van) de Diensten en daarbij persoonsgegevens verwerkt.

2. Toepasselijkheid

1. Deze voorwaarden zijn van toepassing op alle aanbiedingen van, opdrachten aan en Overeenkomsten met IT-Compliant betreffende de Diensten.
2. De toepasselijkheid van eventuele inkoop- of andere voorwaarden van Klant wordt uitdrukkelijk van de hand gewezen.
3. Afwijkingen van deze voorwaarden zijn slechts geldig indien deze schriftelijk en uitdrukkelijk door IT-Compliant zijn aanvaard.
4. Indien één of meerdere bepalingen in deze voorwaarden nietig zijn of vernietigd worden, blijven de overige bepalingen volledig van toepassing. Partijen treden alsdan in overleg om nieuwe bepalingen overeen te komen die zoveel mogelijk het doel en de strekking van de oorspronkelijke bepaling benaderen.

3. Totstandkoming van de Overeenkomst

1. De Overeenkomst komt tot stand op het moment dat de Owner namens Klant via het MSP Dashboard expliciet akkoord geeft op deze voorwaarden en de daarin genoemde tarieven.
2. Als bewijs van akkoord legt IT-Compliant het volgende vast in de administratie: de versie van de voorwaarden waarop akkoord is gegeven, het tijdstip (UTC-tijdstempel) van akkoord, het IP-adres van de gebruiker, de browseridentificatie (User-Agent) en de identiteit van de Owner die het akkoord gaf (gekoppeld aan zijn Microsoft Entra ID-account).
3. De elektronische akkoordverklaring wordt door partijen erkend als rechtsgeldig, conform Verordening (EU) Nr. 910/2014 (eIDAS) en artikel 3:15a Burgerlijk Wetboek.
4. Aanvullend dient Klant via de betalingsdienstverlener Mollie B.V. een SEPA B2B-incassomandaat af te geven. Dit mandaat dient als toestemming voor de periodieke incasso van de overeengekomen tarieven.

4. De Diensten

1. IT-Compliant stelt aan Klant het MSP Dashboard ter beschikking voor het uitvoeren en beheren van compliance-scans op Microsoft 365 omgevingen. De Diensten omvatten ten minste: toegang tot het MSP Dashboard via een webbrowser, het uitvoeren van geautomatiseerde compliance-scans tegen erkende standaarden zoals CIS Benchmarks, ISO 27001 en NEN 7510, het genereren van scanrapporten en bewijslast (audit-bundles), het beheer van Eindklant-Tenant-koppelingen en het ontvangen van geautomatiseerde notificaties bij compliance-afwijkingen.
2. IT-Compliant ontwikkelt het MSP Dashboard continu door en kan zonder voorafgaande aankondiging functionaliteit toevoegen, wijzigen of verwijderen, voor zover dit geen wezenlijke afbreuk doet aan de overeengekomen Diensten.
3. Bij wezenlijke wijzigingen die functionaliteit beperken of beëindigen, wordt Klant ten minste dertig (30) dagen vooraf per e-mail geïnformeerd.
4. IT-Compliant spant zich in voor een hoge beschikbaarheid van de Diensten, maar geeft geen specifieke beschikbaarheidsgarantie.
5. Gepland onderhoud wordt waar mogelijk minimaal 48 uur vooraf aangekondigd via e-mail of een banner in het MSP Dashboard.

5. Toegang en gebruik

1. Klant ontvangt toegang tot het MSP Dashboard via Microsoft Entra ID-authenticatie. Klant is verantwoordelijk voor de authenticatie-configuratie binnen zijn eigen tenant, inclusief multi-factor authenticatie (MFA) voor zijn Owner en Engineers.
2. Klant is volledig verantwoordelijk voor het beheer van de Accounts binnen zijn organisatie, het beheer van de Eindklant-Tenant-koppelingen, de juistheid en rechtmatigheid van alle door of namens Klant ingevoerde gegevens en het juiste gebruik van de scan-resultaten en bewijslast.
3. Klant garandeert dat hij rechtmatig gemachtigd is om compliance-scans uit te voeren op iedere Eindklant-Tenant die hij koppelt aan het MSP Dashboard. Klant vrijwaart IT-Compliant voor alle aanspraken van Eindklanten of derden die voortkomen uit het ontbreken of overschrijden van deze machtiging.
4. Klant zal de Diensten niet gebruiken voor doeleinden die in strijd zijn met de wet, de openbare orde of de goede zeden, en evenmin op een wijze die de integriteit, beschikbaarheid of vertrouwelijkheid van de Diensten of de daarmee verwerkte gegevens in gevaar kan brengen.
5. IT-Compliant is gerechtigd de toegang tot het MSP Dashboard tijdelijk op te schorten of te beperken indien Klant zijn betalingsverplichtingen niet nakomt na schriftelijke ingebrekestelling met een termijn van veertien (14) dagen, indien sprake is van misbruik of fraude (of een gegronde verdenking daarvan), of indien dat noodzakelijk is voor het waarborgen van de veiligheid van de Diensten of de daarmee verwerkte gegevens.
6. Bij opschorting wegens niet-betaling herleeft de toegang nadat alle openstaande bedragen zijn voldaan.

6. Tarieven en betaling

1. De voor Klant geldende tarieven worden bij aanvang van de Overeenkomst expliciet aan Klant getoond en bestaan uit een vast maandelijks dashboardtarief (MSP-dashboard fee), een variabel tarief per gekoppelde Eindklant-Tenant per maand en eventueel afgesproken volume-grenzen (klanten-quota).
2. Alle tarieven zijn exclusief btw, in euro's, en gelden per maand tenzij uitdrukkelijk anders vermeld.
3. Klant gaat akkoord met vooruitbetaling per kalendermaand. De facturatie verloopt als volgt: bij aanvang van de Overeenkomst wordt een pro-rata-bedrag berekend voor de resterende dagen van de lopende kalendermaand en direct via SEPA-incasso geïncasseerd; op of omstreeks de eerste werkdag van iedere volgende kalendermaand wordt het volledige maandbedrag geïncasseerd, vermeerderd met de variabele kosten over de op dat moment gekoppelde Eindklant-Tenants.
4. Facturen worden in elektronische vorm beschikbaar gesteld in het MSP Dashboard en gelijktijdig per e-mail verzonden naar het door Klant opgegeven facturatie-e-mailadres. Klant aanvaardt expliciet de elektronische facturatie.
5. Indien een SEPA-incasso om welke reden dan ook door de bank wordt geweigerd of teruggeboekt, is Klant zonder nadere ingebrekestelling in verzuim. IT-Compliant is in dat geval gerechtigd de wettelijke handelsrente in rekening te brengen, evenals administratiekosten van € 25,00 per gefaalde incasso.
6. Indien betaling 30 dagen na de oorspronkelijke incassodatum nog niet is voldaan, kan IT-Compliant tot opschorting van de Diensten overgaan zoals beschreven in artikel 5.5.
7. IT-Compliant is gerechtigd de tarieven jaarlijks per 1 januari te indexeren conform de CBS Consumentenprijsindex (CPI) "alle huishoudens, afgeleid". Indexeringen lager dan 5% behoeven geen voorafgaande mededeling. Bij indexeringen boven 5% of bij overige tariefswijzigingen wordt Klant ten minste dertig (30) dagen vooraf per e-mail geïnformeerd, en heeft Klant het recht de Overeenkomst te beëindigen tegen de ingangsdatum van de wijziging.
8. Eventuele door Klant aan IT-Compliant verschuldigde belastingen, heffingen of toeslagen worden bovenop de overeengekomen tarieven in rekening gebracht.

7. Looptijd en beëindiging

1. De Overeenkomst wordt aangegaan voor onbepaalde tijd, ingaande op de dag waarop de Owner namens Klant akkoord heeft gegeven en het SEPA-mandaat is afgegeven.
2. Klant kan de Overeenkomst maandelijks opzeggen, met inachtneming van een opzegtermijn die afloopt op de laatste dag van de lopende kalendermaand. Opzegging gebeurt via het MSP Dashboard via de daarvoor bestemde functie.
3. IT-Compliant kan de Overeenkomst opzeggen met inachtneming van een opzegtermijn van twee (2) kalendermaanden, te rekenen vanaf de eerste dag van de eerstvolgende kalendermaand na opzegging.
4. Onverminderd het voorgaande kan iedere partij de Overeenkomst met onmiddellijke ingang ontbinden in geval van faillissement, surseance van betaling of liquidatie van de andere partij; structurele toerekenbare tekortkoming van de andere partij die niet binnen 30 dagen na schriftelijke ingebrekestelling is hersteld; of bij Klant: gerede verdenking van misbruik, fraude of inbreuk op intellectuele eigendomsrechten van IT-Compliant of derden.
5. Bij beëindiging blijven de op dat moment lopende verplichtingen tot betaling van reeds gefactureerde of gefactureerd te worden vergoedingen tot het einde van de lopende kalendermaand onverkort van kracht. Reeds vooruitbetaalde bedragen worden niet gerestitueerd.
6. Na beëindiging behoudt Klant gedurende een uitloopperiode van negentig (90) dagen lees-toegang tot zijn eigen scanrapporten en audit-bundles via het MSP Dashboard, voor zover technisch beschikbaar. Na deze uitloopperiode worden de gegevens onomkeerbaar verwijderd, behoudens bewaarplichten als bedoeld in artikel 9.5.
7. IT-Compliant kan op eerste verzoek van Klant tijdens de uitloopperiode een export van scanrapporten en audit-bundles aanleveren in een gangbaar formaat (PDF en JSON).

8. Intellectueel eigendom

1. Alle intellectuele eigendomsrechten op het MSP Dashboard, de onderliggende software, de scan-engine, de rapportage-templates en alle overige door IT-Compliant geleverde materialen, berusten bij IT-Compliant of haar licentiegevers.
2. Klant verkrijgt voor de duur van de Overeenkomst een niet-exclusief, niet-overdraagbaar recht om het MSP Dashboard te gebruiken voor de uitvoering van compliance-scans op door of namens Klant beheerde Eindklant-Tenants.
3. Het is Klant niet toegestaan om het MSP Dashboard of de daaraan ten grondslag liggende software te kopiëren, te decompileren, te disassembleren of anderszins te onderwerpen aan reverse engineering, behoudens voor zover dwingend recht dit toestaat; of om het MSP Dashboard ter beschikking te stellen aan derden anders dan in het kader van zijn dienstverlening aan Eindklanten.
4. De gegevens die Klant of Eindklanten via het MSP Dashboard invoeren of laten verwerken (waaronder scan-input en scan-resultaten) blijven eigendom van Klant respectievelijk Eindklant. IT-Compliant verkrijgt op deze gegevens geen rechten anders dan een gebruiksrecht voor de uitvoering van de Diensten.
5. IT-Compliant is gerechtigd om geanonimiseerde en geaggregeerde gegevens (zoals geanonimiseerde compliance-trends en aggregaten) te gebruiken voor productverbetering, benchmarking en geanonimiseerde marketing-inzichten. Deze gegevens zijn niet herleidbaar tot Klant of Eindklanten.

9. Gegevensverwerking en privacy

1. In het kader van de Diensten verwerkt IT-Compliant persoonsgegevens. Op deze verwerking is de Algemene Verordening Gegevensbescherming (AVG) van toepassing.
2. IT-Compliant treedt op als verwerker voor Klant, en Klant treedt op als verwerkingsverantwoordelijke voor de gegevens van zijn Eindklanten en de medewerkers daarvan.
3. Wanneer Klant gegevens van zijn medewerkers (Owner, Engineers, Viewers) doorgeeft aan IT-Compliant ten behoeve van het beheer van Accounts, treedt IT-Compliant op als verwerkingsverantwoordelijke voor uitsluitend deze identificerende account-gegevens (naam, e-mailadres, Entra Object Id, login-tijdstippen, audit-gebeurtenissen). Voor alle overige gegevensverwerkingen geldt de verwerker-verhouding zoals beschreven in lid 9.2.
4. De afspraken over gegevensverwerking, inclusief de in artikel 28 lid 3 AVG voorgeschreven elementen, zijn vastgelegd in de Verwerkersovereenkomst die als bijlage bij deze voorwaarden integraal onderdeel uitmaakt van de Overeenkomst.
5. IT-Compliant bewaart persoonsgegevens niet langer dan noodzakelijk voor de uitvoering van de Diensten. Specifieke bewaartermijnen: scan-resultaten gedurende de looptijd van de Overeenkomst plus 90 dagen uitloopperiode; facturatie-gegevens zeven (7) jaar conform fiscale bewaarplicht (artikel 52 Algemene wet inzake rijksbelastingen); audit-log minimaal twee (2) jaar voor security-incident-onderzoek; akkoord op deze voorwaarden (incl. IP-adres en User-Agent) zeven (7) jaar als bewijs van overeenkomst.
6. IT-Compliant verwerkt gegevens uitsluitend binnen de Europese Economische Ruimte (EER), tenzij dit voor een specifieke Subverwerker niet mogelijk is. In dat geval worden passende waarborgen getroffen conform hoofdstuk V AVG (zoals Standard Contractual Clauses).

10. Subverwerkers

1. Klant verleent IT-Compliant algemene toestemming voor het inschakelen van Subverwerkers, mits IT-Compliant aan deze Subverwerkers ten minste dezelfde verplichtingen oplegt als die waaraan IT-Compliant zelf gebonden is uit hoofde van de Overeenkomst en de toepasselijke privacywetgeving.
2. De actuele lijst met Subverwerkers is opgenomen in Bijlage A bij deze voorwaarden. IT-Compliant kan deze lijst wijzigen door de actuele lijst beschikbaar te stellen via het MSP Dashboard. Klant wordt ten minste dertig (30) dagen vooraf geïnformeerd over voorgenomen wijzigingen via e-mail naar het opgegeven facturatie-adres.
3. Klant kan binnen veertien (14) dagen na de aankondiging schriftelijk gemotiveerd bezwaar maken tegen de toevoeging of vervanging van een Subverwerker, op grond van een aantoonbaar privacy-risico. IT-Compliant zal in dat geval in goed overleg een redelijke oplossing zoeken. Indien geen oplossing wordt bereikt, heeft iedere partij het recht de Overeenkomst tegen het einde van de lopende maand te beëindigen.

11. Beveiliging en incidentmelding

1. IT-Compliant treft passende technische en organisatorische beveiligingsmaatregelen om de Diensten en de daarmee verwerkte gegevens te beschermen tegen verlies, misbruik of onrechtmatige verwerking. Een uitgebreide beschrijving is opgenomen in het Security Overview.
2. In geval van een incident dat mogelijk leidt tot een datalek in de zin van artikel 33 AVG, informeert IT-Compliant Klant zonder onredelijke vertraging, en uiterlijk binnen 48 uur na het bekend worden van het incident. De melding bevat ten minste de aard van het incident, de getroffen categorieën persoonsgegevens en betrokkenen, de waarschijnlijke gevolgen en de getroffen of voorgenomen maatregelen.
3. Klant blijft zelf verantwoordelijk voor het beoordelen of melding aan de Autoriteit Persoonsgegevens en/of de betrokken Eindklanten noodzakelijk is, en voor de uitvoering daarvan binnen de in de AVG voorgeschreven termijnen.
4. IT-Compliant ondersteunt Klant op redelijk verzoek bij het uitvoeren van zijn verplichtingen onder de AVG, waaronder het beantwoorden van verzoeken van betrokkenen en het uitvoeren van data protection impact assessments (DPIA's).

12. Aansprakelijkheid

1. IT-Compliant is uitsluitend aansprakelijk voor directe schade die het rechtstreeks gevolg is van een toerekenbare tekortkoming in de uitvoering van de Overeenkomst.
2. De totale aansprakelijkheid van IT-Compliant per kalenderjaar is beperkt tot het bedrag dat Klant in de twaalf (12) maanden voorafgaand aan het schadeveroorzakende voorval onder de Overeenkomst aan IT-Compliant heeft betaald, met een absoluut maximum van € 50.000,00 per kalenderjaar.
3. Iedere aansprakelijkheid van IT-Compliant voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verlies van gegevens, schade door bedrijfsstagnatie of reputatieschade is uitgesloten.
4. De beperking en uitsluiting van aansprakelijkheid in dit artikel geldt niet in geval van opzet of bewuste roekeloosheid aan de zijde van de bedrijfsleiding van IT-Compliant.
5. Iedere vordering tot schadevergoeding vervalt na het verstrijken van twaalf (12) maanden na het ontstaan van de vordering, tenzij Klant binnen die termijn een rechtsvordering tegen IT-Compliant aanhangig heeft gemaakt.
6. Klant vrijwaart IT-Compliant voor alle aanspraken van Eindklanten of derden die voortvloeien uit het ontbreken van rechtmatige grondslag of toestemming voor het uitvoeren van scans op een Eindklant-Tenant; onjuist gebruik van de scan-resultaten of bewijslast door Klant; of enig ander gebruik van de Diensten dat niet in overeenstemming is met deze voorwaarden of toepasselijk recht.

13. Geheimhouding

1. Partijen behandelen alle informatie die zij in het kader van de Overeenkomst van elkaar verkrijgen en die als vertrouwelijk is gemarkeerd of waarvan de vertrouwelijkheid redelijkerwijs kenbaar is, strikt vertrouwelijk.
2. De geheimhoudingsplicht geldt niet voor informatie die algemeen bekend is of wordt zonder toedoen van de ontvangende partij; door de ontvangende partij rechtmatig is verkregen van een derde zonder geheimhoudingsplicht; onafhankelijk door de ontvangende partij is ontwikkeld; of op grond van wet, rechterlijke uitspraak of bevel van een toezichthouder verstrekt moet worden.
3. De geheimhoudingsplicht blijft voortbestaan tot drie (3) jaar na beëindiging van de Overeenkomst.

14. Overmacht

1. Geen van partijen is gehouden tot het nakomen van enige verplichting indien zij daartoe verhinderd is als gevolg van overmacht. Onder overmacht wordt mede verstaan: storingen bij toeleveranciers waarvan IT-Compliant afhankelijk is (inclusief Microsoft Azure, Supabase en de in Bijlage A genoemde Subverwerkers), grootschalige cyberaanvallen op infrastructuur waarop IT-Compliant geen invloed heeft, en wettelijke maatregelen die de uitvoering van de Diensten verhinderen.
2. Indien de overmachtsituatie langer dan zestig (60) dagen voortduurt, heeft iedere partij het recht de Overeenkomst per direct te ontbinden zonder gehoudenheid tot schadevergoeding.

15. Wijziging van de voorwaarden

1. IT-Compliant behoudt zich het recht voor deze voorwaarden te wijzigen. Bij wezenlijke wijzigingen wordt Klant ten minste dertig (30) dagen vooraf geïnformeerd via een notificatie in het MSP Dashboard en per e-mail naar het facturatie-adres.
2. Wezenlijke wijzigingen treden niet eerder in werking dan dertig (30) dagen na bekendmaking, en alleen nadat de Owner via het MSP Dashboard opnieuw expliciet akkoord heeft gegeven op de gewijzigde versie.
3. Indien Klant niet akkoord gaat met de gewijzigde voorwaarden, heeft hij het recht de Overeenkomst te beëindigen tegen de ingangsdatum van de wijziging. Voortgezet gebruik van de Diensten na de ingangsdatum geldt als acceptatie van de gewijzigde voorwaarden.
4. Niet-wezenlijke wijzigingen (zoals correcties van type- of stijlfouten, verduidelijkingen zonder inhoudelijke gevolgen) kunnen door IT-Compliant zonder voorafgaande aankondiging worden doorgevoerd, mits het versie-nummer wordt aangepast en de wijziging wordt vastgelegd in het versie-archief.

16. Overdracht en onderaanneming

1. Klant is niet gerechtigd zijn rechten en verplichtingen onder de Overeenkomst over te dragen aan een derde zonder voorafgaande schriftelijke toestemming van IT-Compliant. Toestemming wordt niet op onredelijke gronden onthouden.
2. IT-Compliant is gerechtigd haar rechten en verplichtingen onder de Overeenkomst over te dragen in het kader van een fusie, overname, splitsing of bedrijfsovergang. Klant wordt hiervan ten minste dertig (30) dagen vooraf in kennis gesteld.

17. Toepasselijk recht en geschillen

1. Op de Overeenkomst en deze voorwaarden is uitsluitend Nederlands recht van toepassing. De toepasselijkheid van het Weens Koopverdrag (CISG) is uitgesloten.
2. Alle geschillen die voortvloeien uit of verband houden met de Overeenkomst zullen, voor zover niet anders dwingend voorgeschreven, in eerste aanleg worden voorgelegd aan de bevoegde rechter te Groningen.
3. Onverminderd het voorgaande kunnen partijen overeenkomen om een geschil voor te leggen aan een onafhankelijke mediator alvorens de gang naar de rechter te maken.

18. Contact en kennisgeving

Kennisgevingen aan IT-Compliant worden gericht aan:

• IT-Compliant B.V.
• Henegouwenlaan 21, 9501 RX Stadskanaal
• E-mail: info@it-compliant.nl
• Telefoon: 085-0606980

Kennisgevingen aan Klant worden gericht aan het door Klant in het MSP Dashboard opgegeven facturatie-e-mailadres en, indien daarvan bekend, het correspondentieadres. Een kennisgeving wordt geacht te zijn ontvangen op de eerste werkdag volgend op de dag van verzending per e-mail of bezorging.

Bijlage B — Verwerkersovereenkomst

De Verwerkersovereenkomst conform artikel 28 lid 3 AVG is opgenomen in een separaat document en maakt integraal deel uit van de Overeenkomst.