1.1. Deze Service- & licentievoorwaarden (hierna; Voorwaarden) zijn van toepassing op alle aanbiedingen, proeftrajecten, offertes en overeenkomsten tussen Normavix B.V. (hierna; Normavix, wij/ons) en een afnemer (hierna; Klant), met betrekking tot de Normavix-software, Services, add-ons, API’s, documentatie, contenttemplates en aanverwante (advies)diensten.
1.2. Dit document is op zichzelf geen aanbod; toepasselijkheid volgt uit de Serviceovereenkomst en/of uit een schriftelijke ‘van toepassing verklaring’.
1.3. Afwijkingen en aanvullingen op deze Voorwaarden zijn slechts geldig indien schriftelijk overeengekomen. Eventuele inkoop- of andere voorwaarden van de Klant zijn uitdrukkelijk van de hand gewezen.
1.4. Indien een bepaling (gedeeltelijk) nietig of vernietigbaar is, blijven de overige bepalingen volledig van kracht. Partijen zullen in dat geval in overleg treden om een vervangende bepaling overeen te komen die zoveel mogelijk het doel en de strekking van de oorspronkelijke bepaling benadert.
3.1. Gedurende de contractsperiode verleent Normavix aan Klant een niet-exclusief, niet-overdraagbaar en niet-sublicentieerbaar gebruiksrecht op de Applicatie, uitsluitend voor de eigen bedrijfsvoering van Klant en de daarin actieve entiteiten die in de Serviceovereenkomst zijn genoemd.
3.2. Het gebruiksrecht omvat toegang tot de Applicatie via internet. Levering van broncode of installatie onpremises is uitgesloten.
3.3. Het is Klant niet toegestaan om;
3.4. Normavix kan gebruik van de Applicatie beperken tot het aantal gebruikers/entiteiten/records of APIcalls zoals in de Serviceovereenkomst bepaald (fair use). Bij overschrijding kan Normavix aanvullende vergoedingen in rekening brengen of de overschrijding blokkeren.
3.5. Klant is verantwoordelijk voor correcte autorisatie en het beheer van gebruikersaccounts (inclusief Single SignOn indien geactiveerd). Misbruik van inloggegevens komt voor risico van Klant.
3.6. Normavix garandeert tenant-isolatie op applicatie- en datalaag, zodanig dat Klant geen toegang kan krijgen tot data van andere klanten of tenants, ook niet via API’s, imports, exports, record rules of integraties.
4.1. De Applicatie biedt configuratiemogelijkheden (o.a. risicomodellen, taken, workflows, controles, templates). Klant bepaalt zelfstandig of inrichting, parameters en uitkomsten geschikt zijn voor het beoogde doel en in lijn zijn met toepasselijke normen (bijv. Wwft/AMLR, ISQM1/SKM1 NL, interne beleidskaders).
4.2. Door Normavix aangeboden templates, voorbeeldteksten, signaleringen, dossiervelden, dashboards en rapportages zijn generiek en vormen geen (juridisch) advies. Integrale verantwoordelijkheid voor naleving blijft bij Klant.
4.3. Indien Normavix updates aanlevert voor content of risicomodellen, is Klant verantwoordelijk voor validatie en acceptatie voordat deze in productie worden gebruikt.
5.1. Normavix verbetert de Applicatie continu. Functionele of technische wijzigingen die geen wezenlijke negatieve impact hebben, mogen zonder voorafgaande toestemming worden doorgevoerd. Aan de roadmap kunnen geen rechten worden ontleend.
5.2. Bij wijzigingen met wezenlijke negatieve impact op de afgesproken functionaliteit of integratie(s) informeert Normavix de Klant tijdig en zal een redelijke overgangstermijn worden geboden.
5.3. Voorversies (preview/bèta/PoC) vallen niet onder de SLA.
6.1. Normavix garandeert een maandelijkse uptime van 99,9% per kalendermaand. Uptime wordt gemeten aan de rand van onze infrastructuur. Uitsluitingen;
De wijze van meting en rapportage wordt uitgewerkt in de SLA.
6.2. Gepland onderhoud wordt zo veel mogelijk buiten Werkdagen uitgevoerd. Bij groot onderhoud (langer dan één Werkdag) communiceren wij dit vooraf. Nadere specificatie van onderhoudsvensters wordt vastgelegd in de SLA.
6.3. Supportkanalen, supportvensters, prioritering en responstijden worden vastgelegd in de SLA.
6.4. Dagelijkse backups met een retentie van 7 dagen.
Herstel is ‘best efforts’ en kan tot dataverlies leiden binnen de RPO. Verdere details en aanvullende backupopties worden gespecificeerd in de SLA.
6.5. Uptimecredits zijn niet van toepassing. Het niet halen van de uptime geeft geen recht op credits of ontbinding, behoudens de SLA of de overeenkomst.
6.6. Klant is verantwoordelijk voor het vaststellen en naleven van bewaartermijnen voor (onderdelen van) de Kwaliteitsmanagementdocumentatie en Klantdata, waaronder - indien en voor zover dit op Klant van toepassing is - een bewaartermijn van zeven jaar voor documentatie inzake het kwaliteitsmanagementsysteem (ISQM1/ SKM1 NL). Normavix ondersteunt dit gedurende de contractsperiode door (voor zover afgenomen) functionaliteit voor archivering (Q&E Library), audittrail, toegangsbeheer en export van gegevens. Klant heeft tot 90 dagen na opzeggen de mogelijkheid om de gegevens en documentatie veilig te stellen.
6.7. Normavix verwijdert gedurende de contractsperiode geen Kwaliteitsmanagement-documentatie die door Klant als afgesloten/te bewaren is gemarkeerd, tenzij op instructie van Klant of indien Normavix daartoe wettelijk verplicht is.
6.8. Normavix kan functionaliteit bieden voor het afsluiten (locken) van een periode (bijv. jaarlijks). Na afsluiting is het niet mogelijk om de betreffende vastleggingen te wijzigen of te verwijderen, behoudens via een afzonderlijk correctieproces waarbij de oorspronkelijke vastleggingen behouden blijven en alle wijzigingen inzichtelijk worden gelogd.
6.9. Klant is verantwoordelijk voor het bepalen welke periodes worden afgesloten en voor de beoordeling van de volledigheid en bruikbaarheid daarvan voor audit- en bewaardoeleinden.
6.10. Normavix ondersteunt de bewijswaarde van afgesloten periodes door - waar passend - versie-informatie en logging van export- en raadpleegactiviteiten beschikbaar te stellen en - waar beschikbaar - een integriteitsmanifest (checksums/hashes met generatiedatum en scope) te genereren. Het integriteitsmanifest dient ter ondersteuning van aantoonbaarheid en vervangt geen eigen dossierbeoordeling door Klant of diens auditor.
7.1. Normavix treft passende technische en organisatorische beveiligingsmaatregelen om de Applicatie en Klantdata te beveiligen tegen verlies of onrechtmatige verwerking, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de verwerking en de waarschijnlijkheid en ernst van de risico’s voor de rechten en vrijheden van natuurlijke personen.
7.2. Hosting en primaire gegevenslocatie; binnen de Europese Economische Ruimte (EER), tenzij partijen schriftelijk anders overeenkomen (bijv. in de DPA of de Serviceovereenkomst). Normavix kan onderdelen van de infrastructuur wijzigen mits het beschermingsniveau niet wordt verlaagd.
7.3. Normavix kan redelijke beveiligings- en gebruiksregels opleggen (bijv. wachtwoordbeleid, MFA, SSHkeys, IPwhitelisting). Nietnaleving kan leiden tot beperking van toegang ter bescherming van het platform en andere klanten.
8.1. Voor zover Normavix bij de levering van de Diensten als verwerker optreedt, sluiten partijen een aparte gegevensverwerkingsovereenkomst (DPA) die integraal onderdeel vormt van de overeenkomst.
8.2. Normavix verwerkt Persoonsgegevens uitsluitend volgens schriftelijke instructies van Klant en conform de DPA. Klant blijft verwerkingsverantwoordelijke.
8.3. Datalekken; Normavix meldt een redelijkerwijs vastgestelde inbreuk in verband met persoonsgegevens binnen 48 uur na ontdekking en in principe binnen aan het door Klant opgegeven meldpunt, met de op dat moment beschikbare informatie. Klant is verantwoordelijk voor (eventuele) meldingen aan toezichthouders en betrokkenen, tenzij anders in de DPA bepaald.
8.4. Subverwerkers; Normavix kan subverwerkers inzetten. Normavix verstrekt een verwijzing naar de actuele lijst via Bijlage 3 van de DPA. Klant kan gemotiveerd bezwaar maken tegen een nieuwe subverwerker binnen 14 dagen na aankondiging; bij uitblijven van overeenstemming kunnen partijen de relevante Dienst beëindigen per de ingangsdatum van de wijziging.
8.5. Na beëindiging worden Klantdata verwijderd conform artikel 15 en de DPA, behoudens wettelijke bewaarplichten.
9.1. De Applicatie bevat AIfuncties (bijv. suggesties, risicoscoreassistentie, tekstgeneratie, detecties). Deze ondersteunen Gebruikers maar vervangen menselijke beoordeling niet.
9.2. Klant zorgt voor passende AIgeletterdheid, instructies, logging en menselijke controle op AIuitkomsten, in lijn met toepasselijke regelgeving (waaronder AVG/Uitvoeringswet AVG en - zodra van toepassing - de EU AI Act).
9.3. Tenzij in een afzonderlijke overeenkomst anders is overeengekomen, gebruikt Normavix Klantdata niet voor training van generieke (foundation)modellen. Normavix kan geanonimiseerde of geaggregeerde telemetrie gebruiken voor kwaliteitsverbetering van Normavixspecifieke modellen/algoritmen. Klant kan hiervoor een optout verzoeken indien dit redelijkerwijs uitvoerbaar is zonder onevenredige inspanning.
9.4. Normavix zal via AI-API’s of andere (derde) AI-diensten geen Persoonsgegevens verwerken of doorgeven. Indien en voor zover Klant uitdrukkelijk wenst dat Persoonsgegevens met een (derde) AI-dienst worden verwerkt, kan dit uitsluitend na voorafgaande schriftelijke toestemming van Klant en vastlegging in een aanvullend (DPA-)addendum, conform de DPA.
9.5. AIuitkomsten kunnen onjuist, onvolledig of achterhaald zijn. Klant mag niet uitsluitend op AIuitkomsten vertrouwen voor besluiten met juridische of andere significante gevolgen zonder passende menselijke toetsing (vierogen waar passend).
9.6. Normavix hanteert versiebeheer voor AImodellen of prompts en streeft naar periodieke evaluaties (o.a. nauwkeurigheid, biasindicatoren) en passende fallbackprocedures bij storingen of degradatie.
9.7. AIfunctionaliteit is geen juridisch, forensisch, toezicht of assuranceadvies. Klant blijft integraal verantwoordelijk voor norminterpretatie en toepassing.
10.1. Klant zorgt voor;
10.2. Klant zal geen malware verspreiden, geen oneigenlijk geautomatiseerd verkeer genereren en geen beveiligingsmaatregelen omzeilen. Normavix kan preventieve maatregelen treffen bij vermoeden van misbruik.
10.3. Klant vrijwaart Normavix voor aanspraken van derden die voortvloeien uit Klantdata of gebruik van de Applicatie in strijd met deze Voorwaarden of wet en regelgeving.
11.1. De Applicatie kan data- of softwarediensten van derden gebruiken (dataproviders, KYC-tools, identityproviders, hosting, AI-API’s). Op dergelijke diensten kunnen aanvullende voorwaarden van toepassing zijn. Normavix verstrekt een verwijzing naar de actuele lijst via Bijlage 3 van de DPA.
11.2. Beschikbaarheid van integraties en API’s is mede afhankelijk van derden. Normavix is niet aansprakelijk voor wijzigingen of beëindiging van diensten van derden.
11.3. De Applicatie maakt gebruik van open-source software, waaronder Odoo (open-source) en aanvullende OSS-componenten. Deze componenten blijven onder hun respectieve licenties beschikbaar en deze Voorwaarden wijzigen die licenties niet. Een OSS-kennisgeving/overzicht met licenties wordt op verzoek beschikbaar gesteld. Voor zover toegestaan door de betreffende licenties, worden maatwerkaanpassingen en configuraties van Normavix onder de IE-rechten van Normavix geleverd.
11.4. Ondersteunde browsers, SSO-protocollen (bijv. SAML 2.0 en/of OpenID Connect), IdP-koppelingen, rol-/rechtenmapping en API-limieten worden vastgelegd in een Technische Vereisten-policy (versiebeheer door Normavix). Wijzigingen zonder wezenlijke negatieve impact mogen doorgevoerd worden met kennisgeving. Hiervoor geldt artikel 5.2.
12.1. Klant betaalt de vergoedingen zoals vermeld in de Serviceovereenkomst en/of bijgevoegde prijslijst. Tenzij uitdrukkelijk anders overeengekomen zijn prijzen exclusief btw en overige heffingen.
12.2. Facturatie vindt plaats vooruit per (deel)periode. Betalingstermijn; 14 dagen na factuurdatum, tenzij in de Serviceovereenkomst anders is overeengekomen. Bij niet-tijdige betaling kan toegang worden beperkt en is wettelijke handelsrente en vergoeding van buitengerechtelijke incassokosten verschuldigd.
12.3. Normavix kan prijzen jaarlijks indexeren of wijzigen. Een prijsverhoging wordt ten minste 30 dagen vooraf gecommuniceerd. Klant kan bij een substantiële verhoging (meer dan 10% per contractsjaar, exclusief indexatie) de overeenkomst per einde contractsjaar opzeggen, mits Klant dit doet binnen 30 dagen na aankondiging.
12.4. Additionele verbruikskosten (bijv. extra records, compute, dataverwerking door derden) kunnen separaat worden doorbelast conform prijslijst.
13.1. Alle rechten op de Applicatie, documentatie, ontwerpen, modellen, algoritmen, knowhow en (AI)modellen berusten bij Normavix en/of haar licentiegevers.
13.2. Klant behoudt alle rechten op eigen Klantdata en verleent Normavix een beperkte licentie om deze gegevens te verwerken ten behoeve van de Diensten.
13.3. Door Klant aangeleverde feedback/verbeterideeën mogen door Normavix kosteloos en zonder verplichtingen worden gebruikt.
13.4. Alle intellectuele eigendomsrechten op Normavix Content blijven bij Normavix en/of haar licentiegevers. Klant krijgt gedurende de contractsperiode een niet-exclusief, niet-overdraagbaar gebruiksrecht om Normavix Content intern te gebruiken en te bewerken ten behoeve van de eigen bedrijfsvoering en dossiervorming.
13.5. Het gebruiks- en bewerkingsrecht geldt uitsluitend binnen de geautoriseerde Normavix-omgeving of in exports die noodzakelijk zijn voor interne compliance- en kwaliteitsdoeleinden van Klant.
13.6. Klant zal Normavix Content niet in bulk exporteren of onttrekken, noch via UI, API, batchprocessen of integraties, met als doel een zelfstandig herbruikbare contentdatabase buiten de Applicatie op te bouwen.
13.7. Het is Klant niet toegestaan Normavix Content (of bewerkingen daarvan) te verspreiden, te publiceren, aan derden ter beschikking te stellen of te (her)verkopen, behalve voor zover strikt noodzakelijk in het kader van een (wettelijke) toetsing, audit of toezicht, aan;
13.8. Klant ziet erop toe dat ontvangers onder 13.7 een aantoonbare contractuele of wettelijke geheimhoudingsplicht hebben die ten minste gelijkwaardig is aan die van Klant onder deze Voorwaarden.
13.9. Klant erkent dat Normavix Content handelsgeheimen, structuur, normlogica en economische rationale bevat. Ongeoorloofde verspreiding wordt aangemerkt als wezenlijke tekortkoming en kan leiden tot directe opschorting of beëindiging.
14.1. Partijen behandelen elkaars vertrouwelijke informatie als strikt vertrouwelijk en gebruiken deze uitsluitend voor de uitvoering van de overeenkomst. Dit geldt niet voor informatie die openbaar is of rechtmatig van een derde is verkregen.
14.2. Normavix mag vertrouwelijke informatie delen met onderaannemers/subverwerkers voor zover noodzakelijk, onder een gelijkwaardig vertrouwelijkheidsregime.
15.1. De overeenkomst heeft de in de Serviceovereenkomst genoemde duur en wordt daarna stilzwijgend verlengd met gelijke perioden, tenzij een partij met een opzegtermijn van drie maanden vóór het einde van de lopende periode opzegt.
15.2. Iedere partij kan de overeenkomst met onmiddellijke ingang ontbinden bij;
15.3. Tot uiterlijk de einddatum kan Klant eigen data exporteren via exportfunctionaliteit of via een betaalde exit-dienst door Normavix.
15.4. Na beëindiging wordt toegang beëindigd en worden Klantdata verwijderd binnen 90 dagen, behoudens wettelijke bewaarplichten of een overeengekomen Archiefdienst (Read-only) als bedoeld in artikel 15.5.
15.5. Indien partijen een Archiefdienst (Read-only) overeenkomen, stelt Normavix gedurende de overeengekomen archieftermijn een bevroren archiefomgeving beschikbaar met uitsluitend lees- en exporttoegang. Normavix kan de archiefomgeving realiseren door middel van een (tenant-)snapshot of kopie van de klantomgeving die in ARCHIVE-modus wordt aangeboden.
15.6. De Archiefdienst is een separaat, optioneel af te nemen serviceproduct en maakt geen onderdeel uit van de productie-SaaS-SLA.
15.7. Normavix borgt dat Klant in de Archiefdienst geen mutaties kan doorvoeren op business-objecten en Klantdata; het is mogelijk dat onderliggende systeemmetadata van gebruikte softwarecomponenten (zoals technische log- of sessiegegevens) wijzigt zonder dat dit de inhoudelijke archiefset aantast.
15.8. Herstel van de archiefomgeving is best-effort en richt zich uitsluitend op het herstellen van toegang tot bestaande business-records, met inachtneming van de laatst vastgelegde snapshot-manifesten en logging, zonder toepassing van de productie-RTO/RPO-doelen uit 6.4, tenzij dit separaat is overeengekomen.
15.9. De Archiefdienst kent een eigen (verlaagde) SLA en supportscope en is bedoeld ter ondersteuning van bewaartermijnen en toetsings- of auditvragen. Tijdens de Archiefdienst worden geen functionele uitbreidingen, migraties of compatibiliteit met toekomstige externe integraties gegarandeerd.
15.10. Klant blijft verantwoordelijk voor de inhoud en het gebruik van de Archiefdienst, waaronder het tijdig exporteren van benodigde gegevens vóór afloop van de archieftermijn.
15.11. Na afloop van de archieftermijn worden de in de Archiefdienst opgenomen Klantdata verwijderd conform artikel 15.4 en de DPA, behoudens wettelijke bewaarplichten.
15.12. Normavix kan op verzoek een Legal Hold toepassen op specifieke onderdelen van transacties en financiële gegevens en kwaliteitsmanagementdocumentatie, waarbij verwijdering wordt geblokkeerd zolang de hold actief is. Klant blijft verantwoordelijk voor de reikwijdte en noodzaak van het verzoek.
16.1. De Applicatie wordt “as a service” geleverd. Normavix garandeert niet dat de Applicatie foutloos is of zonder onderbreking werkt. Wij spannen ons in om storingen adequaat te herstellen.
16.2. Normavix geeft geen garantie op geschiktheid voor een specifiek doel of op volledigheid/juistheid van resultaten, rapportages of AIuitkomsten. Klant blijft verantwoordelijk voor interpretatie en besluiten.
17.1. Aansprakelijkheid van Normavix voor directe schade is per gebeurtenis (of reeks van samenhangende gebeurtenissen) beperkt tot het laagste van;
17.2. Uitsluiting van aansprakelijkheid voor indirecte schade, gevolgschade, gederfde winst, reputatieschade, verlies van data, claims van derden en boetes van toezichthouders, behoudens voor zover veroorzaakt door opzet of bewuste roekeloosheid van leidinggevenden van Normavix.
17.3. Aansprakelijkheid voor dataverlies is beperkt tot herstel naar de laatste beschikbare backup (met inachtneming van de RPO/RTO zoals beschreven in artikel 6.4).
17.4. Rechtsvorderingen van Klant vervallen indien Klant Normavix niet binnen twee (2) maanden nadat Klant de schade en de daarvoor mogelijk aansprakelijke partij heeft ontdekt, dan wel redelijkerwijs had moeten ontdekken, daarvan schriftelijk en gemotiveerd in kennis heeft gesteld. Onverminderd het voorgaande vervallen rechtsvorderingen in ieder geval twaalf (12) maanden na de gebeurtenis (of de laatste gebeurtenis in een reeks van samenhangende gebeurtenissen) waarop de vordering betrekking heeft.
18.1. Partijen zijn niet aansprakelijk voor tekortkomingen door overmacht, waaronder o.a. uitval bij toeleveranciers, oorlog, natuurgeweld, pandemieën, stakingen, overheidsmaatregelen, stroom- en netwerkstoringen en grootschalige cyberaanvallen.
18.2. Duurt overmacht langer dan 30 dagen, dan kan ieder der partijen de overeenkomst schriftelijk beëindigen voor het niet-uitvoerbare deel. Reeds geleverde prestaties worden naar rato afgerekend.
19.1. Klant verklaart te zullen handelen in overeenstemming met toepasselijke export en sanctieregimes en geen gebruik te maken van de Applicatie in verboden landen of voor verboden doeleinden.
19.2. Normavix kan toegang opschorten bij een redelijk vermoeden van misbruik, fraude of overtreding van sanctieregimes.
19.3. Normavix kan toegang per direct opschorten indien uit logging blijkt dat Klant Normavix Content of Klantdata in een opvallend of onlogisch overmatig bulkvolume exporteert, in strijd met de licentie, of indien een audit- of toezichtverzoek daartoe noodzaakt.
20.1. Normavix kan deze Voorwaarden wijzigen. Wijzigingen worden van kracht 30 dagen na kennisgeving. Indien een wijziging redelijkerwijs nadelig is voor Klant, kan Klant de overeenkomst schriftelijk opzeggen per de ingangsdatum van de wijziging.
21.1. Op de overeenkomst is Nederlands recht van toepassing.
21.2. Geschillen worden exclusief voorgelegd aan de bevoegde rechter te Utrecht.