Just an example of how general terms and conditions for a pentest (in Dutch) could look. This is not advice to use this, just for reflection purposes only: any comments are welcome. Also, it is to be used with specific terms and conditions which in more detail should describe the assignment.

1. Algemene voorwaarden PenTest
1
TOEPASSELIJKHEID - Deze algemene voorwaarden die van toepassing zijn op de levering van diensten door Tester.
Ze vormen samen met de bijzondere voorwaarden – vastgelegd in de bijzondere overeenkomst PenTest (de
Opdracht) – de overeenkomst tussen de Opdrachtgever en Tester (de Overeenkomst). Toepasselijkheid van
eventuele inkoop- of andere voorwaarden van Opdrachtgever wordt uitdrukkelijk van de hand gewezen.
Partijen
PARTIJEN - De partijen tot de Overeenkomstzijn:
- de Tester, (identificeer),zoals ook vermeld in de bestelling en
- de Opdrachtgever, m.a.w. de afnemer(s) van de diensten van Tester zoals vermeld in de bestelling én –
hoofdelijk en ondeelbaar daarmee verbonden - de natuurlijke persoon die de Opdracht doorgaf, zo de
bestelling is geplaatst door iemand die daartoe nadien blijkt niet gemachtigd te zijn die persoon te
vertegenwoordigen.
PERSOONLIJK - De Overeenkomst is in tuitu personae en kan niet worden overgedragen zonder de toestemming
van de andere partij. Uitzonderingen daarop zijn de situaties waar Tester de overeenkomst overdraagt aan een
vennootschap waarvan hij alleen of metanderen deel uitmaaktvan het bestuur.
MACHT VAN DE OPDRACHTGEVER – De Opdrachtgever bevestigt en garandeert gemachtigd te zijn de Opdracht te
geven in de uitgestrektheid waarin hij wordt gegeven, in het bijzonder indien derde partijen (mogelijk) in het
toepassingsgebied vallen. De Opdrachtgever vrijwaart de Tester voor elk gevolg van het situatie waarin deze
bevestiging en garantie nietvolledig of correct zou zijn.
ZELFSTANDIG - Tester zal de activiteiten in het kader van de Overeenkomst op een volledig onafhankelijke en
zelfstandige basis uitvoeren. Voor zover als nodig bevestigen de partijen dat de vrijheid en onafhankelijkheid die
zij genieten in het kader van de uitvoering van de Overeenkomst essentiële voorwaarden zijn van deze
Overeenkomst, bij gebrek waaraan deze Overeenkomst niet zou zijn gesloten. De Opdrachtgever erkent dat hij
geen werkgeverspositie bekleedt t.a.v. Tester en in geen geval patronaal gezag over hem kan uitoefenen. Tester
staatzelf in voor het nakomen van alle sociale en fiscale verplichtingen die aan zelfstandigen worden opgelegd.
Rechten en plichten van partijen
STANDAARD ONDERDELEN – In het algemeen heeft een penetratietest de volgende componenten, die evenwel
nader moeten uitgewerktworden in de bijzondere voorwaarden om tot de Opdracht te behoren:
1. Verzamelen van informatie
a. in de publieke ruimte
b. via social engineering (incl.misleiden van medewerkers,vuilnis doorzoeken,…)
c. via voorafgaande aanvallen (incl.spear-phishing,installatie van malware,…)
2. Scannen op zwaktes (“vulnerabilities”)
3. Uitbuiten van zwaktes
4. Wissen van sporen
MIDDELEN - Alle verbintenissen opgenomen door Tester zijn middelenverbintenissen. Leveringstermijnen zijn
indicatief. Dit houdt ook in dat het resultaat van de test niet alleszeggend is over de informatiebeveiliging van de
Opdrachtgever: sommige zaken zijn niet onderzocht door de omschrijving van de Opdracht, niet alle zwaktes
kunnen gevonden worden (in het algemeen, door de aangewende methodologiën, binnen de tijdslimiet, binnen de
budgetlimiet, …), etc. De Tester kan ook geen garantie geven over de bruikbaarheid van de resultaten van de
Opdracht door de Opdrachtgever.
MEDEWERKINGSPLICHT - De Opdrachtgever zal Tester voor, tijdens en na de uitvoering van de overeenkomst alle
redelijke medewerking verlenen, wat onder meer inhoudt dat hij alle nuttige en noodzakelijke g egevens,
inlichtingen, materialen en faciliteiten verschaft, in de mate dat dit het opzet van de Opdracht niet ondermijnt (bijv.
bij een black box oefening).
VER TROUWELIJKHEID – De Tester zal de gegevens vertrouwelijk behandelen waar hij in het kader van de Opdracht
toegang toe krijgt, al dan niet doordat de Opdrachtgever ze verschaft. De vertrouwelijkheid geldt in het bijzonder
niet (1) ten aanzien van de Opdrachtgever en diens aangestelden (o.a. het Blue Team), (2) de gegevens die
publiek (gekend) zijn, en (3) de gegevens die als niet vertrouwelijk zijn aangegeven. De vertrouwelijkheid geldt tot
3 jaar na het einde van de Opdracht.
OPDRACHTOMSCHRIJVING – De Opdrachtgever onderkent dat de omschrijving van de Opdracht van groot belang is,
in het bijzonder de toelaatbare methodologieën en methodes en de beperkingen die aan de Opdracht worden
opgelegd. De toegekende tijd en het toegekende budget geven ook beperkingen aan de Opdracht aan. Indien de
Opdracht op bepaalde punten onvoldoende omschreven is, kan de Tester deze naar redelijkheid aanvullen, in het
bijzonder als er geen Blue Team is aangeduid.
TOESTEMMINGEN - De Opdrachtgever geeft de Tester - in de ruimst mogelijke interpretatie - alle toestemmingen,
toelatingen, authorizaties, die nodig of nuttig zijn voor het uitvoeren van de Opdracht, wat o.a. inhoudt dat in het
kader van de Opdracht toegang kan worden genomen tot alle systemen onder de controle van de Opdrachtgever
of diens leveranciers, aannemers en dienstverleners, dat kopie (in de ruimste zin) kan worden genomen van de
gegevens waartoe toegang is genomen om te dienen in het kader van de uitvoering van de Opdracht, dat kan
geraaktworden aan de integriteitof de beschikbaarheid van gegevens van de Opdrachtgever, etc.
De Opdrachtgever bevestigt en garandeert gedurende de Opdracht deze toestemmingen te kunnen en te blijven
verlenen. Zo blijkt dat dit niet het geval zou zijn, dan zal de Opdrachtgever de Tester vrijwaren voor alle eventuele
schade door hetgebrek in deze bevestiging en garantie.

2. Algemene voorwaarden PenTest
2
Uitzonderingen op deze toestemmingen dient de Opdrachtgever expliciet en schriftelijk te maken, in de Opdracht
of via het Blue Team. Uitzonderingen worden beperkt geïnterpreteerd en gelden slechts vanaf de kennisname
ervan door de Tester en in de mate dat op dat ogenblik geen acties van de Tester lopende zijn die niet aan die
beperking voldoen die niet redelijkwijs meer kunnen worden stopgezet.
BLUE TEAM – De Opdrachtgever stelt, tenzij anders aangegeven in de bijzonder voorwaarden, binnen zijn
organisatie een beperkt aantal personen (meestal een tweetal) aan die aan de zijlijn van de Opdracht staan.
Mogelijke profielen van leden van Blue Team zijn: de veiligheidsconsulent van de Opdrachtgever en een IT
architect. Bij voorkeur zijn de leden van het Blue Team geenszins betrokken bij de effectieve implementatie van
de informatiebeveiliging,in het bijzonder indien de Opdrachtook de detectie en reactie van de organisatie test.
Het Blue Team wordt vooral tijdens de uitvoering van de Opdracht ingelicht door de Tester over het verloop van
de Opdracht. Het Blue Team kan waar nodig bijkomende bijzondere toestemmingen geven, bijsturing geven aan
de Opdracht of de Opdracht stopzetten. Door de aanstelling van een Blue Team mandateert de Opdrachtgever
de leden ervan, elk afzonderlijk, deze beslissingen te nemen. Stopzetting door het Blue Team houdt in dat het
beoogde doel van de Opdracht mogelijk niet gehaald wordtofniet (meer) haalbaar is.
ONDERAANNEMING - Tester kan voor de uitvoering van (bepaalde) diensten naar eigen inzicht gebruik maken van
uitvoeringsagenten (onderaannemers). Dit doet geen afbreuk aan de gehoudenheid van Tester t.a.v. de
Opdrachtgever. De onderaannemers zullen in hun opdracht door gelijkaardige beperkingen als de Tester
gebonden zijn. De onderaannemers genieten voor hun deel van de Opdracht van dezelfde toestemmingen van
de Opdrachtgever en van gelijke aasprakelijkheidsbeperkingen als de Tester, ook al ontstaat er tussen
Opdrachtgever en onderaannemers geen rechtstreekse contractuele band.
BEVESTIGING – De Opdrachtgever bevestigt kennis te hebben genomen van de privacyverklaring van Tester zoals
gepubliceerd op (website) en ze te begrijpen, incl. de beschrijving van de rechten van het data subject. De
Opdrachtgever aanvaardt dat als hij zijn gegevens of die derden (bijv. medewerkers) doorgeeft aan Tester, zij
zullen worden verwerkt zoals daar aangegeven en dat de Opdrachtgever voor die doorgifte verantwoordelijk is.
EIGENDOMSVOORBEHOUD - De eigendom van het Materiaal dat wordt geleverd door of voor Tester blijft de
eigendom van Tester tot de volledige factuur is betaald. Desgevallend moet de Opdrachtgever dit gedurende die
periode kenbaar maken aan elke derde die dit behoort te weten, zoals beslagleggende schuldeisers en hun
gerechtsdeurswaarders.
INTELLECTUELE EIGENDOM - Alle rechten van intellectuele en industriële eigendom op alle krachtens een
Overeenkomst ontwikkelde of ter beschikking gestelde producten berusten uitsluitend bij Tester of zijn
licentiegevers. In dit artikel wordt onder ‘product’ ondermeer verstaan: analyses, ontwerpen, documentatie,
opleidingsmateriaal, rapporten, offertes, presentaties, programmatuur en databestanden, incl. voorbereidend
materiaal daarvan.
Prijzen, facturatie en betaling
PRIJZEN - Alle prijzen worden vermeld in euro en zijn exclusief BTW en andere heffingen. Indien de overeenkomst
langer dan een jaar duurt, worden de prijzen op de verjaardag van de Overeenkomst automatisch en zonder dat
daarvoor een kennisgeving vereist is, verhoogd met drie procent (5%). Verplaatsingen worden aangerekend aan
het overeengekomen uurtarief.
UURPRIJS - Indien in de bijzondere voorwaarden een uurprijs wordt bepaald, wordt deze aangerekend op basis
van het tijdsregister dat de Tester opmaakt en aan de Opdrachtgever voorlegt. In de bijzondere voorwaarden kan
bepaald worden hoe frequent het tijdsregister wordt voorgelegd. Indien niets is bepaald, is de frequentie eenmaal
per maand. De Opdrachtgever is er zich van bewust dat de Tester zijn activiteit niet per se beperkt tot 8 uur per
dag. De Opdrachtgever wordt onherroepelijk geacht het tijdsregister te aanvaarden indien hij niet schriftelijk en
geargumenteerd reageert binnen de zeven (7) kalenderdagen. Mocht in de praktijk niet met een tijdsregister
gewerktworden,dan wordtde factuur geacht het tijdsregister te vervangen.
VASTE PRIJS – Indien in de bijzondere voorwaarden een vaste prijs is opgegeven, dan geldt deze vaste prijs voor
de opdrachtomschrijving zoals bepaald in de bijzondere voorwaarden in een beperkte interpretatie. Elke wijziging
aan de Opdracht lopende de Opdracht, (1) vermindert de vaste prijs geenszins en (2) kan, in voorkomend geval,
door de Tester extra aangerekend worden aan een redelijke uurprijs. In dit laatste geval zal de Tester de
Opdrachtgever (desgevallend via het Blue Team) inlichten van zodra deze meerprijs 10% of meer van de vaste
prijs zou kunnen worden.
FACTURATIE - Tester kan voorschotfacturen opmaken. De Opdrachtgever gaat ermee akkoord dat Tester facturen
elektronisch (o.a. in pdf) kan overmaken in plaats van op papier. De Opdrachtgever wordt onherroepelijk geacht
de factuur te aanvaarden indien hij niet schriftelijk en geargumenteerd reageert binnen de tien (10)
kalenderdagen.
BETALING - Facturen dienen binnen 10 kalenderdagen na de facturatiedatum betaald te worden op de
bankrekening van Tester, tenzij uitdrukkelijk anders aangegeven op de factuur. Indien de facturen niet (volledig)
worden betaald op hun vervaldag, (a) kan Tester de (verdere) uitvoering van de Overeenkomst opschorten of
schorsen, (b) een schadevergoeding voor administratie vorderen gelijk aan 10% van het openstaande bedrag,
met een minimum van 75 en een maximum van 1.250 EUR en (c) brengen de openstaande vorderingen
automatisch en zonder dat een ingebrekestelling vereist is interesten op aan de interestvoet die door of krachtens
de wet is bepaald voor betalingsachterstand in handelstransacties.
Duur en beëindiging

3. Algemene voorwaarden PenTest
3
ALGEMEEN - De duur van de Overeenkomst is in principe bepaald door de voltooiing van een specifieke opdracht,
maar kan – mits schriftelijke overeenkomst – ook van bepaalde of onbepaalde duur zijn. Overeenkomsten waarbij
na het einde van die opdracht Tester gelijkaardige goederen en diensten blijft leveren aan de Opdrachtgever
worden geïnterpreteerd als een verlenging van de overeenkomst voor onbepaalde duur. Voortijdige beëindiging
door de Opdrachtgever doet geen afbreuk aan diens betalingsverplichting voor reeds verstrekte goederen of
diensten.
ONTBINDENDE VOORWAARDEN - De overeenkomst tussen Tester en de Opdrachtgever is automatisch en
onmiddellijk,zonder dateen kennisgeving vereistis beëindigd, in geval
- de onderneming van een Partij wordt beëindigd,
- metbetrekking tot een Partij de faillissementsprocedure ingeleid is,
- van Overmacht waardoor de overeenkomstvoor minstens een maand nietuitgevoerd kan worden.
EENZIJDIGE BEËINDIGING - Overeenkomsten kunnen door Tester altijd met een opzegtermijn van een (1) week
opgezegd worden en zelfs met onmiddellijke ingang indien de betaling van een factuur meer dan een (1) maand
uitblijft. Overeenkomsten kunnen door de Opdrachtgever geannuleerd worden, wat enkel schriftelijk kan.
Uitzondering daarop is het onweerlegbaar vermoeden van annulatie door de Opdrachtgever indien een
ontbindende voorwaarde zich lastens de Opdrachtgever voordoet. Tester is bij annulatie gerechtigd op een
schadevergoeding die – tenzij een grotere schade kan worden bewezen – 100 % van de bestelde opdracht
bedraagt, tenzij Tester de annulatie ontvangt minstens dertig (30) kalenderdagen voor de aanvang van de
uitvoering van de Overeenkomst. Indien voordien al bepaalde daden zijn gesteld in het kader van de uitvoering
(incl. bestelling van goederen bij de leverancier), kan Tester die desalniettemin facturen en moeten die vergoed
worden onder de normale voorwaarden.
Aansprakelijkheid
BEOORDELINGSMARGE - De Opdrachtgever erkent dat de Tester in de uitvoering van de Overeenkomst een
redelijke beoordelingsmarge heeften de Tester niet kan aanspreken voor diens invulling van die marge.
GEINFORMEERD – De Opdrachtgever erkent dat impact op de integriteit en beschikbaarheid van gegevens of
applicaties een mogelijk normaal gevolg is van de Opdrachten aanvaardt de gevolgen daarvan.
INGEBREKESTELLING - Indien de Opdrachtgever meent dat de Tester wanpresteert, moet hij dit onmiddellijk en
zeker binnen een (1) week schriftelijk in detail melden aan de Tester.
SCHADEVERGOEDING - Er wordt uitdrukkelijk overeengekomen dat de aansprakelijkheid van Tester voor schade
veroorzaakt in de uitvoering van de overeenkomst aan de Opdrachtgeve of enige derde,beperkt is als volgt
- voor schade die het rechtstreeks en onmiddellijk gevolg is van een kennelijk zware fout begaan door Tester
tijdens de uitvoering van een Overeenkomst, tot maximaal het bedrag van de door Tester ontvangen
vergoeding (excl. BTW) in het kader van die Overeenkomst en zo die van lange duur is, deze binnen het
kalenderjaar dathetschadegeval zich voordoet;
- voor schade die het rechtstreeks en onmiddellijk gevolg is van een andere fout begaan door Tester tijdens
de uitvoering van een Overeenkomst, tot maximaal het bedrag van de door Tester ontvangen vergoeding
(excl. BTW) in het kader van die Overeenkomst en zo die van lange duur is, deze binnen de maand dat het
schadegeval zich voordoet;
- voor andere schade zal Tester nietaangesproken kunnen worden,incl.
 voor elke indirectie schade (zoals gederfde winst, gemiste besparingen, verminderde goodwill, schade
door bedrijfsstagnatie, schade als gevolg van aanspraken van afnemers van de Opdrachtgever,
beschadiging of verlies van data, (tijdelijke) onbeschikbaarheid van data, verlies van data, verlies van
kans),en
 voor schade die wordt geleden door een aanval door een derde die plaatsvindt tijdens de Opdracht,
zelfs als het is door uitbuiting van een zwakte die de Tester al heeft ontdekt en eventueel al heeft
meegedeeld aan (hetBlue Team van) de Opdrachtgever.
VERVAL - Enige vordering in aansprakelijkheid komt te vervallen indien de bevoegde rechtbank niet is gevat
binnen een jaar na de fout.
Communicatie
SCHRIFTELIJK - Communicatie tussen partijen per email t.a.v. de opgegeven adressen wordt beschouwd als
schriftelijk.
MONDELING - Tester kan mondelinge communicatie van de Opdrachtgever schriftelijk bevestigen. Als de
Opdrachtgever het daar niet mee eens is,dienthij dat binnen een (1) week expliciet en schriftelijk contesteren.
OPDRACHTGEVERVERMELDING - Tenzij hij schriftelijk het tegendeel aangeeft, staat de Opdrachtgever Tester toe
hem publiek en anders als Opdrachtgever te vermelden en daarvoor zijn merk of logo te gebruiken.
Toepasselijk recht, rechtsmacht en bevoegdheid
TOEPASSELIJK RECHT - Op de Overeenkomst is het Belgische recht van toepassing, met uitzondering van
eventuele verwijzingsbepalingen naar andere rechtsstelsels.
WIJZIGINGEN - Wijzigingen aan de overeenkomst(en) en eventueel afstand van recht(en) tussen de Opdrachtgever
en Tester kunnen enkel expliciet en schriftelijk gebeuren.

4. Algemene voorwaarden PenTest
4
SCHEIDBAARHEID - Mocht enige bepaling uit de overeenkomst(en) tussen de Opdrachtgever en Tester nietig of
onuitvoerbaar zijn of worden, dan raakt dit niet aan de geldigheid of de uitvoerbaarheid van de overige
bepalingen van de overeenkomst(en). De Partijen verbinden er zich toe, een bepaling die nietig verklaard wordt,
te vervangen door een bepaling die zo dicht mogelijk de economische bedoeling benadert van de nietig
verklaarde bepaling.
GESCHIL - Bij een eventueel geschil met betrekking tot een overeenkomst tussen de Opdrachtgever en Tester,
zullen partijen in eerste instantie pogen tot een minnelijke oplossing te komen. Indien dat niet mogelijk is, kan
door elke partij het geschil worden voorgelegd aan de rechtbanken van het gerechtelijk arrondissement Gent. De
Tester staat open voor toepassing van een arbitrage onder de voorwaarde dat de kost van de arbitrage sowieso
wordt gedragen door de Opdrachtgever, dat de arbitrage wordt gevoerd in het Nederlands en dat de zetel van de
arbitrage in België is. Als aan die voorwaarden is voldaan en de CEPINA regels worden toegepast, hoeft de
Opdrachtgever geen bijkomende toestemming te bekomen van de Tester om een arbitrage in te leiden. De
Opdrachtgever dient een geschil – op sanctie van verval - aan de rechtbank of eventueel de arbitrageinstelling
voor te leggen binnen een jaar na de actie die het voorwerp van het geschil uitmaaktervan.