1. Inleiding.

1.1. De GRC Foundation CIC (hierna: de Foundation) is opgericht op 7 december 2021. De foundation is verantwoordelijk voor de exploitatie van het ISAE 3402 register.

1.2. De Foundation heeft zich onder meer tot doel gesteld goed ondernemingsbestuur en transparantie binnen het maatschappelijk verkeer te bevorderen.

1.3. De gestelde doelstelling tracht de stichting onder meer te verwezenlijken door:

  1. het tot stand brengen en in stand houden van een of meer registers waarin natuurlijke- en rechtspersonen kunnen worden ingeschreven die voldoen aan de onder 1.3.2. bedoelde criteria;
  2. het vaststellen, zo nodig herzien of aanvullen, van criteria op basis waarvan inschrijving in een register wordt verleend;
  3. het op aanvraag toetsen van door aanvragers verstrekte gegevens aan de criteria vermeld onder 1.3.2.;
  4. het op basis van de onder 1.3.3. vermelde toetsing, onder nader te stellen voorwaarden, toestemming verlenen tot het gebruik van een door de stichting vast te stellen aanduiding;
  5. het verstrekken van gegevens uit een register aan belanghebbenden.

1.4. De bevoegdheid van het bestuur tot het vaststellen c.q. wijzigen van een reglement volgt uit artikel 10 van de statuten van de stichting.

2. Doel.

2.1. Dit reglement heeft tot doel nadere regels met betrekking tot het voorgaande te geven.

2.2. De Corporate Governance registers hebben tot doel de samenleving een register te bieden waarin op het terrein van corporate governance gekwalificeerde ondernemingen zich kunnen laten inschrijven en dat geraadpleegd kan worden door degene die dat wenst.

3. Begripsbepalingen. Voor de toepassing van dit reglement wordt verstaan onder:

de stichting: de Stichting Corporate Governance;

de statuten: de statuten van de stichting voor de eerste maal vastgelegd bij notariële akte 19 maart 2009 en zoals daarna gewijzigd;

het bestuur: het bestuur van de stichting; - het reglement: het onderhavige reglement;

het register: het onderhavige Corporate Governance Register (‘ISAE 3402 register’);

de geregistreerde: de rechtspersoon die is toegelaten tot het register;

de aanvrager: de rechtspersoon die de wens te kennen gegeven heeft te worden toegelaten in het register;

de aanvraag: de schriftelijke uiting van de aanvrager inzake de wens te worden toegelaten tot het register;

het aanvraag formulier: het door de stichting verstrekte formulier ten behoeve van het doen van een aanvraag;

de Commissie: de commissie die het bestuur, al dan niet op ad hoc basis, kan samen stellen welke desgevraagd het bestuur onder meer adviseert en beroepszaken behandelt. Leden van het bestuur maken geen deel uit van de commissie.

4. Toelating. Tot de Corporate Governance registers wordt toegelaten de rechtspersoon die voldoet aan de in het reglement gestelde voorwaarden en die de stichting een aanvraag tot toelating heeft doen toekomen overeenkomstig het gestelde in dit reglement.

5. Aanvraag tot toelating.

5.1. De aanvraag tot toelating moet door de aanvrager zelf worden gedaan en omvat:

- Indiening van het volledig ingevulde en ondertekende aanvraagformulier;

- Overlegging van een bewijsstuk waaruit blijkt dat de aanvrager over een ISAE 3402 rapportage beschikt;

- Een door de aanvrager ondertekende verklaring, volgens het door de stichting verstrekte model, waarin deze verklaart de verplichtingen voortvloeiend uit dit reglement, te zullen naleven;

- Een kopie bankafschrift waaruit blijkt dat de aanvrager de eerste registerbijdrage heeft voldaan (afhankelijk van de abonnementsvorm).

5.2. De aanvraag dient de in artikel 5 lid 1 vermelde bescheiden in te dienen bij het secretariaat van de stichting via info@isae3402.nl.

5.3. De registerbijdrage dient door de aanvrager te worden voldaan aan op de bankrekening van de stichting voor de registratie in het ISAE 3402 register.

5.4. Een aanvraag welke niet voldoet aan de voorwaarden vermeld in dit artikel, onvolledig is of bij controle op een of meer onderdelen onjuist blijkt te zijn, wordt niet aan het bestuur voorgelegd.

5.5. In het geval als bedoeld in artikel 5.4. wordt de aanvrager schriftelijk bericht dat hij de gelegenheid heeft de verstrekte informatie aan te vullen en/of te verbeteren en opnieuw in te dienen binnen een termijn van dertig dagen na de datum vermeld in het schriftelijk bericht. De stichting zal voor de behandeling van deze aanvraag EUR 95,-- aan administratiekosten bij de aanvrager in rekening brengen. De ingediende informatie wordt uitsluitend behandeld na ontvangst van de betaling van de administratiekosten.

5.6. Mocht na aanvulling en/of verbetering, de verstrekte informatie nog steeds niet voldoen aan de voorwaarden vermeld in dit artikel en/of onvolledig zijn, dan wordt de aanvraag niet ontvankelijk verklaard. De aanvrager wordt hierover ingelicht en behoudt het recht zijn aanvraag volledig te maken. In dit geval zal de stichting additionele administratiekosten van EUR 175,-- in rekening brengen voor de behandeling van deze aanvraag.

5.7. Ingeval van kennelijk opzettelijke verstrekking van onjuiste gegevens besluit het bestuur dat de aanvraag niet in behandeling wordt genomen. De aanvrager en de Commissie worden daarover schriftelijk ingelicht. De aanvrager kan binnen veertien dagen na dagtekening van de schriftelijke mededeling een bezwaarschrift indienen bij de secretaris van de stichting. Het bezwaarschrift wordt behandeld door de Commissie. Indien de commissie het bezwaar verwerpt wordt gedurende een termijn van tien jaren, te rekenen vanaf de datum van de beslissing van de Commissie, geen aanvraag van de betreffende persoon in behandeling genomen.

5.8. Uitsluitend de volledige ISAE 3402 rapportage inclusief de assurance mededeling van een door de Nederlandse Beroepsorganisatie voor Accountants erkend accountantskantoor of zelfstandig werkzame accountant worden door het bestuur erkend als bewijsstuk voor registratie. Een onvolledig- of gebrekkig aangeleverd bewijsstuk wordt overeenkomstig artikel 5.4 niet aan het bestuur voorgelegd.

5.9. Indien een aanvraag wordt gedaan door een aanvrager van wie is gebleken c.q. blijkt dat hij/zij voor het tijdstip van de aanvraag het desbetreffende keurmerk ten onrechte heeft gevoerd, dan wordt die aanvraag voor een periode van drie jaar, te rekenen vanaf de datum van ontvangst door de Stichting Corporate Governance van de aanvraag, niet in behandeling genomen. Het vermelde in 5.7. en 7.9. is in een dergelijk geval van overeenkomstige toepassing.

6. Aanvaarding registratie

6.1. Het bestuur stelt, zo nodig per aanvraag, vast of een assurance rapportage als aanvaardbaar geldt in het kader van dit reglement.

7. Besluit tot toelating of niet toelating.

7.1. Het bestuur beslist op basis van de door de aanvrager verstrekte informatie en eventuele overige ter beschikking gestelde informatie over het al dan niet toelaten van de aanvrager tot het register.

7.2. De aanvrager wordt schriftelijk (per mail) in kennis gesteld van het resultaat van de beslissing van het bestuur. Een afwijzende beslissing wordt met redenen omkleed.

7.3. Ingeval het bestuur afwijzend beschikt kan de aanvrager tot twee maanden na de datum vermeld in de schriftelijke afwijzing daartegen schriftelijk in beroep gaan.

7.4. Het beroep moet per aangetekend schrijven plaatsvinden en worden gericht aan het secretariaat van de stichting. De administratiekosten voor de behandeling van een beroep bedragen EUR 375,-- per procedure.

7.5. Het beroep wordt behandeld door de Commissie.

7.6. De Commissie doet binnen drie maanden na ontvangst van het beroep uitspraak.

7.7. De aanvrager wordt schriftelijk in kennis gesteld van de uitspraak van de Commissie.

7.8. Met de indiening van een beroep verplicht de aanvrager zich stilzwijgend tot aanvaarding van de uitspraak van de Commissie en het afzien van enige verdere actie in of buiten rechte.

7.9. Nadat het bestuur heeft besloten dat de aanvrager kan worden toegelaten tot het register zal de secretaris tot inschrijving overgaan.

8. Duur van de inschrijving.

8.1. De inschrijving geldt voor de duur van een jaar.

8.2. Na verloop van een jaar kan het bestuur besluiten tot herziening van de inschrijving. Indien hiertoe niet besloten wordt, wordt de inschrijving stilzwijgend met een jaar verlengd.

8.3. Na controle en akkoord bevinding van de in artikel 9.3. vermelde bescheiden wordt de inschrijving stilzwijgend verlengd voor de termijn van een jaar.

8.4. Indien een of meer van de in hoofdstuk 12 vermelde artikelen, niet, niet tijdig of onvolledig wordt gemeld, is het gestelde in hoofdstuk 7 inzake de beroepsprocedure van overeenkomstige toepassing.

9. Beëindiging of schorsing van de inschrijving.

9.1. De geregistreerde kan te allen tijde verzoeken de inschrijving te beëindigen.

9.2. Het bestuur kan besluiten een inschrijving te beëindigen of schorsen indien de geregistreerde naar de mening van het bestuur het belang van stichting schaadt of dreigt te schaden of indien zich ten aanzien van de geregistreerde omstandigheden voordoen waardoor het belang van de stichting kan worden geschaad. Het gestelde in hoofdstuk 7 inzake de beroepsprocedure is in een dergelijk geval van overeenkomstige toepassing.

9.3. Indien achteraf blijkt dat een inschrijving of verlenging daarvan mede werd gebaseerd op kennelijk opzettelijk door de geregistreerde verstrekte onjuiste gegevens, besluit het bestuur tot beëindiging van die inschrijving. De procedure vermeld in artikel 5.8 is in een dergelijk geval van overeenkomstige toepassing.

9.4 De geregistreerde is verplicht een dergelijke wijziging aan de stichting te melden.

9.5. Blijkt dat de geregistreerde voor de datum van inschrijving bewijs van inschrijving bij de stichting zonder toestemming van Corporate Governance heeft gevoerd dan wordt de inschrijving voor een periode van drie jaar geschorst. Het vermelde in 5.7. is in een dergelijk geval van overeenkomstige toepassing.

10. Rechten van de geregistreerde.

10.1. De geregistreerde heeft recht op een schriftelijk bewijs van zijn inschrijving in het register. Hiervoor worden EUR 70,-- administratiekosten (excl. btw) per certificaat in rekening gebracht.

10.2. De geregistreerde heeft, gedurende de periode waarin hij in het register is ingeschreven, het recht dit te gebruiken. Het gestelde in het reglement inzake het gebruik en toezicht op het certificaat is daarbij van toepassing.

10.3. De geregistreerde heeft het recht van de stichting te verlangen dat aan derden een bewijs van zijn inschrijving in het register wordt verstrekt. De administratiekosten hiervoor zijn overeenkomstig artikel 10.1.

10.4. De geregistreerde heeft, desgevraagd, recht op verstrekking van een lijst van de geregistreerden van de categorie waarin de geregistreerde is opgenomen. De lijst dient onder opgave van reden schriftelijk te worden aangevraagd bij de secretaris. De administratiekosten hiervoor bedragen EUR 95,--.

10.5. Geen der hiervoor vermelde rechten kan door een geregistreerde, onder welke titel ook, aan een derde worden overgedragen.

11. Plichten van de geregistreerde.

11.1. De geregistreerde verplicht zich wijziging(en) in de door hem opgegeven gegevens aan de stichting te melden zodat het register actueel kan worden gehouden.

11.2. De geregistreerde verplicht zich een passend gebruik te maken van de rechten vermeld in hoofdstuk 1.1 en het reglement inzake het gebruik en toezicht op de desbetreffende inschrijving en overigens niets te doen dat het belang van de stichting of een door de stichting nagestreefd doel als vermeld in de statuten zou kunnen schaden.

11.3. De geregistreerde verplicht zich aan de stichting te melden indien hem blijkt of indien hij vermoedt dat een niet geregistreerde een registratie van de Stichting Corporate Governance gebruikt.

12. Verstrekking van gegevens uit het register.

12.1. De stichting heeft het recht inzake een geregistreerde aan derden de volgende gegevens te verstrekken uit het register: bedrijfsnaam, vestigingsadres, telefoonnummer, telefax nummers, e-mail adres en datum van inschrijving.

12.2. Beperking van te verstrekken gegevens is mogelijk op verzoek van de geregistreerde.

12.3. Van een verstrekking aan derden wordt aantekening gehouden door de stichting. Aan een geregistreerde wordt desgevraagd medegedeeld aan wie gegevens werden verstrekt.

12.4. In de in artikel 10.4. genoemde lijst worden de volgende gegevens inzake geregistreerden vermeld: bedrijfsnaam, adres, postcode, woonplaats en e-mail adres voor zover door de betreffende geregistreerde bij zijn/haar inschrijving tegen verstrekking geen bezwaar is gemaakt.

13. Persoonsgegevens (eenzijdige verwerkingsovereenkomst).

13.1 Wij verwerken de persoonsgegevens uitsluitend op een manier die wij met onze opdrachtgevers hebben afgesproken in de onderliggende opdracht. Dit verwerken doen wij niet langer of uitgebreider dan noodzakelijk voor de uitvoering van de onderliggende opdracht. De verwerking vindt plaats volgens schriftelijke instructies, tenzij wij op grond van de wet- of regelgeving verplicht zijn om anders te handelen (bijvoorbeeld bij het maken van een afweging of een melding van een “ongebruikelijke transactie” moet worden gedaan in het kader van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)).
Indien een instructie, naar onze mening, een inbreuk maakt op de AVG stellen wij onze opdrachtgevers daarvan onmiddellijk in kennis.

De verwerking vindt plaats onder de verantwoordelijkheid van opdrachtgever. Wij hebben geen zeggenschap over het doel en de middelen van de verwerking en nemen geen beslissingen over zaken als het gebruik van persoonsgegevens, de bewaartermijn van de voor opdrachtgevers verwerkte persoonsgegevens en het verstrekken van persoonsgegevens aan derden. Opdrachtgever moet er voor zorgen dat opdrachtgever het doel en de middelen van de verwerking van de persoonsgegevens duidelijk heeft vastgesteld. De zeggenschap over de persoonsgegevens berust nooit bij ons. Als wij een zelfstandige verplichting mochten hebben op basis van wettelijke voorschriften, dan leven wij deze verplichtingen na.

Opdrachtgever is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient opdrachtgever vast te stellen of er sprake is van een rechtmatige grondslag voor het verwerken van de persoonsgegevens. Wij zorgen ervoor dat wij voldoen aan de op ons als verwerker van toepassing zijnde regelgeving op het gebied van de verwerking van persoonsgegevens en de afspraken die we hebben gemaakt in de overeenkomst.

Wij dragen zorg dat alleen onze medewerkers toegang hebben tot de persoonsgegevens. De uitzondering hierop is opgenomen in het volgende alinea. Wij beperken de toegang tot medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot persoonsgegevens die deze medewerkers nodig hebben voor hun werkzaamheden. Wij zorgen er bovendien voor dat de medewerkers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

Wij kunnen andere verwerkers (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de onderliggende opdracht, bijvoorbeeld als deze sub-verwerkers over specialistische kennis of middelen beschikken waarover wij niet beschikken. Als het inschakelen van sub-verwerkers tot gevolg heeft dat deze persoonsgegevens gaan verwerken dan zullen wij die sub-verwerkers (schriftelijk) de verplichtingen uit de overeenkomst opleggen. Voor het inschakelen van overige sub-verwerkers vragen wij eerst opdrachtgevers toestemming. Opdrachtgevers kunnen toestemming weigeren maar dit kan in sommige gevallen betekenen dat wij de onderliggende opdracht moeten beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan ons.

Voor zover mogelijk verlenen wij opdrachtgever bijstand bij het vervullen van opdrachtgever verplichtingen om verzoeken om uitoefening van rechten van betrokkenen af te handelen. Als wij (rechtstreeks) verzoeken ontvangen van betrokkene(n) om uitoefening van hun rechten (bijvoorbeeld inzage, wijziging of verwijdering van persoonsgegevens), dan zenden wij deze verzoeken door naar opdrachtgever. Opdrachtgever handelt deze verzoeken zelf af, waarbij wij opdrachtgever natuurlijk behulpzaam kunnen zijn als wij in het kader van de onderliggende opdracht toegang hebben tot deze persoonsgegevens. Hiervoor kunnen wij kosten in rekening brengen.

Wij zullen de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte, tenzij wij hierover met opdrachtgever andere afspraken hebben gemaakt. Deze afspraken leggen wij gezamenlijk schriftelijk vast, of per e-mail.

Als wij een verzoek krijgen om persoonsgegevens ter beschikking te stellen dan doen wij dit alleen als het verzoek is gedaan door een daartoe bevoegde instantie. Bovendien beoordelen wij eerst of wij van mening zijn dat het verzoek bindend is. Als er geen strafrechtelijke of andere juridische belemmeringen zijn, dan stellen wij opdrachtgever op de hoogte van het verzoek. Wij proberen dat op zodanig korte termijn te doen, dat het voor opdrachtgever mogelijk is om eventuele rechtsmiddelen tegen de verstrekking van de persoonsgegevens in te stellen. Als wij opdrachtgever op de hoogte mogen stellen dan zullen wij ook met opdrachtgever overleggen over de wijze waarop en welke gegevens wij ter beschikking zullen stellen.

13.2 Beveiligingsmaatregelen

Wij hebben toereikende beveiligingsmaatregelen genomen. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico’s, de stand van de techniek en de kosten van de beveiligingsmaatregelen.

Opdrachtgever heeft zich goed geïnformeerd over de beveiligingsmaatregelen die wij hebben genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de persoonsgegevens en de omvang, context, doeleinden en risico’s van de verwerking.

Wij informeren opdrachtgever als een van de beveiligingsmaatregelen substantieel wijzigt.

Wij bieden passende waarborgen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. Als opdrachtgever de wijze waarop wij de beveiligingsmaatregelen naleven wil laten inspecteren, dan kan opdrachtgever hiertoe een verzoek aan ons doen. Wij zullen hierover gezamenlijk met opdrachtgever afspraken maken. De kosten van een inspectie zijn voor rekening van de opdrachtgever. Opdrachtgever stelt aan ons een kopie van het inspectierapport ter beschikking.

13.3 Datalekken

Als er sprake is van een datalek dan stellen Wij opdrachtgever daarvan op de hoogte. Wij streven ernaar dit te doen binnen 48 uur nadat wij dit datalek hebben ontdekt, of zo snel mogelijk nadat wij daarover door onze sub-verwerkers zijn geïnformeerd. Wij zullen opdrachtgever daarbij voorzien van de informatie die opdrachtgever redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken c.q. wij zenden de melding van onze sub-verwerker aan u door. Ook van de door ons, of onze sub-verwerker, naar aanleiding van het datalek genomen maatregelen houden Wij opdrachtgever op de hoogte.

De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is altijd de verantwoordelijkheid van de opdrachtgever.

Het (bij)houden van een register van datalekken is altijd de verantwoordelijkheid van de opdrachtgever.

13.4 Geheimhoudingsplicht

Wij houden de van opdrachtgever verkregen persoonsgegevens geheim en verplichten onze medewerkers en eventuele sub-verwerkers ook tot geheimhouding.

13.5 Aansprakelijkheid

Opdrachtgever staat er voor in dat de verwerking van persoonsgegevens op basis van onze overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van betrokkene(n).

Wij zijn niet aansprakelijk voor schade die het gevolg is van het door opdrachtgever niet naleven van de AVG of andere wet- of regelgeving. Opdrachtgever vrijwaart ons ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die wij in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan ons worden opgelegd ten gevolge van het handelen van opdrachtgever.

De in de onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van onze aansprakelijkheid is van kracht op de verplichtingen zoals opgenomen in de overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van de overeenkomst en /of de onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.

13.6 Beëindiging en teruggave / vernietiging persoonsgegevens

Als de onderliggende opdracht wordt beëindigd dan zullen wij de door opdrachtgever aan ons verstrekte persoonsgegevens aan opdrachtgever terug overdragen of – als opdrachtgever ons daarom verzoekt – vernietigen. Wij zullen uitsluitend een kopie van de persoonsgegevens bewaren als wij hiertoe op grond van wet- of regelgeving verplicht zijn.

De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de onderliggende opdracht zijn voor rekening van opdrachtgever. Datzelfde geldt voor de kosten van de vernietiging van de persoonsgegevens. Als opdrachtgever daarom vraagt dan geven wij opdrachtgever vooraf een kosteninschatting.

14. Slotbepalingen.

14.1 De stichting kan dit reglement te allen tijde wijzigen zonder daarvan aan geregistreerden mededeling te hoeven te doen.

14.2. Geregistreerden hebben geen recht op enige vergoeding van welke schade ook, welke door of ten gevolge van een besluit tot wijziging van dit reglement is of kan ontstaan.

14.3. Het bestuur besluit over alle kwesties inzake het register waarover dit reglement geen uitsluitsel biedt. Tegen een dergelijk besluit staat geen beroep open.

14.4. Dit reglement werd conform artikel 10 van de statuten door het bestuur vastgesteld op 10 december 2009 en is per 1 december 2017* aangepast en met onmiddellijke ingang van kracht. Het bestuur van de Stichting Corporate Governance * * *

* De procedure ten aanzien van de aanlevering van bewijsstukken dat de rechtspersoon beschikt over een ISAE 3402 is verruimd, een bevestiging van de externe auditor wordt als bewijsstuk geaccepteerd. Daarnaast dient voor inschrijving in het register expliciet goedkeuring te worden verkregen van de serviceauditor voor (mede)bekendmaking van de ISAE 3402 rapportage via ISAE3402.nl.