Een IT-contract is een overeenkomst voor levering van software, SaaS, cloud, consultancy of een combinatie. Nederlandse IT-bedrijven leveren steeds vaker aan buitenlandse klanten. Een goed IT-contract regelt privacy, IE-rechten, aansprakelijkheid en exportcontrole. In onze praktijk zien wij dat Nederlandse leveranciers ondermaatse algemene voorwaarden inzetten die internationaal niet werken. Met paar gerichte aanpassingen wordt het contract zowel commercieel als juridisch sterk.
Wat is het juridische probleem?
IT-contracten raken meerdere rechtsgebieden tegelijk: intellectueel eigendom, privacy, aansprakelijkheid, exportcontrole en consumenten- of B2B-bescherming. Per land gelden andere regels. Zonder doordachte contractbasis krijgt u te maken met onvoorspelbare aansprakelijkheid, AVG-claims of strijd over eigendom van resultaten. Daarnaast verwacht elke markt eigen contractuele standaarden die niet automatisch passen op uw sjabloon.
Wat zegt de wet?
Binnen de EU gelden de AVG (Verordening 2016/679), NIS2 (Richtlijn 2022/2555 betreffende netwerk- en informatiesystemen), Cyber Resilience Act (Verordening 2024/2847) en Data Act (Verordening 2023/2854, grotendeels van toepassing per 12 september 2025). Voor digitale diensten geldt de Digital Services Act (Verordening 2022/2065). Naar Nederlands recht regelt de Telecommunicatiewet specifieke sectoraspecten.
Voor consumenten geldt artikel 7:50aa BW (digitale inhoud en diensten). Voor dual-use software geldt EU Verordening 2021/821. Voor exportcontrole van versleutelingstechnologie geldt naast deze verordening ook de Wassenaar Arrangement.
Welke risico's lopen bedrijven?
U riskeert hoge aansprakelijkheid bij datalekken — boetes tot 4 procent wereldwijde omzet onder artikel 83 AVG. Misverstanden over IE-eigendom leiden tot procedures over broncode en afgeleide werken. Onbedoelde toepassing van consumentenrecht maakt aansprakelijkheidsbeperkingen ongeldig. Sancties en exportregels kunnen leveringen blokkeren. Een verkeerd contract kan IT-bedrijven veel duurder uitkomen dan de opdracht zelf.
Praktisch voorbeeld uit onze praktijk
Wij vertegenwoordigden een Nederlandse SaaS-leverancier met Duitse klant onder Nederlandse algemene voorwaarden. Een datalek leidde tot AVG-boete én klantclaim van 950.000 euro. De aansprakelijkheidsbeperking bleek onder paragraaf 309 nr 7 BGB ongeldig wegens onredelijke uitsluiting van wezenlijke verplichtingen. Bij hercontractering bouwden wij in: Duits-recht-conforme aansprakelijkheidsbeperking met aparte plafonds per schadecategorie, DPA met SCC's onder Uitvoeringsbesluit 2021/914, NIS2-compliance, exitregeling voor datatransfer.
Wat kunt u doen?
Werk met een internationaal afgestemde versie van uw IT-contract en algemene voorwaarden. Stem privacybepalingen af op AVG en lokale wetgeving (DPA met SCC's voor doorgifte). Regel IE-rechten en gebruikslicenties helder. Bouw passende aansprakelijkheidsbeperkingen en SLA's in onder artikel 6:248 BW. Beoordeel exportcontrole onder Verordening 2021/821. Zie ook ons artikel over SaaS-overeenkomsten: juridische aandachtspunten.