Een SaaS-overeenkomst is een contract waarbij toegang tot software als dienst via cloud wordt verleend. SaaS is uitgegroeid tot de standaard voor zakelijke software. Voor leveranciers en afnemers brengt SaaS specifieke juridische uitdagingen mee: continuiteit, data-eigendom, privacy, beveiliging en aansprakelijkheid bij storingen. In onze praktijk begeleiden wij beide kanten — leveranciers die hun positie willen versterken en klanten die zich willen beschermen tegen lock-in.

Wat is het juridische probleem?

SaaS-overeenkomsten regelen toegang in plaats van installatie. De klant is afhankelijk van uptime, continuiteit en datastreven van de leverancier. De leverancier moet rekening houden met datasoevereiniteit, beveiliging en aansprakelijkheid. Bij internationale klanten gelden meerdere privacyregimes. Onduidelijkheden over auto-renewal, prijsescalatie, exit en data-portabiliteit leiden tot conflicten en lock-in.

Wat zegt de wet?

De Richtlijn Digitale Inhoud en Diensten (EU 2019/770) regelt B2C SaaS, in Nederland uitgewerkt in artikel 7:50aa e.v. BW. Voor B2B gelden algemene contractsbeginselen. De AVG (Verordening 2016/679), NIS2 (Richtlijn 2022/2555) en de Data Act (Verordening 2023/2854) zijn relevant voor verwerking, beveiliging en portabiliteit. De Data Act is grotendeels van toepassing per 12 september 2025.

Voor B2C-SaaS aan consumenten kan dwingend recht van het consumentland gelden onder artikel 6 Rome I-verordening. Voor sancties en exportcontrole gelden Verordening 833/2014 (Rusland) en specifieke regimes.

Welke risico's lopen bedrijven?

Voor klanten: lock-in, dataverlies bij contracteinde, ongunstige prijsverhogingen en gebrekkige uptime. Voor leveranciers: onbeperkte aansprakelijkheid bij datalekken, boetes onder artikel 83 AVG, claims bij grote storingen. Bij internationale verkoop dreigen extra risico's door uiteenlopende dwingende regels. Een verkeerd contract leidt tot omzetderving, reputatieschade en boetes tot 4 procent wereldwijde omzet.

Praktisch voorbeeld uit onze praktijk

Wij begeleidden een Nederlandse SaaS-leverancier met Britse multinational. Het oude contract regelde onvoldoende dataportabiliteit en bevatte een korte exitperiode. Bij dreigende overstap naar concurrent kostte data-export maanden en 200.000 euro extra. Bij hercontractering bouwden wij in onder Data Act-compliance: 90 dagen transitieperiode, dataformaat in CSV en JSON, transitiehulp tegen vast tarief, beëindiging zonder boete bij eind looptijd. Cliënt behield klant met sterkere voorwaarden.

Wat kunt u doen?

Regel uptime, support en escalatie via een SLA. Bouw redelijke aansprakelijkheidsbeperkingen in onder artikel 6:248 BW. Spreek prijsindexatie en wijzigingsrechten af. Voorzie in dataportabiliteit (artikel 25 Data Act), transitieperiode en duidelijke exitregeling. Stem privacy-, beveiligings- en localisatie-eisen af op AVG en NIS2. Zie ook ons artikel over IT-contracten met buitenlandse klanten.