De juridische wereld voor IT- en softwarebedrijven staat niet stil. Nieuwe wetgeving zoals NIS2 en de Data Act, maar ook toezicht van de Autoriteit Persoonsgegevens, hebben directe gevolgen voor hoe u uw bedrijf juridisch en organisatorisch moet inrichten. In deze blog, geschreven door Maarten van Beek – jurist namens ICTWaarborg, leest u de belangrijkste ontwikkelingen en een klantcase waarin Maarten een SaaS leverancier heeft geholpen zijn contracten te verbeteren.
NIS2: CEO hoofdelijk aansprakelijk bij gebrekkige security
De nieuwe NIS2-richtlijn brengt een fundamentele verandering: CEO’s worden persoonlijk aansprakelijk bij onvoldoende cybersecuritymaatregelen.
Wat betekent dit?
- De verantwoordelijkheid voor naleving van NIS2 ligt nadrukkelijk bij het hoogste management.
- Hoofdelijke aansprakelijkheid houdt in dat de CEO zelf kan worden aangesproken bij gebrekkige beveiliging en incidenten.
- Dit kan leiden tot boetes en sancties, nog los van de reputatieschade.
Voor IT- en softwareleveranciers: u moet aantonen dat uw eigen beveiliging op orde is én dat u passende afspraken met klanten heeft over security, monitoring en incidentrespons. Ook contracten en SLA’s moeten aansluiten op deze verplichtingen.
Data Act en clouddiensten: de verplichte overstapregeling
Sinds 12 september 2025 is de Data Act van toepassing. Een van de meest ingrijpende onderdelen is de verplichte overstapregeling voor clouddiensten.
Wat houdt dit in?
- Afnemers moeten hun data eenvoudig en kosteloos (vanaf 2027) kunnen meenemen naar een andere leverancier of on-premises oplossing.
- Cloudcontracten moeten een notificatietermijn van maximaal 2 maanden en een overgangsperiode van maximaal 30 dagen bevatten.
- Tussentijdse beëindiging wordt feitelijk mogelijk, waardoor leveranciers goed moeten nadenken over exit fees of vergoedingen.
Voor IT- en softwarebedrijven: zorg dat contracten worden aangepast en klanten transparant geïnformeerd. Vendor lock-in is vanaf nu juridisch niet meer houdbaar.
AP onderzoekt Clinical Diagnostics na grootschalige hack
De Autoriteit Persoonsgegevens onderzoekt of Clinical Diagnostics de AVG heeft overtreden na een hack waarbij gegevens van ten minste 485.000 vrouwen zijn gestolen. Het bedrijf informeerde samenwerkende organisaties en betrokkenen pas weken later.
Belangrijk voor u:
- De AVG verplicht organisaties om datalekken “zo snel mogelijk” te melden.
- Wat redelijk is hangt af van de situatie, maar wachten kan leiden tot sancties.
- Bijzondere persoonsgegevens (zoals medische gegevens) vereisen extra zorgvuldigheid.
- Dek uw aansprakelijkheid in voor het specifieke geval van een datalek.
Voor IT- en softwareleveranciers betekent dit dat ook uw klanten van u mogen verwachten dat u snel handelt bij een incident en heldere afspraken hierover vastlegt in contracten en verwerkersovereenkomsten.
Klantcase: SaaS leverancier juridisch sterker gemaakt
Onlangs hebben wij de algemene voorwaarden van een SaaS leverancier doorgelicht. Tijdens onze review ontdekten we dat het aansprakelijkheidsartikel niet voldeed aan de actuele wet- en regelgeving. Gevolg: de leverancier liep feitelijk onbeperkte aansprakelijkheid.
Onze aanpak:
- Het aansprakelijkheidsartikel herschreven en afgestemd op recente rechtspraak.
- Duidelijke definities van directe en indirecte schade toegevoegd.
- Een proportioneel maximum gekoppeld aan de contractwaarde ingebouwd.
Het resultaat: de SaaS leverancier is nu beter beschermd, aantrekkelijker voor investeerders en staat sterker in contractonderhandelingen.
Conclusie
Nieuwe regelgeving zoals NIS2 en de Data Act, maar ook handhaving door de Autoriteit Persoonsgegevens, maken duidelijk dat IT- en softwarebedrijven hun juridische basis op orde moeten hebben. Het gaat niet alleen om naleving, maar ook om bescherming tegen claims en om vertrouwen bij klanten en investeerders.