Algemene voorwaarden horen erbij. Ze zitten standaard in de bijlage. Eén vinkje, klaar. Tot er gedoe is. Dan blijken “kleine lettertjes” ineens harde grenzen.
Met de NLdigital-voorwaarden 2025 zet NLdigital een vernieuwde set neer. Europese wetgeving staat nadrukkelijk in beeld. Denk aan DORA, NIS2, de Data Act en de AI Act. Op papier oogt alles actueel en netjes geordend.
Bij doorlezen valt iets op. De scope is groter, de toon blijft gelijk. Bescherming van de leverancier staat voorop. Risico’s schuiven richting klant. En precies daar gaat voor architectuur vaak de pijn zitten.
Van 2020 naar 2025. Wat veranderde echt
De 2020-versie was compact en vertrouwd. Wetgeving speelde een bijrol. In 2025 staat compliance ineens centraal, met een apart hoofdstuk waarin meerdere Europese verordeningen en richtlijnen samenkomen.
Dat voelt als vooruitgang. Tegelijk schuift verantwoordelijkheid subtiel mee. Wetgeving benoemen zonder harde verplichting levert vooral comfort voor de leverancier op. Voor de klant ontstaat extra werk, extra risico en extra uitleg richting bestuur, audit en toezicht.
Compliance zonder harde afspraken
De compliance-sectie benoemt veel regels, maar geeft weinig zekerheid. De leverancier belooft geen naleving van klant-specifieke wetgeving. Juridisch slim. Operationeel mager.
Voor een kleine leverancier met veel verschillende klanten is die houding begrijpelijk. Voor organisaties met toezichtdruk is die houding lastig. Een toezichthouder accepteert geen “staat ergens in de voorwaarden” als vervanging van aantoonbare maatregelen en afspraken.
Wat mist: een concrete inspanningsverplichting. Ondersteuning als onderdeel van de dienstverlening, met duidelijke grenzen en meetpunten.
Wetgeving verandert. Jouw risico stijgt
Wetgeving beweegt. Producten en diensten horen mee te bewegen. In deze voorwaarden ligt die beweging niet standaard bij de leverancier. Aanpassen kan een aparte opdracht worden, met extra facturen. Als aanpassen niet gebeurt, ontstaat ruimte voor beëindiging van een deel van de overeenkomst.
In de praktijk voelt dit zo: jij draait een dienst in een kernproces, de regels veranderen, de leverancier stopt of vraagt extra budget, jouw organisatie moet migreren onder tijdsdruk. Vooruitbetaalde bedragen blijven vaak liggen. Schadevergoeding komt niet in beeld.
Security blijft vaag
Beveiliging krijgt aandacht, maar de norm blijft zacht. “Niet onredelijk” laat veel interpretatie over. Zonder aanvullende afspraken mis je:
- een concrete baseline
- meetbare eisen
- rapportage en bewijsvoering
- audit- en inzagerechten
Voor DORA- en NIS2-gedreven omgevingen past die vaagheid slecht. Jij moet aantoonbaarheid leveren, terwijl de contracttekst ruimte laat voor discussie.
Data Act en exit. Goede richting, dunne invulling
De 2025-versie besteedt aandacht aan data-portabiliteit en exit. Dat is winst. Alleen blijft de uitwerking op hoofdlijnen hangen. Voor een simpele SaaS-dienst is dat prima. Voor bedrijfskritische SaaS is extra contractwerk nodig.
Leg bij kernprocessen altijd vast:
- termijnen voor export en overdracht
- formaten en datakwaliteit
- rollen en verantwoordelijkheden tijdens migratie
- kostenafspraken, inclusief plafonds
- testmomenten en acceptatie van de migratie-output
AI. Resultaat zonder verantwoordelijkheid
AI komt nadrukkelijk terug. De lijn is helder: jij gebruikt AI conform beoogd doel, de leverancier staat niet in voor uitkomsten en volledigheid. Juridisch logisch. Architectuur-technisch vraagt dit om extra governance.
Een AI-component zonder harde afspraken over logging, explainability, monitoring en incidentafhandeling levert risico op, vooral bij besluiten met impact op klanten.
De balans blijft scheef
De kern van de set lijkt sterk op 2020: een leveranciersvriendelijk uitgangspunt. Denk aan betalingsregels, acceptatie door operationeel gebruik, beperkte aansprakelijkheid voor de leverancier, brede verantwoordelijkheid bij de klant rond data en continuïteit.
Dat hoeft geen showstopper te zijn. Wel vraagt dit om actief sturen vanuit architectuur. Anders ontstaat technische schuld op contractniveau.
Wat jij als architect in de gaten houdt
Jouw werk stopt niet bij componenten en interfaces. Contracten bepalen wat er gebeurt bij uitval, dataverlies, wetswijziging en exit. Neem daarom deze punten standaard mee in jouw review:
- verantwoordelijkheid bij uitval en herstel, inclusief RTO en RPO
- security-baseline gekoppeld aan jouw organisatiebeleid
- aantoonbaarheid: rapportages, tests, bewijsstukken
- audit- en inzagerechten, inclusief third party assurance
- exit-plan als uitgewerkt scenario, niet als paragraaf
- dataverlies: herstelverplichtingen en rolverdeling
- impact van updates: functionaliteit, backward compatibility, communicatie
- veranderende wetgeving: ondersteuning, doorlooptijden, kostenkaders
Checklist die je naast een contract legt
- Scope: welke dienst, welke keten, welke kritikaliteit
- Security: baseline, patching, vulnerability management, monitoring
- Continuïteit: incidentproces, escalatie, DR-test, hersteldoelen
- Data: eigendom, export, verwijdering, retentie, herstel
- Exit: termijnen, format, ondersteuning, test, kostenplafond
- Compliance: ondersteuning, audit, bewijsvoering, change-proces
- Aansprakelijkheid: afstemming op ketenimpact en risicoprofiel
- Leveranciersketen: subverwerkers, cloud, locatie, assurance
Tips per rol, kort en bruikbaar
Architect
Neem eigenaarschap over contract-risico in de keten. Breng afhankelijkheden in beeld. Zet exit en continuïteit op de tekening én in de afspraken. Maak risico’s zichtbaar voor besluitvorming.
Inkoop
Vraag om addenda voor security, exit en compliance. Leg kostenkaders vast voor veranderingen. Weersta “standaardvoorwaarden, standaardacceptatie”.
Security en risk
Eis meetbaarheid. Koppel aan normen en beleid. Vraag om bewijs: pentest-rapporten, assurance, incidentrapportage, DR-testresultaten.
Legal
Maak open normen concreet. Beperk uitzonderingen. Stem aansprakelijkheid af op impact. Borg wijzigingen rond wetgeving en updates in duidelijke processen.
Conclusie
De NLdigital-voorwaarden 2025 ogen moderner dan 2020. Wetgeving en nieuwe thema’s staan beter in beeld. Tegelijk blijft de verdeling van risico’s grotendeels gelijk. Voor leveranciers voelt dat comfortabel. Voor klanten vraagt het om extra afspraken.
Voor jou als architect geldt één simpele regel. Zie deze voorwaarden als startpunt. Alles wat voor jouw landschap kritisch is, hoort expliciet in de overeenkomst. Anders ontwerp je schuld op contractniveau. En die rekening komt altijd langs, meestal op het slechtste moment.