De NLdigital voorwaarden worden gezien als dé standaard algemene voorwaarden voor de digitale sector in Nederland. Aangezien de laatste versie van deze algemene voorwaarden alweer uit 2020 stamde, was het tijd voor een update, de NLdigital Voorwaarden 2025. De NLdigital Voorwaarden 2025 zijn geactualiseerd en sluiten nu beter aan op recente Europese wet- en regelgeving. Een positieve ontwikkeling, maar wat betekenen deze wijzigingen concreet voor jouw organisatie? In dit blog zetten we de belangrijkste veranderingen voor je op een rij.
Wat is er nieuw?
Algemeen
Er zijn nieuwe hoofdstukken opgenomen over compliance, cyberbeveiliging, datadeling, AI en onlineplatforms. Daarmee sluiten de NLdigital Voorwaarden 2025 beter aan op actuele ontwikkelingen in de sector. Toch is het evenwicht tussen leverancier en klant nauwelijks verschoven: de leverancier behoudt een sterke positie, terwijl de klant meer verantwoordelijkheden krijgt. Hieronder een aantal concrete voorbeelden van hoe dat in de praktijk uitpakt.
Compliance
Een belangrijke toevoeging is het nieuwe hoofdstuk over compliance. Waar voorheen de AVG centraal stond, bestrijkt dit hoofdstuk nu meerdere wetten, zoals de AI Act, NIS2 en de Data Act. Het bevat ook bepalingen over gebruikseisen voor producten en diensten. Zo moet de klant erop toezien dat het product of de dienst alleen wordt gebruikt zoals de leverancier dat bedoeld heeft en dat deze de juiste documentatie bevat, zoals conformiteitsverklaringen.
Opvallend hierbij is dat leveranciers niet hoeven te garanderen dat hun producten of diensten volledig aan alle wetgeving voldoen. In plaats daarvan ligt de verantwoordelijkheid bij de klant om vooraf te beoordelen of het aangeboden product of de dienst voldoet aan de wettelijke vereisten. Iets dat voor de gemiddelde afnemer van IT-diensten de nodige hoofdbrekers kan opleveren. In de meeste gevallen zal de afnemer zelf immers niet beschikken over de kennis en kunde om dit te kunnen beoordelen.
Cyberbeveiliging
Ook is er een hoofdstuk toegevoegd over cyberbeveiliging. Daarin staat dat de klant verantwoordelijk is voor de beveiliging van zijn eigen systemen. Alleen wanneer dit schriftelijk is overeengekomen, is de leverancier verplicht om bij het maken van back-ups datasegmentatie toe te passen. Ook hier zien we aldus een vrij summiere en algemene regeling over een in de praktijk zeer cruciaal onderwerp. Organisaties die hoge eisen stellen aan of een groot belang hebben bij de integriteit van data en beveiliging van hun systemen doen er goed aan om hierover duidelijke afspraken te maken met hun leverancier.
Datadeling
Verder is er een nieuw hoofdstuk toegevoegd over datadeling. De klant kan een verzoek tot datadeling indienen bij de leveranciers, mits dit verzoek specifiek en schriftelijk wordt geformuleerd. Leveranciers moeten zich vervolgens inspannen om het verzoek uit te voeren, tegen gebruikelijke tarieven. De voorwaarden stellen verder strikte termijnen voor de overdracht van data: doorgaans maximaal 30 dagen, met een verlenging tot zeven maanden in uitzonderlijke gevallen. Als de klant niet aangeeft hoe hij het datadelingsverzoek wil laten uitvoeren, dan mag de leverancier dit beschouwen als een verzoek tot het laten wissen van de data en het opzeggen van de dienst. Hiermee wordt invulling gegeven aan de verplichtingen die voortvloeien uit de Data Act.
Artificiële intelligentie
Hiernaast is er voor het eerst een apart hoofdstuk over AI opgenomen in de voorwaarden. Een logische keuze, aangezien IT-bedrijven steeds vaker AI-systemen aanbieden en AI steeds vaker wordt geïntegreerd in (bestaande) IT-oplossingen. In dit hoofdstuk is bepaald dat de klant een AI-systeem moet gebruiken volgens het beoogde doel en de instructies van de leverancier. Daarnaast moet de klant incidenten met betrekking tot het AI-systeem melden, menselijk toezicht organiseren en zorgen voor voldoende AI-geletterdheid binnen de organisatie. Verder is het de klant niet toegestaan om zonder toestemming van de leverancier wijzigingen in het AI-systeem door te voeren of deze te gebruiken voor AI-training of scraping. De leverancier behoudt tevens het recht om het AI-systeem aan te passen of uit de markt te halen als het niet meer in overeenstemming is met het beoogde doel, zonder dat daar een schadeplicht uit voortvloeit.
Al met al wordt de klant die een AI-systeem inkoopt een niet gering aantal verplichtingen opgelegd. Deze verplichtingen klinken wellicht overzichtelijk, maar kunnen toch de nodige praktische en organisatorische implicaties hebben. Het is dan ook aan te raden om hierover na te denken voordat een AI-systeem in gebruik wordt genomen.
Klachtenregeling
Tot slot is er een formele klachtenregeling toegevoegd voor onlineplatforms, waarmee invulling wordt gegeven aan een van de verplichtingen uit de Digital Services Act. Klanten kunnen binnen zes maanden na een besluit van een online platform een klacht indienen, die binnen een redelijke termijn moet worden behandeld. Bij herhaaldelijke ongegronde klachten, mag de leverancier de klant tijdelijk schorsen om misbruik te voorkomen. Is de klant het oneens met de uitkomst van de klacht, dan kan deze zich wenden tot een buitengerechtelijk geschillenbeslechtingsorgaan.
Conclusie: modernisering, maar met een kanttekening
Al met al bieden de NLdigital Voorwaarden 2025 een modern juridisch kader voor de digitale sector. Toch blijven de verplichtingen aan de kant van de klant streng geformuleerd, terwijl de leverancier vaak slechts een inspanningsverplichting aangaat. Zo behoudt de leverancier ruimte om risico’s te beperken, waardoor deze in de praktijk grotendeels bij de klant komen te liggen. Kortom: de NLdigital Voorwaarden 2025 leggen meer nadruk op compliance, datatransparantie en AI dan ooit, maar de verhouding tussen klant en leverancier blijft in veel opzichten ongelijk.
Wil je zeker weten dat jouw IT-organisatie onder de juiste voorwaarden contracteert? Laat dan een quickscan van je contracten uitvoeren door een van onze juristen. We denken graag met je mee!
Neem contact op
