Wat is het verschil tussen een SaaS-overeenkomst en een klassieke softwarelicentie in België?

De on-premise softwarelicentie, geregeld door WER Boek XI artikelen XI.294 en volgende, draagt een duurzaam gebruiksrecht over op een programma dat lokaal bij de klant wordt geïnstalleerd, doorgaans tegen een eenmalige prijs. De Belgische SaaS-overeenkomst opent daarentegen een periodiek toegangsrecht tot een door de leverancier gehoste oplossing, toegankelijk via het internet, in ruil voor een terugkerende abonnementsvergoeding. SaaS integreert van nature dienstverbintenissen (SLA), een verwerkersovereenkomst (DPA) en een reversibiliteitsplan — wat het juridisch maakt tot een dienstverleningsovereenkomst met opeenvolgende uitvoering, en niet tot een verkoop noch een licentie.

Hoe omkaderen we de doorgiften van gegevens naar de Verenigde Staten in een Belgische SaaS-overeenkomst?

Sinds het arrest Schrems II en de aanneming van het EU-VS Data Privacy Framework (DPF) in juli 2023 zijn er twee mechanismen beschikbaar in België. Indien de Amerikaanse subverwerker DPF-gecertificeerd is (verifieerbaar op dataprivacyframework.gov), wordt de doorgifte geregeld door dit adequaatheidsbesluit. Bij gebreke daarvan dient men een beroep te doen op de Modelcontractbepalingen van Besluit (EU) 2021/914, vergezeld van een Transfer Impact Assessment (TIA). De Belgische SaaS-overeenkomst moet expliciet het gekozen mechanisme identificeren voor elke subverwerker buiten de EER, en de lijst van subverwerkers moet als bijlage bij het DPA worden gevoegd overeenkomstig artikel 28(2) AVG.

Wat is de minimale reversibiliteitstermijn (data-export) bij het einde van de SaaS-overeenkomst in België?

Artikel 20 AVG garandeert de overdraagbaarheid van persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat. Geen minimale wettelijke termijn wordt opgelegd voor de globale reversibiliteit, maar de Belgische professionele praktijk — voortaan versterkt door de Data Act 2025 — bestaat erin een exit-periode van 90 dagen na het einde van de overeenkomst te voorzien, gedurende welke de klant zijn gegevens kan exporteren in CSV, JSON, SQL dump of via API. Een kortere termijn loopt het risico te worden gekwalificeerd als onrechtmatig beding in de zin van de Belgische Wet van 4 april 2019 (WER art. VI.91/3 tot VI.91/6), met name indien de migratie naar een alternatieve oplossing technisch onmogelijk wordt gemaakt.

Hoe omkaderen we de jaarlijkse indexering van SaaS-tarieven in België?

In België is de jaarlijkse indexering van SaaS-tarieven gewoonlijk gekoppeld aan de Belgische gezondheidsindex (maandelijks gepubliceerd door Statbel), met een contractueel plafond — 5% per jaar is een Belgische marktstandaard in 2026. Elke verhoging boven dit plafond moet de klant een opzegrecht zonder vergoeding bieden binnen de 30 dagen na de kennisgeving. Bij gebreke van een dergelijke opt-out clausule kan een excessieve indexering worden gekwalificeerd als significant onevenwicht in de zin van de Wet van 4 april 2019 inzake onrechtmatige bedingen B2B in België.

Wat zijn de wettelijke grenzen van stilzwijgende verlenging in een B2B SaaS-overeenkomst in België?

In B2B is stilzwijgende verlenging toegelaten naar Belgisch recht — anders dan in B2C, waar zij strikt is omkaderd. Niettemin verplicht de Wet van 4 april 2019 inzake onrechtmatige bedingen tussen ondernemingen (WER art. VI.91/3 tot VI.91/6) de leverancier de klant uitdrukkelijk schriftelijk te informeren, ten minste 3 maanden vóór de vervaldatum, over de verlengingsdatum en de opzegmodaliteiten. De opzegtermijn moet redelijk blijven (1 tot 3 maanden is standaard in België; 6 maanden is doorgaans het maximaal aanvaardbare alvorens kwalificatie als onrechtmatig beding door de Ondernemingsrechtbank).

Is NIS2 van toepassing op mijn SaaS-leverancier in België?

De Richtlijn (EU) 2022/2555 (NIS2), omgezet in Belgisch recht door de Wet van 26 april 2024, is van toepassing op SaaS-leveranciers die gekwalificeerd worden als essentiële of belangrijke entiteit: cloudleveranciers (IaaS, PaaS, SaaS-infrastructuur), datacenters, beheerde diensten, B2B-marktplaatsen, DNS-diensten, TLD-registers, sociale netwerkplatformen, en meer algemeen de aanbieders van digitale diensten boven bepaalde groottedrempels. Bij toepassing moet de leverancier elk significant incident melden aan het Centrum voor Cybersecurity België (CCB) (vroege waarschuwing 24u, melding 72u, eindverslag 1 maand) en de klant zonder onnodige vertraging informeren. Verifieer de kwalificatie van uw leverancier — dit is voortaan een belangrijk selectiecriterium voor kritieke SaaS-implementaties in België.

Zakelijk & ContractenBE

Gratis model SaaS-Overeenkomst (Software as a Service) voor België

Een gebruiksklare B2B SaaS-abonnementsovereenkomst voor cloudleveranciers, software-uitgevers en klantondernemingen in België. Kies uw modaliteiten, activeer Expert-clausules (AVG-DPA, gegarandeerde SLA, continuïteitsplan, escrow) en download in enkele minuten een professionele PDF conform het Belgisch recht.

Créer votre SaaS-Overeenkomst (Software-as-a-Service)

Utilisation gratuitePDF instantanéAucun compte requis

SAAS-OVEREENKOMST (SOFTWARE AS A SERVICE)

NBW Boek 5 · WER Boek XI · AVG · Richtlijn (EU) 2019/770 · België · Ingangsdatum: 15/05/2026 · Oplossing: Prosales CRM

SAAS-LEVERANCIER

Cloud CRM Antwerp BV (BV)

Meir 44, 2000 Antwerpen · KBO-nr.: 0789.123.456 · BTW: BE 0789.123.456 · Tel.: +32 3 808 12 34 · E-mail: pieter.vandenberghe@cloud-crm.be · Vertegenwoordigd door: Pieter Vandenberghe, Zaakvoerder

Par : Pieter Vandenberghe, Zaakvoerder

KLANT

Distri Vlaanderen NV (NV)

Korenmarkt 12, 9000 Gent · KBO-nr.: 0654.321.987 · BTW: BE 0654.321.987 · Sector: Voedingsdistributie B2B · Technische contact: Tom De Bruyn — IT Manager · Administratieve contact: boekhouding@distri-vlaanderen.be · Vertegenwoordigd door: Sofie Janssens, Algemeen directeur

Par : Sofie Janssens, Algemeen directeur

Oplossing: ProSales CRM · Plan Pro

Initiële duur: 12 maanden · Stilzwijgende verlenging

TUSSEN DE ONDERGETEKENDEN:

Cloud CRM Antwerp BV, BV, met maatschappelijke zetel te Meir 44, 2000 Antwerpen, ingeschreven in de KBO onder nummer 0789.123.456, BTW BE 0789.123.456, vertegenwoordigd door Pieter Vandenberghe, Zaakvoerder, hierna aangeduid als de « Leverancier »,

EN

Distri Vlaanderen NV, NV, met maatschappelijke zetel te Korenmarkt 12, 9000 Gent, ingeschreven in de KBO onder nummer 0654.321.987, BTW BE 0654.321.987, vertegenwoordigd door Sofie Janssens, Algemeen directeur, hierna aangeduid als de « Klant »,

Hierna gezamenlijk de « Partijen » genoemd,

VOORAFGAANDELIJK: De Leverancier exploiteert de softwareoplossing ProSales CRM (modules: CRM, Marketing Automation, Reporting BI), beschikbaar in SaaS-modus (Software as a Service) via een webinterface gehost in Europese Unie (datacenter: Frankfurt (AWS eu-central-1)). De Klant wenst toegang te verkrijgen tot deze oplossing onder de hierna bepaalde voorwaarden. De Partijen zijn het volgende overeengekomen, in het kader van het Nieuw Burgerlijk Wetboek (Boek 5), het Wetboek van economisch recht (Boek XI), de Verordening (EU) 2016/679 (AVG) en de Richtlijn (EU) 2019/770 omgezet in Belgisch recht.

VOORWERP

Deze overeenkomst heeft tot voorwerp de terbeschikkingstelling door de Leverancier, ten behoeve van de Klant, van een niet-exclusief, niet-overdraagbaar en beperkt toegangsrecht tot de oplossing ProSales CRM (hierna de « Dienst »), uitgebaat in SaaS-modus en toegankelijk via het internet. De Dienst wordt verleend « zoals beschikbaar », volgens het onderschreven abonnementsplan, tegen betaling van de in de prijsclausule voorziene vergoedingen. Deze overeenkomst vormt noch een gebruikslicentie in de zin van art. XI.294 WER (computerprogramma's), noch een overdracht van intellectuele rechten.

DEFINITIES

Voor de toepassing van deze overeenkomst:
SaaS (Software as a Service): model van softwarelevering waarbij de toepassing wordt gehost door de Leverancier op zijn eigen infrastructuur (of die van een onderaannemer) en via het internet ter beschikking gesteld wordt aan de Klant, zonder lokale installatie;
Dienst: de softwareoplossing ProSales CRM en het geheel van functionaliteiten, modules en bijhorende diensten die effectief door de Klant zijn onderschreven;
Klantgegevens: alle gegevens, informatie, documenten of inhoud, met inbegrip van persoonsgegevens in de zin van art. 4(1) AVG, die de Klant verwerkt, host, uploadt of genereert via de Dienst;
Abonnementsperiode: de in de duurclausule bepaalde initiële duur, alsook elke verlengingsperiode;
Gebruiker: elke natuurlijke persoon door de Klant gemachtigd om toegang te hebben tot de Dienst, binnen de grenzen van het aantal onderschreven zetels.

TOEGANG TOT DE DIENST AND GEBRUIKERSACCOUNT

Vanaf de ingangsdatum van deze overeenkomst opent de Leverancier voor de Klant een beheerdersaccount waarmee Gebruikersaccounts kunnen worden aangemaakt en beheerd, binnen de grenzen van het aantal onderschreven zetels (25 zetels).

De Klant is als enige verantwoordelijk voor:
a) het bewaren, de vertrouwelijkheid en het gebruik van de inloggegevens en wachtwoorden;
b) elke handeling die wordt verricht via de aan hem toegewezen Gebruikersaccounts;
c) de naleving door zijn Gebruikers van de gebruiksvoorwaarden van de Dienst;
d) de juistheid van de bij de aanmaak van de accounts meegedeelde informatie.

De Leverancier kan, zonder voorafgaande opzegtermijn maar na kennisgeving aan de Klant, elke Gebruikersaccount opschorten in geval van een gebruik dat manifest in strijd is met deze overeenkomst of een bedreiging vormt voor de veiligheid van de Dienst.

PLANNEN AND GEBRUIKSLIMIETEN

De Klant onderschrijft het plan Pro voor 25 Gebruikerszetels en 50000 transacties/maand. De gedetailleerde functionaliteiten van het plan, alsook de kwantitatieve limieten (opslagvolumes, API-oproepen, transacties, integraties), zijn opgenomen op de geldende prijspagina van de Leverancier of in bijlage bij deze overeenkomst.

In geval van duurzame overschrijding van een kwantitatieve limiet brengt de Leverancier de Klant hiervan schriftelijk op de hoogte. Indien er geen regularisatie plaatsvindt binnen vijftien (15) dagen (overschakeling naar een hoger plan of verminderd gebruik), kan de Leverancier het bijkomende verbruik factureren tegen het geldende tarief per eenheid.

TARIFERING AND BETALING

Als tegenprestatie voor de toegang tot de Dienst verbindt de Klant zich ertoe aan de Leverancier een maandelijkse vergoeding te betalen ten bedrage van 49,00 EUR per zetel, exclusief btw.

De vergoedingen worden voor elke periode op voorhand gefactureerd. De facturen zijn betaalbaar binnen dertig (30) dagen na factuurdatum, overeenkomstig de Wet van 2 augustus 2002 betreffende de bestrijding van de betalingsachterstand bij handelstransacties. Bij niet-betaling op de vervaldag zijn van rechtswege en zonder ingebrekestelling verwijlinteresten verschuldigd tegen de wettelijke handelsrente (Art. 5 Wet 02/08/2002), alsook een forfaitaire vergoeding van 40,00 EUR voor invorderingskosten.

Indexering: De tarieven worden jaarlijks geïndexeerd op de verjaardag van de overeenkomst, binnen de grenzen van de evolutie van de Belgische gezondheidsindex (Statbel), met een plafond van 5% per jaar. Elke verhoging boven dit plafond verleent de Klant een opzegrecht zonder vergoeding, schriftelijk uit te oefenen binnen dertig (30) dagen na de kennisgeving.

In geval van aanhoudende wanbetaling van meer dan dertig (30) dagen na ingebrekestelling, kan de Leverancier de toegang tot de Dienst opschorten tot regularisatie, zonder dat deze opschorting de Klant ontslaat van zijn betalingsverplichting.

INITIËLE DUUR AND VERLENGING

Deze overeenkomst wordt gesloten voor een initiële duur van 12 maanden vanaf 15/05/2026.

Na het verstrijken van de initiële periode wordt de overeenkomst stilzwijgend verlengd voor opeenvolgende periodes van twaalf (12) maanden, behoudens opzegging door één van de Partijen schriftelijk meegedeeld (aangetekend schrijven of e-mail met ontvangstbevestiging) ten minste 3 maanden vóór de vervaldag. Overeenkomstig de Wet van 4 april 2019 inzake onrechtmatige bedingen tussen ondernemingen (WER art. VI.91/3 tot VI.91/6), verbindt de Leverancier zich ertoe de Klant ten minste drie (3) maanden voor de vervaldag schriftelijk te informeren over de vervaldatum en de opzegmodaliteiten.

DIENSTNIVEAUS (SLA)

De Leverancier verbindt zich ertoe de Dienst te verlenen onder redelijke voorwaarden van beschikbaarheid, prestaties en technische ondersteuning, en streeft naar continuïteit van de dienstverlening 24/7, met uitzondering van geplande onderhoudsvensters.

Onderschreven technische ondersteuning: business (kantooruren BE, NL/FR).

Geplande onderhoudsvensters worden ten minste achtenveertig (48) uur vooraf aangekondigd per e-mail of via het dashboard van de Dienst. Onbeschikbaarheid die het gevolg is van overmacht (art. 5.226 NBW), van een incident bij een derde infrastructuurleverancier, van een DDoS-aanval of van een handeling van de Klant zelf wordt niet meegerekend in de berekening van de beschikbaarheid.

KLANTGEGEVENS

De Klantgegevens blijven de exclusieve eigendom van de Klant. De Leverancier verwerft geen enkel intellectueel eigendomsrecht op deze gegevens en verbindt zich ertoe ze niet te gebruiken voor enig ander doel dan de uitvoering van deze overeenkomst.

De Klant garandeert dat hij beschikt over alle rechten, machtigingen en wettelijke grondslagen die nodig zijn om de Klantgegevens via de Dienst te hosten en te verwerken, en dat hij de toepasselijke wetgeving naleeft (AVG, Wet van 30/07/2018 LCV, auteursrecht, beroepsgeheim, enz.).

De Leverancier bewaart de Klantgegevens gedurende de gehele duur van de overeenkomst. Bij het einde ervan worden de modaliteiten voor teruggave en verwijdering geregeld door het artikel betreffende de reversibiliteit.

BESCHERMING PERSOONSGEGEVENS — AVG

Indien de Dienst persoonsgegevens verwerkt voor rekening van de Klant, treedt de Klant op in de hoedanigheid van verwerkingsverantwoordelijke in de zin van art. 4(7) AVG en de Leverancier in de hoedanigheid van verwerker in de zin van art. 4(8) AVG.

Overeenkomstig artikel 28 van Verordening (EU) 2016/679 (AVG), wordt deze verwerking geregeld door een Verwerkersovereenkomst (Data Processing Agreement, hierna « DPA ») aangehecht aan deze overeenkomst, die er een integraal onderdeel van uitmaakt.

De Leverancier verbindt zich ertoe: (a) de gegevens uitsluitend te verwerken op gedocumenteerde instructie van de Klant; (b) de vertrouwelijkheid van zijn personeel te waarborgen; (c) passende technische en organisatorische maatregelen te treffen (art. 32 AVG); (d) de Klant bij te staan bij de uitoefening van de rechten van de betrokkenen (art. 12 tot 22 AVG) en bij zijn meldingsverplichtingen bij inbreuken (art. 33-34 AVG); (e) de persoonsgegevens te wissen of terug te geven bij het einde van de overeenkomst; (f) alle informatie ter beschikking te stellen die nodig is om de naleving aan te tonen.

10.

VEILIGHEID VAN DE DIENST

Overeenkomstig artikel 32 AVG implementeert de Leverancier passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te garanderen, en met name:
a) versleuteling van gegevens in transit (TLS 1.2 minimum) en in rust (AES-256 of equivalent);
b) sterke authenticatie met mogelijkheid tot activering van multifactor-authenticatie (MFA);
c) regelmatige back-ups met geteste herstellingen;
d) logische scheiding van de Klantgegevens;
e) logging van administratortoegangen;
f) procedure voor het beheer van veiligheidsincidenten met kennisgeving aan de Klant binnen een nuttige termijn, en uiterlijk binnen 72 uur in geval van een inbreuk in verband met persoonsgegevens (art. 33 AVG).

De Leverancier verbindt zich ertoe kritieke veiligheidskwetsbaarheden in de Dienst zonder onnodige vertraging te verhelpen.

11.

INTELLECTUELE EIGENDOM

De Leverancier blijft de enige eigenaar van het geheel van intellectuele eigendomsrechten op de softwareoplossing (computerprogramma's beschermd op grond van art. XI.294 e.v. WER), op haar broncode, documentatie, interfaces, grafische identiteit, databanken (art. XI.305 e.v. WER) en op alle verbeteringen, evoluties of bijdragen die eraan worden aangebracht, met inbegrip van die welke geïnspireerd zijn door de feedback van de Klant.

Deze overeenkomst verleent de Klant slechts een niet-exclusief, niet-overdraagbaar en in tijd beperkt gebruiksrecht, voor de duur van de overeenkomst, onder de voorwaarden van het onderschreven plan. Elke reproductie, decompilatie, reverse engineering, terbeschikkingstelling aan derden of gebruik buiten het toegestane perimeter is strikt verboden, onder voorbehoud van de dwingende uitzonderingen voorzien in art. XI.300 WER (interoperabiliteit).

12.

VERTROUWELIJKHEID

Elke Partij verbindt zich ertoe alle niet-publieke informatie betreffende de andere Partij waarvan zij in het kader van deze overeenkomst kennis zou krijgen, strikt vertrouwelijk te bewaren, en met name de technische, commerciële, financiële en persoonlijke informatie. Deze verplichting geldt tijdens de gehele duur van de overeenkomst en gedurende vijf (5) jaar na het verstrijken ervan. De Leverancier verbindt zich ertoe dezelfde verplichting op te leggen aan zijn personeel en onderaannemers. Schending van deze verplichting kan aanleiding geven tot schadevergoeding, onverminderd de bescherming verleend door de Wet van 30 juli 2018 betreffende de bedrijfsgeheimen.

13.

AANSPRAKELIJKHEIDSBEPERKING

Behoudens in geval van bedrog, zware fout of inbreuk op de toepasselijke dwingende bepalingen (in het bijzonder de Wet van 4 april 2019 inzake onrechtmatige bedingen B2B — WER art. VI.91/3 tot VI.91/6 — en de AVG), is de totale aansprakelijkheid van de Leverancier, alle oorzaken samen en alle nadelen gecumuleerd, beperkt per schadegeval en per kalenderjaar tot het bedrag van de vergoedingen die effectief door de Klant werden betaald uit hoofde van de twaalf (12) maanden die voorafgaan aan het schadeverwekkend feit.

De Leverancier is in geen geval aansprakelijk voor indirecte, immateriële of gevolgschade, zoals omzetverlies, klantenverlies, imagoschade, verlies van gegevens (boven de laatst herstelde back-up) of bedrijfsonderbreking, behoudens andersluidende dwingende wettelijke bepaling.

Dit beding is opgesteld overeenkomstig de vereisten van art. VI.91/3 WER en wordt uitdrukkelijk onderhandeld tussen geïnformeerde professionele Partijen.

14.

OVERMACHT

Overeenkomstig artikel 5.226 van het NBW kan geen van de Partijen aansprakelijk worden gesteld voor de niet-uitvoering van haar verplichtingen ten gevolge van een geval van overmacht, dat wil zeggen een onvoorzienbare, onweerstaanbare en externe gebeurtenis, met inbegrip van: natuurrampen, aanslagen, gewapende conflicten, pandemieën, beslissingen van overheden, ernstige uitval van een telecomoperator of van een kritieke derde infrastructuur. De verhinderde Partij meldt de gebeurtenis zo spoedig mogelijk aan de andere Partij. Indien de verhindering meer dan zestig (60) opeenvolgende dagen voortduurt, kan elke Partij de overeenkomst zonder vergoeding opzeggen door middel van een schriftelijke kennisgeving.

15.

OPSCHORTING AND BEËINDIGING

Naast de beëindigingsgevallen die eigen zijn aan elk beding, kan elke Partij de overeenkomst van rechtswege beëindigen, per aangetekend schrijven, in geval van ernstige tekortkoming van de andere Partij aan haar verplichtingen die niet wordt geregulariseerd binnen dertig (30) dagen na een ingebrekestelling die zonder gevolg is gebleven, overeenkomstig art. 5.86 NBW.

De Leverancier kan bovendien de toegang tot de Dienst opschorten in geval van: (a) aanhoudende wanbetaling; (b) gebruik dat manifest in strijd is met de overeenkomst of dat afbreuk doet aan de veiligheid of integriteit van de Dienst; (c) bevel van een bevoegde overheid. De opschorting brengt geen beëindiging mee, noch ontslag van de verschuldigde vergoedingen.

16.

REVERSIBILITEIT AND DATA-EXPORT

Op elk ogenblik tijdens de duur van de overeenkomst en gedurende een periode van negentig (90) dagen na het einde ervan (« reversibiliteitsperiode »), kan de Klant de Klantgegevens exporteren in een gestructureerd, gangbaar en machineleesbaar formaat (onderschreven formaat: csv-json), overeenkomstig de beginselen van overdraagbaarheid (art. 20 AVG voor persoonsgegevens). Aan het einde van de reversibiliteitsperiode zal de Leverancier het geheel van de Klantgegevens onomkeerbaar wissen, behoudens wettelijke bewaarplicht en behoudens uitdrukkelijk schriftelijk andersluidend verzoek van de Klant.

Exit-assistentie: Op verzoek van de Klant verleent de Leverancier ondersteuning bij de migratie naar een alternatieve oplossing, binnen de in bijlage bepaalde grenzen (overeengekomen mensdagen, technische ondersteuning van 8u × 5 dagen/week tijdens de reversibiliteitsperiode).

17.

TOEPASSELIJK RECHT AND RECHTBANK

Deze overeenkomst is uitsluitend onderworpen aan het Belgisch recht, met uitsluiting van elke regel van wetsconflict. Elk geschil betreffende de totstandkoming, de interpretatie, de uitvoering of de beëindiging ervan zal, bij gebrek aan voorafgaande minnelijke schikking, worden voorgelegd aan de exclusieve bevoegdheid van de Ondernemingsrechtbank van Antwerpen, overeenkomstig het Belgisch Gerechtelijk Wetboek.

18.

GEGARANDEERD DIENSTNIVEAU (SLA) AND SERVICE CREDITS

De Leverancier garandeert contractueel een maandelijkse beschikbaarheidsgraad van de Dienst van ten minste 99.9%, berekend op basis van de werkelijke onbeschikbaarheidstijd, met uitzondering van geplande onderhoudswerken en van overmacht.

Service credits: Bij niet-naleving van de gegarandeerde graad over een kalendermaand geniet de Klant van een krediet dat wordt aangerekend op de volgende factuur, volgens onderstaand schema:
· tussen 99.9% en 99,0%: 5% van het maandbedrag;
· tussen 99,0% en 95,0%: 15% van het maandbedrag;
· onder 95,0%: 30% van het maandbedrag.

De service credits vormen het enige verhaal van de Klant bij niet-naleving van de SLA, behoudens ernstige tekortkoming in de zin van art. 5.86 NBW die recht geeft op beëindiging ten laste van de Leverancier.

19.

VERWERKERSOVEREENKOMST (DPA) — IN BIJLAGE

Een Verwerkersovereenkomst (Data Processing Agreement) conform artikel 28 van de AVG wordt aangehecht aan deze overeenkomst en vormt er een integraal onderdeel van. De DPA preciseert in het bijzonder: (a) het voorwerp, de duur, de aard en het doel van de verwerking; (b) het type verwerkte gegevens en de categorieën van betrokkenen; (c) de verplichtingen en rechten van de verwerkingsverantwoordelijke; (d) de uitputtende lijst van toegestane subverwerkers; (e) de technische en organisatorische beveiligingsmaatregelen (art. 32 AVG); (f) de voorwaarden voor teruggave of vernietiging van de gegevens bij het einde van de overeenkomst.

Toegestane initiële subverwerkers: AWS Frankfurt (infrastructuur-hosting), SendGrid Inc. (transactionele e-mails — US-DPF), Stripe Payments Europe (incassering abonnementen — IE).
Elke wijziging van de lijst van subverwerkers wordt vooraf schriftelijk meegedeeld aan de Klant, die over een gemotiveerd bezwaarrecht beschikt binnen een termijn van dertig (30) dagen.

Internationale doorgiften: Eventuele doorgiften naar de Verenigde Staten worden geregeld door het kader EU-VS Data Privacy Framework (DPF), certificering van de betrokken subverwerker beschikbaar op dataprivacyframework.gov.

20.

JAARLIJKSE VEILIGHEIDSAUDIT

De Leverancier ondergaat ten minste eenmaal per jaar een onafhankelijke audit waarbij de naleving van erkende beveiligingsstandaarden wordt geattesteerd, in het bijzonder iso27001. De Leverancier houdt het auditrapport of zijn samenvatting voor het management, alsook eventuele remediatieplannen, ter beschikking van de Klant op schriftelijk verzoek en onder vertrouwelijkheidsverbintenis.

De Klant kan, op eigen kosten en met een redelijke opzegtermijn van ten minste dertig (30) dagen, een onafhankelijke derde auditor mandateren om de naleving door de Leverancier van zijn beveiligings- en gegevensbeschermingsverplichtingen te controleren, met inachtneming van de vertrouwelijkheid van de andere klanten van de Leverancier. Een dergelijke verificatie kan niet meer dan eenmaal per kalenderjaar plaatsvinden, behoudens ernstig incident of uitdrukkelijk verzoek van een toezichthoudende autoriteit.

21.

CONTINUÏTEITSPLAN VAN DE DIENST — FAILLISSEMENT AND STOPZETTING

De Leverancier verklaart te beschikken over een bedrijfscontinuïteitsplan (BCP) en een rampenplan (DRP) die jaarlijks worden getest en die de volgende objectieven garanderen: RPO 4 uur / RTO 8 uur.

Faillissement, stopzetting van activiteit of opheffing van de Dienst: In geval van het openen van een insolventieprocedure, gerechtelijke reorganisatie, ontbinding, stopzetting van activiteit of aankondiging van marktterugtrekking van de oplossing, verbindt de Leverancier zich ertoe: (a) de Klant hiervan onmiddellijk schriftelijk in kennis te stellen; (b) de Dienst gedurende ten minste negentig (90) dagen operationeel te houden om migratie mogelijk te maken; (c) actief mee te werken aan de organisatie van de exit, met inbegrip van het verstrekken van de Klantgegevens en alle nuttige documentatie voor de exploitatie ervan door een derde.

22.

BRONCODE-ESCROW

De Leverancier deponeert een bijgewerkte kopie van de broncode van de oplossing, alsook de technische exploitatiedocumentatie, bij een vertrouwde derde (escrow agent) — bijvoorbeeld NCC Group, of een door de Partijen aangewezen agent. De vrijgave van het depot ten gunste van de Klant kan worden geactiveerd in geval van: (a) faillissement van de Leverancier; (b) definitieve stopzetting van de exploitatie van de Dienst aangekondigd door de Leverancier zonder overnamemogelijkheid; (c) ernstige en aanhoudende tekortkoming van de Leverancier aan zijn contractuele verplichtingen, naar behoren vastgesteld.

De vrijgave van het depot verleent de Klant een intern gebruiksrecht op de code, uitsluitend met het oog op de continuïteit van de exploitatie van de Klantgegevens, met uitsluiting van elke commercialisering. De escrow-kosten worden gedragen door de Leverancier.

23.

CHANGE MANAGEMENT — FUNCTIONELE WIJZIGINGEN

Elke substantiële functionele wijziging van de Dienst (verwijdering van een functionaliteit, retro-incompatibele API-wijziging, intrekking van een module, wijziging van de kwantitatieve limieten van het plan) wordt schriftelijk aan de Klant meegedeeld met een opzegtermijn van minimaal 60 dagen.

Indien de wijziging een wezenlijke verslechtering van het gebruik van de Dienst door de Klant tot gevolg heeft, beschikt deze laatste over een unilateraal opzegrecht van de overeenkomst zonder vergoeding, schriftelijk uit te oefenen binnen de dertig (30) dagen volgend op de kennisgeving, met uitwerking op de datum van implementatie van de wijziging.

Bugcorrecties, beveiligingsupdates en zuiver additieve verbeteringen worden niet beschouwd als substantiële wijzigingen in de zin van dit artikel.

24.

CYBERVERZEKERING AND BEROEPSAANSPRAKELIJKHEID

De Leverancier verklaart een polis « beroepsaansprakelijkheid » en een polis « cyberrisico's » te hebben afgesloten en zich ertoe te verbinden deze gedurende de gehele duur van de overeenkomst te behouden, ter dekking van met name: (a) zijn aansprakelijkheid uit hoofde van inbreuken op de gegevensbeveiliging; (b) de kosten voor melding van een inbreuk in verband met persoonsgegevens; (c) de kosten van forensisch onderzoek; (d) de eventuele administratieve sancties die niet door een wettelijke uitsluiting worden gedekt; (e) het bedrijfsverlies van de Klant als gevolg van een aan hem toerekenbare ernstige onbeschikbaarheid. De Leverancier verstrekt op schriftelijk verzoek van de Klant het geldige verzekeringsattest.

EN FOI DE QUOI, les parties ont signé le présent document à la date indiquée.

SAAS-LEVERANCIER

Pieter Vandenberghe

Zaakvoerder

Date : ____________________

KLANT

Sofie Janssens

Algemeen directeur

Date : ____________________

Wat is een SaaS-overeenkomst in België?

Een SaaS-overeenkomst — Software as a Service — regelt de terbeschikkingstelling van een softwareoplossing die door de leverancier op zijn eigen infrastructuur (of op die van een cloud-onderaannemer) wordt gehost en die door de klant via het internet toegankelijk is, zonder lokale installatie. In België heeft dit model de klassieke on-premise licentie verdrongen voor de overgrote meerderheid van professionele tools (CRM, ERP, boekhouding, HR, marketing). De overeenkomst vormt geen verkoop, noch een overdracht van intellectuele rechten: zij verleent een beperkt, niet-exclusief en herroepelijk toegangsrecht, in ruil voor een abonnementsvergoeding.

Het SaaS-model verschilt van de traditionele softwarelicentie geregeld door het Wetboek van economisch recht (WER) Boek XI, artikelen XI.294 en volgende. De on-premise licentie draagt een duurzaam gebruiksrecht over op een lokaal geïnstalleerd programma, doorgaans tegen een eenmalige prijs; de SaaS-overeenkomst daarentegen steunt op een periodiek abonnement, gekoppeld aan dienstniveau-engagementen (SLA), aan een verwerkersovereenkomst (DPA) in de zin van artikel 28 AVG, en aan een reversibiliteitsplan dat de exit van de klant regelt. Deze bundel contract-DPA-SLA maakt de Belgische SaaS-overeenkomst structureel anders — en rechtvaardigt een afzonderlijk model in plaats van een gewone dienstverleningsovereenkomst.

In België past de B2B SaaS-overeenkomst in een veeleisend juridisch kader: het Nieuw Burgerlijk Wetboek (NBW) Boek 5 inzake verbintenissen (van kracht sinds 1 januari 2023) regelt de totstandkoming, de niet-uitvoering en de ontbinding; de Verordening (EU) 2016/679 (AVG) verplicht een DPA zodra er persoonsgegevens worden verwerkt; de Richtlijn (EU) 2019/770 omgezet in Belgisch recht regelt de levering van digitale inhoud en diensten; de Wet van 4 april 2019 inzake onrechtmatige bedingen tussen ondernemingen (WER art. VI.91/3 tot VI.91/6) verbiedt bepaalde significante onevenwichten; en de Richtlijn (EU) 2022/2555 (NIS2) voegt cyberveiligheidsverplichtingen toe voor essentiële en belangrijke leveranciers. Een goed opgestelde Belgische SaaS-overeenkomst verbindt deze lagen, in plaats van ze los naast elkaar te plaatsen.

Wat omvat dit sjabloon

Het Belgische SaaS-overeenkomstsjabloon van Doxuno bevat zeventien artikelen die de volledige levenscyclus van het abonnement dekken, aangevuld met een Expert-sectie met acht geavanceerde clausules (DPA, gegarandeerde SLA, audit, escrow, change management, NIS2) voor kritieke implementaties in België.

Voorwerp en toegang tot de Dienst

Niet-exclusief, niet-overdraagbaar toegangsrecht beperkt tot het onderschreven plan in België

Plannen, zetels en gebruikslimieten

Gebruikersvolumes, transacties, opslag, API — beheer van overschrijdingen

Tarifering & betalingsachterstand

Wet van 2 augustus 2002 — wettelijke handelsrente + forfaitaire vergoeding 40 EUR

Jaarlijkse indexering van tarieven

Belgische gezondheidsindex (Statbel) met plafond 5%, opzegrecht boven dit plafond

Initiële duur & stilzwijgende verlenging

Verplichte voorafgaande informatie WER art. VI.91/3 — onrechtmatige bedingen B2B

Dienstniveaus (SLA)

Beschikbaarheid 24/7, onderhoudsvensters, uitsluitingen overmacht

Klantgegevens

Exclusieve eigendom van de Klant, geen recht verworven door de Leverancier

AVG & verwerkersovereenkomst (DPA)

Artikel 28 AVG — sanctie GBA tot 10 miljoen EUR of 2% wereldwijde omzet

Veiligheid van de Dienst (art. 32 AVG)

Versleuteling TLS/AES-256, MFA, melding 72u bij inbreuk

Reversibiliteit & exit data-export

Periode 90 dagen, formaten CSV/JSON/SQL, art. 20 AVG overdraagbaarheid

Toepasselijk recht & Ondernemingsrechtbank

Exclusief Belgisch recht, jurisdictie van de bevoegde Ondernemingsrechtbank

Expert-clausules: DPA in bijlage, gegarandeerde SLA, NIS2

Service credits, ISO 27001-audit, broncode-escrow, continuïteitsplan

Hoe maakt u uw SaaS-overeenkomst in België?

Geen juridische voorkennis vereist. Het Doxuno-sjabloon begeleidt u sectie per sectie en laat u Expert-clausules al dan niet activeren naargelang de kritikaliteit van uw SaaS-implementatie in België.

1
Identificeer de SaaS-leverancier en de klant
Vermeld de exacte handelsnaam, de rechtsvorm (BV, NV, SRL, SA…), de maatschappelijke zetel, het KBO-nummer (Kruispuntbank van Ondernemingen) en het intracommunautair btw-nummer (BE 0xxx.xxx.xxx) van beide partijen. Geef het hoofd-hostingland en de locatie van het datacenter aan — sleutelparameters voor AVG-conformiteit.
2
Bepaal de oplossing, het plan en de tarifering
Geef de commerciële naam van de oplossing aan, de onderschreven modules, het abonnementsplan (Starter, Pro, Enterprise, Custom), het aantal gebruikerszetels, het volume aan maandelijkse transacties, de eenheidsprijs in euro en de facturatiecyclus (maandelijks, jaarlijks, tweejaarlijks, driejaarlijks). Kies of u de jaarlijkse indexering met plafond op de Belgische gezondheidsindex activeert.
3
Stel de initiële duur en de verlengingswijze vast
Selecteer een initiële duur van 12, 24 of 36 maanden. Kies voor stilzwijgende verlenging met een opzegtermijn van 1 tot 6 maanden (de meest gebruikelijke vorm in België, maar let op de informatieplicht uit WER art. VI.91/3) of voor uitdrukkelijke verlenging die een schriftelijk akkoord vereist. Bepaal het niveau van technische ondersteuning (community, business, premium, 24/7).
4
Activeer Expert-clausules voor kritieke implementaties
Voor AVG-gevoelige of mission-critical implementaties in België activeert u de geavanceerde clausules: DPA in bijlage conform artikel 28 AVG met lijst van subverwerkers en omkadering van internationale doorgiften (US-DPF, SCC), contractueel gegarandeerde SLA (99,5 tot 99,99% uptime) met service credits, jaarlijkse audit ISO 27001 of SOC 2, continuïteitsplan met RPO/RTO, broncode-escrow, contradictoir change management, cyberverzekering en NIS2-verplichtingen indien van toepassing.
5
Selecteer de jurisdictie en download
Geef de bevoegde Ondernemingsrechtbank aan (Antwerpen, Gent, Brussel, Luik, Bergen, Namen, Charleroi…) op basis van de maatschappelijke zetel van de verweerder of de plaats van uitvoering. Controleer de live-preview en download vervolgens uw SaaS-overeenkomst als professionele PDF, klaar voor elektronische ondertekening (eIDAS) of handgeschreven ondertekening door beide partijen in België.

Juridische overwegingen in België

Een goed gestructureerde Belgische SaaS-overeenkomst moet vier afzonderlijke juridische lagen verbinden: gemeen verbintenissenrecht (NBW), bescherming van persoonsgegevens (AVG), B2B-omkadering van onrechtmatige bedingen (WER), en — sinds 2025 — Europees gegevensrecht (Data Act). Verschillende punten verdienen aandacht vóór ondertekening.

Dit sjabloon is uitsluitend informatief en vormt geen juridisch advies. Voor SaaS-implementaties met gevoelige gegevens (gezondheid, openbare sector, financiële dienstverlening), complexe doorgiften buiten de EER of belangrijke financiële verbintenissen in België, raadpleegt u een advocaat ingeschreven aan de Belgische balie en gespecialiseerd in digitaal recht en gegevensbescherming.

Inhoud nagekeken door Belgische juristen gespecialiseerd in digitale contracten. De AVG-, SLA- en reversibiliteitsclausules van dit sjabloon zijn herzien door Belgische advocaten om hun nauwkeurigheid en hun conformiteit te garanderen met de praktische vereisten van B2B SaaS-implementaties in België.

Nieuw Burgerlijk Wetboek belge 2023 — totstandkoming en niet-uitvoering van de SaaS-overeenkomst

Sinds 1 januari 2023 is het Nieuw Burgerlijk Wetboek (NBW) Boek 5 van toepassing op alle nieuwe SaaS-overeenkomsten gesloten in België. Drie artikelen zijn bijzonder structurerend: artikel 5.74 omkadert de overdracht en de uitbesteding van contractuele verplichtingen; artikel 5.86 regelt de ontbinding wegens ernstige niet-uitvoering, voortaan mogelijk per schriftelijke kennisgeving zonder voorafgaande gerechtelijke tussenkomst; artikel 5.226 herdefinieert overmacht restrictiever dan het oude Burgerlijk Wetboek. Voor SaaS-overeenkomsten gesloten vóór 2023 blijft het oude regime van toepassing — het is dus aan te bevelen om bij de volgende verlenging een aanhangsel te ondertekenen dat uitdrukkelijk aan het NBW wordt onderworpen, om te genieten van het versterkte regime voor de Belgische rechter.

AVG artikel 28 — DPA verplicht voor elke SaaS die persoonsgegevens verwerkt

Zodra de SaaS-oplossing persoonsgegevens host of verwerkt voor rekening van de klant (wat vrijwel altijd het geval is bij CRM, ERP, HR, marketing automation en ticketing), treedt de klant op als verwerkingsverantwoordelijke en de leverancier als verwerker in de zin van artikel 4(8) AVG. Artikel 28 AVG verplicht dan een schriftelijke verwerkersovereenkomst (DPA) die het voorwerp, de duur, de aard, het doel van de verwerking, de categorieën van gegevens, de beveiligingsverplichtingen (art. 32), de lijst van subverwerkers, de auditvoorwaarden en de modaliteiten bij het einde van de overeenkomst preciseert. Het ontbreken van een conforme DPA stelt de klant bloot aan een sanctie van de Gegevensbeschermingsautoriteit (GBA/APD) tot 10 miljoen euro of 2% van de wereldwijde jaaromzet (art. 83.4 AVG). Het DPA is geen luxe: het is een Belgische wettelijke verplichting waarvan de eindverantwoordelijkheid bij de klant ligt.

Doorgiften buiten de EER — Schrems II, EU-VS Data Privacy Framework en SCC

De grote meerderheid van SaaS-oplossingen steunt op Amerikaanse subverwerkers (AWS, Google Cloud, Microsoft Azure, SendGrid, Stripe, Mailchimp). Sinds het arrest Schrems II (HJEU C-311/18, 16 juli 2020) vereist elke doorgifte van persoonsgegevens naar de Verenigde Staten passende waarborgen in de zin van hoofdstuk V AVG (art. 44 tot 49). In België zijn twee hoofdmechanismen beschikbaar: (a) het kader EU-VS Data Privacy Framework (DPF) aangenomen in juli 2023, van toepassing op gecertificeerde Amerikaanse subverwerkers; (b) de Modelcontractbepalingen van Besluit (EU) 2021/914, vergezeld van een Transfer Impact Assessment (TIA). De Belgische SaaS-overeenkomst moet expliciet het gekozen mechanisme identificeren voor elke subverwerker buiten de EER, zo niet stelt de klant zich bloot aan dezelfde sanctie van de GBA als bij het ontbreken van een DPA.

Data Act 2025, overdraagbaarheid en lock-in / reversibiliteit

De Verordening (EU) 2023/2854 betreffende gegevens (Data Act), volledig van toepassing sinds 12 september 2025, versterkt aanzienlijk de rechten van de SaaS-klant in België: overdraagbaarheid van gegevens in gestructureerde formaten, geleidelijke kosteloosheid van de exit (switching fees geplafonneerd en verboden vanaf januari 2027), verbod op onrechtmatige technische lock-in clausules. Gecombineerd met de Belgische Wet van 4 april 2019 inzake onrechtmatige bedingen tussen ondernemingen (WER art. VI.91/3 tot VI.91/6) die significante onevenwichten verbiedt, beschermt het Belgisch kader de SaaS-klant nu effectief tegen vergrendelingspraktijken. Concreet moet een Belgische SaaS-overeenkomst gesloten in 2026 voorzien in een operationele reversibiliteitsclausule van ten minste 90 dagen met export in open formaten (CSV, JSON, SQL) — bij gebreke daarvan loopt het litigieuze beding het risico door de Ondernemingsrechtbank als ongeschreven te worden beschouwd.

Veelgestelde vragen

Klaar om uw SaaS-implementatie in België te beveiligen?

Vul uw parameters in en ontvang in enkele minuten een professionele en juridisch robuuste B2B SaaS-overeenkomst conform het Belgisch recht, met AVG-DPA, SLA en reversibiliteitsplan. Gratis, geen account vereist voor de basisversie.

Créer votre SaaS-Overeenkomst (Software-as-a-Service)Parcourir tous les modèles

Gratuit · PDF instantané · Aucun compte requis