Exonereren in IT-contracten: hoe ver reikt uw contractsvrijheid als IT-leverancier?

Als IT-leverancier weet u als geen ander hoe snel een implementatieproject kan uitlopen, hoe onverwacht een softwareupdate problemen kan veroorzaken bij een klant, of hoe moeilijk het is om exact te garanderen dat een systeem altijd foutloos draait. Juist daarom werken de meeste IT-leveranciers met stevige aansprakelijkheidsbeperkingen in hun contracten: exoneratieclausules. Maar hoe stevig is die bescherming eigenlijk? En wat als uw klant met een heel andere set voorwaarden aan tafel zit?

De realiteit is dat de contractuele ruimte voor IT-leveranciers de afgelopen jaren sterk is ingeperkt, zowel door nationale rechtspraak als door nieuwe Europese regelgeving. Dit blog biedt een praktisch overzicht van wat u als IT-leverancier moet weten over exoneraties, welke clausules stand houden en waar de échte risico’s zitten.

Eerst: hoe wordt uw contract gekwalificeerd?

Voordat u kunt beoordelen welke aansprakelijkheidsregels op u van toepassing zijn, is er een stap die veel IT-leveranciers overslaan: de juridische kwalificatie van het contract. Is uw overeenkomst een koopovereenkomst, een huurovereenkomst of een opdracht? Het antwoord bepaalt welke wettelijke bepalingen van toepassing zijn en hoeveel ruimte u heeft om daarvan contractueel af te wijken.

De lijn in Nederland is inmiddels helder. De Hoge Raad oordeelde in het bekende DeBeeldbrigade/Hulskamp-arrest dat de aanschaf van standaardsoftware voor onbeperkt gebruik (of dat nu via een usb-stick of een download gaat) als koop wordt aangemerkt. De conformiteitsnorm van artikel 7:17 BW is dan van toepassing: de software moet de eigenschappen bezitten die de koper op grond van de overeenkomst mocht verwachten.

Levert u SaaS of een cloudoplossing? Dan wordt de overeenkomst doorgaans gekwalificeerd als huur of opdracht (art. 7:400 BW), waarbij de maatstaf verschuift van de kwaliteit van het geleverde product naar de zorgplicht die u als leverancier in acht moet nemen: de zorg van een goed opdrachtnemer.

Die kwalificatie is geen academische exercitie: bij koop bent u als leverancier in principe risicoaansprakelijk voor gebreken in de software. Naar analogie van het Oerlemans/Driessen-arrest brengen de verkeersopvattingen mee dat conformiteitsgebreken in standaardsoftware (net als bij industrieel vervaardigde zaken) voor rekening van de verkoper komen, ook als het gebrek niet aan uw schuld te wijten is.

De internationaal opererende leverancier en het Weens Koopverdrag

Levert u software aan zakelijke klanten in het buitenland, of koopt u componenten in bij buitenlandse partijen? Dan moet u rekening houden met het Weens Koopverdrag. Dit verdrag is van toepassing op internationale transacties tussen partijen in verschillende verdragsstaten en geldt volgens de heersende leer ook voor eeuwigdurende softwarelicenties. De conformiteitsnorm onder het verdrag (art. 35 WKV) vereist dat de software geschikt is voor normaal gebruik of voor een bijzonder doel dat aan u kenbaar was gemaakt.

Wilt u niet dat het Weens Koopverdrag uw contractuele verhoudingen beheerst? Dan kunt u het verdrag contractueel uitsluiten op grond van artikel 6 WKV — wat in de praktijk veelvuldig gebeurt. Vergeet u dit echter, dan gelden er conformiteitsverplichtingen die u niet zomaar contractueel kunt uithollen.

Wat kunt u exonereren, en waar liggen de grenzen?

In Nederland geniet u als IT-leverancier in B2B-verhoudingen in beginsel ruime contractsvrijheid. U mag aansprakelijkheid uitsluiten of beperken, zelfs voor het tekortschieten in kernverplichtingen. Dit is het uitgangspunt, maar het is niet onbegrensd.

De eerste harde grens is de aansprakelijkheid voor opzet of bewuste roekeloosheid van uw eigen bedrijfsleiding. Daar kunt u zich nooit contractueel van vrijwaren. De tweede (en in de praktijk steeds relevantere) grens is de toets aan de redelijkheid en billijkheid. Exoneratieclausules in algemene voorwaarden kunnen vernietigbaar zijn wegens onredelijke bezwarendheid (art. 6:233 onder a BW). Hoewel dit mechanisme traditioneel bedoeld is ter bescherming van consumenten, neemt de kans toe dat ook professionele afnemers hier met succes een beroep op doen — vooral als het gaat om eenzijdig opgelegde standaardvoorwaarden.

In de praktijk betekent dit: hoe meer u werkt met standaard “take it or leave it”-voorwaarden tegenover kleinere zakelijke klanten, hoe kwetsbaarder uw exoneratieclausules zijn. Bij een individueel uitonderhandeld contract met een gelijkwaardige wederpartij staat u sterker.

De Dataverordening: Brussel grijpt in op uw contractsvrijheid

Naast het nationale recht legt ook de Europese Dataverordening (Verordening (EU) 2023/2854) directe beperkingen op aan wat u contractueel kunt bedingen. De Dataverordening is rechtstreeks van toepassing in Nederland en richt zich specifiek op overeenkomsten waarbij data centraal staat, wat bij vrijwel elke IT-dienst het geval is.

Hoofdstuk IV van de Dataverordening is van toepassing op alle B2B-overeenkomsten, maar beperkt zich tot contractuele bepalingen over de toegang tot data, het gebruik van data of de aansprakelijkheid voor data-gerelateerde verplichtingen die eenzijdig zijn opgelegd. De kern: als u in uw algemene voorwaarden eenzijdig een clausule heeft opgenomen die uw aansprakelijkheid voor data-gerelateerde verplichtingen uitsluit of op ongepaste wijze beperkt, dan is die clausule niet bindend voor uw klant.

Wat dit in de praktijk betekent: standaard disclaimers in uw SaaS-voorwaarden of cloudcontracten die stellen dat u op geen enkele wijze aansprakelijk bent voor verlies of corruptie van klantdata, zijn juridisch kwetsbaar geworden. De Dataverordening maakt geen onderscheid naar omvang van de leverancier, de regel geldt voor iedereen. Het is geen kwestie van óf een klant dit aanvecht, maar wanneer.

NLdigital vs. ARBIT: twee werelden aan de onderhandelingstafel

Om te illustreren hoe groot de contractuele spanning in de praktijk kan zijn, is het nuttig om te kijken naar de twee meest gebruikte sets modelvoorwaarden in de Nederlandse IT-markt.

De NLdigital Voorwaarden 2025 zijn opgesteld vanuit het perspectief van de IT-leverancier. Ze beperken uw aansprakelijkheid op meerdere lagen. Indirecte schade en gevolgschade worden volledig uitgesloten. Directe schade is gecapt op de contractprijs, en bij duurovereenkomsten van meer dan een jaar geldt de vergoeding over één jaar als maximum. Aansprakelijkheid voor dood, lichamelijk letsel of zaakschade is gemaximeerd op een apart absoluut bedrag.

Bovendien beperken de NLdigital Voorwaarden de garantie tot het substantieel afwijken van schriftelijk vastgelegde specificaties, en sluiten ze uitdrukkelijk uit dat de software geschikt is voor het feitelijke of beoogde gebruik van de klant. U garandeert evenmin dat de software zonder onderbreking werkt of dat alle fouten worden verbeterd.

De ARBIT 2022, gebruikt door de Rijksoverheid als afnemer, hanteert een fundamenteel andere benadering. Hier dekt de garantie ieder mankement waardoor het gebruiksrecht niet geschikt is voor het beoogde gebruik, en het beoogde gebruik wordt ruim uitgelegd. De leverancier mag dit kennen op basis van verstrekte documenten én zijn eigen onderzoeks- en informatieplicht. De aansprakelijkheidslimiet voor overige schade bedraagt vier keer de overeengekomen vergoeding per gebeurtenis, zonder een overkoepelend jaarplafond. Dat kan bij grote overheidscontracten oplopen tot aanzienlijke bedragen.

Levert u aan de overheid of aan grote professionele afnemers die met hun eigen inkoopvoorwaarden werken? Dan werkt u feitelijk met garantie- en aansprakelijkheidsregels die diametraal tegenover uw eigen voorwaarden staan. Het verschil is niet gradueel, het is principieel.

Wat betekent dit voor uw contractspraktijk?

Het recht staat niet stil, en het vertrouwen op jarenlang bewezen standaardclausules is een risico geworden. De combinatie van de reflexwerking van consumentenbeschermingsregels naar professionele afnemers, de dwingende beperkingen uit de Dataverordening en de toenemende afwijkende inkoopvoorwaarden van grote klanten maakt dat uw contractuele bescherming minder robuust is dan u wellicht denkt.

Een aantal concrete aandachtspunten voor uw organisatie. Controleer of uw exoneratieclausules in algemene voorwaarden overeind blijven bij de toets aan artikel 6:233 BW, zeker wanneer u levert aan kleinere professionele klanten die uw voorwaarden niet individueel kunnen uitonderhandelen. Beoordeel of data-aansprakelijkheidsdisclaimers in uw SaaS- of cloudcontracten voldoen aan de dwingende eisen van de Dataverordening, een volledige uitsluiting van aansprakelijkheid voor dataverlies is niet langer houdbaar. Overweeg of het uitsluiten van het Weens Koopverdrag in uw internationale contracten wenselijk is, zodat u niet onverwacht wordt geconfronteerd met conformiteitsvereisten waarop u niet had gerekend. En inventariseer bij grote trajecten (zeker bij overheidsklanten) vroegtijdig welke set voorwaarden uiteindelijk van toepassing zal zijn, zodat u uw risicoallocatie daarop kunt afstemmen.

Het juridische speelveld voor IT-leveranciers is complexer dan ooit. Een goed ingericht contractueel kader beschermt niet alleen uw bedrijf tegen onverwachte claims, maar geeft ook uw klanten zekerheid, en dat laatste is uiteindelijk de basis voor een duurzame zakelijke relatie.