Legal Direct

AI-SaaS-contracten: hoe regel je eigendom, data en aansprakelijkheid?

2025/09/22
Deel deze blog:

AI is overal. Denk aan software die binnen enkele seconden gezondheidsparameters kan afleiden uit een simpele gezichtsmeting. Of platforms die automatisch marketingcontent genereren. Andere toepassingen helpen gebruikers om hun mailbox slim te sorteren, of gebruiken algoritmes om complexe planningsproblemen te optimaliseren (shout-out naar de bedrijven die zich hier herkennen, yes ik bedoel jullie!).

Steeds vaker wordt dit soort technologie aangeboden in de vorm van Software as a Service (SaaS). Dat maakt het schaalbaar en toegankelijk, maar het roept ook belangrijke juridische vragen op: wie is eigenaar van de software, de data en de output? Wat gebeurt er als de AI een fout maakt? En mag je klantdata gebruiken om het model slimmer te maken?

In dit artikel tracht ik de belangrijkste juridische aandachtspunten voor AI-SaaS-contracten op een rij te zetten, zodat je als ondernemer meteen weet waar je op moet letten.

 

SaaS in een notendop

Een SaaS-contract draait om het vastleggen van de voorwaarden waaronder klanten en hun gebruikers toegang krijgen tot de aangeboden software. Het contract regelt het toegestane gebruik (in de vorm van een licentie), legt de overeengekomen service levels vast (zoals uptime), de prijsafspraken (bijvoorbeeld maandelijkse fee of jaarcontracten, al dan niet met automatische verlenging) en andere praktische bepalingen.

Tot zover niets nieuws. Maar met AI komt er een laag extra complexiteit bij.

 

Intellectueel eigendom: software vs. output

Bij AI spelen er eigenlijk twee soorten intellectueel eigendom (IP): enerzijds het model en de software (lees: de code, algoritmes en architectuur van de software) en anderzijds de output van de AI-tool zelf (zoals teksten, modellen, of wat er ook met de AI-tool wordt gegenereerd).

In het algemeen zijn de eigendomsregels voor de eerste categorie duidelijk: Eigendom blijft bij de leverancier, tenzij het expliciet wordt overgedragen. In een SaaS-context is overdracht uitzonderlijk, omdat het businessmodel net is gebaseerd op het behoud van de software en het aanbieden van gebruiksrechten aan meerdere klanten.

Wat de output betreft zal de klant meestal eigenaar willen zijn van het resultaat dat met de AI-toepassing wordt bekomen, zodat die vrij gebruikt kan worden, terwijl de aanbieder net zijn model wil beschermen en wil voorkomen dat klanten rechten claimen op het algoritme zelf. Contractueel wordt dan ook vaak vastgelegd dat de aanbieder alle rechten op het AI-model behoudt en de gegenereerde output eigendom van de klant wordt.

Waar het evenwel moeilijker wordt, is wat er gebeurt indien de software noodzakelijk blijft om de output te blijven gebruiken. Hier wordt het pas echt interessant. Bij veel AI-toepassingen is de output immers niet statisch, maar dynamisch. De waarde ervan hangt samen met voortdurende toegang tot de software, zoals bij een voorspellend model dat dagelijks nieuwe inzichten geeft of een planningsalgoritme dat steeds herberekent bij nieuwe data.

Als de klant na beëindiging geen toegang meer heeft, verliest hij de mogelijkheid om die output te blijven gebruiken of updaten. Dan is er dus wel sprake van “juridisch eigendom” van de output, maar geen praktische bruikbaarheid.

Contractueel wordt dan meestal voor een van de volgende opties gekozen:

  • blijvende licentie op output : leg vast dat de klant resultaten die tijdens de looptijd zijn gegenereerd blijvend mag gebruiken, ook na beëindiging.
  • exportverplichting : voorzie dat je de output én relevante data in een open formaat exporteert. Dit kan een snapshot zijn of periodieke export.
  • model hand-off : bij bepaalde klanten kun je afspreken dat zij tegen vergoeding een kopie van het getrainde model krijgen om zelf te hosten.

 

    Data en training: wie mag wat?

    AI draait op data – en daar gaat het vaak mis in contracten.
    Klantdata blijft in principe eigendom van de klant. Dat dient in principe expliciet in het contract te staan, inclusief de garantie dat de klant zijn data kan exporteren bij beëindiging.

    Voor de aanbieder kan het evenwel nuttig zijn om klantdata te gebruiken om het AI-model slimmer te maken. Dit kan waardevol zijn, maar ligt vaak gevoelig. Daarom moet altijd duidelijk afgesproken worden: wordt klantdata gebruikt voor training of niet?

    Sommige aanbieders werken met een opt-in (waarbij de klant expliciet toestemming geeft), anderen (zeker de grote spelers) werken met een (soms goed verstopte) opt-out: data wordt dus wel gebruikt, tenzij de klant dat actief uitzet.

    Daar komt privacywetgeving nog bovenop. Zodra klantdata persoonsgegevens bevat, is eigenlijk ook een verwerkersovereenkomst (DPA) nodig. Niet elke aanbieder voorziet daar standaard in, maar idealiter maak je ook hier de juiste afspraken over. In een B2B-context (bv. via een API of enterprise-abonnement) kan je dit met een apart document regelen. Voor consumentenapplicaties gebeurt dit doorgaans via algemene voorwaarden en privacy-instellingen.

     

    Aansprakelijkheid: wat als AI fouten maakt?

    Een AI-tool kan fantastische dingen doen, maar ook de bal volledig misslaan. Net zoals mijn eigen experimenten met AI-gegenereerde content soms onverwachte resultaten opleveren (ik kan dus nog niet met beeld-creatie software werken, laten we het daarbij houden), kunnen AI-systemen in kritieke toepassingen aanzienlijke schade veroorzaken. Denk aan biased uitkomsten in rekruteringsprocessen, hallucinaties van legal AI die naar niet-bestaande rechtspraak verwijzen, of inconsistenties in medische diagnosesoftware.

    De EU heeft daarom een fundamentele koerswijziging doorgevoerd: software en AI-systemen vallen voortaan onder dezelfde productaansprakelijkheidsregels als traditionele producten.

    De vraag die ons vaak gesteld wordt is: wie is aansprakelijk als een klant schade lijdt door een verkeerde AI-output?

    Waar (software)aanbieders zich voorheen vooral konden beroepen op contractuele aansprakelijkheidsbeperkingen en disclaimers, geldt nu de veel strengere productaansprakelijkheid. Dit betekent dat aanbieders aansprakelijk kunnen zijn voor schade veroorzaakt door gebreken in hun AI-systemen, zelfs zonder bewezen schuld.

    De nieuwe EU-richtlijn 2024/2853 maakt expliciet duidelijk dat ook cybersecurity-tekortkomingen, onvoorspelbaar gedrag van machine learning-algoritmes en gebrekkige risicobeheersing als productgebreken kunnen kwalificeren. Voor aanbieders van AI-tools ontstaat hierdoor een aanzienlijk verhoogd aansprakelijkheidsrisico dat niet langer volledig contractueel kan worden afgehandeld.

    Als AI-aanbieder begint het risicomanagement uiteraard bij de technische ontwikkeling, met het implementeren van testprocedures, bias-detectie en transparante documentatie van de gebruikte (en uiteraard legaal verkregen 😉) training data. Daarnaast is er een informatieplicht over bekende beperkingen, risico’s en juiste gebruikswijzen.

    Tenslotte blijven contractuele maatregelen uiteraard cruciaal voor risicomitigatie. Aanbieders kunnen nog steeds aansprakelijkheidsbeperkingen opnemen voor indirecte schade, gevolgschade en schade boven bepaalde bedragen, mits deze redelijk en proportioneel zijn. Essentieel zijn duidelijke service level agreements, expliciete beschrijvingen van gebruik binnen en buiten de bedoelde parameters door de gebruiker en heldere verdelingen van verantwoordelijkheden tussen aanbieder en klant.

    De richtlijn trad in werking op 8 december 2024, en EU-landen hebben tot 9 december 2026 de tijd om deze richtlijn om te zetten in nationale wetgeving.

     

    Conclusie

    All-in all: AI-SaaS-contracten lijken op gewone SaaS-contracten, maar brengen extra juridische uitdagingen met zich mee. Het gaat niet alleen om uptime, support en prijs, maar vooral om eigendom van data en output, en aansprakelijkheid. Aanbieders die deze zaken goed vastleggen, beschermen zichzelf én winnen vertrouwen van klanten en investeerders.

    Voor AI-aanbieders is het tijd voor actie. Start met een grondige audit van bestaande producten en identificeer potentiële aansprakelijkheidsrisico's. Herzie contractuele voorwaarden en voorzie in duidelijke documentatieprocessen.

    Het zal voor zich spreken dat we jou daar graag bij helpen? 😉

    Leïla Drake          

     

    LegalDirect

    Martelarenlaan 32
    3010 Leuven
    België

    Werkhuizenstraat 19
    1080 Brussel
    België

    info@legaldirect.be

    Volg ons op

    Webdesign by vector bross
    • © Copyright 2024 by LegalDirect. All Rights reserved