SaaS
SaaS lock-in clausules: veldgids voor AI-contracten
De MSA kwam binnen als pdf van 47 pagina's, donderdag om 17:42. De inkoper had tot maandagochtend om te tekenen. Wij kregen vier uur voor een redline.

De MSA kwam binnen als pdf van 47 pagina's, donderdag om 17:42. De inkoper bij een Rotterdams logistiek bedrijf had tot maandagochtend om te tekenen. Het contract ging over een AI-agent die hun support-inbox moest gaan triëren. Headline-prijs: €4.200 per maand. Demo gedaan, AE twee keer gezien, business case rond. Ze wilden tekenen. Het lock-in-risico stond op pagina 31. En op 14, 22 en 39.
Wij kregen vier uur voor een redline. We hebben elf clausules gemarkeerd. Ze tekenden zeven dagen later, met acht van die clausules heronderhandeld. Totale blootstelling die eraf ging: ruim boven de €600.000 over drie jaar.
Dit is de lijst, in de volgorde waarin inkoop ze bij een eerste lezing bijna altijd mist. We hebben hetzelfde pad bewandeld met achttien Nederlandse kopers onder de €20M de afgelopen twee jaar.
Hoe vendor lock-in er in 2026 echt uitziet
Lock-in is zelden één clausule. Het is samengestelde rente op zeven kleine concessies, plus één of twee grote die niemand markeerde omdat ze op pagina 31 stonden.
Voor AI-agent contracten is het probleem groter geworden. De leverancier verkoopt je een wrapper rond een model dat zij niet bezitten, gehost op infra die zij niet bezitten, getraind op data die jij niet controleert. Dat risico moet ergens in het contract belanden. Meestal bij jou.
De elf clausules hieronder duiken op bij alle grote AI-platformen (OpenAI, Anthropic, Google Vertex) en bij de golf van kleinere agent-platformleveranciers. De volgorde is empirisch: het weerspiegelt welke clausules onze klanten bij eerste lezing misten, niet welke in absolute zin het duurst zijn.
1. Automatische verlenging met opzegtermijn van 90 dagen
De meest gemiste clausule, elke keer weer. Verstopt onder Term achterin. Het contract verlengt automatisch voor de oorspronkelijke termijn (meestal 12 of 24 maanden) tenzij je opzegt minstens 90 dagen voor het einde van de lopende termijn.
Inkoop leest 12 maanden op het voorblad en zet een reminder in de agenda voor maand 11. In maand 11 zit je alweer vast voor een volledige termijn.
De Nederlandse Wet Van Dam verkortte opzegtermijnen voor consumenten. B2B-contracten zijn expliciet uitgezonderd. Je krijgt het contract dat je onderhandelt. Wij duwen voor 30 dagen opzegtermijn op maandbasis na de initiële termijn, of een harde cap van 30 dagen bij jaarlijkse verlengingen.
2. Trainingsrechten op klant-prompts en outputs
Verstopt in de DPA, niet in de MSA. Vaak één zin: Provider may use Customer Data in aggregated and anonymized form to improve the Services.
"Anonymized" doet veel werk in die zin. Als jouw support-agent klantmails verwerkt met namen, ordernummers en klachttekst, moeten die embeddings ergens leven. Wat de leverancier "geanonimiseerd" noemt, dekt zelden wat de AVG werkelijk vereist.
Vraag om een expliciete opt-out. De meeste grote leveranciers bieden er een, maar zetten 'm niet op tafel. De enterprise-privacy pagina van OpenAI documenteert de opt-out voor de Platform API, maar het standaard order form staat vaak default de andere kant op tenzij je het aankaart.
3. Model-deprecatie met 30 dagen aankondiging
Nieuwere clausule, bijna niemand markeert 'm. De leverancier behoudt het recht modelversies uit te faseren met 30 dagen schriftelijke aankondiging. Heb je fine-tuned op gpt-5.2-turbo-2026-03 en faseert de leverancier 'm uit, dan heb je 30 dagen om te migreren.
Dit breekt productie. We hebben het in 2025 twee keer zien gebeuren. De migratie is nooit alleen "wijs naar het nieuwe model". Prompts gedragen zich anders. Output-schema's verschuiven. De agent die vorig kwartaal 92% van je factuurvragen afhandelde, doet er dit kwartaal 71%, en je hoort het van een klant.
Druk aan op een deprecatie-window van 180 dagen, of een contractuele toezegging om de oude versie tegen afgesproken pricing te hosten voor de rest van de termijn.
4. Eenzijdige prijsverhogingen gekoppeld aan inputkosten
De zin om op te zoeken is may adjust pricing. Soms to reflect changes in underlying infrastructure or model provider costs.
Vertaling: gaan de API-kosten van de leverancier omhoog, dan ga jij ook omhoog. Gaan hun kosten omlaag (gebeurt regelmatig), dan blijf jij op het oude niveau. We hebben geen enkel AI-agent contract gezien waar compute-deflatie automatisch wordt doorgegeven aan de koper.
Tegenzet: cap jaarlijkse verhogingen op CPI, of op een vast percentage. Vijf procent is het getal dat de meeste leveranciers accepteren. Maak het bilateraal door het te koppelen aan kostbewegingen van de leverancier in beide richtingen.
5. Wijziging subverwerker met bezwaarvenster van 14 dagen
Standaard SaaS-clausule, inmiddels actief gevaarlijk bij AI-leveranciers.
De leverancier behoudt het recht nieuwe subverwerkers toe te voegen (lees: een nieuwe model-provider, een nieuwe vector DB, een nieuwe hosting-regio) met 14 dagen aankondiging. Maak je bezwaar, dan is je enige remedie opzeggen.
Voor een AI-agent is de subverwerkerslijst de systeemarchitectuur. Een leverancier die mid-term van model-provider wisselt, verandert wezenlijk wat je hebt gekocht. EDPB-richtsnoeren over subverwerker-wijzigingen zetten een ondergrens, maar leveranciers schrijven routineus strakkere voorwaarden. Druk aan op 60 dagen aankondiging en een echt opzegrecht met pro-rata terugbetaling.
6. Aansprakelijkheidscap van 12 maanden vergoedingen
Bijna universeel. Bijna altijd onderbenut bij de onderhandeling.
Twaalf maanden vergoedingen op een contract van €50k per jaar is €50k. Lekt de AI-agent klantdata, dan begint je AVG-blootstelling bij €20.000 aan juridische kosten voordat je de melding van het datalek hebt uitgelezen.
Druk aan op aansprakelijkheidscaps die losstaan van de contractwaarde voor inbreuken op gegevensbescherming en IE-inbreuk. €1M is de vloer die wij onderhandelen op contracten boven €30k per jaar.
7. IE-vrijwaring met uitzondering voor generatieve output
Lees het vrijwaringsdeel. Lees het dan nogmaals, specifiek op de uitzonderingen.
Het standaardpatroon: Provider will indemnify Customer against third-party claims that the Services infringe, except where such claim arises from Output generated by the Services in response to Customer prompts.
De uitzondering maakt de vrijwaring waardeloos voor het werkelijke risico. Genereert jouw AI-agent marketingtekst die inbreuk maakt op auteursrecht van een derde, dan sta je er alleen voor. De meeste grote leveranciers bieden inmiddels een echte IE-vrijwaring op output (vaak copyright shield of vergelijkbaar genoemd), maar het is meestal opt-in en voorwaardelijk: veiligheidsfilters moeten aan staan. Krijg de vrijwaring op papier. Verifieer dat de voorwaarden operationeel haalbaar zijn.
8. Usage-based billing zonder uitgavenlimiet
De leverancier factureert per agent-actie, per token, per voltooide taak. Er is geen maandmaximum.
Een agent die vastloopt in een loop door een slecht prompt-template kan in een weekend €15.000 doorbranden. We hebben €11k gezien. We hebben hogere bedragen gehoord. Druk aan op een harde maandcap met automatische throttling. De meeste leveranciers gaan akkoord met een zachte cap plus notificatie. Eis een harde cap, met de mogelijkheid om lagere uitgavenplafonds in te stellen via de admin console.
9. Beëindigingsondersteuning beperkt tot "redelijke medewerking"
Je zegt op. En dan? Het contract zegt dat de leverancier reasonable cooperation verleent bij datamigratie.
Redelijke medewerking is wat de leverancier beslist dat het is. Wij hebben het zien uitleggen als "we mailen je een CSV met je prompt-historie". We hebben het zien uitleggen als "we leveren één engineer voor maximaal vier uur".
Druk aan op een gedefinieerde transitiedienst-verplichting: data-export in een gedocumenteerd formaat, behoud van toegang gedurende 90 dagen na beëindiging, en een vaste-tariefoptie voor engineering-ondersteuning tijdens de migratie.
10. Auditrechten die je niet kunt uitoefenen
De MSA geeft je het recht te auditeren. De DPA zegt dat audits worden uitgevoerd by an independent third-party auditor mutually agreed in writing, no more than once per year, at Customer's expense, on 60 days' written notice.
Het auditrecht bestaat op papier. In de praktijk geef je €40k uit om het uit te oefenen op een contract van €50k. De leverancier weet dat. Jij ook, bij een tweede lezing. Druk aan op het recht het SOC 2 Type II rapport van de leverancier te accepteren in plaats van een onafhankelijke audit, met een gedocumenteerd proces voor het oplossen van gaps. Dat is sowieso wat je echt wilt.
11. Overmacht inclusief uitval van third-party service providers
Verstopt achterin. De leverancier wijst aansprakelijkheid af voor storingen veroorzaakt door hun subverwerkers (lees: de model-provider).
Als de model-provider 14 uur uit de lucht is, stopt jouw AI-agent met werken. Je klanten bereiken support niet. De leverancier roept overmacht in en jij krijgt geen SLA-credits. Druk aan op SLA-credits die gelden ongeacht de root cause. Het argument van de leverancier is dat ze hun upstream niet kunnen controleren. De tegenzet is dat ze hun upstream wel hebben gekozen, en die keuze is onderdeel van wat jij hebt gekocht.
Een audit van vijf minuten die je maandag kunt doen
Open de MSA en de DPA in twee tabbladen. Zoek op deze termen, in deze volgorde:
notice
renew
price
sub-processor
deprecat
liability
indemnif
force majeure
transition
audit
aggregated
Vind je voor elke term een clausule, dan heb je het volledige beeld. Vind je er één niet, dan ontbreekt 'ie (een probleem) of zit 'ie verstopt onder een non-standaard label (ook een probleem). Bovenstaande termen zijn de meest voorkomende formuleringen in de acht grote AI-platformcontracten die we de afgelopen achttien maanden hebben gereviewd.
De eerste drie clausules op deze lijst (opzegtermijn automatische verlenging, trainingsrechten, model-deprecatie) zijn samen goed voor circa 60% van de lock-in-kosten die we uit AI-agent contracten hebben weggeschreven. Lees die drie eerst, elke keer.
De markt zit nog steeds in het voordeel van leveranciers. De EU AI Act verschuift daar iets aan, vooral rond documentatie en risicoclassificatie, maar de contractvoorwaarden blijven een plek waar de koper zelf aan de bak moet. De juristen van de leverancier hebben hun werk al gedaan.
Toen we de contract-review agent bouwden die we intern gebruiken, was het lastigste 'm te leren vrijwaringsuitzonderingen te markeren die geschreven waren om op dekking te lijken. Opgelost door 'm te trainen op drieëntwintig van onze eigen redlines, en elke flag te verifiëren tegen een menselijke reviewer voor de eerste zestig contracten. Hetzelfde human-in-the-loop patroon dat we leveren in onze AI-agents praktijk.
Voor je volgende week iets tekent: draai de elf-termen zoekactie hierboven op het contract dat nu op je bureau ligt. Vind je meer dan drie van deze patronen ongewijzigd, regel dan een tweede paar ogen voordat het maandag wordt.
Kern
De eerste drie clausules (opzegtermijn automatische verlenging, trainingsrechten, model-deprecatie) zijn samen goed voor circa 60% van de lock-in-kosten in AI-agent contracten. Lees die eerst.
FAQ
Welke clausule wordt het vaakst over het hoofd gezien in AI-agent SaaS-contracten?
Opzegtermijnen bij automatische verlenging. Negentig dagen is standaard, en inkoop zet de verlenging meestal in de agenda voor maand 11 van een 12-maandentermijn. Daardoor wordt het venster met enkele weken gemist en gaat er weer een volledige termijn in.
Hebben AI-specifieke contracten een ander review nodig dan reguliere SaaS?
Ja. Model-deprecatie, trainingsrechten op prompts en subverwerker-wijzigingen (vaak een nieuwe model-provider) zijn AI-specifieke risico's die standaard SaaS-templates niet afdekken.
Hoeveel tijd kost een nuttige contract-redline voor een koper onder €20M?
Vier uur juridische review plus twee uur engineering-input is meestal genoeg om de elf clausules in dit stuk te dekken en een redline te produceren waar de leverancier op zal reageren.
Helpt de Wet Van Dam tegen vallen met automatische verlenging?
Nee. De Wet Van Dam verkort opzegtermijnen alleen voor consumentencontracten. B2B-contracten zijn expliciet uitgezonderd, dus opzegtermijnen zijn wat je in de MSA onderhandelt.