Een SaaS-contract dat vandaag wordt getekend, kan in 2029 nog steeds de administratie, klantdata, betalingsstromen of productiedata van een onderneming dragen. Post-quantum security is daarom geen exotisch onderwerp voor laboratoria alleen. Voor Nederlandse ondernemers wordt het een gewone contractvraag: wat belooft de leverancier over cryptografie, bewijs, migratie en aansprakelijkheid wanneer bestaande versleuteling haar houdbaarheid verliest? NIST heeft de eerste post-quantum standaarden FIPS 203, 204 en 205 vastgesteld; zie de publieke NIST-uitleg over de goedkeuring van de post-quantum cryptography FIPS. Ook de Europese roadmap maakt de overstap naar nieuwe cryptografie concreter. Wie cloudsoftware inkoopt, hoeft geen cryptograaf te worden. Hij moet wel voorkomen dat het contract alleen zegt dat de leverancier “passende beveiliging” toepast.

De praktische inzet ligt bij SaaS-contracten en vendor risk. Een ondernemer koopt een dienst, vertrouwt data toe aan een leverancier en moet later kunnen aantonen dat hij redelijke vragen heeft gesteld. Dat speelt bij verwerkersovereenkomsten onder de AVG, bij aansprakelijkheidslimieten, bij subverwerkers, bij exit-assistentie en bij auditvragen van klanten of investeerders. De fout is om een absolute garantie te vragen dat een leverancier “quantum safe” is. Zo’n garantie klinkt stevig, maar is juridisch vaak te vaag. Beter is een bewijsclausule: een gedateerde verklaring over cryptografische afhankelijkheden, een routekaart voor migratie, een updateplicht bij relevante standaardwijzigingen en een redelijke verdeling van kosten en verstoring.

De nuttige vergelijking komt uit software supply chain governance. Een SBOM of CBOM maakt afhankelijkheden zichtbaar zonder te doen alsof daarmee alle beveiligingsrisico’s verdwijnen. CycloneDX beschrijft bijvoorbeeld een Cryptography Bill of Materials als middel om cryptografische componenten, algoritmen en certificaten in kaart te brengen. Voor veel mkb-contracten is een volledige technische CBOM te zwaar. Als contractmodel is het idee wel waardevol: vraag om bewijs dat past bij de dienst, het datarisico en de looptijd. Een planningstool met beperkte gegevens vraagt iets anders dan een platform dat klantdossiers, broncode, betalingsgegevens of AI-logs verwerkt.

De kern van de voorgestelde quantumclausule is post-quantum bewijsvoering: scope, bewijs, migratie, kosten, aansprakelijkheid en exit. Bij laag risico volstaat vaak een lichte informatieplicht. Bij middelhoog risico hoort jaarlijkse evidence en een overlegplicht bij relevante standaardwijzigingen. Bij hoog risico is een zwaardere afspraak nodig over migratieplanning, samenvattend auditrecht, herstelkosten en hulp bij overstap naar een andere leverancier. Zo verandert post-quantum security van geruststellende verkooptaal in een leesbaar contractdossier.