“Stelen van broncode is niet strafbaar”

| AE 2979 | Security | 32 reacties

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud

Deel dit artikel

  1. Wat achtergrond: H.F.T. oftewel High Frequentie Trading is de belegger legaal belazeren. Door het koopverkeer razendsnel te analyseren voordat de beurs het zelf kan verwerken plaatsen ze in een flits enorme aantallen kooporders. Zo is versterken ze de trend (en verhogen ze de prijs). Op het moment dat de orders verwerkt worden (en de prijs door het volume hoger wordt) wordt de verkooporder alweer verstuurd. De High Frequentie Trader profiteert van de -tijdelijk- hogere prijs. De gewone belegger ziet vooral zijn eigen aandeel dalen door de massale verkooporder. Bijna 70% van het beursverkeer is H.F.T. en algoritme-gestuurd.

  2. Waarom zou iemand die vertrouwelijke gegevens mee naar huis neemt daarvoor gestraft moeten worden? N.B. De programmeur heeft niets openbaar gemaakt. Trouwens, waarom worden politie- en AIVD medewerkers niet naar de gevangenis gestuurd als ze vertrouwelijke dossiers meenemen en kwijtraken?

  3. Waarom wordt er geen vergelijking gemaakt met andere zaken waarin een werknemer bij vertrek documenten heeft meegenomen met vertrouwelijke informatie over het werken bij het bedrijf? Zo’n zaak zal toch wel vaker zijn voorgekomen?

    En wat is hier dan het nieuwe aspect? Dat de documenten niet fysiek maar alleen elektronisch zijn gekopieerd? Of dat het om broncode gaat? De relevantie van dat laatste zie ik niet.

    Overigens heb ik laatst hier nog gelezen dat een Nederlandse rechter diefstal van virtuele goederen mogelijk vindt.

  4. @Reinier

    Hééél kort door de bocht: Het gaat hier om de letter van de wet, de wet zegt bijv. dat wanneer je iemand op zijn neus slaat, je straf krijgt. Je mag dus niet deze wet gebruiken om iemand te veroordelen die iemand anders tegen zijn been heeft aangeschopt. Meer is het eigenlijk niet.

  5. @Reinier: Klopt, maar dat was omdat in die specifieke situaties het onvermijdelijk was dat de virtuele goederen werden verplaatst in plaats van gekopieerd. Aangezien wegnemen (verplaatsen) een vereiste is voor diefstal, kun je dan wel spreken van diefstal. In de normale situatie kan ik alleen kopiëren.

    Natuurlijk kan ik na het kopiëren iets wissen, maar copy+delete is niet hetzelfde als move.

  6. De zaak van de GM manager die overliep naar Volkswagen is al wat ouder: http://www.nytimes.com/2000/05/23/business/former-gm-executive-indicted-on-charges-of-taking-secrets.html en deels relevant; belangrijk verschil is dat de bedrijfsgeheimen in de VW-GM zaak wel degelijk misbruikt zijn.

    In het geval van de Goldman Sachs programmeur was er geen misbruik gemaakt van de bedrijfsgeheimen en was er onvoldoende bewijs voor de intentie er misbruik van te maken. (Waarom wordt er van een grafisch ontwerper verwacht dat hij een portfolio van zijn ontwerpen bijhoudt, maar is zoiets voor een software ontwerper strafbaar?)

  7. Hmm, ik heb een team developers, en zij kunnen nu dus de broncode (ook op hun laatste dag) gewoon kopieren naar hun eigen machines, als zij deze maar niet deleten. En ik kan daar niets tegen doen?

    Dat lijkt me een revolutie veroorzaken in alle softwarebedrijven, en daarmee wel degelijk bizar.

    Is er iets wat je er tegen kunt doen? Want het lijkt me dat iedereen aanvoelt dat dit geen houdbare situatie is op den duur.

  8. Het strafwetartikel verbiedt het gebruiken of bekend maken van handelsgeheimen. Het enkele kopiëren valt daar niet onder. Je zou dat dan moeten aanpakken onder “poging tot”, maar dan moet je bewijzen dat het uploaden bedoeld was om de geheimen te verkopen of te publiceren.

    Je kunt natuurlijk in de arbeidsovereenkomst precies vastleggen wat er wel en niet mag, en je kunt daar zelfs een contractuele boete voor afspreken. Dan moet je wel zelf optreden, Justitie zal niets doen.

  9. @10, @12: Dus je kunt wel degelijk veroordeeld worden, begrijp ik, voor iets wat op zich niet strafbaar is maar waaruit ondubbelzinnig de bedoeling blijkt iets strafbaars te doen?

    @11: Dat kan, hoor: verbied het ze in de arbeidsovereenkomst en stap naar de civiele rechter om er tegen op te treden. De vraag is hier of het ook strafbaar is, dwz. of ook de staat er tegen op moet treden.

  10. @Reinier: Er moet dan sprake zijn van een begin van uitvoering van het strafbaar feit. ’s Nachts met bivakmuts op een breekijzer tegen mijn deur zetten zal leiden tot veroordeling van “poging tot inbraak” omdat het wel duidelijk is dat je bezig was met mijn deur open te breken. En dát doe je alleen als je vervolgens zaken weg wilt nemen uit mijn huis (getuige ook de bivakmuts, die is immers evident om herkenning te voorkomen). Het verhaal dat je een koud hoofd had, je beschutting zocht in mijn portiek en je het breekijzer toevallig in je hand had omdat het niet meer in je tas paste, zal niet snel worden geaccepteerd.

    @Michel: In Nederland zou men meestal met het arbeidscontract in de hand aan de slag gaan. Aangifte kan ook (273 Strafrecht), dat is vereist voor een vervolging wegens diefstal van bedrijfsgeheimen. En dan zou Justitie gaan bepalen of sprake was van “bekendmaken” dan wel “gebruiken voor winstbejag” of een poging daartoe. Ik kan geen rechtspraak vinden waarin artikel 273 Strafrecht van stal wordt gehaald.

  11. Het verhaal dat je een koud hoofd had, je beschutting zocht in mijn portiek en je het breekijzer toevallig in je hand had omdat het niet meer in je tas paste, zal niet snel worden geaccepteerd.

    Totaal offtopic maar hulde voor de altijd duidelijke voorbeelden die bij mij toch ook altijd een glimlach teweeg brengen.

  12. Is hier niet simpelweg sprake van een gevalletje auteursrechtenschending ? Het copyright op de werken die geupload zijn zullen bij de werkgever liggen (niet bij de auteur), het kopieren van zulke werken zonder toestemming van de auteursrechtenhouder is niet toegestaan…

  13. @17, Op het moment dat een werkgever zijn programmeur gaat verbieden om kopieën te maken van de broncode waaraan hij werkt, kan de programmeur niet meer programmeren. Ik vraag me af in hoeverre een medewerker van een bedrijf auteursrechtinbreuk pleegt als hij onder werktijd een kopie van materialen van zijn werkgever maakt… (En dat zal niet snel tot jaren gevangenisstraf leiden, als justitie al wil vervolgen.)

  14. @18, Volgens wikipedia:

    Auteursrecht is het recht van de maker of een eventuele rechtverkrijgende van een werk van literatuur, wetenschap of kunst om te bepalen hoe, waar en wanneer zijn werk wordt openbaar gemaakt of verveelvoudigd
    Oftewel, openbaar gemaakt of verveelvoudigd. Kopieren is een vorm van verveelvoudigen en dus beperkt volgens het auteursrecht.

    Dat we in Nederland kopieen van werken mogen maken voor eigen gebruik doet hier niets aan af (dat is een specifieke uitzondering die in dit geval niet van toepassing is).

    @19, je kunt de kopieen die nodig zijn voor het uitvoeren van de werkzaamheden van de programmeur natuurlijk gewoon toestaan. Dat lijkt me redelijk evident.

  15. @21,

    Fout, kopieren is juist niet toegestaan op copyrighted spullen.
    Dat hangt volledig af van de licentie die je hebt op het werk. Als je kijkt naar open source software dan is kopieren juist expliciet toegestaan (terwijl het werk beslist nog wel onder het auteursrecht valt, tenzij vrijgegeven in het publieke domein).

  16. Er wordt hier Copyright en Auteursrecht door elkaar gebruikt, maar het Amerikaanse ‘copyright’ is niet gelijk aan het Nederlandse ‘auteursrecht’

    Er is in dat verschrikkelijke verdrag uit Berne wel veel geharmoniseerd, maar er zijn zeker nog verschillen over. Zo is er voor het Amerikaanse ‘fair use’ geen goed equivalent in Nederland. Dit begrip is namelijk erg vaag en open voor interpretatie, waar voor zover ik heb begrepen het Nederlandse auteursrecht met een limitatieve lijst van uitzonderingen werkt.

  17. @Reinier, dan moet de aanklacht dus ook de auteursrechten schending noemen en dat is niet gebeurd. Bovendien, ook hier kan hetzelfde argument gebruikt worden als bij het openbaar maken van handelsgeheimen. Dat is niet gebeurd want het is naar een prive-server gekopieerd. Bovendien is het maken van de kopie gedaan als werknemer zijnde, waarbij het zijn taak was om met deze broncode te werken.

    Vraag is dus wat deze werknemer vervolgens denkt te gaan doen met zijn kopie van de broncode. Dat zal niet veel zijn, lijkt mij…

  18. @arnoud je schrijft in het begin ergens “copy+delete is niet hetzelfde als move.”

    Technisch gezien klopt dat niet. Wanneer je op een computer een bestand moved zal het eerst gekopieerd worden, en pas daarna verwijderd vanaf de bronlocatie. Afhankelijk van wat voor platform, en onderliggend storage systeem hoeft het zelfs niet eens per direct verwijderd te worden maar kunnen daar seconden tot meerdere minuten aan tijd tussen zitten.

    De intentie van de gebruiker is misschien wel anders? maar zelfs dat lijkt me al moeilijk aan te tonen. Hoe zit dat juridisch? Is daar wel verschil tussen verplaatsen, en kopieren+verwijderen?

  19. @26: Precies, Wim: ik weet niet hoe het in New York met auteursrecht zit, maar dat zou hier best overtreden kunnen zijn; de rechter is dat niet gevraagd. Ik wilde alleen maar beweren dat (als ik het goed begrijp tenminste) het in Nederland overtreden zou zijn.

    Die aanhalingstekens in de kop van dit stukje mag je dus niet zomaar weglaten.

    Overigens hoeft het voor mij zonder specifiek tegenbewijs geen nader betoog dat deze werknemer deze code niet heeft gekopieerd omdat hij dat nodig had om op die laatste dag zijn werk goed te kunnen doen, en dat hij het alleen heeft gedaan met de bedoeling later ooit die code openbaar te maken en/of er persoonlijke winst mee te behalen; maar jij en de rechter denken daar blijkbaar anders over.

  20. @Steffen: Op het laagste niveau gaat dat inderdaad zo, maar het OS of ander databeheersysteem kan een hogere operatie introduceren die expliciet “move” doet. Dat wil zeggen dat je aan het einde óf het bestand verplaatst hebt (het staat op B en niet meer op A) óf niet (het staat nog op A), maar dat de postconditie “het bestand staat nu op A én B” onmogelijk is.

    In Runescape is het programmeertechnisch onmogelijk dat ik een “geef object aan Steffen”-transactie start en wij uiteindelijk beiden het object hebben. Evenzo is het bij een bank onmogelijk dat een geldtransactie om welke reden dan ook leidt tot een situatie waarin wij beiden geld hebben. Het staat bij mij, op zeker moment is het bij jou – of dat lukt niet maar dan blijft het bij mij.

    Voor bestanden bij een gemiddeld OS bestaat deze operatie niet (bij mijn weten dan; misschien wel bij een ‘move’ binnen één filesystem maar dat is niet relevant).

    Waar het om gaat is dat de HR heeft bepaald dat voor diefstal het goed verplaatsbaar/wegneembaar moet zijn. “Computergegevens ontberen deze eigenschap” wordt er dan gezegd. Computergegevens kopieer je maar daarmee zijn ze niet verplaatst. Na het kopiëren ze wissen bij de bron maakt dat niet anders.

    Als ik een papieren document kopieer en daarna het origineel in brand steek, heb ik het origineel niet gestolen. Ik heb de informatie gekopieerd en vernieling gepleegd op het origineel. Dat is juridisch wat anders. (Ik heb wél het kopieerpapiertje gestolen dat uit de copier kwam.)

  21. @9, @27, @29: Steffen: niet elke move is een copy+delete. Binnen een Unix-achtig bestandssysteem is een move bijvoorbeeld gewoon een edit van een of twee directories; met het bestand zelf gebeurt niets. Je kunt ook extra links maken naar een bestand: het komt dan op meer dan een plaats voor, maar er is maar een kopie. Ik ken Runescape niet, maar amuletten en in het algemeen bezittingen van een speler in een spel kunnen, zolang je ze niet kunt veranderen, ook best verwijzingen zijn naar een enkele kopie. En als je er 1000 hebt, die je niet individueel aan kunt passen, is er waarschijnlijk maar een amulet met een tellertje dat op 1000 staat. Hetzelfde geldt voor beltegoed. En het ‘wegnemen’ ervan is in werkelijkheid het aflagen van zo’n tellertje. Ik vind het raar dat dat door de rechter als wegnemen kan worden beschouwd.

    Meneer A. heeft overigens ondubbelzinnig gekopieerd – deze overweging lijkt me pas relevant als het bedrijf in kwestie de broncode in kwestie al ergens in de cloud heeft staan, zodat het dupliceren en verwijderen van de gebruiker niet meer 1 op 1 overeenkomt met wat er achter de schermen gebeurt.

  22. Kevin, Amerikaanse uitspraak in een specifieke zaak; ik zou het niet zomaar naar Nederland durven generaliseren. Aan de andere kant, het is wel een stuk geruststelling voor Nederlandse softwaremensen die met USB sticks rondlopen. Zolang de baas het toelaat is er vrijwel geen risico.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS