Valt een configuratiebestand onder intellectueel eigendom?

Via Twitter een tip naar deze al wat oudere discussie over intellectueel eigendom ten aanzien van een configuratiebestand:

Een relatie van mij heeft een probleem met een ICT leverancier. Deze weigert het password van de bedrijfs firewall van de klant (dus niet die van een eventuele kabelprovider) te overhandigen. Het argument van de leverancier is dat de configuratie (of de kennis die hij daarvoor gebruikt heeft) onder het intelectueel eigendom valt.

Dit soort spraakverwarring krijg je als je juridische termen buiten hun scope gaat gebruiken. “Intellectueel eigendom” is de naam voor een vakgebied binnen het recht, waaronder we auteursrecht, merken, octrooien en nog een paar dingen rekenen die niet tastbaar zijn maar waar je wel een soort van eigendom op kunt laten gelden. Niemand mag in je tuin, en niemand mag in je auteursrecht.

Die term is op zeker moment de betekenis gaan krijgen van “iets creatiefs dat ik heb bedacht” en is daarmee los gaan staan van dat vakgebied en de rechten die daaronder vallen. En dat klopt gewoon niet. Je hebt wel eigendom op je dingen maar intellectueel eigendom op je ideeën of creatieve zaken heb je niet. Het is zoiets als zeggen dat iemand een dossier is. Nee, je hébt een dossier over een persoon.

Maar ik ben dan weer jurist genoeg om te erkennen dat als de monteur had gezegd “dat is ons bedrijfsgeheim” hij een juridisch punt(je) had gehad. Informatie die waarde heeft doordat hij als strikt geheim wordt behandeld, is namelijk beschermd als een vorm van intellectueel eigendom. De formule van Coca-Cola is het bekendste voorbeeld. Het aftroggelen of stelen van bedrijfsgeheimen (trade secrets) is onrechtmatig en strafbaar.

Of dat ook voor configuratiebestanden geldt, vraag ik me echter zeer af. Hoe je de beste configuratie maakt, is zeker waardevol en als iedereen dat weet dan wordt die waarde verminderd. Dus dat is wel als bedrijfsgeheim te beschouwen. Maar om dan elk bestánd ook meteen maar afgeleid geheim te noemen, daar heb ik moeite mee.

Een ander punt is dat normaliter zo’n ICT-apparaat verkocht wordt. Als je dat doet, dan moet je de volledige eigendom overdragen zonder rare verplichtingen erbij (art. 7:15 BW), tenzij je die uitdrukkelijk hebt afgesproken. Dan zou er dus in dit geval in het contract moeten staan “u koopt de router maar we spreken af dat u het wachtwoord niet krijgt”. Het lijkt me sterk dat veel klanten dat accepteren.

Misschien gaat het om een full service leasecontract of iets dergelijks? Als de leverancier alle onderhoudsplichten op zich heeft genomen, dan is het niet handig als de klant zelf gaat rommelen in configuratiebestanden. Maar dan zou het argument zijn “dan vervalt de garantie” of “dan stoppen wij met onderhoud” lijkt me, en niet “intellectueel eigendom!!1!”

Jullie enig idee wat hierachter kan ziten?

Arnoud

14 reacties

  1. Ik zou het andersom stellen: de klant stelt een technische vraag (wat is het wachtwoord?) maar ik ben benieuwd naar de achteriggende functionele vraag. Wil hij de running config kunnen inzien om bijvoorbeeld problemen op zijn netwerk te diagnosticeren? Dan is een read only account op alleen de specifieke rulesets nodig en best wel te billijken, gegeven dat het device die mogelijkheid biedt. Of wil hij zelf wijzigingen aan kunnen brengen? Een weigering wordt dan begrijpelijker omdat je geen meerdere kapiteins op 1 schip wil hebben. Of zit er nog iets anders achter? En is het wachtwoord dan wel een doelmatige manier om die vraag op te lossen?

  2. Een ander punt is dat normaliter zo’n ICT-apparaat verkocht wordt.
    Een aantal fabrikanten is druk bezig dat model aan te passen. Dan krijg je het apparaat voor een appel en een ei, maar betaal je een leuk bedrag aan licentiekosten voor elke netwerkpoort die je in gebruik neemt.

    Maar volgens mij speelt dat hier niet. Deze leverancier lijkt me geen dozenschuiver, maar eerder een bedrijf die de firewall in opdracht van de klant beheert. Dit klikt heel erg als een bedrijf dat een conflict heeft en een stok zoekt om te slaan. Het lijkt wel of ze naargeestig op zoek naar een lock-in zodat de afnemer wel bij klant móet blijven deze leverancier.

    Maar waarom, dat is puur speculatie met deze summiere omschrijving van de situatie.

  3. Laat me raden… de ICT-boer heeft op alle firewalls die zij leveren of beheren hetzelfde wachtwoord gebruikt?

    Maar de juiste oplossing is hier niet om het password af te geven, de oplossing is om een account aan te maken met de juste rechten (afhankelijk van de functionele vraag) en daar het password van te geven. Als je passwords deelt is niet meer te achterhalen wie wat gedaan heeft en zeker tussen leverancier en klant wil je dat soort gekissebis voorkomen. (Je logt uiteraard alle belangrijke events, zoals wie er wanneer inlogde, toch?)

    En wat de klant betreft, tja, misschien wil die wel overstappen en is dit deel van de voorbereiding daarvan.

  4. Maar die configuratie is toch gerelateerd aan het bedrijfsnetwerk en de werkzaamheden van dat bedrijf?

    Of richt die ICT Leverancier elk netwerk hetzelfde in? “Nee u moet die webserver daar neerzetten want dat staat nou eenmaal zo in onze geheime configuratie” ???

  5. Leest een beejte als een bedrijf dat wel de hardware/infrastructuur in eigendom heeft maar het beheer ervan heeft uitbesteed. Als directeur of eigenaar (al dan niet ingefluisterd door mijn eigen ICT beheerder o.i.d.) zou ik er wel zenuwachtig van worden dat die beheerfirma of ZZP’er de wachtwoorden heeft maar wij zelf niet. Als die firma of ZZP’er omvalt kun je nergens meer bij en heb je dus een probleem. Zou een escrow-overeenkomst o.i.d. in dit soort gevallen uitkomst bieden?

    1. Je kan ook op de router een gesloten enveloppe hebben liggen met daarin het wachtwoord. Zo hebben wij het vroeger ook bij enkele klanten gedaan, die wilden voor noodgevallen het administrator wachtwoord hebben. In verzegelde enveloppe gegeven met melding “enveloppe open = einde sla en overstappen op best effort”.

  6. STOP! Het gaat hier om een wachtwoord. Het bedenken van een wachtwoord vraagt volgens mij wel enige creativiteit, want niet iedereen gebruikt 123456 of abc123 als wachtwoord. Diegene die dus b.v. QW3r&7 heeft bedacht is dus creatief geweest. Creativiteit is auteursrechtelijk te beschermen en dus kunnen ze dit wachtwoord gewoon geheim houden… Even kijken of die redenatie door de giecheltest komt… 🙂

    1. Al zou er auteursrecht op het wachtwoord of op het configuratiebestand zitten. Het is nog steeds geen argument om ‘het geheim’ dan niet te overhandigen. In dat absurde geval zou de klant enkel ‘dat geheim’ niet mogen verveelvoudigen of publiceren.

      Als tegenvoorbeeld: er is genoeg software waarvan de bron te lezen is, maar waar toch strikte auteursrechten op gelden.

  7. Als met dat wachtwoord een configuratiebestand kan worden gedownload, geef je met dat wachtwoord dus indirect rechtstreeks toegang tot dat bestand (waar wel degelijk auteursrecht op rust). Als je het gevoel hebt dat de klant naar een andere aanbieder wil overstappen, geef je met het afgeven van dat wachtwoord indirect je ‘perfecte’ configuratie af aan de nieuwe beheerder, die dat voor eigen gewin kan gebruiken. Ik kan me voorstellen dat dat onwenselijk is. Of ze eea verplicht zijn hangt m.i. ook af van de algemene voorwaarden (een niet-exclusieve gebruikslicentie op de firewallconfiguratie voor zolang het apparaat beheerd wordt door partij X bijvoorbeeld). Het “beheerd worden door” kan worden beschouwd als “Zodra de exclusieve toegang door partij X niet meer kan worden gegarandeerd, wordt de licentie ingetrokken”.

    Om zonder meer te stellen dat een configuratiebestand (en in dit geval, de directe toegang tot dat bestand) niet onder auteursrecht valt, gaat mij te ver.

    1. Auteursrecht gaat over het beschermen van oorspronkelijke werken van literatuur, kunst of wetenschap. Het slim aan of uit zetten van voorgedefinieerde parameters in een configuratie van een firewall lijkt me daar toch echt niet onder te vallen.

  8. Zoals Richard Stallman al jaren roept, wordt de term “intellectueel eigendom” zonder aanhalingstekens alleen gebruikt door mensen die ofwel verward zijn over de onderliggende concepten, ofwel willen verwarren, door een heel ratjetoe aan uiteenlopende zaken (auteursrecht, merkrecht, octrooirecht) bij-elkaar te harken, en het tegelijkertijd met het concept “eigendom” te verwarren. Ik zou zeggen vermijd deze term als de pest, en leg uit welke wetgeving van toepassing is. (Helaas is de wetgever hierin de weg kwijt, en vinden we die rare term nu dus ook in wetten en verdragen terug.)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.