Hoe laten we zien dat we oude software hebben gedeïnstalleerd?

software-disc-cd-dvd-dragerEen lezer vroeg me:

We hebben (eindelijk) een legacy-softwarepakket kunnen vervangen door iets nieuws. Nu wil de leverancier daarvan de garantie dat we deze volledig hebben verwijderd, en daarvoor willen ze hun auditor langs laten komen. Zijn wij verplicht hieraan gehoor te geven? En mag deze dan ook backups en dergelijke bekijken?

Als je een softwarelicentie beëindigt, ben je verplicht de software te verwijderen van alle systemen waar deze op in gebruik was. Het is dan ook niet gek dat de leverancier bevestiging wil dat dit is gebeurd. Het is anders immers triviaal om de software te blijven gebruiken.

Moderne software heeft vaak een constructie met licentiesleutels of periodieke activatie. Dan is het buiten gebruik stellen van die software vrij eenvoudig; maak de sleutel ongeldig of deactiveer de code. Dan is het in principe gewoon onmogelijk de software nog te blijven gebruiken.

Deze software heeft een dergelijke feature nog niet, dus zal men iets anders moeten verzinnen. Een schriftelijke verklaring vanuit de klant “Wij hebben alles gewist, beloofd” is dan wel het minste dat je kunt doen. Veel wat oudere softwarelicentiecontracten bevatten ook een clausule die bepaalt dat een dergelijke verklaring gegeven moet worden, vaak met de Amerikaanse toevoeging “under penalty of perjury” wat bij ons niets doet maar het punt wel duidelijk maakt.

Als de leverancier dat niet kan of wil accepteren, dan is een audit de logische vervolgstap. Gebruikelijk is wel dat een onafhankelijk iemand die audit uitvoert, ook omdat er dan geen bijvangst (wat draaien jullie nu) bij de leverancier terecht komt.

Een audit is iets dat expliciet afgesproken moet zijn. Zonder afspraak is er eigenlijk geen grond om een audit uit te mogen voeren. De enige manier waarop dat eventueel wel zou kunnen, is via artikel 843a Rechtsvordering. Dit artikel kan een partij verplichten bepaalde documenten af te geven. Inzage in de administratie dus, en dat kan ook de administratie van de geïnstalleerde licenties betreffen. maar dat gaat niet zo ver dat je kunt afdwingen dat je langs mag komen om documentatie te máken.

Als er een audit is afgesproken, dan lijkt het me logisch dat deze ook de backup betreft. Als je immers zegt, alle kopieën zijn weg, eerlijk waar, op straffe van meineed, dan klopt er iets niet als er alsnog een backuptape blijkt te zijn met een kopie. En natuurlijk, in backups rommelen is moeilijk en zeer ongewenst, maar hoe voorkom je dan dat die backup ooit wordt teruggezet zodat de software toch weer in een productie-omgeving staat?

Arnoud

24 reacties

  1. Ik zie de toegevoegde waarde van een audit niet zo. Als je als gebruiker kwaad wil, dan zet die de software even apart op een CD-tje, dan kan de auditeur wel alle systemen en backups doorvlooien maar dat CD-tje krijgt hij natuurlijk nooit te zien.

    Daarnaast: in dit blog wordt steeds geschreven dat data (dus ook software lijkt me) niets is en niet kan worden opgeëist omdat het geen tastbaar goed is. Hoe kan een partij er dan een punt van maken dat een kopie van bepaalde software slechts ‘in bezit is van’ (aanwezig is bij…) een andere partij? Er ontstaat pas een contractueel probleem als er toch nog gebruik van wordt gemaakt. Als er kopietjes in backups staan dan zegt dat toch helemaal niets?

  2. Op het moment dat je geen licentie meer hebt mag je de software niet meer gebruiken. Als de leverancier daar aan twijfelt dan schakelt hij de BSA in. Een audit is volstrekt overbodig omdat het een meetpunt betreft en geen meetperiode. Na de audit zou je namelijk alle software weer in gebruik kunnen nemen.

    Conclusie: Een audit kost je als ondernemer (en leverancier) alleen maar tijd en dus geld en levert hoogstens de garantie dat de software op dat moment niet/wel gebruikt wordt.

    1. Als de leverancier daar aan twijfelt dan schakelt hij de BSA in

      Dan zal de leverancier wel BSA lid moeten zijn, anders doet de BSA niets. De leverancier kan natuurlijk wel zelf naar de rechter stappen, maar dan zullen er wel gegronde redenen op tafel moeten komen waarom (en dát) er illegaal van de software gebruik gemaakt wordt.

  3. Software heeft toch juist vaak een gebruikslicentie? Dan kan het nog best geïnstalleerd zijn. Behalve als dat specifiek in de licentie genoemd staat natuurlijk. Maar om dan te eisen dat de software zelfs uit backups verwijderd wordt, vind ik wel overtrokken.

  4. Het is een complete schijnconstructie inderdaad. Het kán niet anders dan op vertrouwen. Men nemen een kopie van de back-up (of storagereplicatie wat mij betreft) en vervolgens laat je met een screencast heel mooi zien dat je alles van de server verwijderd. Het blijft een wassen neus. Je kan het alleen (enigszins) oplossen met een licentiedongle (ook ondingen) of een licentieserver.

  5. Ik moet aannemen dat de leverancier van het nieuwe pakket niet dezelfde is als die van het oude, want anders zal hij er toch met zijn neus bovenop gestaan hebben. Maar zelfs als het dezelfde is is het domme actie, die een (mogelijke) klantrelatie alleen maar kan beschadigen. Verder is er nog de niet te controleren mogelijkheid (als de software zo slecht beveiligd is als lijkt) dat de oude software onderhands verkocht is aan een derde.

  6. Afgezien van hoe praktisch een dergelijke controle is, omdat de leverancier nooit kan controleren of er niet ergens onderin een bureaulade een DVD met een kopietje ligt, lijkt het me sowieso niet wenselijk om aan back-ups te gaan rommelen. De integriteit van de back-ups is mij meer waard.

  7. Hoe meer ik er over nadenk, hoe merkwaardiger ik het verzoek vind.

    Of het is gekochte software en dan hoef er helemaal niets verwijderd te worden, of het is licentie-software en dan is het aan de leverancier om daar een goed mechanisme in te bouwen om de licentie te controleren. Als de leverancier dit nagelaten heeft, is het een kwestie van pech en zal een plechtige verklaring voldoende moeten zijn, ook omdat het onmogelijk is na te gaan of echt alle kopieën verwijderd zijn.

    1. Zo vreemd zijn audits niet bij zakelijke software. Zeker in de zakelijke software business gaan zeer veel licenties gewoon in vertrouwen (o.a. zo’n beetje alle zakelijk volume licenties van Microsoft, deze software heeft regelmatig geen activatie sleutel of licentie sleutel, of wanneer deze wel een sleutel heeft is het minimale aantal activaties dat je kan uitvoeren met die sleutel altijd 50). In die contracten staat ook altijd dat Microsoft het recht heeft om een audit te laten uitvoeren om te controleren dat wanneer jij zegt ik koop er 10 want ik heb maar 10 licenties nodig, dat jij niet er maar 10 koopt, maar deze 50x inzet. Bij deze contracten kan je er op rekenen dat je 1x in de 3 tot 5 jaar een audit krijgt (meestal enkel op papier en wederom op basis van vertrouwen, maar als MS geen vertrouwen heeft in een eerlijke opgave vanuit de klant dan kunnen ze ook op locatie komen om te auditeren.

      Als het pakket in deze case ook werkt met een licentie op basis van vertrouwen zie ik een audit niet als iets vreemds.

      1. Houd wel in gedachte dat het hier om een beëindigd contract gaat. Blijkbaar is het een soort van abonnement ipv eeuwigdurende licenties. Ik kan me dan in de door jou omschreven situatie voorstellen dat je audits doorvoert en dat dit in het contract staat.

        Staat er in het contract echter iets over audits na beëindiging? Zo niet, dan lijkt me geen grond voor een audit aanwezig. Hoe lang na het einde van het contract kan je anders nog audits krijgen van partijen waar je geen zaken meer mee doet?

        1. Het lijkt me niet raar dat in een contract staat “Na beëindiging zal Licentienemer alle kopieën wissen. Licentiegever is gerechtigd dit middels een audit te verifiëren”. Dat is toch gewoon redelijk, dat je nog even nagaat of de licentienemer wel doet wat hij afgesproken heeft?

          Uiteraard is 8 jaar na dato te lang om dit recht nog in te mogen roepen. De termijn moet of in het contract staan, of naar redelijkheid worden gekozen.

          1. Op zich is het redelijk dat er een audit wordt uitgevoerd. Echter deze audit kan alleen maar kijken naar de actuele stand van zaken. Het lijkt me van de gekke dat je met terug werkende kracht die software uit de backups zou moeten slopen.

  8. als er alsnog een backuptape blijkt te zijn

    Tape?? Wat is dat? (Ik ben 16, ha ha).

    .

    Voor het laatst gebruikt in 1992 (tapestreamer aan 386SX16MHz, en die deed het niet eens; ik bedoel, die pc wel) en 1987 (echt zo’n spoelending; 80 MB voor een hele afdeling van 6 man of zo; was genoeg).

  9. Ik vergelijk het met het huren van een videoband. Je brengt deze terug en dan zegt de videotheek: “We willen graag bij u thuis langskomen om te kijken of u geen kopieen heeft gemaakt.”

    1. Vastleggen bij de huurovereenkomst dat een audit een optie is. Indien niet vastgelegd, dikke pech. Je hebt de huurder niet goed voorgelicht (niemand huurt ooit een video als een audit een legitieme optie is).
    2. De last ligt in deze bij de verhuurder. Had je er maar een kopieerbeveiliging op moeten zetten. Niet je klanten daar mee opzadelen als je zelf genoeg opties hebt om gebruik buiten de huurperiode te voorkomen.
    3. De overeenkomst houd op te bestaan, zodra de verhuurperiode is afgelopen. De audit heeft dus geen geldige grond, je doet immers geen zaken meer met de verhuurder. Anders zou de verhuurder ook bij mij een audit kunnen uitvoeren, terwijl ik nooit een overeenkomst ben aangegaan. Een huurovereenkomst mag eenzijdig worden opgezegd. De verhuurder kan je niet blijven houden aan de huurregels, of huur blijven vragen, of je opzoeken in je nieuwe huis, want “er is nog geen audit uitgevoerd”.
    1. Ik vind het niet raar dat je in een contract iets afspreekt dat zal gebeuren bij of na de beëindiging daarvan. “Na afloop van de huur zal gehuurde de zaken teruggeven” kan toch prima? En waarom dan niet “Na afloop van de huur mag de verhuurder controleren of de huurder echt zijn kopieën heeft gewist”? Natuurlijk in het redelijke, drie jaar later zonder aankondiging kan niet.

    1. Dat kan natuurlijk een smoesje zijn om aannemelijk te maken dat je niet meer met de oude software werkt. Je wilt niet weten in hoeveel bochten sommigen zich wringen om “kosten te beperken”. Maar een audit is om alle genoemde redenen hierboven inderdaad niet meer van deze tijd (het garandeert 0,0). Ik kan me dan ook niet aan de indruk onttrekken dat software zonder enige vorm van licentiemanagement niet meer van deze tijd is, en inderdaad terecht vervangen wordt. Maar jah, dat blijft een aanname…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.